سفارش تبلیغ
صبا ویژن

پردازشگر
پردازشگر laptop لپ تاپ قیمت نوت بوک کامپیوتر pardazeshgar 
نویسندگان
لینک دوستان

%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe

در صورتی که داخل نام فایل اجرایی کلمه ScreenSaver وجود داشته باشد پیامی به شکل زیر نمایش می‌دهد.

The application failed to initialize properly (0x0000005). Click on OK to terminate the application.

سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای اینکه با هر بار راه‌اندازی سیستم آلوده به طور خودکار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می‌نماید:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

سپس کلیدهایی در رجیستری را به شکل زیر تغییر می‌دهد:

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Hidden = 2
HideFileExt = 2

ShowSuperHidden = 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1

HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = 0
DisableSR = 1

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می‌گردد که برای برطرف کردن این مشکلات می‌توانید برنامه زیر را از سایت ایمن دانلود کرده و رجیستری خود را پاکسازی نمایید:
www.ImenAntiVirus.com/RegRepair.zip
همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می‌کند:

HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut

و کلیدی با نام Wintek در مسیر زیر ایجاد می‌کند:

HKEY_CURRENT_USER\Software\

و کلید زیر را در آن ایجاد می‌نماید:

Install = b2ed3 (Dword ? Value is in hex)

بعد از انجام کارهای فوق تمام برنامه‌های موجود در زمانبند ویندوز (دستور at) را پاک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات 11:30 و 20:30 اجرا می‌نماید.

یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام‌های فریبنده کپی می‌کند و از آنجایی که برخی از این مسیرها مخصوص برنامه‌های شبکه‌های اشتراک‌گذاری فایل (یا P2P) هستند، با این کار امکان انتشار آن در سراسر دنیا از طریق اینگونه برنامه‌ها فراهم می‌گردد:

%PROGRAMFILES%\Kazaa Lite\My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\Icq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Downloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Limewire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\

به علاوه در مسیرهایی که در آنها فایل‌های از نوع MP3 ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می‌کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می‌کند:

\WINDOWS\system32\config\systemprofile\My Documents\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\

\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\Entertainment\

\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\...

\WINDOWS\system32\drivers\
\WINDOWS\system32\spool\drivers\
\WINDOWS\system32\spool\drivers\w32x86\3\

این کرم برای اینکه بتواند خود را درون شبکه تکثیر کند، کامپیوترهای موجود در آن را جستجو کرده و با استفاده از درایوهای به اشتراک گذاشته شده، سعی می‌کند خودش را به شکل زیر بر روی آن سیستم‌ها کپی کند:

C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

این کار باعث می‌شود که پس از راه‌اندازی آن سیستم‌ها، ویروس به طور خودکار اجرا شده و عملیات تکثیری خود را بر روی آنها انجام دهد.

از جمله کارهای جالب این ویروس این است که خودش را در ریشه همه درایوها با نام autoply.exe کپی کرده و در کنار آن فایلی با نام Autorun.inf ایجاد می‌کند. این عمل باعث می‌شود که هر گاه کاربر بخواهد به هر شکلی وارد هر درایوی شود، فایل مربوط به کرم اجرا گردد. نوع Autorun ایجاد شده به گونه‌ایست که اگر فایل autoply.exe که خود کرم است از روی سیستم پاک شده ولی فایل Autorun.inf باقی بماند، با دوبار کلیک کردن بر روی نام درایو پنجره Open with نمایش داده می‌شود و کاربر نمی‌تواند وارد درایو شود. در این حالت با کلیک راست نمودن بر روی نام درایو و انتخاب گزینه Open نیز نمی‌توان وارد درایو شد. برای برطرف نمودن این مشکل بایستی فایل زیر را از روی سایت ایمن دانلود نموده و آن را بر روی سیستم خود اجرا نمایید: 
http://www.imenantivirus.com/NoAutorun.zip
این کرم فایلی با نام Important.htm را در مسیرهای زیر بر روی سیستم کاربر کپی می‌نماید که حاوی جملاتی به زبان فارسی است:

%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\

همان جملات را درون فایلی با نام print.txt در مسیر %TEMP% کپی کرده و بعد آن اجرا می‌کند.

در انتها میانبر (Shortcut) های برنامه های Paint و Calculator و Notepad و Cmd را به گونه ای تغییر می دهد که قبل از اجرای برنامه اصلی ویروس اجرا شود که بعد از پاکسازی میانبر برنامه اصلی اجرا نمی‌شود

یکی از نشانه‌های ویروس به نمایش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است

[ سه شنبه 87/3/21 ] [ 3:17 عصر ] [ رضا سیاه لو ] [ نظرات () ]
.: Weblog Themes By themzha :.

درباره وبلاگ

پردازشگر laptop لپ تاپ قیمت نوت بوک کامپیوتر pardazeshgar
امکانات وب


بازدید امروز: 96
بازدید دیروز: 97
کل بازدیدها: 565520