از کرم ایرانی

کرم W32/Setayesh: این کرم اینترنتی پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می‌نماید: %System32%Sys.exe %Windows%Shell.exe %Windows%vxds.exe %Windows%Helpvxds.exe %Windows%mediawma.exe و برای اینکه با هر بار بالا آمدن سیستم این فایل‌ها اجرا گردند، آنها را به شکل زیر در رجیستری ثبت می‌کند: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Shell = userinit.exe, sys.exe Userinit = Explorer.exe shell.exe HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun vxds = %Windows%vxds.exe همچنین در مسیر %System32% فایلی با نام OEMLOGO.BMP به صورت مخفی ایجاد می‌کند که به شکل زیر می‌شاید: بعلاوه در همین مسیر فایلی با نام OEMLOGO.INI به صورت مخفی می‌سازد که محتویات آن به شکل زیر است: [General] Manufacturer=[Antichrist] Model=[Day of judgment] SupportURL=http://www.antichrist.com/ LocalFile=blank.htm [Support Information] Line1=When comes the help of Allah, and victory,. Line2=And thou dost see the people enter Allah's religion in crowds,. Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: for he is oft-Returning (in forgiveness).. فایل دیگری نیز در همین مسیر با نام blank.htm به صورت مخفی ایجاد می‌کند که با اجرای آن صفحه‌ای به شکل زیر به نمایش درمی‌آید: که متن انگلیسی نمایش داده شده در این صفحه ترجمة سورة حمد می‌باشد. آنگاه برای اینکه با هر بار بالا آمدن سیستم این فایل نمایش داده شود آن را به صورت زیر در رجیستری ثبت می‌کند: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Blank = %System32%lank.htm HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun Blank = %System32%lank.htm برای اینکه مقدار Home Page و Search Page نرم‌افزار Internet Explorer را برابر با صفحة مذکور قرار دهد، تغییرات زیر را در رجیستری ایجاد می‌نماید: HKCU SoftwareMicrosoftInternet ExplorerMain Start Page = %System32%lank.htm Search Page = %System32%lank.htm از کارهای جالب این ویروس این است که در همة درایوها در داخل مسیر Recycler فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام Sys.exe درون آن قرار می‌دهد. سپس در ریشة هر درایو فایلی با نام Autorun.inf و با محتویات زیر می‌سازد: [autorun] open=Recycler.{نام مسیر تصادفی ایجاد شده}sys.exe a shellopen=Open shellopenCommand=Recycler.{نام مسیر تصادفی ایجاد شده}sys.exe o shellopenDefault=1 shellexplore=Explore shellexploreCommand=Recycler.{نام مسیر تصادفی ایجاد شده}sys.exe e این کار باعث می‌شود که وقتی کاربر برای ورود به درایوی بر روی آن دوبار کلیک نماید، ابتدا فایل آلوده اجرا گردد. همچنین اثرات دیگری به شکل زیر دارد: با ایجاد تغییراتی در جیستری باعث می‌شود که قبل از ورود به سیستم صفحه‌ای با تیتر Antichrist و با متن Day of judgment نمایش داده شود. همچنین باعث می‌شود فایل‌های Super Hidden نمایش داده نشود. جلوی اجرای برنامه‌های RegEdit و Task Manager را گرفته و رنگ زمینة Windows و صفحة cmd را تغییر می‌دهد. بعلاوه نام User و Organization ثبت شده برای سیستم را تغییر می‌دهد.

http://www.mehranco.com

این ویروس توسط آخرین نسخه آنتی ویروس ایمن (نسخه سیمرغ) شناسایی و کاملا پاکسازی می شود . قیمت این آنتی ویروس فقط ۹۰۰۰ تومان می باشد .