ویروس جدید W32/Kazim

خصوصیات :

این برنامه مخرب ایرانی از نوع کرم اینترنتی می‌باشد که به محض اجرا خود را به صورت زیر بر روی سیستم کاربر کپی می‌کند:

%system%\kazme_gheyz.exe

سپس خود را در ریشه تمامی درایوها با نام kazme_gheyz.exe کپی کرده و در کنار آن فایلی با نام autorun.inf را قرار می‌دهد. با این کار باعث می‌شود که وقتی کاربر برای ورود به درایوی بر روی آن دوبار کلیک نماید، ابتدا فایل آلوده اجرا گردد. علاوه بر فایل‌های فوق، فایلی با نام Kazme_gheyz.url را نیز در ریشه درایوها کپی می‌کند که در آن آدرس وبلاگ نویسنده کرم وجود دارد. به علاوه باعث می‌شود که با کلیک راست کردن بر روی نام هر درایو، در منوی ظاهر شده دو عدد گزینه Open دیده شود. همچنین سه فایل فوق را به محض اتصال Cool Disk به سیستم آلوده بر روی آن نیز ایجاد می‌نماید.

همچنین برای اینکه در هر بار راه‌اندازی سیستم این کرم اجرا گردد آنرا در کلیدهای زیر در رجیستری ثبت می‌کند:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

از جمله فعالیت‌های این کرم ایترنتی این است که جلوی اجرای برنامه‌های Task Manager ، RegEdit ، MMC ، cmd و msconfig را گرفته و پروسه مربوط به W32/Trojan.dv را در صورت وجود از حافظ خارج می‌کند. همچنین از اجرای فایل‌های با پسوند bat جلوگیری می‌نماید.

این ویروس توسط ضدویروس ایمن شناسایی و کاملا پاکسازی می شود