کرم W32/Setayesh: این کرم اینترنتی پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی مینماید: %System32%Sys.exe %Windows%Shell.exe %Windows%vxds.exe %Windows%Helpvxds.exe %Windows%mediawma.exe و برای اینکه با هر بار بالا آمدن سیستم این فایلها اجرا گردند، آنها را به شکل زیر در رجیستری ثبت میکند: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Shell = userinit.exe, sys.exe Userinit = Explorer.exe shell.exe HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun vxds = %Windows%vxds.exe همچنین در مسیر %System32% فایلی با نام OEMLOGO.BMP به صورت مخفی ایجاد میکند که به شکل زیر میشاید: بعلاوه در همین مسیر فایلی با نام OEMLOGO.INI به صورت مخفی میسازد که محتویات آن به شکل زیر است: [General] Manufacturer=[Antichrist] Model=[Day of judgment] SupportURL=http://www.antichrist.com/ LocalFile=blank.htm [Support Information] Line1=When comes the help of Allah, and victory,. Line2=And thou dost see the people enter Allah's religion in crowds,. Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: for he is oft-Returning (in forgiveness).. فایل دیگری نیز در همین مسیر با نام blank.htm به صورت مخفی ایجاد میکند که با اجرای آن صفحهای به شکل زیر به نمایش درمیآید: که متن انگلیسی نمایش داده شده در این صفحه ترجمة سورة حمد میباشد. آنگاه برای اینکه با هر بار بالا آمدن سیستم این فایل نمایش داده شود آن را به صورت زیر در رجیستری ثبت میکند: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Blank = %System32%lank.htm HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun Blank = %System32%lank.htm برای اینکه مقدار Home Page و Search Page نرمافزار Internet Explorer را برابر با صفحة مذکور قرار دهد، تغییرات زیر را در رجیستری ایجاد مینماید: HKCU SoftwareMicrosoftInternet ExplorerMain Start Page = %System32%lank.htm Search Page = %System32%lank.htm از کارهای جالب این ویروس این است که در همة درایوها در داخل مسیر Recycler فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام Sys.exe درون آن قرار میدهد. سپس در ریشة هر درایو فایلی با نام Autorun.inf و با محتویات زیر میسازد: [autorun] open=Recycler.{نام مسیر تصادفی ایجاد شده}sys.exe a shellopen=Open shellopenCommand=Recycler.{نام مسیر تصادفی ایجاد شده}sys.exe o shellopenDefault=1 shellexplore=Explore shellexploreCommand=Recycler.{نام مسیر تصادفی ایجاد شده}sys.exe e این کار باعث میشود که وقتی کاربر برای ورود به درایوی بر روی آن دوبار کلیک نماید، ابتدا فایل آلوده اجرا گردد. همچنین اثرات دیگری به شکل زیر دارد: با ایجاد تغییراتی در جیستری باعث میشود که قبل از ورود به سیستم صفحهای با تیتر Antichrist و با متن Day of judgment نمایش داده شود. همچنین باعث میشود فایلهای Super Hidden نمایش داده نشود. جلوی اجرای برنامههای RegEdit و Task Manager را گرفته و رنگ زمینة Windows و صفحة cmd را تغییر میدهد. بعلاوه نام User و Organization ثبت شده برای سیستم را تغییر میدهد.
http://www.mehranco.com
این ویروس توسط آخرین نسخه آنتی ویروس ایمن (نسخه سیمرغ) شناسایی و کاملا پاکسازی می شود . قیمت این آنتی ویروس فقط ۹۰۰۰ تومان می باشد . |