این کرم اینترنتی که ایرانی بوده و پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی مینماید:
%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe
در صورتی که داخل نام فایل اجرایی کلمه ScreenSaver وجود داشته باشد پیامی به شکل زیر نمایش میدهد.
The application failed to initialize properly (0x0000005). Click on OK to terminate the application.
سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای اینکه با هر بار راهاندازی سیستم آلوده به طور خودکار اجرا گردد، خود را به شکل زیر در رجیستری ثبت مینماید:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe
سپس کلیدهایی در رجیستری را به شکل زیر تغییر میدهد:
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Hidden = 2
HideFileExt = 2
ShowSuperHidden = 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = 0
DisableSR = 1
تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی میگردد که برای برطرف کردن این مشکلات میتوانید برنامه زیر را از سایت ایمن دانلود کرده و رجیستری خود را پاکسازی نمایید:
www.ImenAntiVirus.com/RegRepair.zip
همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک میکند:
HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut
و کلیدی با نام Wintek در مسیر زیر ایجاد میکند:
HKEY_CURRENT_USER\Software\
و کلید زیر را در آن ایجاد مینماید:
Install = b2ed3 (Dword ? Value is in hex)
بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پاک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات 11:30 و 20:30 اجرا مینماید.
یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نامهای فریبنده کپی میکند و از آنجایی که برخی از این مسیرها مخصوص برنامههای شبکههای اشتراک گذاری فایل (یا P2P) هستند، با این کار امکان انتشار آن در سراسر دنیا از طریق اینگونه برنامه ها فراهم میگردد:
%PROGRAMFILES%\Kazaa Lite\My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\Icq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Downloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Limewire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\
به علاوه در مسیرهایی که در آنها فایلهای از نوع MP3 ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی میکند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی میکند:
\WINDOWS\system32\config\systemprofile\My Documents\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\Entertainment\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\...
\WINDOWS\system32\drivers\
\WINDOWS\system32\spool\drivers\
\WINDOWS\system32\spool\drivers\w32x86\3\
این کرم برای اینکه بتواند خود را درون شبکه تکثیر کند، کامپیوترهای موجود در آن را جستجو کرده و با استفاده از درایوهای به اشتراک گذاشته شده، سعی میکند خودش را به شکل زیر بر روی آن سیستمها کپی کند:
C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe
این کار باعث میشود که پس از راهاندازی آن سیستمها، ویروس به طور خودکار اجرا شده و عملیات تکثیری خود را بر روی آنها انجام دهد.
از جمله کارهای جالب این ویروس این است که خودش را در ریشه همه درایوها با نام autoply.exe کپی کرده و در کنار آن فایلی با نام Autorun.inf ایجاد میکند. این عمل باعث میشود که هر گاه کاربر بخواهد به هر شکلی وارد هر درایوی شود، فایل مربوط به کرم اجرا گردد. نوع Autorun ایجاد شده به گونهایست که اگر فایل autoply.exe که خود کرم است از روی سیستم پاک شده ولی فایل Autorun.inf باقی بماند، با دوبار کلیک کردن بر روی نام درایو پنجره Open with نمایش داده میشود و کاربر نمیتواند وارد درایو شود. در این حالت با کلیک راست نمودن بر روی نام درایو و انتخاب گزینه Open نیز نمیتوان وارد درایو شد. برای برطرف نمودن این مشکل بایستی فایل زیر را از روی سایت ایمن دانلود نموده و آن را بر روی سیستم خود اجرا نمایید:
www.imenantivirus.com/NoAutorun.zip
این کرم فایلی با نام Important.htm را در مسیرهای زیر بر روی سیستم کاربر کپی مینماید که حاوی جملاتی به زبان فارسی است:
%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\
همان جملات را درون فایلی با نام print.txt در مسیر %TEMP% کپی کرده و بعد آن اجرا میکند.
در انتها میانبر (Shortcut) های برنامه های Paint و Calculator و Notepad و Cmd را به گونه ای تغییر می دهد که قبل از اجرای برنامه اصلی ویروس اجرا شود که بعد از پاکسازی میانبر برنامه اصلی اجرا نمیشود
یکی از نشانه های ویروس به نمایش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است
تصاویری از عمل کرد این ویروس :
http://dc21.4shared.com/img/42914825...79.jpg?sizeM=3
http://dc21.4shared.com/img/42914829...0l.jpg?sizeM=3
%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe
در صورتی که داخل نام فایل اجرایی کلمه ScreenSaver وجود داشته باشد پیامی به شکل زیر نمایش میدهد.
The application failed to initialize properly (0x0000005). Click on OK to terminate the application.
سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای اینکه با هر بار راهاندازی سیستم آلوده به طور خودکار اجرا گردد، خود را به شکل زیر در رجیستری ثبت مینماید:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe
سپس کلیدهایی در رجیستری را به شکل زیر تغییر میدهد:
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Hidden = 2
HideFileExt = 2
ShowSuperHidden = 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = 0
DisableSR = 1
تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی میگردد که برای برطرف کردن این مشکلات میتوانید برنامه زیر را از سایت ایمن دانلود کرده و رجیستری خود را پاکسازی نمایید:
www.ImenAntiVirus.com/RegRepair.zip
همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک میکند:
HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut
و کلیدی با نام Wintek در مسیر زیر ایجاد میکند:
HKEY_CURRENT_USER\Software\
و کلید زیر را در آن ایجاد مینماید:
Install = b2ed3 (Dword ? Value is in hex)
بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پاک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات 11:30 و 20:30 اجرا مینماید.
یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نامهای فریبنده کپی میکند و از آنجایی که برخی از این مسیرها مخصوص برنامههای شبکههای اشتراک گذاری فایل (یا P2P) هستند، با این کار امکان انتشار آن در سراسر دنیا از طریق اینگونه برنامه ها فراهم میگردد:
%PROGRAMFILES%\Kazaa Lite\My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\Icq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Downloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Limewire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\
به علاوه در مسیرهایی که در آنها فایلهای از نوع MP3 ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی میکند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی میکند:
\WINDOWS\system32\config\systemprofile\My Documents\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\Entertainment\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\...
\WINDOWS\system32\drivers\
\WINDOWS\system32\spool\drivers\
\WINDOWS\system32\spool\drivers\w32x86\3\
این کرم برای اینکه بتواند خود را درون شبکه تکثیر کند، کامپیوترهای موجود در آن را جستجو کرده و با استفاده از درایوهای به اشتراک گذاشته شده، سعی میکند خودش را به شکل زیر بر روی آن سیستمها کپی کند:
C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe
این کار باعث میشود که پس از راهاندازی آن سیستمها، ویروس به طور خودکار اجرا شده و عملیات تکثیری خود را بر روی آنها انجام دهد.
از جمله کارهای جالب این ویروس این است که خودش را در ریشه همه درایوها با نام autoply.exe کپی کرده و در کنار آن فایلی با نام Autorun.inf ایجاد میکند. این عمل باعث میشود که هر گاه کاربر بخواهد به هر شکلی وارد هر درایوی شود، فایل مربوط به کرم اجرا گردد. نوع Autorun ایجاد شده به گونهایست که اگر فایل autoply.exe که خود کرم است از روی سیستم پاک شده ولی فایل Autorun.inf باقی بماند، با دوبار کلیک کردن بر روی نام درایو پنجره Open with نمایش داده میشود و کاربر نمیتواند وارد درایو شود. در این حالت با کلیک راست نمودن بر روی نام درایو و انتخاب گزینه Open نیز نمیتوان وارد درایو شد. برای برطرف نمودن این مشکل بایستی فایل زیر را از روی سایت ایمن دانلود نموده و آن را بر روی سیستم خود اجرا نمایید:
www.imenantivirus.com/NoAutorun.zip
این کرم فایلی با نام Important.htm را در مسیرهای زیر بر روی سیستم کاربر کپی مینماید که حاوی جملاتی به زبان فارسی است:
%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\
همان جملات را درون فایلی با نام print.txt در مسیر %TEMP% کپی کرده و بعد آن اجرا میکند.
در انتها میانبر (Shortcut) های برنامه های Paint و Calculator و Notepad و Cmd را به گونه ای تغییر می دهد که قبل از اجرای برنامه اصلی ویروس اجرا شود که بعد از پاکسازی میانبر برنامه اصلی اجرا نمیشود
یکی از نشانه های ویروس به نمایش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است
تصاویری از عمل کرد این ویروس :
http://dc21.4shared.com/img/42914825...79.jpg?sizeM=3
http://dc21.4shared.com/img/42914829...0l.jpg?sizeM=3
یکشنبه دوازدهم تیر ۱۳۹۰ | 21:37
من مهدی غلامی میاندهی کارشناس نرم افزار کامپیوتر و دانشجوی کارشناسی ارشد هستم . امیدوارم لحظات خوبی را در این وبلاگ داشته باشید.