نام کلوب :سیسکو و ام.سی.اس.ای
نام انگلیسی : cisco
تاسیس : 5 دی 1383
469 عضو ، 130 بحث ، 5 آلبوم ، 7 مقاله ، 2 لینک

سیسکو و ام.سی.اس.ای

تبلیغات

__
عنوان بحث
ابزار پاكسازی كرم ستایش
21 بهمن 86 - 16:58

این كرم ایرانی پس از اجرای فایل آن بر روی سیستم كاربر، ابتدا خودش را به صورت ‏زیر بر روی سیستم كپی می‌نماید:‏

‎%System32%\Sys.exe
‎%Windows%\Shell.exe
‎%Windows%\vxds.exe
‎%Windows%\Help\vxds.exe
‎%Windows%\media\wma.exe

و برای اینکه با هر بار بالا آمدن سیستم این فایل‌ها اجرا گردند، آنها را به شکل زیر در ‏رجیستری ثبت می‌کند:‏

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = userinit.exe, sys.exe
Userinit = Explorer.exe shell.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vxds = %Windows%\vxds.exe

همچنین در مسیر System32 فایلی با نام ‏OEMLOGO.BMP‏ به صورت ‏مخفی ایجاد می‌کند که به شکل زیر می‌باشد:‏

بعلاوه در همین مسیر فایلی با نام ‏OEMLOGO.INI‏ به صورت مخفی می‌سازد که ‏محتویات آن به شکل زیر است:‏

[General]
Manufacturer=[Antichrist]
Model=[Day of judgment]
SupportURL=hxxp://www.antichrist.com/
LocalFile=blank.htm

[Support Information]
Line1=When comes the help of Allah, and victory,.
Line2=And thou dost see the people enter Allah's religion in crowds,.
Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: ‎for he is oft-Returning (in forgiveness)..

فایل دیگری نیز در همین مسیر با نام ‏blank.htm‏ به صورت مخفی ایجاد می‌کند که با ‏اجرای آن صفحه‌ای به شکل زیر به نمایش درمی‌آید:‏

که متن انگلیسی نمایش داده شده در این صفحه ترجمه سوره حمد می‌باشد. آنگاه برای ‏اینکه با هر بار بالا آمدن سیستم این فایل نمایش داده شود آن را به صورت زیر در ‏رجیستری ثبت می‌کند:‏

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm

برای اینکه مقدار ‏Home Page‏ و ‏Search Page‏ نرم‌افزار ‏Internet Explorer‏ را ‏برابر با صفحه مذکور قرار دهد، تغییرات زیر را در رجیستری ایجاد می‌نماید:‏

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = %System32%\blank.htm
Search Page = %System32%\blank.htm

از کارهای جالب این ویروس این است که در همه درایوها در داخل مسیر ‏Recycler‏ ‏فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام ‏Sys.exe‏ ‏درون آن قرار می‌دهد. سپس در ریشه هر درایو فایلی با نام ‏Autorun.inf‏ و با ‏محتویات زیر می‌سازد:‏

[autorun]
open=Recycler.{‎نام مسیر تصادفی ایجاد شده‎}\sys.exe a
shell\open=Open
shell\open\Command=Recycler.{‎نام مسیر تصادفی ایجاد شده‎}\sys.exe o
shell\open\Default=1‎
shell\explore=Explore
shell\explore\Command=Recycler.{‎نام مسیر تصادفی ایجاد شده‎}\sys.exe e

این کار باعث می‌شود که وقتی کاربر برای ورود به درایوی بر روی آن دوبار کلیک ‏نماید، ابتدا فایل آلوده اجرا گردد.‏

همچنین اثرات دیگری به شکل زیر دارد:‏

با ایجاد تغییراتی در رجیستری باعث می‌شود که قبل از ورود به سیستم صفحه‌ای با تیتر ‏Antichrist‏ و با متن ‏Day of judgment‏ نمایش داده شود. همچنین باعث می‌شود ‏فایل‌های ‏Super Hidden‎‏ نمایش داده نشود. جلوی اجرای برنامه‌های ‏RegEdit‏ و ‏Task Manager‏ را گرفته و رنگ زمینه ‏Windows‏ و صفحه ‏cmd‏ را تغییر می‌دهد. ‏بعلاوه نام ‏User‏ و ‏Organization‏ ثبت شده برای سیستم را با [Antichrist] تغییر می‌دهد.‏

لازم به ذکر است که آخرین نگارش ضدویروس سیمانتك این کرم اینترنتی را شناخته و به صورت کامل پاکسازی می‌نماید.

برای پاكسازی اثرات باقی مانده این ویروس همانند غیر فعال شدن Registry  یا Folder Option و یا باز نشدن درایوها با دابل كلیك بر روی آنها و غیره از ابزار پاكسازی زیر  صفحه استفاده نمایید:

پاکسازی

پاسخ ها
تا کنون پاسخی به این بحث داده نشده است.
__