نوع : کرم اینترنتی
اندازه : ۳۶۸۶۴ بایت
محيطهاي قابل اجرا : Windows 2000,XP,NT,....
خصوصيات :
1) از طريق SMTP Engine که در ويروس وجود دارد Email هاي آلوده با مشخصات زير ارسال ميکند :
1-1) ساختار mail ارسالي توسط ويروس به اين شرح است :
از :
◊ irvirus@yahoo.com
◊ imen@yahoo.com
◊ iransare@yahoo.com
◊ panda@yahoo.com
◊ simorg@yahoo.com
◊ symntec@yahoo.com
◊ john@yahoo.com
◊ mary@yahoo.com
◊ Reply @yahoo.com
◊ shima@yahoo.com
◊ nastaran@yahoo.com
◊ stan@yahoo.com
◊ IRANSARE20008@yahoo.com
◊ iranvig@yahoo.com
◊ mohammad@yahoo.com
◊ irna@yahoo.com
◊ irib@yahoo.com
◊ taktaz@yahoo.com
◊ bia2@yahoo.com
◊ mozilla@yahoo.com
عنوان :
◊ irvirus
◊ symantec
◊ FBI
◊ irvanvig
◊ NOD32
◊ IranSare2008
◊ Announcement
◊ password
◊ simorgh-ev
◊ Your IP was logged
◊ Read it immediately!
◊ Attention
◊ E-mail account disabling warning
◊ Returned Mail
◊ Soccer funs in public place
◊ IHS
◊ IRNA
◊ hello
◊ ANTI VIRUS
بدنه :
salam dooste aziz...golchini az behtarinaxhaye iran sare
anti virus imen
salam dooste aziz baraye rahaty az daste virus ha anti virus rayegane maara downlod konid
behtarin screen saver az axhaye iransare2008
noron anti virus
passworde user haye iranvig
passworde user haye simorgh
salam..site irvirus hack shode va inam passworde admine sit hastesh
salam lotfan forme nazar sanji ra ke hamrahe file peivast hast ra por konid
one of the files is a virus... can you tell me which one is it? hehehe, i'm only joking... your friend, paul..
Six Soccer funs fucked one girl in public place. Mad images. View it.
I find my husband. If you saw his report me please. His photos in attach.
i hope thats not true!
three files for you to keep... always remember that i'm into deep... i don't know you but i think i'm in love...
fun file
Ioana, sex in grup in camin. Cred ca o stii si
another pic, have fun! ... :->
Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din
1-2) آدرس مقاصد مورد نظر را از درونفايلهايي با پسوند هاي زير جستجو ميکند :
| txt |
html |
xml |
adb |
asp |
|
cfg |
cgi |
dbx |
eml |
pl |
|
shtm |
wab |
2) تغییراتی که در رجیستری ایجاد میشود عبارتند از :
◊ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\AmirCivil = %System%\AcroTray32.exe
3) فايلهاي زير را ايجاد ميکند :
◊ %System%\AcroTray32.exe
◊ %System%\drivers\etc\hosts.File
هنگامی که این ورم ایجاد می شود و این ورم فایلهایی با پسوند زیر را در سیستم جستجو
کرده و یک کپی از ورم با همان نام به اضافه پسوند
EXE ایجاد می کند:
.wav
.jpg
.jpeg
.avi
.bmp
.c
.cpp
.vbp
.vbw
.frm
.ocx
.DAT
.doc
.pdf
.zip
.sig
.Tif
.scr
کلید رجیستری زیر را پاک می کند:
HKEY_CURRENT_USER\Printers
پروسسورهای زیر پاک می کند:
ACKW
IN۳۲
AD-AWARE
ADAWARE
ADVXDWIN
AGENTSVR
AGENTW
ANTIVIR
ANTIVIRUS
APIMONITOR
APLICA۳۲
AUPDATE
AUTODOWN
AUTOTRACE
AVGCC۳۲
AVGCTRL
AVKSERV
Babylon
CFINET
CLEANPC
DATEMANAGER
DPFSETUP
F-AGNT۹۵
F
NRB۳۲
GhostTray
IOMON۹۸
mcvsshld
NAVAP۳۲
navapsvc
navapw۳۲
NAVW۳
۲
NETD۳۲
NETMON
NORMIST
notepad
NPROTECT
NPROTECTED
NUPGRADE
O
UTPOST
PavFires
pavProxy
pavsrv۵۰
POP۳TRAP
POWERPNT
realplay
reg
edit
Rtvscan
RuLaunch
SAVScan
SCAN۳۲
SHSTAT
SNDSrvc
symlcsvc
t
askmgr
UPDATE
UpdaterUI
Vshwin۳۲
VsStat
VsTskMgr
WINWORD
ZONEALA
RM
در فایل زیر متن های زیر
را قرار می دهد و اجازه رفتن به سایتهای زیر را
نمی دهد:
Path : %System%\drivers\etc\hosts.File
avg.com
google.com
iranvig.com
irvirus.com
mcafee.com
pandasoftware.com
simorgh-ev.org
symantec.com
www.۲۴-۷-transportation.com
www.adhdtests.com
www.aegee.or
g
www.aimcenter.net
www.alupass.lu
www.amanit.ru
www.AmirCivil.com
w
ww.andara.com
www.angelartsanctuary.com
www.anthonyflanagan.com
www.appr
oved۱stmortgage.com
www.argontech.net
www.asianfestival.nl
www.atlantist
este.hpg.com.br
www.avg.com
www.aviation-center.de
www.avizoon.com
www
.bbc.com
www.bbsh.org
www.bga-gsm.ru
www.boneheadmusic.com
www.bottomb
ouncer.com
www.bradster.com
www.buddyboymusic.com
www.bueroservice-it.de
www.calderwoodinn.com
www.capri-frames.de
www.celula.com.mx
www.cesky
hosting.cz
www.chinasenfa.com
www.cntv.info
www.compsolutionstore.com
www.coolfreepages.com
www.corpsite.com
www.couponcapital.net
www.cpc.adv
.br
www.crystalrose.ca
www.cscliberec.cz
www.curtmarsh.com
www.customl
oyal.com
www.DarrkSydebaby.com
www.deadrobot.com
www.dontbeaweekendparen
t.com
www.dragcar.com
www.ecofotos.com.br
www.eurostavba.sk
www.everet
t.wednet.edu
www.fcpages.com
www.featech.com
www.FritoPie.NET
www.goog
le.com
www.iran۳ex.com
www.iranvig
www.iranxiran.com
www.irna.com
ww
w.irvirus.com
www.mcafee.com
www.microsoftoft.com
www.pandasoftware.com
www.simorgh-ev.org
www.symantec.com
www.xlxx.com
www.xnxx.com
www.xxx.com
www.yahoo.com