W32/Downloader.rn

W32/Downloader.rn

نوع : Downloader
اندازه : ۱۰۷۵۲۰ بایت
محيطهاي قابل اجرا : Windows 2000,XP,NT,....
نامهاي ديگر :

Worm.Win32.VB.ck (Kaspersky)

خصوصيات :

1) تغییراتی که در رجیستری ایجاد میشود عبارتند از :

◊ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\

DisableRegistryTools = 1

◊ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\

DisableTaskMgr = 1

◊ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Shell = explorer.exe %WINDOWS%\system\lsass.exe

2) فايلهاي زير را ايجاد ميکند :

◊ %WINDOWS%\system\lsass.exe
◊ %WINDOWS%\system\svchost.exe
◊ %Windows%\lsass.exe
◊ %Documents and Settings%\All Users\Start Menu\Programs\Startup\MSconfig.exe
◊ %root%\New Folder.exe

کلید HomePage با مقدار ۱ را به منظور غیر فعال کردن تغییر ﺁدرس پیشفرض IE در مسیر زیر ایجاد میکند:

HKEY_HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

کلید DisableRegistryTools با مقدار ۱ را در مسیر زیر ایجاد میکند:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Poli cies\System

مقدار کلید Start Page موجود در ﺁدرس زیر را به http://thecoolpi cs.netتغییر میدهد:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Mai n

مقدار کلید content url در مسیر زیر را به http://thecoolpics.net/ تغییر می دهد:

HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz

مقدار کلید Use rinit در مسیر زیر را به userinit.exe,C:\windows\system\lsass.exe تغییر میدهد:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

مقدار کلید Hidden در مسیر زیر را به ۲ تغییر میدهد:

HKEY_CURRENT_USER\Software\Mic rosoft\Windows\CurrentVersion\Explorer\Advanced

مقدار کلید HideFileExt در مسیر زیر را به ۱ تغییر میدهد:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

کلید NoFolderOptions با مقدار ۱ را در مسیر زیر ایجاد میکند:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

کلید NoRun با مقدار ۱ را در مسیر زیر ایجاد میکند:

HKEY_CURRE NT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

کلید DisableConfig با مقدار ۱ را در مسیر زیر ایجاد میکند:

HKEY_LOCAL_MACHINE\SOFTWARE\Po licies\Microsoft\Windows NT\SystemRestore

فایل msconfig.exe در مسیر system32\pchealth\helpctr\binaries همچنین فایل rstrui.exe در مسیر system۳۲\restore را پاک میکند.

فایل http://thecoolpics.net/YMworm.exe را دریافت و درمسیر windows\system\svchost.exe ایجاد میکند.
اگر Firefox روی سیستم نصب بود دستور زیر اجرا میشود:
taskkill /im firefox.exe
و سپس فایل C:\Program Files\Mozilla Firefox\firefox.exe پاک می شود.