نوع : کرم اینترنتی
اندازه : ۹۸۳۰۴ بایت
محيطهاي قابل اجرا : Windows 2000,XP,NT,....
خصوصيات :
1) از طريق SMTP Engine که در ويروس وجود دارد Email هاي آلوده با مشخصات زير ارسال ميکند :
1-1) ساختار mail ارسالي توسط ويروس به اين شرح است :
از :
◊ " esafe.virus@ealaddin.com
◊ " support@symantec.com
◊ " xxx@penis.com
◊ " Assistant@software.com
◊ " support@xnxx.com
◊ " SexTutorial@swp.com
عنوان :
◊ " Thank you for registered
◊ " Norton 360
◊ " Sex Toturial
◊ " Assistant 2007
◊ " Sexy screen saver
◊ " hug penis
بدنه :
" hi dear thank you for registration you must download and install this software
" response for request i agree a bout it downoad free software www.symantec.com
" this is the best book of sex tutorial download and read it
" +++ Assistant 2007+++
" this is very hot sex ! sex! sex! www.xnxx.com
" SEX! Sex!SEX! Sex!SEX! Sex!SEX! Sex!SEX! Sex!SEX! Sex!SEX! Sex!
نام فايلهاي ضميمه :
◊ " register.pif
◊ " install.exe
◊ " tutorial.pdf.pif
◊ " messenger2007.exe
◊ " SEX.scr
◊ " sex.com.exe
2) تغییراتی که در رجیستری ایجاد میشود عبارتند از :
◊ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MDM32.exe = %Sysyem%\LSSASS.exe
◊ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WinKrnl32.cab.exe = %Sysyem%\WinKrn32.cab.exe
◊ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Update.exe = %Sysyem%\Update.exe
3) فايلهاي زير را ايجاد ميکند :
◊ %System%\LSSASS.exe
◊ %System%\WinKrn32.cab.exe
◊ %System%\Update.exe
◊ C:\register.pif
◊ C:\install.exe
◊ C:\tutorial.pdf.pif
◊ C:\messenger2007.exe
◊ C:\SEX.scr
◊ C:\sex.com.exe
◊
4) اجراي برنامه هاي زير را متوقف ميکند :
| SHELLSPYINSTALL |
SHN |
SHOWBEHIND |
|
SMC |
SMS |
SMSS32 |
|
SOAP |
SOFI |
SPERM |
|
SPF |
SPHINX |
SPOLER |
|
SPOOLCV |
SPOOLSV32 |
SPYXX |
|
SREXE |
SRNG |
SS3EDIT |
|
SSGRATE |
SSG_4104 |
ST2 |
|
START |
STCLOADER |
SUPFTRL |
|
SUPPORT |
SUPPORTER5 |
SVC |
|
SVCHOSTC |
SVCHOSTS |
SVSHOST |
|
SWEEP95 |
SWEEPNET.SWEEPSRV.SYS.SWNETSUP |
SYMPROXYSVC |
|
SYMTRAY |
SYSEDIT |
SYSTEM |
|
SYSTEM32 |
SYSUPD |
TASKMG |
|
TASKMO |
TASKMON |
TAUMON |
|
TBSCAN |
TC |
TCA |
|
TCM |
TDS-3 |
TDS2-NT |
|
TEEKIDS |
TFAK |
TFAK5 |
|
TGBOB |
TITANIN |
TITANINXP |
|
TRACERT |
TRICKLER |
TRJSCAN |
|
TRJSETUP |
TROJANTRAP3 |
TSADBOT |
|
TVMD |
TVTMD |
UNDOBOOT |
|
UPDAT |
UPDATE |
UPDATE |
|
UPGRAD |
UTPOST |
VBCMSERV |
|
VBCONS |
VBUST |
VBWIN9X |
|
VBWINNTW |
VCSETUP |
VET32 |
|
VET95 |
vb6 |
taskmgr |
|
regedit |
notepad |
install |
|
setup |
MpfConsole |
AmIrCiViL OSTRONET |
|
OTFIX |
OUTPOST |
OUTPOST |
|
OUTPOSTINSTALL |
OUTPOSTPROINSTALL |
PADMIN |
|
PANIXK |
PATCH |
PAVCL |
|
PAVPROXY |
PAVSCHED |
PAVW |
|
PCFWALLICON |
PCIP10117_0 |
PCSCAN |
|
PDSETUP |
PERISCOPE |
PERSFW |
|
PERSWF |
PF2 |
PFWADMIN |
|
PGMONITR |
PINGSCAN |
PLATIN |
|
POP3TRAP |
POPROXY |
POPSCAN |
کلیدهای رجیستری زیر را به منظور از کار انداختن Firewall ویندوز تغییر میدهد.
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = ۴
HKLM\SY
STEM\ControlSet۰۰۱\Services\SharedAccess\Parameters\FirewallPolicy\StandardPro
file
EnableFirewal = ۱
کلید های زیر را در مسیر HKCU\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run به منظور اجرا نشدن برخی برنامه ها از جمله ضد ویروس
ها پاک می کند.
sysmon.exe
srate.exe
ssate.exe
Microsoft IE Execute
shell
Winsock۲ driver
ICM version
yeahdude.exe
Microsoft System Checkup
j
ijbl
Video
service
DELETE ME
d۳dupdate.exe
Sentry
gouday.exe
rate.exe
Windows Services Host
Taskmon
Explorer
Windows Services Host
KasperskyAV
d۳dupdate.exe
au.exe
OLE
winupd.exe
direct.exe
کلید های زیر را در مسیر
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run به منظور اجرا
نشدن برخی برنامه ها از جمله ضد ویروس پاک میکند
gouday.exe
rate.exe
Windows Ser
vices Host
sysmon.exe
srate.exe
ssate.exe
Microsoft IE Execute shell
Wi
nsock۲ driver
ICM version
yeahdude.exe
Microsoft System Checkup
Explorer
system
msgsvr۳۲
au.exe
winupd.exe
direct.exe
jijbl
Video
service
DELET
E ME
d۳dupdate.exe
Sentry
MCAgentExe
MCUpdateExe
WinampAgent
OASClnt
Ta
skmon
Explorer
Windows Services Host
KasperskyAV
System
msgsvr۳۲
service
Sentry
کلید رجیستری زیر را به منظور از کار انداختن سرویس DCOM تغییر
می دهد.
HKLM\SOFTWARE\Microsoft\OLE
EnableDCOM = N
کلید رجیستری
زیر را به منظور از کار انداختن سرویس System Restore تغییر می دهد.
HKLM\
SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
DisableSR = ۱
به دنبال Folder های که درون ﺁنها نام های که در جدول زیر وجود دارد می گردد
در صورتی موجود بودن اعمال زیر را انجام می دهد:
rit
ist
ys
orn
ro
ot
assw
Sounds
ideo
av
rack
ile
W۳۲
onk
mob
tart
ffic
my
ina
Sha
r
aza
ovi
roj
win
ict
caf
yma
mp۳
wav
se
usic
efu
am
own
it
up
l
syst
اگر درون نام Folder کلمه muleوجود داشت فایل ویروس را با نام Ne
wWeb.exe درون ﺁن Folder کپی می کند.
اگر درون نام Folder کلمه kazaوجود داشت
فایل ویروس را با نام Downloader.pif درون ﺁن Folder کپی می کند.
اگر درون ن
ام Folder کلمه uplوجود داشت فایل ویروس را با نام upload-file.exe درون ﺁن Fold
er کپی می کند
اگر درون نام Folder کلمه syst وجود داشت فایل ویروس را با نام
system.dll.cmd درون ﺁن Folder کپی می کند
اگر درون نام Folder کلمه hare وجو
د داشت فایل ویروس را با نام SexyScreenSaver.scr درون ﺁن Folder کپی می کند
ا
گر درون نام Folder کلمه comiوجود داشت فایل ویروس را با نام MyMiusic.exe درون
ﺁن Folder کپی می کند
اگر درون نام Folder کلمه efuوجود داشت فایل ویروس را ب
ا نام defult-path.cmd درون ﺁن Folder کپی می کند
اگر درون نام Folder کلمه am
e وجود داشت فایل ویروس را با نام FunGame.flash.exe درون ﺁن Folder کپی می کند
اگر درون نام Folder کلمه cafeوجود داشت فایل ویروس را با نام Mcafee-AV.pif
درون ﺁن Folder کپی می کند
اگر درون نام Folder کلمه ort وجود داشت فایل ویروس را با نام PortScanner.exe درون ﺁنFolder
کپی میکند
اگر
درون نام
Folder
کلمه
yman
وجود داشت فایل ویروس را با نام
SymantecUpdate.exe
درون آن
Folder
کپی میکند.
اگر
درون نام
Folder
کلمه
mp3
وجود داشت فایل ویروس را با نام
Mp3Player.pif
درون آن
Folder
کپی میکند
اگر
درون نام
Folder
کلمه
xxx
وجود داشت فایل ویروس را با نام
WaveToMp32.exe
درون آن
Folder
کپی میکند.