نوع : کرم اینترنتی
اندازه : ۱۳۹۲۶۴ بایت
محيطهاي قابل اجرا : Windows 2000,XP,NT,....
نامهاي ديگر :

خصوصيات :

این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم  کاربر، ابتدا خودش را به صورت زیر بر روی سیستم  کپی می نماید:

%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe

سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا  کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe
 

سپس  کلیدهای در رجیستری را به شکل زیر تغییر می دهد:

HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced
Hidden = 2
HideFileExt = 2

ShowSuperHidde n = 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Nof olderoptions = 2

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer
Nofolderoptions = 1

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig = 1
DisableSR = 1
 

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد  که برای برطرف  کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود  کرده و ر جیستری خود را پاکسازی نمایید:

www.ImenAntiVirus.com/RegRepair.zip
 

همچنین  کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می  کند:

HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut
 

و  کلیدی با نام Wintek در مسیر زیر ایجاد می  کند:

HKEY_CURRENT_USER\Software \

و  کلید زیر را در ﺁن ایجاد می نماید:

Install = b2ed3 (Dword – Value i s in hex)
 

بعد از انجام  کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پا ک  کرده و با استفاده از زمانبند ویندوز فایل خود را  که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.

یکی دیگر از  کارهای این  کرم این است  که خود را در مسیرهای زیر با نام های فریبنده  کپی می  کند و از ﺁنجایی  که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند، با این  کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:
 

%PROGRAMFILES%\Kazaa Lite \My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\I cq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Lime wire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\
 

به علاوه در مسیرهایی  که در ﺁنها فایل های از نوع MP3 ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe  کپی می  کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر  کپی می  کند:
 

\WINDOWS\system32\config\systemprofile\My Documents\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\
\WINDOWS\system32\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\
WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\...
\WINDOWS\system32\drivers\
\WINDOWS\system32\spool\drivers\
\WINDOWS\system32\spool\drivers\w32x86\3\