W32/Trojan.km

نوع : کرم اینترنتی
محيطهاي قابل اجرا: Windows 2000,XP,NT,....
خصوصيات :

این کرم 96256 بایتی به محض اجرا خودش را در مسیر زیر کپی می کند

%windir%\system32\ctfmona.exe

همچنین این کرم از درون خودش دو فایل به شکل زیر بیرون می آورد

%windir%\system32\ctfmonb.bmp
%windir%\system32\blackster.scr

که یکی از آنها عکس و دیگری Screen Saver است عکس مورد نظر ، که به شکل زیر است را بر روی Desktop می اندازد

Screen Saver سیستم را به شکل زیر تغییر می دهد به گونه ای که یک سری سوسک شروع به حرکت بر روی Desktop کرده و آن را می جود. :

این کرم خود را به شکل زير در رجيستری ثبت می‌کند تا با هر بار راه‌اندازی سيستم بطور خودکار اجرا شود :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ctfmona = C:\WINDOWS\System32\ctfmona.exe

ضمنا این کرم به منظور اعمال تغییرات بالا و تغییرات دیگر کلید های رجیستری زیر را تغییر می دهد

HKLM\Software\Microsoft\Software Notifier
InstallationID = 30ca1f71-3146-4d7b-a35f-3736e1cd05bd

HKCU\Control Panel\Colors
Background = 0 0 255

HKCU\Control Panel\Desktop
WallpaperStyle = 0

HKCU\Control Panel\Desktop
TileWallpaper = 0

HKCU\Control Panel\Desktop
Wallpaper = C:\WINDOWS\system32\ctfmonb.bmp

HKCU\Control Panel\Desktop
OriginalWallpaper = C:\WINDOWS\system32\ctfmonb.bmp

HKCU\Control Panel\Desktop
ConvertedWallpaper = C:\WINDOWS\system32\ctfmonb.bmp

HKLM\System\CurrentControlSet\Services\srservice
Start = 00000002

HKLM\System\CurrentControlSet\Services\sr
Start = 00000000

HKLM\System\CurrentControlSet\Services\sr
ImagePath = system32\DRIVERS\sr.sys

HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = 00000000

HKCU\Control Panel\Desktop
SCRNSAVE.EXE = C:\WINDOWS\system32\blackster.scr

از کارهای دیگر این کرم غیر فعال کردن System Restore است.

Copyright © 1994-2008 Imen Computer Virology Laboratory (I.C.V.L.).
All Rights Reserved. Mehran Rayaneh Engineering Co.