W32/Trojan.ns

W32/Trojan.ns

نوع : کرم اینترنتی
محيطهاي قابل اجرا: Windows 2000,XP,NT,....
خصوصيات :

با اجرای کرم W32/Trojan.ns روی سیستم کاربر ، با یکبار Restart شدن سیستم ، باعث می شود به محض Login شدن و بالا آمدن ویندوز ، سیستم مجددا خاموش شود.

این کرم که 393216 بایت است، خود را در بین پروسس های در حال اجرا، با نام solari.exe قرار می دهد و در مسیرهای زیر یک کپی از خود را قرار می دهد:

%Root%\My Document.exe

%Root%\NewFolder.exe
%Root%\Yahoo.exe
%Root%\Windows.exe

%AppData%\alna.scr
%Programs%\Startup\solari.exe

و خود را در مسیر تمام پوشه ها با نام پوشه جاری کپی می کند:

[CurrentPath]\[NameFolder]\[NameFolder].exe

و با کپی شدن این کرم همراه با فایل Autorun.inf ، بر روی درایوهای سیستم و Cool disk، این کرم منتشر می شود.

کرم W32/Trojan.ns با ایجاد کلید زیر در رجیستری با شروع به کار Windows اجرا می شود:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Msconfige = "%Programs%\Startup\solari.exe"

و با ایجاد کلید رجیستری زیر، با اجرای هر بار ScreenSaver ، مجددا اجرا می شود:

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%AppData%\alna.scr
creenSaveTimeOut = "2"

از دیگر فعالیتهای این کرم ایجاد کلید رجیستری زیر می باشد:

HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\splitters\battry
noreg = "0x00000000"
notask= "0x00000000"

که با ایجاد آن، به همراه تغییر دادن فایلهای زیر باعث عدم اجرای Task Manager، Regedit ، MSconfig و دیگر برنامه های بیان شده می شود.

%Windir%\pchealth\helpctr\binaries\notiflag.exe
%Windir%\pchealth\helpctr\binaries\msconfig.exe
%Windir%\regedit.exe
%System%\taskmgr.exe
%System%\shmgrate.exe

یکی دیگر از کلیدهای رجیستری که توسط این کرم مقدار دهی می شود کلید رجیستری زیر است که سبب مخفی شدن و عدم دسترسی به گزینه های Run و Find در منوی Start ویندوز می شود.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden="0x00000001"
ShowHidden="0x00000001"
Start_ShowSearch="0x00000000"
Start_ShowRun="0x00000000"
Start_hidefind="0x00000001"
Start_hiderun"=0x00000001
Start_hidesuperhidden="0x00000001"
SuperHidden="0x00000001"
Hidden="0x00000000"
StartMenuAdminTools="0x00000000"

برای بر طرف سازی اثرات تخريبی اين کرم می توانيد از برنامه ی زير استفاده کنيد:

http://www.imenantivirus.com/RegRepair.zip

این کرم از طریق پاک کردن فایلهای زیر نیز باعث بروز اختلال در یک سری کارهای ویندوز می شود:

%System%\main.cpl
%System%\ac3filter.cpl
%System%\access.cpl
%System%\ALSNDMGR.CPL
%System%\appwiz.cpl
%System%\bdeadmin.cpl
%System%\bthprops.cpl
%System%\DirectVobSub.cpl
%System%\hdwwiz.cpl
%System%\ibmgr.cpl
%System%\inetcpl.cpl
%System%\intl.cpl
%System%\irprops.cpl
%System%\joy.cpl
%System%\mmsys.cpl
%System%\MSVirtualCD.cpl
%System%\ncpa.cpl
%System%\netsetup.cpl
%System%\nusrmgr.cpl
%System%\nwc.cpl
%System%\odbccp32.cpl
%System%\powercfg.cpl
%System%\sysdm.cpl
%System%\timedate.cpl
%System%\TweakUI.cpl
%System%\wscui.cpl
%System%\wuaucpl.cpl

از جمله این اختلال ها، عدم امکان نصب نرم افزار و سخت افزار بر روی سیستم ، عدم اجرای منوی Properties در راست کلیک Desktop و عدم دسترسی به Internet Properties و اختلال هایی مشابه را بوجود می آورد.

این کرم توسط ضد ویروس ایمن شناسایی و پاکسازی می شود.