This is G o o g l e's cache of http://www.digitalvision.blogfa.com/post-48.aspx as retrieved on 20 Feb 2008 23:51:56 GMT.
G o o g l e's cache is the snapshot that we took of the page as we crawled the web.
The page may have changed since that time. Click here for the current page without highlighting.
This cached page may reference images which are no longer available. Click here for the cached text only.
To link to or bookmark this page, use the following url: http://www.google.com/search?q=cache:BeVjhkcLwNoJ:www.digitalvision.blogfa.com/post-48.aspx+w32/saldos&hl=en&ct=clnk&cd=3

Google is neither affiliated with the authors of this page nor responsible for its content.
These search terms have been highlighted:  w32  saldos 
كرم W32/Saldos
كرم W32/Saldos : اين كرم اينترنتی ايرانی بوده و پس از اجرای فايل آن بر روی سيستم كاربر، ابتدا خودش را به صورت زير بر روی سيستم كپی می‌نمايد: %TEMP%\svchost.exe %PROGRAMFILES%\Sound Utility\Soundmax.exe %PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe %WINDIR%\Web\OfficeUpdate.exe سپس فايل خود با نام svchost.exe در مسير %TEMP% را اجرا كرده و برای اينكه با هر بار راه‌اندازی سيستم آلوده به طور خودكار اجرا گردد، خود را به شكل زير در رجيستری ثبت می‌نمايد: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe سپس كليدهايی در رجيستری را به شكل زير تغيير می‌دهد: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden = 2 HideFileExt = 2 ShowSuperHidden = 2 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Nofolderoptions = 1 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Nofolderoptions = 1 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore DisableConfig = 1 DisableSR = 1 تغييرات فوق باعث بروز مشكلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فايلهای مخفی می‌گردد كه برای برطرف كردن اين مشكلات می‌توانيد برنامه زير را از سايت ايمن دانلود كرده و رجيستری خود را پاكسازی نماييد: www.ImenAntiVirus.com/RegRepair.zip همچنين كليد IsShortCut را از مسيرهای زير در رجيستری پاك می‌كند: HKEY_CLASSES_ROOT\lnkfile HKEY_CLASSES_ROOT\piffile HKEY_CLASSES_ROOT\InternetShortcut و كليدی با نام Wintek در مسير زير ايجاد می‌كند: HKEY_CURRENT_USER\Software\ و كليد زير را در آن ايجاد می‌نمايد: Install = b2ed3 (Dword – Value is in hex) بعد از انجام كارهای فوق تمام برنامه‌های موجود در زمانبند ويندوز (دستور at) را پاك كرده و با استفاده از زمانبند ويندوز فايل خود را كه با نام OfficeUpdate.exe در مسير WINDIR%\Web% وجود دارد هر روز در ساعات 11:30 و 20:30 اجرا می‌نمايد. يكی ديگر از كارهای اين كرم اين است كه خود را در مسيرهای زير با نام‌های فريبنده كپی می‌كند و از آنجايی كه برخی از اين مسيرها مخصوص برنامه‌های شبكه‌های اشتراك‌گذاری فايل (يا P2P) هستند، با اين كار امكان انتشار آن در سراسر دنيا از طريق اينگونه برنامه‌ها فراهم می‌گردد: %PROGRAMFILES%\Kazaa Lite\My Shared Folder\ %PROGRAMFILES%\Kazaa\My Shared Folder\ %PROGRAMFILES%\Icq\Shared Files\ %PROGRAMFILES%\emule\incoming\ %PROGRAMFILES%\Gnucleus\Downloads\Incoming\ %PROGRAMFILES%\KMD\My Shared Folder\ %PROGRAMFILES%\Limewire\Shared\ %PROGRAMFILES%\XPCode\ C:\Inetpub\ftproot\ به علاوه در مسيرهايی كه در آنها فايل‌های از نوع MP3 ، JPG يا EXE وجود داشته باشد، خود را با نام zfile.exe كپی می‌كند. همچنين خود را با نام setup.exe و setlib.exe در مسيرهای زير كپی می‌كند: \WINDOWS\system32\config\systemprofile\My Documents\ \WINDOWS\system32\config\systemprofile\Start Menu\Programs\ \WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\ \WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\Entertainment\ \WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\... \WINDOWS\system32\drivers\ \WINDOWS\system32\spool\drivers\ \WINDOWS\system32\spool\drivers\w32x86\3\ اين كرم برای اينكه بتواند خود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفاده از درايوهای به اشتراك گذاشته شده، سعی می‌كند خودش را به شكل زير بر روی آن سيستم‌ها كپی كند: C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe اين كار باعث می‌شود كه پس از راه‌اندازی آن سيستم‌ها، ويروس به طور خودكار اجرا شده و عمليات تكثيری خود را بر روی آنها انجام دهد. از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می‌كند. اين عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد. نوع Autorun ايجاد شده به گونه‌ايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می‌شود و كاربر نمی‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی‌توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد: www.imenantivirus.com/NoAutorun.zip اين كرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی می‌نمايد كه حاوی جملاتی به زبان فارسی است: %USERPROFILE%\Desktop\ %USERPROFILE%\My Documents\ یکی از نشانه‌های ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی را با رنگ قرمز است.
+ نوشته شده توسط محمد در سه شنبه هشتم آبان 1386 و ساعت 13:47 | 2 نظر
منوی اصلي
صفحه نخست
پست الکترونیک
آرشيو مطالب
نویسندگان
محمد
تهمینه
آرشيو
بهمن 1386
دی 1386
آبان 1386
مهر 1386
شهریور 1386
مرداد 1386
تیر 1386
خرداد 1386
پيوندها
کلینیک ترک اعتیاد یاس
طراح قالب



 طراح قالب: محمدقاسمی

Powered By
BLOGFA.COM





Powered by WebGozar

بزرگترین سایت جاوا اسکریپت ایران
NaN :آمار بازدید