tablighat1


از کرم ایرانی ستایش چه می دانید؟


 کرم اینترنتی ستایش (W32/Setayesh) که اخیراً در فضای IT ایران شایع شده است که تقریبا همگی شبکه های بزرگ کشورمان با این مشکل دست به گریبان هستند. در این مقاله این کرم را کاملا برای شما تشریح کرده و برای اولین بار از سایت اینترسافت آنتی ویروس آنرا در اختیار همه قرار میدهیم.

این ویروس پس از اجرا ابتدا خودش را به صورت زیر بر روی رایانه کاربر کپی می‌نماید:
%System32%\Sys.exe
%Windows%\Shell.exe
%Windows%\vxds.exe
%Windows%\Help\vxds.exe
%Windows%\media\wma.exe
و برای اینکه با هر بار بالا آمدن سیستم این فایل‌ها اجرا گردند، آنها را به اشکال خاصی در رجیستری ثبت می‌کند؛ همچنین در مسیر %System32% دو فایل با نام های OEMLOGO.BMP و OEMLOGO.INI به صورت مخفی ایجاد می‌کند.

 

 کرم ستایش ضمناً فایل دیگری با نام blank.htm به صورت مخفی ایجاد می‌کند که با اجرای آن صفحه‌ای به شکل روبرو به نمایش درمی‌آید. متن انگلیسی نمایش داده شده در این صفحه ترجمة سورة حمد می‌باشد. سپس برای اینکه با هر بار بالا آمدن سیستم این فایل نمایش داده شود آن را به صورت زیر در رجیستری ثبت می‌کند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
از کارهای جالب این ویروس این است که در همة درایوها در داخل مسیر Recycler فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام Sys.exe درون آن قرار می‌دهد. سپس در ریشة هر درایو فایلی با نام Autorun.inf و با محتویات زیر می‌سازد:
[autorun]
open=Recycler.{نام مسیر تصادفی ایجاد شده}\sys.exe a
shell\open=Open
shell\open\Command=Recycler.{نام مسیر تصادفی ایجاد شده}\sys.exe o
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=Recycler.{نام مسیر تصادفی ایجاد شده}\sys.exe e

منبع: شرکت مهندسی مهران رایانه

برای از بین بردن این بد افزار شما می توانید آنتی ویروس آنرا که توسط آقای احمد رضایی درست شده از همین سایت دانلود نمایید.این آنتی ویروس را آقای مهندس نجف پور  در اختیار بنده قرار دادند تا در دسترس همگان قرار گیرد.

لینک دانلود: http://intersoft.persiangig.com/other/Anti%20D.O.J.rar

پسورد: www.intersoft.ir


برچسب ها:, , ,
ارسال شده در نرم افزار آنتي ويروس | ۷ نظر »


۷ پاسخ به “از کرم ایرانی ستایش چه می دانید؟”

  1. توسط آسمان در خرداد ۲۶, ۱۳۸۷ | پاسخ

    با سلام

    متاسفانه مسیر نوشته شده در لینک درست اجرا نمیشود. لطفا علت را بنویسیدو همچنین اگر باید تغییرات دیگری داد مطرح نمایید.

    در قسمتی نوشته شده بود که آنتی ویروسهارا از سایتهای فارسی لود نکنید پس به همین دلیل مسیر داده شده نمیتواند خوب کار کند؟

    ویروس ستایش خیلی داره اذیت می کنه لطفا راهی پیشنهاد کنید.

    با تشکر

    پاسخ سريع

  2. توسط admin در خرداد ۲۷, ۱۳۸۷ | پاسخ

    با سلام
    لینک تصحیح شد:
    http://rapidshare.com/files/122786319/Anti_D.O.J.rar.html
    پسورد: http://www.intersoft.ir

    پاسخ سريع

  3. توسط فرزانه در مرداد ۳۰, ۱۳۸۷ | پاسخ

    سلام. این لینک هم که درست دانلود نمی شه. من کلی با این ویروس مشکل دارم.

    پاسخ سريع

  4. توسط آرش در مهر ۲۵, ۱۳۸۷ | پاسخ

    واقعا از شما دوست گرامی تشکر میکنم(احمد رضایی) باورتون نمیشه دو سوت پاکش کرد خیلی از شما ممنونم خدا خیرتان دهد.

    پاسخ سريع

  5. توسط sentinel در آبان ۲۹, ۱۳۸۷ | پاسخ

    با سلام و عرض ادب
    ضمن تشکر از زحمات شما خواهشمند است در صورت امکان چند مقاله در رابطه با ویروسها وکرمها و تکنیهای نگارش و سورس بعضی از این بد افزارها را در سایت قرار داده تا ضمن آشنایی بیشتر بتوانیم در مقابل آنها بیش از پیش آمادگی و مهارت کسب نمایم

    پاسخ سريع

  6. توسط نسرین در مرداد ۳۱, ۱۳۸۸ | پاسخ

    یاسلام
    ویروس recycler تمام هارد کامپیوترم رو پر کرده. فولدر System Volume Information هم به همراه این ویروس وارد pc شده . لطفادر مورد چگونگی از بین بردن آن راهنمایی و کمک کنید. با تشکر فراوان

    پاسخ سريع

    مدیر سایت

    سلام
    تقریبا میشه گفت اکثر آنتی ویروسهای موجود که آپدیت باشند میتوانند این ویروس را پاک کنند. البته بنده NOD32 آپدیت شده را پیشنهاد می کنم.

    پاسخ سريع

نظر بدهید

به صورت خودکار کلمات فینگلیش را به فارسی تبدیل کن. در صورتی که می خواهید انگلیسی تایپ کنید Ctrl+g را فشار دهید.