از کرم ایرانی ستایش چه می دانید؟
کرم اینترنتی ستایش (W32/Setayesh) که اخیراً در فضای IT ایران شایع شده است که تقریبا همگی شبکه های بزرگ کشورمان با این مشکل دست به گریبان هستند. در این مقاله این کرم را کاملا برای شما تشریح کرده و برای اولین بار از سایت اینترسافت آنتی ویروس آنرا در اختیار همه قرار میدهیم.
این ویروس پس از اجرا ابتدا خودش را به صورت زیر بر روی رایانه کاربر کپی مینماید:
%System32%\Sys.exe
%Windows%\Shell.exe
%Windows%\vxds.exe
%Windows%\Help\vxds.exe
%Windows%\media\wma.exe
و برای اینکه با هر بار بالا آمدن سیستم این فایلها اجرا گردند، آنها را به اشکال خاصی در رجیستری ثبت میکند؛ همچنین در مسیر %System32% دو فایل با نام های OEMLOGO.BMP و OEMLOGO.INI به صورت مخفی ایجاد میکند.
کرم ستایش ضمناً فایل دیگری با نام blank.htm به صورت مخفی ایجاد میکند که با اجرای آن صفحهای به شکل روبرو به نمایش درمیآید. متن انگلیسی نمایش داده شده در این صفحه ترجمة سورة حمد میباشد. سپس برای اینکه با هر بار بالا آمدن سیستم این فایل نمایش داده شود آن را به صورت زیر در رجیستری ثبت میکند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
از کارهای جالب این ویروس این است که در همة درایوها در داخل مسیر Recycler فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام Sys.exe درون آن قرار میدهد. سپس در ریشة هر درایو فایلی با نام Autorun.inf و با محتویات زیر میسازد:
[autorun]
open=Recycler.{نام مسیر تصادفی ایجاد شده}\sys.exe a
shell\open=Open
shell\open\Command=Recycler.{نام مسیر تصادفی ایجاد شده}\sys.exe o
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=Recycler.{نام مسیر تصادفی ایجاد شده}\sys.exe e
منبع: شرکت مهندسی مهران رایانه
برای از بین بردن این بد افزار شما می توانید آنتی ویروس آنرا که توسط آقای احمد رضایی درست شده از همین سایت دانلود نمایید.این آنتی ویروس را آقای مهندس نجف پور در اختیار بنده قرار دادند تا در دسترس همگان قرار گیرد.
لینک دانلود: http://intersoft.persiangig.com/other/Anti%20D.O.J.rar
پسورد: www.intersoft.ir
برچسب ها:آنتي ويروس, ايراني, ستايش, کرم
ارسال شده در نرم افزار آنتي ويروس | ۷ نظر »
توسط آسمان در خرداد ۲۶, ۱۳۸۷ | پاسخ
با سلام
متاسفانه مسیر نوشته شده در لینک درست اجرا نمیشود. لطفا علت را بنویسیدو همچنین اگر باید تغییرات دیگری داد مطرح نمایید.
در قسمتی نوشته شده بود که آنتی ویروسهارا از سایتهای فارسی لود نکنید پس به همین دلیل مسیر داده شده نمیتواند خوب کار کند؟
ویروس ستایش خیلی داره اذیت می کنه لطفا راهی پیشنهاد کنید.
با تشکر
پاسخ سريع
توسط admin در خرداد ۲۷, ۱۳۸۷ | پاسخ
با سلام
لینک تصحیح شد:
http://rapidshare.com/files/122786319/Anti_D.O.J.rar.html
پسورد: http://www.intersoft.ir
پاسخ سريع
توسط فرزانه در مرداد ۳۰, ۱۳۸۷ | پاسخ
سلام. این لینک هم که درست دانلود نمی شه. من کلی با این ویروس مشکل دارم.
پاسخ سريع
توسط آرش در مهر ۲۵, ۱۳۸۷ | پاسخ
واقعا از شما دوست گرامی تشکر میکنم(احمد رضایی) باورتون نمیشه دو سوت پاکش کرد خیلی از شما ممنونم خدا خیرتان دهد.
پاسخ سريع
توسط sentinel در آبان ۲۹, ۱۳۸۷ | پاسخ
با سلام و عرض ادب
ضمن تشکر از زحمات شما خواهشمند است در صورت امکان چند مقاله در رابطه با ویروسها وکرمها و تکنیهای نگارش و سورس بعضی از این بد افزارها را در سایت قرار داده تا ضمن آشنایی بیشتر بتوانیم در مقابل آنها بیش از پیش آمادگی و مهارت کسب نمایم
پاسخ سريع
توسط نسرین در مرداد ۳۱, ۱۳۸۸ | پاسخ
یاسلام
ویروس recycler تمام هارد کامپیوترم رو پر کرده. فولدر System Volume Information هم به همراه این ویروس وارد pc شده . لطفادر مورد چگونگی از بین بردن آن راهنمایی و کمک کنید. با تشکر فراوان
پاسخ سريع
مدیر سایت
مرداد ۳۱م, ۱۳۸۸ در ۳:۴۴ ب.ظ
سلام
تقریبا میشه گفت اکثر آنتی ویروسهای موجود که آپدیت باشند میتوانند این ویروس را پاک کنند. البته بنده NOD32 آپدیت شده را پیشنهاد می کنم.
پاسخ سريع