پست الکترونیک

صفحه اصلي

نام ویروس : W32/Backdoor.ep

نوع : کرم اینترنتی
محيطهاي قابل اجرا: Windows 2000,XP,NT,....

خصوصيات :

این کرم 23584 بایتی خودش را به در مسیر های زیر کپی می کند

C:\auto.exe
%WinDir%\System32\<هشت حرف تصادفی>.EXE

این کرم ، کرم دیگری از همین گونه با نام W32/Backdoor.eq که حجم آن 40960 است و در مسیر زیر ایجاد می‌کند ، که این DLL خودش را به فایلهای اجرایی تزریق می کند

%WinDir%\System32\<هشت حرف تصادفی>.DLL

کرم W32/Backdoor.ep برای اجرای خود در هر بار باز کردن درایو C فایل فایل Autorun.inf را در ریشه درایو C می‌سازد
در ضمن برنامه مخرب دیگری توسط این کرم فایل از اینترنت می شود که W32/Downloader.wk نام دارد

این کرم برای اجرای خود در هر بار راه اندازی خود را به صورت یک سرویس در ویندوز ثبت می کند این کار را توسط کلید رجیستری زیر انجام می دهد

HKLM\System\ControlSet001\Enum\Root\LEGACY_<هشت حرف تصادفی>\0000\Control
*NewlyCreated* = 0x00000000
ActiveService = "<هشت حرف تصادفی>"

HKLM\System\ControlSet001\Enum\Root\LEGACY_<هشت حرف تصادفی>\0000
Service = "<هشت حرف تصادفی>"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"

ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "<هشت حرف تصادفی>"
HKLM\System\ControlSet001\Enum\Root\LEGACY_<هشت حرف تصادفی>
NextInstance = 0x00000001

HKLM\System\ControlSet001\Services\<هشت حرف تصادفی>\Enum
0 = "Root\LEGACY_<هشت حرف تصادفی>\0000"
Count = 0x00000001
NextInstance = 0x00000001

HKLM\System\ControlSet001\Services\<هشت حرف تصادفی>\Security
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0

HKLM\System\ControlSet001\Services\<هشت حرف تصادفی>
Type = 0x00000010
Start = 0x00000002
ErrorControl = 0x00000001
ImagePath = "%WinDir%\System32\<نام فایل اجرایی>.EXE -k"
DisplayName = "<هشت حرف تصادفی>"
ObjectName = "LocalSystem"
Description = "6553BB80"

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<هشت حرف تصادفی>\0000\Control
*NewlyCreated* = 0x00000000
ActiveService = "<هشت حرف تصادفی>"

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<هشت حرف تصادفی>\0000
Service = "<هشت حرف تصادفی>"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "<هشت حرف تصادفی>"

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<هشت حرف تصادفی>
NextInstance = 0x00000001
HKLM\System\CurrentControlSet\Services\<هشت حرف تصادفی>\Enum
0 = "Root\LEGACY_<هشت حرف تصادفی>\0000"
Count = 0x00000001
NextInstance = 0x00000001

HKLM\System\CurrentControlSet\Services\<هشت حرف تصادفی>\Security
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0

HKLM\System\CurrentControlSet\Services\<هشت حرف تصادفی>
Type = 0x00000010
Start = 0x00000002
ErrorControl = 0x00000001
ImagePath = "%WinDir%\System32\<نام فایل اجرایی>.EXE -k"
DisplayName = "<هشت حرف تصادفی>"
ObjectName = "LocalSystem"
Description = "6553BB80"

HKEY_USERS\.DEFAULT\System\CurrentControlSet\Services\<هشت حرف تصادفی>
Description = "6553BB80"
DisplayName = "<هشت حرف تصادفی>"
ImagePath = "%WinDir%\System32\<نام فایل اجرایی>.EXE -k"
ObjectName = "LocalSystem"

HKEY_CURRENT_USER\System\CurrentControlSet\Services\<هشت حرف تصادفی>
Description = "6553BB80"
DisplayName = "<هشت حرف تصادفی>"
ImagePath = "%WinDir%\System32\<نام فایل اجرایی>.EXE -k"
ObjectName = "LocalSystem"