نوع : کرم اینترنتی
محيطهاي قابل اجرا: Windows 2000,XP,NT,....

خصوصيات :

این کرم 23584 بایتی خودش را به در مسیر های زیر کپی می کند

C:\auto.exe
%WinDir%\System32\<هشت حرف تصادفی>.EXE

این کرم ، کرم دیگری از همین گونه با نام W32/Backdoor.eq که حجم آن 40960 است و در مسیر زیر ایجاد می‌کند ، که این DLL خودش را به فایلهای اجرایی تزریق می کند

%WinDir%\System32\<هشت حرف تصادفی>.DLL

کرم W32/Backdoor.ep برای اجرای خود در هر بار باز کردن درایو C فایل فایل Autorun.inf را در ریشه درایو C می‌سازد
در ضمن برنامه مخرب دیگری توسط این کرم فایل از اینترنت می شود که W32/Downloader.wk نام دارد

این کرم برای اجرای خود در هر بار راه اندازی خود را به صورت یک سرویس در ویندوز ثبت می کند  این کار را توسط کلید رجیستری زیر انجام می دهد

HKLM\System\ControlSet001\Enum\Root\LEGACY_<هشت حرف تصادفی>\0000\Control
*NewlyCreated* = 0x00000000
ActiveService = "<هشت حرف تصادفی>"

HKLM\System\ControlSet001\Enum\Root\LEGACY_<هشت حرف تصادفی>\0000
Service = "<هشت حرف تصادفی>"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"

ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "<هشت حرف تصادفی>"
HKLM\System\ControlSet001\Enum\Root\LEGACY_<هشت حرف تصادفی>
NextInstance = 0x00000001

HKLM\System\ControlSet001\Services\<هشت حرف تصادفی>\Enum
0 = "Root\LEGACY_<هشت حرف تصادفی>\0000"
Count = 0x00000001
NextInstance = 0x00000001

HKLM\System\ControlSet001\Services\<هشت حرف تصادفی>\Security
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0

HKLM\System\ControlSet001\Services\<هشت حرف تصادفی>
Type = 0x00000010
Start = 0x00000002
ErrorControl = 0x00000001
ImagePath = "%WinDir%\System32\<نام فایل اجرایی>.EXE -k"
DisplayName = "<هشت حرف تصادفی>"
ObjectName = "LocalSystem"
Description = "6553BB80"

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<هشت حرف تصادفی>\0000\Control
*NewlyCreated* = 0x00000000
ActiveService = "<هشت حرف تصادفی>"

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<هشت حرف تصادفی>\0000
Service = "<هشت حرف تصادفی>"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "<هشت حرف تصادفی>"

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<هشت حرف تصادفی>
NextInstance = 0x00000001
HKLM\System\CurrentControlSet\Services\<هشت حرف تصادفی>\Enum
0 = "Root\LEGACY_<هشت حرف تصادفی>\0000"
Count = 0x00000001
NextInstance = 0x00000001

HKLM\System\CurrentControlSet\Services\<هشت حرف تصادفی>\Security
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0

HKLM\System\CurrentControlSet\Services\<هشت حرف تصادفی>
Type = 0x00000010
Start = 0x00000002
ErrorControl = 0x00000001
ImagePath = "%WinDir%\System32\<نام فایل اجرایی>.EXE -k"
DisplayName = "<هشت حرف تصادفی>"
ObjectName = "LocalSystem"
Description = "6553BB80"

HKEY_USERS\.DEFAULT\System\CurrentControlSet\Services\<هشت حرف تصادفی>
Description = "6553BB80"
DisplayName = "<هشت حرف تصادفی>"
ImagePath = "%WinDir%\System32\<نام فایل اجرایی>.EXE -k"
ObjectName = "LocalSystem"

HKEY_CURRENT_USER\System\CurrentControlSet\Services\<هشت حرف تصادفی>
Description = "6553BB80"
DisplayName = "<هشت حرف تصادفی>"
ImagePath = "%WinDir%\System32\<نام فایل اجرایی>.EXE -k"
ObjectName = "LocalSystem"

این کرم با استفاده از کلید های زیر اجازه نمایش فایل های مخفی می گیرد ،

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0x00000000

برای بر طرف سازی اثرات تخريبی اين کرم می توانيد از برنامه ی زير استفاده کنيد

دانلود کنید

 نوشته شده در  سه شنبه بیست و سوم مهر 1387 ساعت 22:20 ارسال شده توسط :  F@rshid

كرم W32/Bermado :

این کرم 602142 ایرانی خودش را به شکل های زیر کپی می کند

%UserProfile%\SendTo\Svchost.exe

کار دیگر این کرم ایجاد یک کرم دیگر از همین گونه با نام W32/Bermado.b است که حجم آن 4076 است

%UserProfile%\SendTo\SOUNDMAX.EXE

این ورم برای اجرای خود در هر بار راه اندازی کلید زیر را ایجاد می کند :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
SOUNDMAX = %UserProfile%\SendTo\SOUNDMAX.EXE

این ورم با استفاده از کلید های زیر اجازه نمایش فایل های مخفی می گیرد ،

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
CheckedValue = 0x00000000
UncheckedValue = 0x00000000

برای بر طرف سازی اثرات تخريبی اين کرم می توانيد از برنامه ی زير استفاده کنيد

::دانلود کنید::

آیکون این ورم شبیه فولدر است ممکن است توسط کاربر اجرا شود  با وارد شدن به هر پوشه ای آن پوشه را مخفی می کند

تصویری به شکل زیر درون این کرم وجود دارد که برای تغییر شکل درایو ها استفاده می کند:

 نوشته شده در  چهارشنبه دوازدهم تیر 1387 ساعت 22:4 ارسال شده توسط :  F@rshid

كرم W32/Foova.ai :

این کرم ایرانی خودش را در مسیرهای زیر کپی می کند

C:\ChamranPartC.exe
D:\ChamranPartD.exe
%WinDir%\system32\Chamran.exe
%WinDir%\system32\Cmd-Nk27.exe
%WinDir%\system\Shell32B.exe
%WinDir%\Dl.exe
%WinDir%\Mastore32.dll
%Temp%\FooVA-X27.ExE
%Temp%\~DFC8EC.tmp
%Temp%\~DF4831.tmp

از کارهایی که ورم W32/Foova.ai بر روی سیستم انجام می دهد درون فایل زیر گزارشی از تکثیر این ورم تهیه می کند

%Temp%\Help-X27.txt

پیامی به شکل زیر نمایش می دهد

بر روی صفحه نمایش صفحه‌ای شبیه به شکل زیر نمایش می دهد

برای اجرای خود در هر بار راه اندازی کلید زیر را ایجاد می کند

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Yahoo! =%WinDir%\system\Shell32B.exe -BooT

با تبلیغ سایت http://www.persiancod.com لینک های فریبنده زیر را نمایش می دهد

Fun - Sex And Love In This Pack
Fun - Sex And Love In This Site
For DL Sexy Site Use This Site
Israel Atack Or Iran Atack
Ye Dler Khob ba Sorate Ziad . Dl e Sh Kon
Anti Filter Ba Sorate Bala ... Ta Link Kharab NaShode DlKon
To in link Ye Harfie Ke Hamishe Mikhastam behet Bezanam
BaVar Kon Mitonam Dostesh Dashte Basham .. Bebin
Anti Virus e Virus Jadid Yahoo ....
Aks Hai Jaleb Yek Masol ! Midonam ke Bavaret Nemishe
Esmesh Ali Reza Hast Age Khasti Az Pack Ba Karash AshnaSHoo
Nazart Darbare In Chand Ta Aks Ba Hal Chie ?
Sexy - Sexy - Anal _Fuck_ In 1 Pack
Diaz ! No .Not .U BaD
Iran-Israel-USE-Iraq War Animat Picture
In Chi Hastesh !!Han? .. Dige Az In Aks Ha Baram Nafrest.. Fahmidi Ya Na ?! ...Ina
Ro Migam.Enkar Nakon .Barat Mote Asefam
Pliz DL Anti Yahoo Virus -->
Aks Jadidam Ro GoZashtam -- To Ham Akset Ro Bezar :)
I Love You .
Ye RooZ Be U Migam ..Ama Aval ino Nega Kon . Be Kasi HamNago
RooM Full Kon
Ba Har ID Khsti bia To Room
Kafet Mibore
Aks 4shanbe Sroi Az Raghse Mostarak DAr Shiraz
Eedam Arazel Dar Shiraz . Mostanad

 نوشته شده در  پنجشنبه ششم تیر 1387 ساعت 10:47 ارسال شده توسط :  F@rshid

كرم W32/Trojan.km :

این کرم 96256 بایتی به محض اجرا خودش را در مسیر زیر کپی می کند

%windir%\system32\ctfmona.exe

همچنین این کرم از درون خودش دو فایل به شکل زیر بیرون می آورد

%windir%\system32\ctfmonb.bmp
%windir%\system32\blackster.scr

این کرم خود را به شکل زير در رجيستری ثبت می‌کند تا با هر بار راه‌اندازی سيستم بطور خودکار اجرا شود :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ctfmona = C:\WINDOWS\System32\ctfmona.exe

HKLM\Software\Microsoft\Software Notifier
InstallationID = 30ca1f71-3146-4d7b-a35f-3736e1cd05bd

HKCU\Control Panel\Colors
Background = 0 0 255

HKCU\Control Panel\Desktop
WallpaperStyle = 0

HKCU\Control Panel\Desktop
TileWallpaper = 0

HKCU\Control Panel\Desktop
Wallpaper = C:\WINDOWS\system32\ctfmonb.bmp

HKCU\Control Panel\Desktop
OriginalWallpaper = C:\WINDOWS\system32\ctfmonb.bmp

HKCU\Control Panel\Desktop
ConvertedWallpaper = C:\WINDOWS\system32\ctfmonb.bmp

HKLM\System\CurrentControlSet\Services\srservice
Start = 00000002

HKLM\System\CurrentControlSet\Services\sr
Start = 00000000

HKLM\System\CurrentControlSet\Services\sr
ImagePath = system32\DRIVERS\sr.sys

HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = 00000000

HKCU\Control Panel\Desktop
SCRNSAVE.EXE = C:\WINDOWS\system32\blackster.scr

 نوشته شده در  پنجشنبه ششم تیر 1387 ساعت 10:28 ارسال شده توسط :  F@rshid

كرم W32/Sanvood :

این کرم 49152 بایتی ایرانی به محض اجرا خودش را در مسیر زیر کپی می کند

%windir%\system32\.exe
%windir%\system32\Game.exe
%windir%\system32\pa1x.exe

این کرم خود را به شکل زير در رجيستری ثبت می‌کند تا با هر بار راه‌اندازی سيستم بطور خودکار اجرا شود :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kerneling = %windir%\system32\Game.exe

 نوشته شده در  پنجشنبه ششم تیر 1387 ساعت 10:26 ارسال شده توسط :  F@rshid

كرم W32/Golmora :

این کرم ایرانی خودش را به شکل های زیر کپی می کند

Picture.exe
Mobile.exe
Boys.exe
Girls.exe
Video.exe
Film.exe
Rapid Share.exe
Yahoo Mail.exe
Google Earth.exe
Recorded Sounds.exe
Roya.exe
قاصدک.exe
Afshin.exe
سپيده.exe
Saeed.exe
Gol Morad.exe
Rap Music.exe
Classical Music.exe
Piano.exe
برره.exe
American Music.exe
C++.exe
Pascal.exe
Memary.exe
Shahrsazi.exe
ديني.exe
خواص ميوه ها.exe
روانشناسي رنگها.exe
درمان اضطراب.exe
اگر پاک بودم....exe
فوايد نماز.exe
روش هاي پيشگيري از بارداري.exe
دختران آبادان.exe
Show.exe
Internet.exe
E-Books.exe
Learn to speak english.exe
Downloads.exe
پوست زيبايي داشته باشيم.exe
چگونه موهاي خوش حالت داشته باشيم؟.exe
وضعيت جامعه.exe
چرا دختران فراري مي شوند؟.exe
دوست خود را بهتر بشناسيد.exe
طالع بيني ماه تولد.exe
آيا عاشق هستيد يا دروغ مي گوييد؟.exe
عشق يا شهوت؟.exe
داستان هاي زيبا.exe
کودک درون.exe
نفوذ به کامپيوتر افراد.exe
Animal.exe
Windows.exe
Program files.exe
Documents and Settings.exe
svchost.exe
svchost .exe
ctfmon.exe
Nvcpl.exe
rundll32.exe
system32.exe
My Computer.exe
افزايش سرعت اينترنت.exe
کنترل کامپيوتر افراد از راه دور.exe
King2007 .exe
Program .exe
عکس يانگم .exe
فيلم .exe
recoverd program
Change to exe Pro
Adobe Photoshop 11 .exe
3D Max 8.0 Cracked .exe
ACD See 10 .exe
Norton Antivirus 2008 .exe
Node32 2008 .exe
ديوان کامل حافظ.exe
چگونه مي توان روحاني شد؟.exe
روشهاي مخ زدن!.exe
آلبوم عکسهاي دختران ايراني.exe
پروژه عمران.exe
پروژه شهرسازي.exe
پروژه معماري.exe
24 ساعته ربات بسازيد.exe

عکس ميترا.exe
روشهاي داشتن اعتماد به نفس.exe
چگونه مطالعه کنيم؟.exe
چگونه حافظه عالي داشته باشيم؟.exe
دختران چه موجوداتي هستند؟ .exe
انواع قرصهاي اکستازي .exe
زيباي خفته .exe
Recycler.exe
پروژه هاي آماده..exe
هر آنچه که مي خواهيد از بدن خود بدانيد! .exe
بدن سازي.exe
برنامه هاي موبايل .exe
بازي هاي جاوا براي موبايل .exe
MP3 .exe
موزيک ملايم.exe
زنگهاي موبايل.exe
قورباغه را قورت دهيد! .exe
سي دي کامل آموزش فتوشاپ .exe
3D Max ;آموزش.exe
سوالات کارشناسي ارشد همه رشته ها.exe
کليپ هاي باحال موبايل .exe
TP.exe
TC.exe
System Volume Information.exe
explore.exe
explore .exe
New Folder.exe
Project.exe

از دیگر كارهای اين ويروس اين است كه خودش را در ريشه همه درايوها با نام explore.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می‌كند. اين عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد. نوع Autorun ايجاد شده به گونه‌ايست كه اگر فايل explore.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می‌شود و كاربر نمی‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی‌توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:

::دانلود کنید::

این ورم برای اجرای خود در هر بار راه اندازی کلید زیر را ایجاد می کند :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
svchostc = c:\explore.exe

این ورم با استفاده از کلید های زیر از اجرای Task Manger و Regedit جلو گیری می کند ،

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
disabletaskmgr = 0x1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
disableregistrytools = 0x1

این از طریق Cool Disk منتشر می کند.
برای بر طرف سازی اثرات تخريبی اين کرم می توانيد از برنامه ی زير استفاده کنيد

::دانلود کنید::

آیکون این ورم شبیه فولدر است ممکن است توسط کاربر اجرا شود

پیامی به شکل زیر درون این کرم وجود دارد :

 نوشته شده در  پنجشنبه ششم تیر 1387 ساعت 10:17 ارسال شده توسط :  F@rshid