ویروس Antichrist (virus hoax)0

کد:

http://www.tinypic.info/files/tomewp9nlmlukritsynq.jpg

کد:

http://www.tinypic.info/files/qxp8wqrfj2gy06r1wtlo.jpg

این ویروس یا کرم با پیغامی که می دهد در واقع شما را به راه راست هدایت می کند و به نام ویروس ستایش نیز معروف است .

این ویروس که با نام های Day of Judgmet و Antichrist هم شناخته می شود یک کرم ایرانی است که سیستم عامل های ویندوز ۳۲ بیتی را مورد حمله قرار می دهد.

از مشخصه های بارز این کرم می توان به موارد زیر اشاره کرد:

غیرفعال کردن Folder Option

باز شدن صفحه اینترنتی با عنوان Day of Judgment (به معنی روز داوری) که ترجمه انگلیسی سوره حمد بر روی پس زمینه سبز در آن مشاهده می شود.

این هم تصویر صفحه html

این صفحه در هر بار بوت شدن ویندوز به شما نشان داده می شود.همچنین در هر بار بوت شدن ویندوز پنجره ای با تیتر Antichrist و با محتوای Day of Judgment نمایش داده می شود.

در بعضی مواقع جلوی اجرای Regedit و Task Manager با آلوده شدن توسط این ویروس گرفته می شود .

سرعت کلی سیستم به شدت پایین می آید و در فهرست پروسس های ویندوز می توانید Sys.exe و در قسمت برنامه های startup نام wma.exe و blank.htm را مشاهده کنید.

و گاهی اوقات هنگام بالا امدن ویندوز یک فایل html در ادرس c:\windows\system32\blank.htm اجرا می گردد .

همچنین ویروس خود را در تمام درایوها با نام Autoplay.exe کپی می کند که با هر بار کلیک روی درایو ها منتشر می شود .

این هم متن AUTORUN این WORM .

کد:

[autorun]

open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a

shell\open=Open

shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o

shell\open\Default=1

shell\explore=Expl

shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e

این کرم ایرانی پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را به صورت ‏زیر بر روی سیستم کپی می‌نماید:‏

کد:

‎%System32%\Sys.exe

‎%Windows%\Shell.exe

‎%Windows%\vxds.exe

‎%Windows%\Help\vxds.exe

‎%Windows%\media\wma.exe

و برای اینکه با هر بار بالا آمدن سیستم این فایل‌ها اجرا گردند، آنها را به شکل زیر در ‏رجیستری ثبت می‌کند:‏

کد:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = userinit.exe, sys.exe

Userinit = Explorer.exe shell.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

vxds = %Windows%\vxds.exe

همچنین در مسیر System32 فایلی با نام ‏OEMLOGO.BMP‏ به صورت ‏مخفی ایجاد می‌کند که به شکل زیر

می‌باشد:‏

بعلاوه در همین مسیر فایلی با نام ‏OEMLOGO.INI‏ به صورت مخفی می‌سازد که ‏محتویات آن به شکل زیر است:‏

کد:

[General]

Manufacturer=[Antichrist]

Model=[Day of judgment]

SupportURL=hxxp://www.antichrist.com/

LocalFile=blank.htm

[Support Information]

Line1=When comes the help of Allah, and victory,.

Line2=And thou dost see the people enter Allah's religion in crowds,.

Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: ‎for he is oft-Returning (in forgiveness)..

فایل دیگری نیز در همین مسیر با نام ‏blank.htm‏ به صورت مخفی ایجاد می‌کند که با ‏اجرای آن صفحه‌ای به شکل زیر به نمایش درمی‌آید:‏

که متن انگلیسی نمایش داده شده در این صفحه ترجمه سوره حمد می‌باشد. آنگاه برای ‏اینکه با هر بار بالا آمدن سیستم این فایل نمایش داده شود آن را به صورت زیر در ‏رجیستری ثبت می‌کند:‏

کد:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Blank = %System32%\blank.htm

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Blank = %System32%\blank.htm

برای اینکه مقدار ‏Home Page‏ و ‏Search Page‏ نرم‌افزار ‏Internet Explorer‏ را ‏برابر با صفحه مذکور قرار دهد، تغییرات زیر را در رجیستری ایجاد می‌نماید:‏

کد:

HKCU\Software\Microsoft\Internet Explorer\Main

Start Page = %System32%\blank.htm

Search Page = %System32%\blank.htm

از کارهای جالب این ویروس این است که در همه درایوها در داخل مسیر ‏Recycler‏ ‏فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام ‏Sys.exe‏ ‏درون آن قرار می‌دهد.

همچنین اثرات دیگری به شکل زیر دارد:‏

با ایجاد تغییراتی در رجیستری باعث می‌شود که قبل از ورود به سیستم صفحه‌ای با تیتر ‏Antichrist‏ و با متن ‏Day of judgment‏ نمایش داده شود. همچنین باعث می‌شود ‏فایل‌های ‏Super Hidden‎‏ نمایش داده نشود. جلوی اجرای برنامه‌های ‏RegEdit‏ و ‏Task Manager‏ را گرفته و رنگ زمینه ‏Windows‏ و صفحه ‏cmd‏ را تغییر می‌دهد. ‏بعلاوه نام ‏User‏ و ‏Organization‏ ثبت شده برای سیستم را با [Antichrist] تغییر می‌دهد.‏

لازم به ذکر است که آخرین نگارش ضدویروس سیمانتک این کرم اینترنتی را شناخته و به صورت کامل پاکسازی می‌نماید.

برای پاکسازی اثرات باقی مانده این ویروس همانند غیر فعال شدن Registry یا Folder Option و یا باز نشدن درایوها با دابل کلیک بر روی آنها و غیره از ابزار پاکسازی زیر یا بالای صفحه استفاده نمایید

http://www.damsunsecurity.com/files/extract_file.php?file_id=24&20080202