کد:
http://www.tinypic.info/files/tomewp9nlmlukritsynq.jpg
کد:
http://www.tinypic.info/files/qxp8wqrfj2gy06r1wtlo.jpg
این ویروس یا کرم با پیغامی که می دهد در واقع شما را به راه راست هدایت می کند و به نام ویروس ستایش نیز معروف است .
این ویروس که با نام های Day of Judgmet و Antichrist هم شناخته می شود یک کرم ایرانی است که سیستم عامل های ویندوز ۳۲ بیتی را مورد حمله قرار می دهد.
از مشخصه های بارز این کرم می توان به موارد زیر اشاره کرد:
غیرفعال کردن Folder Option
باز شدن صفحه اینترنتی با عنوان Day of Judgment (به معنی روز داوری) که ترجمه انگلیسی سوره حمد بر روی پس زمینه سبز در آن مشاهده می شود.
این هم تصویر صفحه html
این صفحه در هر بار بوت شدن ویندوز به شما نشان داده می شود.همچنین در هر بار بوت شدن ویندوز پنجره ای با تیتر Antichrist و با محتوای Day of Judgment نمایش داده می شود.
در بعضی مواقع جلوی اجرای Regedit و Task Manager با آلوده شدن توسط این ویروس گرفته می شود .
سرعت کلی سیستم به شدت پایین می آید و در فهرست پروسس های ویندوز می توانید Sys.exe و در قسمت برنامه های startup نام wma.exe و blank.htm را مشاهده کنید.
و گاهی اوقات هنگام بالا امدن ویندوز یک فایل html در ادرس c:\windows\system32\blank.htm اجرا می گردد .
همچنین ویروس خود را در تمام درایوها با نام Autoplay.exe کپی می کند که با هر بار کلیک روی درایو ها منتشر می شود .
این هم متن AUTORUN این WORM .
کد:
[autorun]
open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a
shell\open=Open
shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o
shell\open\Default=1
shell\explore=Expl
shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e
این کرم ایرانی پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی مینماید:
کد:
%System32%\Sys.exe
%Windows%\Shell.exe
%Windows%\vxds.exe
%Windows%\Help\vxds.exe
%Windows%\media\wma.exe
و برای اینکه با هر بار بالا آمدن سیستم این فایلها اجرا گردند، آنها را به شکل زیر در رجیستری ثبت میکند:
کد:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = userinit.exe, sys.exe
Userinit = Explorer.exe shell.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vxds = %Windows%\vxds.exe
همچنین در مسیر System32 فایلی با نام OEMLOGO.BMP به صورت مخفی ایجاد میکند که به شکل زیر
میباشد:
بعلاوه در همین مسیر فایلی با نام OEMLOGO.INI به صورت مخفی میسازد که محتویات آن به شکل زیر است:
کد:
[General]
Manufacturer=[Antichrist]
Model=[Day of judgment]
SupportURL=hxxp://www.antichrist.com/
LocalFile=blank.htm
[Support Information]
Line1=When comes the help of Allah, and victory,.
Line2=And thou dost see the people enter Allah's religion in crowds,.
Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: for he is oft-Returning (in forgiveness)..
فایل دیگری نیز در همین مسیر با نام blank.htm به صورت مخفی ایجاد میکند که با اجرای آن صفحهای به شکل زیر به نمایش درمیآید:
که متن انگلیسی نمایش داده شده در این صفحه ترجمه سوره حمد میباشد. آنگاه برای اینکه با هر بار بالا آمدن سیستم این فایل نمایش داده شود آن را به صورت زیر در رجیستری ثبت میکند:
کد:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
برای اینکه مقدار Home Page و Search Page نرمافزار Internet Explorer را برابر با صفحه مذکور قرار دهد، تغییرات زیر را در رجیستری ایجاد مینماید:
کد:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = %System32%\blank.htm
Search Page = %System32%\blank.htm
از کارهای جالب این ویروس این است که در همه درایوها در داخل مسیر Recycler فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام Sys.exe درون آن قرار میدهد.
همچنین اثرات دیگری به شکل زیر دارد:
با ایجاد تغییراتی در رجیستری باعث میشود که قبل از ورود به سیستم صفحهای با تیتر Antichrist و با متن Day of judgment نمایش داده شود. همچنین باعث میشود فایلهای Super Hidden نمایش داده نشود. جلوی اجرای برنامههای RegEdit و Task Manager را گرفته و رنگ زمینه Windows و صفحه cmd را تغییر میدهد. بعلاوه نام User و Organization ثبت شده برای سیستم را با [Antichrist] تغییر میدهد.
لازم به ذکر است که آخرین نگارش ضدویروس سیمانتک این کرم اینترنتی را شناخته و به صورت کامل پاکسازی مینماید.
برای پاکسازی اثرات باقی مانده این ویروس همانند غیر فعال شدن Registry یا Folder Option و یا باز نشدن درایوها با دابل کلیک بر روی آنها و غیره از ابزار پاکسازی زیر یا بالای صفحه استفاده نمایید
http://www.damsunsecurity.com/files/extract_file.php?file_id=24&20080202