کرم Wukill ) W32/Wukill.worm.gen )

طریقه گسترش کرم :

آلودگی با اجرای فایل کرم انجام می شود . که کرم با فلاپی و تمامی وسایل انتقال فایل منتقل می شود . چون خود ا در هر پوشه ای که باز کنید کپی می کند .

در کامپیوتر آلوده :

بعد از قرار دادن فلاپی ، کرم خود را در آن کپی می کند و یا اگر شخص سیدی رایت کند ، کرم را که به صورت مخفی است را نیز رایت خواهد کرد .

در کامپیوتر میزبان :

اگر شخص از ویندوز های 98 , 2000 , ME و ویندوز هایی که از Customize Folder Wizard استفاده می کند ، داشته باشد با باز کردن پوشه یا فلاپی درایوی که کرم در آن وجود دارد آلوده خواهد شد . چون کرم از آین سرویس ویندوز استفاده کردن و جود را اجرا می کند .

در ویندوز xp چون این سرویس غیر فعال است و دیگر وجود ندارد آلودگی فقط با اجرای مستقیم کرم شروع می شود . در ویندوز های دیگر نیز با اجرای مستقیم کامپیوتر آلوده می شود . بعد از اجرای فایل اگر باز بخواهید فایل را اجرا کنید اختار زیر ظاهر می شود :

کرم خود را با نام های مختلف در یکی از پوشه های Windows ، Temp ، System ، Web ، Help کپی می کند .

و در تمامی پوشه هایی که وارد شوید یک فایل اجرایی با نام پوشه می سازد و در همان پوشه فایل desktop.ini یا Rundesktop.ini را تغییر می دهد و در آن کدهای زیر را اضافه می کند :

تا فایل دومی به نام comment.htt یا Runcomment.htt را بعد از هر بار ورود به پوشه یا درایور هارد اجرا کند . در این فایل هم کدهای زیر قرار دارد :

که فایل اجرایی موجود در پوشه را اجرا می کند .

همچنین کرم فایلی به نام WINFILE.EXE را در تمایم درایو های هارد و بعضی پوشه های می سازد . همچنین در درایو فلاپی . این فایل شبیه پوشه است .

علائم آلودگی :

1) وجود فایل در درایو های هارد

2) کپی شدن خود کار این فایل در فلاپی درایو

3) اگر فایلهای مخفی را ظاهر کنید . دو باره بعد از مدتی مخفی می شوند .

4) هنگام رفتتن به هر پوشه فایلی اجرای به شکل پوشه و با همان نام در آنجا ساخته می شود (البته مخفی ) .

5) در ویندوز های 98 تا 2000 ویندوز بعد از مدتی کند می شود .

6) بعضی مواقع کپی و پست کار نمی کند . یعنی شما فایل را کپی می کنید . اما بعد از رفتن به مقصد گزینه پست غیر فعال شده است انگار کپی انجام نگرفته !

نکته 1 :ویروس به زبان VB نوشته شده توسط مایکروسافت ویژوال استودیو .

نکته 2 : احتمالا نام دیگر ویروس Xgtray

نکته 3 : اگر هنگامی که فایل اصلی کرم در یکی از پوشه های Windows ، Temp ، System ، Web ، Help باشد و شما وارد پوشه ای شوید که کرم در آن است آن وقت کرم جای حود را عوض می کند و به پوشه ی دیگری می رود !

طریقه پاک کردن ویروس :

تمامی آنتی ویروس ها دیگر این ویروس را می شناسند .

اما پاک کردن دستی به این صورت است .

1) ابتدا فایل اجرایی ویروس را از کار می اندازید . ( فایلی که در حافظه است ) با Taskmanenger

2) با سرچ ویندوز دنبال فایلهای اجرایی با حجم 48 کیلو بایت می گردید . بعد آنهایی را که شکل پوشه هستند را پاک می کنید .

3) دو باره باسرچ ویندوز دنبال فایلهایی با پسوند htt و با نام های comment و Runcomment میگردید . همه را پاک کنید .

اما بهترین کار استفاده از یک آنتی ویروس است . بهتر است از مکافی ورژن 8 به بالا استفاده کنید

این ویرس ممکن است کارهای دیگری هم انجام دهد