|
نام ویروس : W32/Sober.r@MM
نوع : ویروس
میزان حجم : 113,551
طریقه پخش : E-mail
تشریح :
این کرم خود را از طریق فایل های ضمیمه به نام های KlassenFoto.zip و pword_change.zip و screen_photo.zip و privat-photo.zip پخش می کند .
درون این فایل های Zip شده فایل های اجرایی به نام PW_Klass.Pic.packed-bitmap.exe و Screen_Photo.jpeg-graphic1.exe
این کرم در مرحله اول شاخه های زیر را در رجیستری تهیه می کند :
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run " WinINet" =C:\WINDOWS\ConnectionStatus\services.exe
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "_WinINet"=C:\WINDOWS\ConnectionStatus\services.exe
سپس فایل های زیر را می سازد :
• c:\WINDOWS\ConnectionStatus\netslot.nst
• c:\WINDOWS\ConnectionStatus\services.exe
• c:\WINDOWS\ConnectionStatus\socket.dli
سپس فایل های با حجم 0 درست می کند با نام و آدرس های زیر :
• c:\WINDOWS\system32\bbvmwxxf.hml
• c:\WINDOWS\system32\gdfjgthv.cvq
• c:\WINDOWS\system32\langeinf.lin
• c:\WINDOWS\system32\nonrunso.ber
• c:\WINDOWS\system32\rubezahl.rub
• c:\WINDOWS\system32\seppelmx.smx
سپس پورت های شماره TCP 587 و TCP 37 و صفحه خانگی قربانی را عوض می کند .
تیم irvirus حداکثر تا 12 ساعت دیگر پج آنتی ان را به زبان فارسی برای شما عزیزان قرار می دهد .
برای پاک سازی دستی هم می توانید از طریق Safe mode فایل های یاد شده را پاک و شاخه ایجاد شده را در رجیستری پاک کنید .
|
بخش نرم افزار 
سلام بر کسانی که از این وبلاگ دیدن می کنند امیدوارم مطالبی که در وبلاگ آوردم و نوشتم مورد استفاده شما بوده باشد و با نظرات خود مرا بیشتر یاری کنید با آرزوی موفقیت برای همه شما عزیزان و دوستان هرگونه مشکلی اگر داشتید برایم بنویسید تا حدی که بتوانم براتون جواب خواهم داد.
