لازم به ذکر است تمامی این مطالب را خودم نوشته و از کسانی که وبلاگ یا سایت دارند و مایلند این مطلب را در سایت یا وبلاگ خود قرار دهند حتما منیع آن یعنی سایت من را نیز بنویسند .
منبع : www.prs-land.tk
متشکرم .
اول از همه طریقه گسترش کرم :
کرم Wukill )
W32/Wukill.worm.gen ) :
کرم Wukill ) W32/Wukill.worm.gen ) :
لازم به ذکر است تمامی این مطالب را خودم نوشته و از کسانی که وبلاگ یا سایت دارند
و مایلند این مطلب را در سایت یا وبلاگ خود قرار دهند حتما منیع آن یعنی سایت من را
نیز بنویسند .
منبع : www.prs-land.tk
متشکرم .
اول از همه طریقه گسترش کرم :
آلودگی با اجرای فایل کرم انجام می شود . که کرم با
فلاپی و تمامی وسایل انتقال فایل منتقل می شود . چون خود ا در هر پوشه ای که باز
کنید کپی می کند .
در کامپیوتر آلوده :
بعد از قرار دادن فلاپی،کرم خود را در آن کپی می کند و یا اگر شخص سیدی رایت کند ،
کرم را که به صورت مخفی است را نیز رایت خواهد کرد .
در کامپیوتر میزبان :
اگر شخص از ویندوز های 98 , 2000 , ME و ویندوز هایی که
از Customize Folder Wizard استفاده می کنند ، داشته باشد با باز کردن پوشه یا
فلاپی درایوی که کرم در آن وجود دارد آلوده خواهد شد . چون کرم از آین سرویس ویندوز
استفاده کردن و جود را اجرا می کند .
در ویندوز xp چون این سرویس غیر فعال است و دیگر وجود ندارد آلودگی فقط با اجرای
مستقیم کرم شروع می شود . در ویندوز های دیگر نیز با اجرای مستقیم کامپیوتر آلوده
می شود . بعد از اجرای فایل اگر باز بخواهید فایل را اجرا کنید اختار زیر ظاهر می
شود :
بعد . کرم خود را با نام های مختلف در یکی از پوشه های Windows ، Temp ، System ،
Web ، Help کپی می کند .
و در تمامی پوشه هایی که وارد شوید یک فایل اجرایی با نام پوشه می سازد و در همان
پوشه فایل desktop.ini یا Rundesktop.ini را تغییر می دهد و در آن کدهای زیر را
اضافه می کند :
تا فایل دومی به نام comment.htt یا Runcomment.htt را بعد از هر بار ورود به پوشه
یا درایور هارد اجرا کند . در این فایل هم کدهای زیر قرار دارد :
که فایل اجرایی موجود در پوشه را اجرا می کند .
همچنین کرم فایلی به نام WINFILE.EXE را در تمایم درایو های هارد و بعضی پوشه های
می سازد . همچنین در درایو فلاپی . این فایل شبیه پوشه است .
علائم آلودگی :
1) وجود فایل در درایو های هارد
2) کپی شدن خود کار این فایل در فلاپی درایو
3) اگر فایلهای مخفی را ظاهر کنید . دو باره بعد از مدتی مخفی می شوند .
4) هنگام رفتتن به هر پوشه فایلی اجرای به شکل پوشه و با همان نام در آنجا ساخته می
شود (البته مخفی ) .
5) در ویندوز های 98 تا 2000 ویندوز بعد از مدتی کند می شود .
6) بعضی مواقع کپی و پست کار نمی کند . یعنی شما فایل را کپی می کنید . اما بعد از
رفتن به مقصد گزینه پست غیر فعال شده است انگار کپی انجام نگرفته !
نکته 1 :ویروس به زبان VB نوشته شده توسط مایکروسافت ویژوال
استودیو .
نکته 2 : احتمالا نام دیگر ویروس Xgtray
نکته 3 : اگر هنگامی که فایل اصلی کرم در یکی از پوشه های Windows ، Temp ، System
، Web ، Help باشد و شما وارد پوشه ای شوید که کرم در آن است آن وقت کرم جای حود را
عوض می کند و به پوشه ی دیگری می رود !
طریقه پاک کردن ویروس :
تمامی آنتی ویروس ها دیگر این ویروس را می شناسند .
اما پاک کردن دستی به این صورت است .
1) ابتدا فایل اجرایی ویروس را از کار می اندازید . ( فایلی که در حافظه است ) با
Taskmanenger
2) با سرچ وینوز دنبال فایلهای اجرایی با حجم 48 کیلو بایت می گردید . بعد آنهایی
را که شکل پوشه هستند را پاک می کنید .
3) دو باره باسرچ ویندوز دنبال فایلهایی با پسوند htt و با نام های comment و
Runcomment میگردید . همه را پاک کنید .
اما بهترین کار استفاده از یک آنتی ویروس است . بهتر است از مکافی ورژن 8 به بالا
استفاده کنید
بازم تاکید می کنم این ویرس ممکن است کارهای دیگری هم انجام
دهد که من بی خبر هستم .
با تشکر از شما که این مطلب را خواندید.
لازم به ذکر است تمامی این مطالب را خودم نوشته و از کسانی که وبلاگ یا سایت دارند
و مایلند این مطلب را در سایت یا وبلاگ خود قرار دهند حتما منیع آن یعنی سایت من را
نیز بنویسند .
منبع : www.prs-land.tk
برای دانلود ویروس اینجا را کلیک کنید !
برای دیدن طرض کار کرم بهتر است از یک کامپیوتر مجازی استفاده کنید . که قبلا در باره آنها توضیح داده ام . برای دین آن به آرشیو مراجعه کنید . و یا بر روی اینجا کلیک کنید .