منو
 صفحه های تصادفی
توبه
گادولینیم
معیار فعل اخلاقی:الهام از وجدان
دوبینیوم
فطرت انسان
جسم صلب
ارتباط و برخورد با مخالفین و دشمنان
فرهنگسرای اقوام
گیاه شناسی
محبت همه مردم به حسنین
 کاربر Online
203 کاربر online
 : کامپیوتر
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline پژمان-رحیمی-صادق 3 ستاره ها ارسال ها: 607   در :  چهارشنبه 05 بهمن 1384 [17:38 ]
  کرم Wukill ) W32/Wukill.worm.gen )
 

کرم Wukill ) W32/Wukill.worm.gen ) :

این دفعه می خواهم در مورد یک کرم به نام Wukill صحبت کنم .

لازم به ذکر است تمامی این مطالب را خودم نوشته و از کسانی که وبلاگ یا سایت دارند و مایلند این مطلب را در سایت یا وبلاگ خود قرار دهند حتما منیع آن یعنی سایت من را نیز بنویسند .

منبع : www.prs-land.tk

متشکرم .


اول از همه طریقه گسترش کرم :

آلودگی با اجرای فایل کرم انجام می شود . که کرم با فلاپی و تمامی وسایل انتقال فایل منتقل می شود . چون خود ا در هر پوشه ای که باز کنید کپی می کند .

در کامپیوتر آلوده :

بعد از قرار دادن فلاپی،کرم خود را در آن کپی می کند و یا اگر شخص سیدی رایت کند ، کرم را که به صورت مخفی است را نیز رایت خواهد کرد .

در کامپیوتر میزبان :
اگر شخص از ویندوز های 98 , 2000 , ME و ویندوز هایی که از Customize Folder Wizard استفاده می کنند ، داشته باشد با باز کردن پوشه یا فلاپی درایوی که کرم در آن وجود دارد آلوده خواهد شد . چون کرم از آین سرویس ویندوز استفاده کرده و خود را اجرا می کند .
در ویندوز xp چون این سرویس غیر فعال است و دیگر وجود ندارد آلودگی فقط با اجرای مستقیم کرم شروع می شود . در ویندوز های دیگر نیز با اجرای مستقیم کامپیوتر آلوده می شود . بعد از اجرای فایل اگر باز بخواهید فایل را اجرا کنید اختار زیر ظاهر می شود :



بعد . کرم خود را با نام های مختلف در یکی از پوشه های Windows ، Temp ، System ، Web ، Help کپی می کند .

و در تمامی پوشه هایی که وارد شوید یک فایل اجرایی با نام پوشه می سازد و در همان پوشه فایل desktop.ini یا Rundesktop.ini را تغییر می دهد و در آن کدهای زیر را اضافه می کند :

تا فایل دومی به نام comment.htt یا Runcomment.htt را بعد از هر بار ورود به پوشه یا درایور هارد اجرا کند . در این فایل هم کدهای زیر قرار دارد :

که فایل اجرایی موجود در پوشه را اجرا می کند .
همچنین کرم فایلی به نام WINFILE.EXE را در تمایم درایو های هارد و بعضی پوشه های می سازد . همچنین در درایو فلاپی . این فایل شبیه پوشه است .



علائم آلودگی :
1) وجود فایل در درایو های هارد
2) کپی شدن خود کار این فایل در فلاپی درایو
3) اگر فایلهای مخفی را ظاهر کنید . دو باره بعد از مدتی مخفی می شوند .
4) هنگام رفتتن به هر پوشه فایلی اجرای به شکل پوشه و با همان نام در آنجا ساخته می شود (البته مخفی ) .
5) در ویندوز های 98 تا 2000 ویندوز بعد از مدتی کند می شود .
6) بعضی مواقع کپی و پست کار نمی کند . یعنی شما فایل را کپی می کنید . اما بعد از رفتن به مقصد گزینه پست غیر فعال شده است انگار کپی انجام نگرفته !


نکته 1 :ویروس به زبان VB نوشته شده توسط مایکروسافت ویژوال استودیو .
نکته 2 : احتمالا نام دیگر ویروس Xgtray
نکته 3 : اگر هنگامی که فایل اصلی کرم در یکی از پوشه های Windows ، Temp ، System ، Web ، Help باشد و شما وارد پوشه ای شوید که کرم در آن است آن وقت کرم جای حود را عوض می کند و به پوشه ی دیگری می رود !



طریقه پاک کردن ویروس :

تمامی آنتی ویروس ها دیگر این ویروس را می شناسند و آن را پاک می کنند.

اما پاک کردن دستی به این صورت است .

1) ابتدا فایل اجرایی ویروس را از کار می اندازید . ( فایلی که در حافظه است ) با Taskmanenger
2) با سرچ وینوز دنبال فایلهای اجرایی با حجم 48 کیلو بایت می گردید . بعد آنهایی را که شکل پوشه هستند را پاک می کنید .
3) دو باره باسرچ ویندوز دنبال فایلهایی با پسوند htt و با نام های comment و Runcomment میگردید . همه را پاک کنید .

اما بهترین کار استفاده از یک آنتی ویروس است . بهتر است از مکافی ورژن 8 به بالا استفاده کنید.

بازم تاکید می کنم این ویرس ممکن است کارهای دیگری هم انجام دهد که من بی خبر هستم .

با تشکر از شما که این مطلب را خواندید.
لازم به ذکر است تمامی این مطالب را خودم نوشته و از کسانی که وبلاگ یا سایت دارند و مایلند این مطلب را در سایت یا وبلاگ خود قرار دهند حتما منیع آن یعنی سایت من را نیز بنویسند .

منبع : www.prs-land.tk




  امتیاز: 0.00     
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   ناشناس   در :  شنبه 08 بهمن 1384 [12:36 ]
  >کرم Wukill ) W32/Wukill.worm.gen )
 

از راهنمایی شما mrgreen smile

  امتیاز: 0.00