ویروس مرگ بار هرگز از این ویروس استفاده نکنید برای خودتان
این ویروس خیلی مخرب و هرگز روی سستم خودتون امتحان نکنید.
این ویروس دارای ویژگی هایی از جمله:
نابود کردن آنتی ویروس
نابود کردن دیوار دفاعی ویندوز تا هیچ مانعی در برابرش نباشد
نوع : کرم اینترنتی
اندازه : ۹۸۳۰۴ بایت
محیطهای قابل اجرا : Windows 2000,XP,NT,....
خصوصیات :
1) از طریق SMTP Engine که در ویروس وجود دارد Email های آلوده با مشخصات زیر ارسال میکند :
1-1) ساختار mail ارسالی توسط ویروس به این شرح است :
از :
◊ " esafe.virus@ealaddin.com
◊ " support@symantec.com
◊ " xxx@penis.com
◊ " Assistant@software.com
◊ " support@xnxx.com
◊ " SexTutorial@swp.com
عنوان :
◊ " Thank you for registered
◊ " Norton 360
◊ " Sex Toturial
◊ " Assistant 2007
◊ " Sexy screen saver
◊ " hug penis
بدنه :
" hi dear thank you for registration you must download and install this software
" response for request i agree a bout it downoad free software www.symantec.com
" this is the best book of sex tutorial download and read it
" +++ Assistant 2007+++
" this is very hot sex ! sex! sex! www.xnxx.com
" SEX! Sex!SEX! Sex!SEX! Sex!SEX! Sex!SEX! Sex!SEX! Sex!SEX! Sex!
نام فایلهای ضمیمه :
◊ " register.pif
◊ " install.exe
◊ " tutorial.pdf.pif
◊ " messenger2007.exe
◊ " SEX.scr
◊ " sex.com.exe
2) تغییراتی که در رجیستری ایجاد میشود عبارتند از :
◊ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MDM32.exe = %Sysyem%\LSSASS.exe
◊ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WinKrnl32.cab.exe = %Sysyem%\WinKrn32.cab.exe
◊ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Update.exe = %Sysyem%\Update.exe
3) فایلهای زیر را ایجاد میکند :
◊ %System%\LSSASS.exe
◊ %System%\WinKrn32.cab.exe
◊ %System%\Update.exe
◊ C:\register.pif
◊ C:\install.exe
◊ C:\tutorial.pdf.pif
◊ C:\messenger2007.exe
◊ C:\SEX.scr
◊ C:\sex.com.exe
◊
4) اجرای برنامه های زیر را متوقف میکند :
|
SHELLSPYINSTALL |
SHN |
SHOWBEHIND |
|
SMC |
SMS |
SMSS32 |
|
SOAP |
SOFI |
SPERM |
|
SPF |
SPHINX |
SPOLER |
|
SPOOLCV |
SPOOLSV32 |
SPYXX |
|
SREXE |
SRNG |
SS3EDIT |
|
SSGRATE |
SSG_4104 |
ST2 |
|
START |
STCLOADER |
SUPFTRL |
|
SUPPORT |
SUPPORTER5 |
SVC |
|
SVCHOSTC |
SVCHOSTS |
SVSHOST |
|
SWEEP95 |
SWEEPNET.SWEEPSRV.SYS.SWNETSUP |
SYMPROXYSVC |
|
SYMTRAY |
SYSEDIT |
SYSTEM |
|
SYSTEM32 |
SYSUPD |
TASKMG |
|
TASKMO |
TASKMON |
TAUMON |
|
TBSCAN |
TC |
TCA |
|
TCM |
TDS-3 |
TDS2-NT |
|
TEEKIDS |
TFAK |
TFAK5 |
|
TGBOB |
TITANIN |
TITANINXP |
|
TRACERT |
TRICKLER |
TRJSCAN |
|
TRJSETUP |
TROJANTRAP3 |
TSADBOT |
|
TVMD |
TVTMD |
UNDOBOOT |
|
UPDAT |
UPDATE |
UPDATE |
|
UPGRAD |
UTPOST |
VBCMSERV |
|
VBCONS |
VBUST |
VBWIN9X |
|
VBWINNTW |
VCSETUP |
VET32 |
|
VET95 |
vb6 |
taskmgr |
|
regedit |
notepad |
install |
|
setup |
MpfConsole |
AmIrCiViL RONET |
|
OTFIX |
OUTPOST |
OUTPOST |
|
OUTPOSTINSTALL |
OUTPOSTPROINSTALL |
PADMIN |
|
PANIXK |
PATCH |
PAVCL |
|
PAVPROXY |
PAVSCHED |
PAVW |
|
PCFWALLICON |
PCIP10117_0 |
PCSCAN |
|
PDSETUP |
PERISCOPE |
PERSFW |
|
PERSWF |
PF2 |
PFWADMIN |
|
PGMONITR |
PINGSCAN |
PLATIN |
|
POP3TRAP |
POPROXY |
POPSCAN |
کلیدهای رجیستری زیر را به منظور از کار انداختن Firewall ویندوز تغییر میدهد.
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = ۴
HKLM\SY STEM\ControlSet۰۰۱\Services\SharedAccess\Parameters\FirewallPolicy\StandardPro file
EnableFirewal = ۱
کلید های زیر را در مسیر HKCU\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run به منظور اجرا نشدن برخی برنامه ها از جمله ضد
ویروس ها پاک می کند.
sysmon.exe
srate.exe
ssate.exe
Microsoft IE Execute shell
Winsock۲ driver
ICM version
yeahdude.exe
Microsoft System Checkup
j ijbl
Video
service
DELETE ME
d۳dupdate.exe
Sentry
gouday.exe
rate.exe
Windows Services Host
Taskmon
Explorer
Windows Services Host
KasperskyAV
d۳dupdate.exe
au.exe
OLE
winupd.exe
direct.exe
کلید های زیر را در مسیر
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run به منظور اجرا نشدن
برخی برنامه ها از جمله ضد ویروس پاک میکند
gouday.exe
rate.exe
Windows Ser vices Host
sysmon.exe
srate.exe
ssate.exe
Microsoft IE Execute shell
Wi nsock۲ driver
ICM version
yeahdude.exe
Microsoft System Checkup
Explorer
system
msgsvr۳۲
au.exe
winupd.exe
direct.exe
jijbl
Video
service
DELET E ME
d۳dupdate.exe
Sentry
MCAgentExe
MCUpdateExe
WinampAgent
OASClnt
Ta skmon
Explorer
Windows Services Host
KasperskyAV
System
msgsvr۳۲
service
Sentry
کلید رجیستری زیر را به منظور از کار انداختن سرویس DCOM تغییر می دهد.
HKLM\SOFTWARE\Microsoft\OLE
EnableDCOM = N
کلید رجیستری زیر را به منظور از کار انداختن سرویس System Restore تغییر می دهد.
HKLM\ SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
DisableSR = ۱
به دنبال Folder های که درون ﺁنها نام های که در جدول زیر وجود دارد می گردد در صورتی موجود بودن اعمال زیر را انجام می دهد:
rit
ist
ys
orn
ro ot
assw
Sounds
ideo
av
rack
ile
W۳۲
onk
mob
tart
ffic
my
ina
Sha r
aza
ovi
roj
win
ict
caf
yma
mp۳
wav
se
usic
efu
am
own
it
up l
syst
اگر درون نام Folder کلمه muleوجود داشت فایل ویروس را با نام Ne wWeb.exe درون ﺁن Folder کپی می کند.
اگر درون نام Folder کلمه kazaوجود داشت فایل ویروس را با نام Downloader.pif درون ﺁن Folder کپی می کند.
اگر درون ن ام Folder کلمه uplوجود داشت فایل ویروس را با نام upload-file.exe درون ﺁن Fold er کپی می کند
اگر درون نام Folder کلمه syst وجود داشت فایل ویروس را با نام system.dll.cmd درون ﺁن Folder کپی می کند
اگر درون نام Folder کلمه hare وجو د داشت فایل ویروس را با نام SexyScreenSaver.scr درون ﺁن Folder کپی می کند
ا گر درون نام Folder کلمه comiوجود داشت فایل ویروس را با نام MyMiusic.exe درون ﺁن Folder کپی می کند
اگر درون نام Folder کلمه efuوجود داشت فایل ویروس را ب ا نام defult-path.cmd درون ﺁن Folder کپی می کند
اگر درون نام Folder کلمه am e وجود داشت فایل ویروس را با نام FunGame.flash.exe درون ﺁن Folder کپی می کند
اگر درون نام Folder کلمه cafeوجود داشت فایل ویروس را با نام Mcafee-AV.pif درون ﺁن Folder کپی می کند
اگر درون نام Folder کلمه ort وجود داشت فایل ویروس را با نام PortScanner.exe درون ﺁنFolder کپی میکند
اگر درون نام Folder کلمه yman وجود داشت فایل ویروس را با نام SymantecUpdate.exe درون آن Folder کپی میکند.
اگر درون نام Folder کلمه mp3 وجود داشت فایل ویروس را با نام Mp3Player.pif درون آن Folder کپی میکند
اگر درون نام Folder کلمه xxx وجود داشت فایل ویروس را با نام WaveToMp32.exe درون آن Folder کپی میکند.
