این کرم به روش های مختلفی سیستم ها را آلوده می سازد که عبارتند از:
1. __ استفاده از آسیب پذیری های سیستم. مثلا" تا زمانیکه این کرم نبود ،کسی از ضعف موجود در چگونگی کار
سیستم شورت کات در ویندوز مطلع نبود
(Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (BID 41732)
این کرم دقیقا" الگوریتم ویندوز برای شورت کات را بکار میبرد (که این ویژگی ویندوز بصورت ریموت قابل کنترل است )
و خودش را به درایو های قابل حمل با نام های زیر کپی میکند
هردو فایل شدیدا" کد بندی شده و در اصل هردو ، فایل های DLL هستندکد HTML:~WTR4132.tmp ~WTR4141.tmp
همچنین در درایو مذکور فایل های زیر را ایجاد میکنند:
حالا وقتیکه کاربر بهر طریقی وارد درایو فوق بشود ، سیستم عوض نشان دادن آیکن های فایل های گفته شده ، کدکد HTML:Copy of Shortcut to.lnk Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Copy of Shortcut to.lnk
موجود در فایل اول گفته شده در بالا ( ~WTR4132.tmp) را اجرا میکند.و این فایل هم فایل دوم (WTR4141.tmp) را
راه اندازی مینماید که در حافظه بار میشود و راحت مردم آزاری میکند
نکته جالب این است که اگر این فایل را آزمایش کنی می بینی مطابق شکل زیر مارک معتبر بودن از یک شرکت معتبر
را دارد!
چگونگی قابل کنترل بودن این خاصیت بطریق ریموت در لینک زیر در زبانه های مختلف صفحه صحبت شده است
http://www.securityfocus.com/bid/31874/info
البته از بعضی سرویس های دیگر ویندوز نیز بهمین روش استفاده میکند که بخاطر کم نگهداشتن حجم مطلب در
موردشان صحبت نمیکنم.برای مثال از ویژگی Microsoft Windows Print Spooler Service Remote Code استفاده
میکند که اجازه میدهد بتواند فایل هائی در پوشه سیستم ساخته شود و از آنجا مثل فایل های معمول سیستمی
عمل کرده و خودش را به سیستم های قربانی کپی نماید.
2.__ روش دیگری که برای آلوده کردن بکار میگیرد ، استفاده از اشتراک های شبکه ای ( Network Shares) است.
در شبکه ها خود را با نام زیر وارد میکند
که این فایل هم در اصل یک فایل DLL است که پس از کپی شدن ، اجرا شده و ماموریتش را شروع میکند.کد HTML:“DEFRAG[RANDOM NUMBER].tmp
بعضی از فعالیت های دیگر این کرم بشرح زیر است:
_ ممکن است فایل های زیر در بعضی سیستم های آلوده دیده شوند:
__ ظاهرا" نه فایلی را در سیستم پاک میکند و نه فایلی را تغییر میدهد.کد HTML:%System%\drivers\mrxcls.sys %System%\drivers\mrxnet.sys %DriveLetter%\~WTR4132.tmp %DriveLetter%\~WTR4141.tmp %DriveLetter%\Copy of Shortcut to.lnk %DriveLetter%\Copy of Copy of Shortcut to.lnk %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk %Windir%\inf\oem6C.PNF %Windir%\inf\oem7A.PNF %Windir%\inf\mdmcpq3.PNF %Windir%\inf\mdmeric3.PNF
__ ورودی های زیر را در رجستری سیستم وارد میکند:
__ از پروسه های ویندوز ، پروسه های iexplorer.exe و lsass.exe را برای تزریق کدهایش بکار میگیرد.کد HTML:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\"ImagePath" = "%System%\drivers\mrxcls.sys" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\"ImagePath" = "%System%\drivers\mrxnet.sys"
__ پس از نفوذ به کامپیوتر سالم فایل های زیر را که کپی های خودش هستند قرار میدهد
که بعد این فایل ها را ثبت کرده و با استفاده از تغییرات رجستری که در بالا گفته شد از آن ها بصورت سرویس استفاده میکند.کد HTML:%System%\drivers\mrxcls.sys %System%\drivers\mrxnet.sys
__ همچنین فایل های زیر را که کپی کدبندی شده خودش هستند را به سیستم اضافه میکند:
زمانیکه سعی در پاک کردن سیستم بکنیم و بعضی کپی های این کرم را حذف نمائیم فایل (mrxcls.sys) که در سطورکد HTML:%Windir%\inf\oem6C.PNF %Windir%\inf\oem7A.PNF %Windir%\inf\mdmcpq3.PNF %Windir%\inf\mdmeric3.PNF
بالا در موردش صحبت کردیم ، فایل های بالا را از کدبندی درآورده و مجددا" سیستم را آلوده میکند
پاسخ با نقل قول
علاقه مندی ها (بوک مارک ها)