این کرم به روش های مختلفی سیستم ها را آلوده می سازد که عبارتند از:
1. __ استفاده از آسیب پذیری های سیستم. مثلا" تا زمانیکه این کرم نبود ،کسی از ضعف موجود در چگونگی کار
سیستم شورت کات در ویندوز مطلع نبود
(Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (BID 41732)
این کرم دقیقا" الگوریتم ویندوز برای شورت کات را بکار میبرد (که این ویژگی ویندوز بصورت ریموت قابل کنترل است )
و خودش را به درایو های قابل حمل با نام های زیر کپی میکند
کد HTML:
~WTR4132.tmp
~WTR4141.tmp
هردو فایل شدیدا" کد بندی شده و در اصل هردو ، فایل های DLL هستند
همچنین در درایو مذکور فایل های زیر را ایجاد میکنند:
کد HTML:
Copy of Shortcut to.lnk
Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Copy of Shortcut to.lnk
حالا وقتیکه کاربر بهر طریقی وارد درایو فوق بشود ، سیستم عوض نشان دادن آیکن های فایل های گفته شده ، کد
موجود در فایل اول گفته شده در بالا ( ~WTR4132.tmp) را اجرا میکند.و این فایل هم فایل دوم (WTR4141.tmp) را
راه اندازی مینماید که در حافظه بار میشود و راحت مردم آزاری میکند
نکته جالب این است که اگر این فایل را آزمایش کنی می بینی مطابق شکل زیر مارک معتبر بودن از یک شرکت معتبر
را دارد!
چگونگی قابل کنترل بودن این خاصیت بطریق ریموت در لینک زیر در زبانه های مختلف صفحه صحبت شده است
http://www.securityfocus.com/bid/31874/info
البته از بعضی سرویس های دیگر ویندوز نیز بهمین روش استفاده میکند که بخاطر کم نگهداشتن حجم مطلب در
موردشان صحبت نمیکنم.برای مثال از ویژگی Microsoft Windows Print Spooler Service Remote Code استفاده
میکند که اجازه میدهد بتواند فایل هائی در پوشه سیستم ساخته شود و از آنجا مثل فایل های معمول سیستمی
عمل کرده و خودش را به سیستم های قربانی کپی نماید.
2.__ روش دیگری که برای آلوده کردن بکار میگیرد ، استفاده از اشتراک های شبکه ای ( Network Shares) است.
در شبکه ها خود را با نام زیر وارد میکند
کد HTML:
“DEFRAG[RANDOM NUMBER].tmp
که این فایل هم در اصل یک فایل DLL است که پس از کپی شدن ، اجرا شده و ماموریتش را شروع میکند.
بعضی از فعالیت های دیگر این کرم بشرح زیر است:
_ ممکن است فایل های زیر در بعضی سیستم های آلوده دیده شوند:
کد HTML:
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
%DriveLetter%\~WTR4132.tmp
%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk
%Windir%\inf\oem6C.PNF
%Windir%\inf\oem7A.PNF
%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\mdmeric3.PNF
__ ظاهرا" نه فایلی را در سیستم پاک میکند و نه فایلی را تغییر میدهد.
__ ورودی های زیر را در رجستری سیستم وارد میکند:
کد HTML:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\"ImagePath" = "%System%\drivers\mrxcls.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\"ImagePath" = "%System%\drivers\mrxnet.sys"
__ از پروسه های ویندوز ، پروسه های iexplorer.exe و lsass.exe را برای تزریق کدهایش بکار میگیرد.
__ پس از نفوذ به کامپیوتر سالم فایل های زیر را که کپی های خودش هستند قرار میدهد
کد HTML:
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
که بعد این فایل ها را ثبت کرده و با استفاده از تغییرات رجستری که در بالا گفته شد از آن ها بصورت سرویس استفاده میکند.
__ همچنین فایل های زیر را که کپی کدبندی شده خودش هستند را به سیستم اضافه میکند:
کد HTML:
%Windir%\inf\oem6C.PNF
%Windir%\inf\oem7A.PNF
%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\mdmeric3.PNF
زمانیکه سعی در پاک کردن سیستم بکنیم و بعضی کپی های این کرم را حذف نمائیم فایل (mrxcls.sys) که در سطور
بالا در موردش صحبت کردیم ، فایل های بالا را از کدبندی درآورده و مجددا" سیستم را آلوده میکند
توضیحاتی در مورد ویروس Shortcut
پاسخ با نقل قول
.gif "fkr")
نوشته اصلی توسط eDvArDo
.gif "merc")
علاقه مندی ها (بوک مارک ها)