آشنایی با عملکرد ویروس W32/SillyFDC-CI موسوم به Limit.exe
ویروس W32/SillyFDC-CI که فایل اصلی آن Limit.exe به
همراه یک فایل متنی به نام Autorun.inf میباشد ، اخیرا بسیاری از
سیستمها را آلوده کرده است .
توضیحات مختصر :
نوع : کرم Worm
پلتفرم : ویندوز
فایلهای الحاقی : Autorun.inf , MSCONFIG.EXE , Limit.exe
خلاصه عملکرد :
کپی خود در کلیه درایوها و اخلال در بازشدن درایوها
اجرای خود به صورت اتواستارت در هنگام بوت ویندوز
غیرفعال کردن تسک منیجر TaskManager
غیرفعال کردن خط فرمان ویندوز CMD.exe:Command Prompt و Command.com
غیرفعال کردن ویرایشگر رجیستری Regedit
غیرفعال کردن ام اس کانفیگ MSConfig
نمایش پیام هشدار
خاموش کردن سیستم
عناوین دیگر :
این ویروس همچون بسیاری از ویروسهای جدید خود در کلیه درایوهای هارد و مموری دیسکهای متصل به سیستم کپی می کند و برای آنکه به صورت اتوران در فلش مموری ها و یا با دابل کلیک کردن درایوها ، فعال گردد ، فایلی با نام Autorun.inf را نیز همراه خود در این مسیرها کپی می کندد که محتویات این فایل متنی به صورت زیر است :
[autorun]
open=Limit.exe
shellexecute=Limit.exe
shell\open\command=Limit.exe
shell\explore\command=Limit.exe
shell\auto\command=Limit.exe
این کرم اینترنتی خود را بانام MSCONFIG.exe در شاخه سیستم (MSCONFIG.EXE< WINDOWS>\) کپی می کند و با دستکاری در رجیستری ،خود را به صورتی تنظیم می کند که با هربار اجرای ویندوز مجددا اجرا گردد .
این ویروس همچنین ویرایشگر رجیستری (Regedit.exe) و خط فرمان ویندوز ( CMD.exe) و همچنین تسک منیجر (taskmgr.exe) را از کار می اندازد . همچنین اجرای دستور Command.com که جایگزینی برای دستور CMD.exe میباشد را غیرفعال می کند .
این ویروس در مواردی نیز پنجره هشداری با عنوان "Warning!!" و با متن
" Shut Down After 15 mins "
را نمایش می دهد و ممکن است سیستم را خاموش کند .
این ویروس در مسیرهای زیر ، فایلهای زیر را حذف کرده و پوشه هایی همنام با آنها ایجاد می کند :
< SYSTEM > \cmd.com
\cmd.exe
\command.com
\taskmgr.exe
\pchealth\helpctr\binaries\msconfig.exe
\regedit.exe
\dllcache\cmd.com
\dllcache\cmd.exe
\dllcache\command.com
\dllcache\msconfig.exe
\dllcache\regedit.exe
\dllcache\taskmgr.exe
وبدین ترتیب کلیه این دستورات و برنامه ها را غیرفعال می کند .
وبدین ترتیب کلیه این دستورات و برنامه ها را غیرفعال می کند .
نکته : منظور از < Windows > پوشه ای است که ویندوز در ان نصب شده . مثلا اگر ویندوز در درایو D و با عنوان پوشه Winxp نصب شده باشد عبارت < Windows > معادل D:\Winxp\ خواهد بود . منظور از < System > نیز در ویندوز اکس پی پوشه SYSTEM32 در داخل پوشه < Windows > میباشد .
در بعضی از سیستمها ویروس فایلهای فوق را در مسیر زیر با نامهای تغییر یافته کپی می کند :
مثلا
من فایل regedit.exe اصلی را در این مسیر با نام 42_regedit.exe
یافتم ! و یا CMD.exe به مسیر فوق توسط ویروس منتقل شده بود وبه
7_cmd.exe تغییر نام داده شده بود .
در واقع این ویروس بیش از 70 فایل اصلی ویندوز را به این پوشه انتقال می دهد و به ابتدای آنها یک عدد به همراه یک زیر خط اضافه می کند:
بصورت زیر :
XX_filename
که xx یک عدد دورقمی است و filename نام اصلی و قبلی فایل است .
روش حذف کامل و پاکسازی این ویروس و بازگرداندن فایلهای خراب را بزودی در سایت قرار میدهم .
کلمات کلیدی :
MSCONFIG.EXE Limit.exe Autorun.exe , Worm.Win32.AutoRun.qi
TR/Autorun.E.1 Trojan.Autorun.E W32/Autorun.worm.j Win32/AutoRun.BZ Trj/Autorun.AZ W32/SillyFDC-CI WORM_SILLYFDC.CO
C:\WINDOWS\pchealth\helpctr\binaries
کپی خود در کلیه درایوها و اخلال در بازشدن درایوها
اجرای خود به صورت اتواستارت در هنگام بوت ویندوز
غیرفعال شدن تسک منیجر TaskManager taskmgr.exe
غیرفعال شدن از کارافتادن کار نمی کند خط فرمان ویندوز CMD.exe:Command Prompt و Command.com
غیرفعال شدن ویرایشگر رجیستری Regedit.exe Registry Editor
غیرفعال شدن ام اس کانفیگ MSConfig.exe
پنجره هشدار عنوان " Warning!! " و با متن
" Shut Down After 15 mins " ویروس لیمیت دات اگزه اتوران دات اینف آی ان اف limit.exe Virus Trojan ویروس ويروس درایوها باز نمی شود مشکل دارد ایراد دارد
Alt Ctrl Control Del delete کار نمی کند از کار افتادن سی ام دی از کار افتاده چگونه چطور طریقه حذف ویروس لیمیت Limit.exe ویروسی که باعث می شود درایوها باز نشود نشوند
خاموش شدن سیستم C:\WINDOWS\BricoPacks\SysFiles
How to Remove limit.exe description of Limit.exe MSCONFIG.exe Viruses
shell\explore\command=Limit.exe shell\auto\command=Limit.exe
توضیحات مختصر :
نوع : کرم Worm
پلتفرم : ویندوز
فایلهای الحاقی : Autorun.inf , MSCONFIG.EXE , Limit.exe
خلاصه عملکرد :
کپی خود در کلیه درایوها و اخلال در بازشدن درایوها
اجرای خود به صورت اتواستارت در هنگام بوت ویندوز
غیرفعال کردن تسک منیجر TaskManager
غیرفعال کردن خط فرمان ویندوز CMD.exe:Command Prompt و Command.com
غیرفعال کردن ویرایشگر رجیستری Regedit
غیرفعال کردن ام اس کانفیگ MSConfig
نمایش پیام هشدار
خاموش کردن سیستم
عناوین دیگر :
|
اسامی دیگر این ویروس Limit.exe , Size:
557056 bytes |
|
|
Antivirus |
Result |
|
AhnLab-V3 |
Win32/Autorun.worm.557056 |
|
AntiVir |
TR/Autorun.E.1 |
|
Avast |
Win32:AutoRun-CD |
|
AVG |
Worm/Delf.COP |
|
BitDefender |
Trojan.Autorun.E |
|
CAT-QuickHeal |
Worm.AutoRun.bz |
|
ClamAV |
Trojan.VB-1018 |
|
DrWeb |
Win32.HLLW.Autoruner.293 |
|
eTrust-Vet |
Win32/SillyAutorun.G |
|
Ewido |
Worm.AutoRun.qi |
|
F-Secure |
Worm.Win32.AutoRun.qi |
|
GData |
Worm.Win32.AutoRun.qi |
|
Ikarus |
Virus.Win32.AutoRun.bz |
|
Kaspersky |
Worm.Win32.AutoRun.qi |
|
McAfee |
W32/Autorun.worm.j |
|
Microsoft |
Virus:Win32/VB.CV |
|
NOD32v2 |
Win32/AutoRun.BZ |
|
|
W32/AutoRun.CS |
|
Panda |
Trj/Autorun.AZ |
|
Prevx1 |
Malicious Software |
|
Rising |
Worm.Win32.VB.je |
|
Sophos |
W32/SillyFDC-CI |
|
Symantec |
W32.SillyFDC |
|
TrendMicro |
WORM_SILLYFDC.CO |
|
VBA32 |
Virus.Win32.AutoRun.bz |
|
ViRobot |
Trojan.Win32.Autorun.557056 |
|
Webwasher-Gateway |
Trojan.Autorun.E.1 |
این ویروس همچون بسیاری از ویروسهای جدید خود در کلیه درایوهای هارد و مموری دیسکهای متصل به سیستم کپی می کند و برای آنکه به صورت اتوران در فلش مموری ها و یا با دابل کلیک کردن درایوها ، فعال گردد ، فایلی با نام Autorun.inf را نیز همراه خود در این مسیرها کپی می کندد که محتویات این فایل متنی به صورت زیر است :
این کرم اینترنتی خود را بانام MSCONFIG.exe در شاخه سیستم (MSCONFIG.EXE< WINDOWS>\) کپی می کند و با دستکاری در رجیستری ،خود را به صورتی تنظیم می کند که با هربار اجرای ویندوز مجددا اجرا گردد .
این ویروس همچنین ویرایشگر رجیستری (Regedit.exe) و خط فرمان ویندوز ( CMD.exe) و همچنین تسک منیجر (taskmgr.exe) را از کار می اندازد . همچنین اجرای دستور Command.com که جایگزینی برای دستور CMD.exe میباشد را غیرفعال می کند .
این ویروس در مواردی نیز پنجره هشداری با عنوان "Warning!!" و با متن
" Shut Down After 15 mins "
را نمایش می دهد و ممکن است سیستم را خاموش کند .
این ویروس در مسیرهای زیر ، فایلهای زیر را حذف کرده و پوشه هایی همنام با آنها ایجاد می کند :
وبدین ترتیب کلیه این دستورات و برنامه ها را غیرفعال می کند .
در بعضی از سیستمها ویروس فایلهای فوق را در مسیر زیر با نامهای تغییر یافته کپی می کند :
< Windows >\BricoPacks\SysFiles
در واقع این ویروس بیش از 70 فایل اصلی ویندوز را به این پوشه انتقال می دهد و به ابتدای آنها یک عدد به همراه یک زیر خط اضافه می کند:
بصورت زیر :
XX_filename
که xx یک عدد دورقمی است و filename نام اصلی و قبلی فایل است .
کلمات کلیدی :
MSCONFIG.EXE Limit.exe Autorun.exe , Worm.Win32.AutoRun.qi
TR/Autorun.E.1 Trojan.Autorun.E W32/Autorun.worm.j Win32/AutoRun.BZ Trj/Autorun.AZ W32/SillyFDC-CI WORM_SILLYFDC.CO
C:\WINDOWS\pchealth\helpctr\binaries
کپی خود در کلیه درایوها و اخلال در بازشدن درایوها
اجرای خود به صورت اتواستارت در هنگام بوت ویندوز
غیرفعال شدن تسک منیجر TaskManager taskmgr.exe
غیرفعال شدن از کارافتادن کار نمی کند خط فرمان ویندوز CMD.exe:Command Prompt و Command.com
غیرفعال شدن ویرایشگر رجیستری Regedit.exe Registry Editor
غیرفعال شدن ام اس کانفیگ MSConfig.exe
پنجره هشدار عنوان " Warning!! " و با متن
" Shut Down After 15 mins " ویروس لیمیت دات اگزه اتوران دات اینف آی ان اف limit.exe Virus Trojan ویروس ويروس درایوها باز نمی شود مشکل دارد ایراد دارد
Alt Ctrl Control Del delete کار نمی کند از کار افتادن سی ام دی از کار افتاده چگونه چطور طریقه حذف ویروس لیمیت Limit.exe ویروسی که باعث می شود درایوها باز نشود نشوند
خاموش شدن سیستم C:\WINDOWS\BricoPacks\SysFiles
How to Remove limit.exe description of Limit.exe MSCONFIG.exe Viruses
shell\explore\command=Limit.exe shell\auto\command=Limit.exe
+ نوشته شده در جمعه یازدهم مرداد ۱۳۸۷ ساعت 12:29 توسط الیاس ملکی- شاندرمن
|
پروردگارا !