رفته بودم توی سایت مرکزی دانشگاه نشستم پشت یکی از سیستم ها فلش مموری خودم به پورت usb سیستم وصل کردم
می خواستم فایل پاور پوینت خودم رو که باید تا دقایقی دیگه می رفتم و به استاد نشون بدم با کلی ذوق و شوق که الان می رم ارائه خودم رو می دم و یه ۲ با یه صفر کله گنده می گرم فایلم رو باز کردم تا ببنم فایل رو باز کردم و دیدم درسته و رفتم سر کلاس نوبت من شده بود رفتم تا فلش مموری وصل کنم به سیستم استاد رفتم داخل درایو فلش مموری اما با کمال تعجب دیدم فایلم نیست کلی گشتم دیدم نه واقعا نیست هرچی نگاه می کردم می دیدم فولدر حجم داره اما فایلم نیست گفتم حتما مخفی شده رفتم از منوی toolz و هرچی نگاه می کنم سیستم چیزی به نام folder option نداره سیستم . به استاد نشون دادم و کفتم که فایلم مخفی هست و روی سیستم باز نمی شه و استاد هم لطف کرد و اجازه داد من جلسه بعد ارائه خودم را بدم. رفتم خونه لپ تاپ رو روشن کردم تا ببینم چرا مخفی هست اما چشمتون روز بد نبینه تا فلش رو زدم به سیستم ،سیستم ریستارت شد سیستم که اومد بالا پیغام day of judgment کلی تعجب زده شده بودم دیدم اینترنت اکسپلورر اومد بالا صدای آژیر می اومد از اسپیکرها ، هرجا کی می رفتم نوشته بود day of judgment دیگه کلی اعصابم خورد شده بود کلی کار داشتم با سیستم که عقب افتاده بود و باید انجام بدم . رفتم توی اینترنت و سرچ کردم day of judgment سایت ویکی پدیا رو دیدم که درباره اش نوشته بود روز رستاخیز و … اما مطلبی پیدا نکردم برای اینکه چطوری اون را پاک کنم از روی سیستم . به صورت دستی یک سری از چیز هارو پاک کردم اما باز فابده نداشت تا اینکه فایل های رو که می دیدم مشکوک هست را برای سایت بیت دیفندر فرستادم بعد از چند روز دیدم که اون فایل رو سیستم به عنوان یک مخرب می شناسه واون را پاک کرد از روی سیستم اما خرابکاری های اون رو نمی تونه برگردونه. تصمیم گرفتم هرطوری شده سیستم رو درست کنم توی یه سایت چینی (یادم نیست کدوم سایت بود) تونستم پیدا کنم

این کرم وقتی اجرا می شه ، ابتدا خودش را به صورت ‏زیر بر روی سیستم کپی میکنه:‏

‎%System32%\Sys.exe

‎%Windows%\Shell.exe

‎%Windows%\vxds.exe

‎%Windows%\Help\vxds.exe

‎%Windows%\media\wma.exe

و برای اینکه با هر بار روشن شدن سیستم اجرا بشه، آنها را در ‏رجیستری ثبت می‌کنه:‏

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = userinit.exe, sys.exe

Userinit = Explorer.exe shell.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

vxds = %Windows%\vxds.exe

و در System32 فایلی با نام ‏oemlogo.bmp‏ و‏ blank.htm وoemlogo.ini به صورت ‏مخفی ایجاد می‌کنه

که متن انگلیسی که نمایش داده شده در صفحه ی blank.htm ترجمه سوره حمد هست.

و در همه درایوها در داخل مسیر ‏Recycler‏ ‏فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام ‏Sys.exe‏ ‏درون آن قرار می‌دهد. سپس در ریشه هر درایو فایلی با نام ‏Autorun.inf‏ . و این باعث میشه با هر بار ورود به درایوی این کرم اجرا بشه.

وهمچنین قبل از ورود به سیستم صفحه‌ای با تیتر ‏Antichrist‏ و با متن ‏Day of judgment‏ نمایش داده شود. همچنین باعث می‌شود ‏فایل‌های ‏Super Hidden‎‏ نمایش داده نشود. جلوی اجرای برنامه‌های ‏RegEdit‏ و ‏Task Manager‏ را گرفته و رنگ زمینه ‏Windows‏ و صفحه ‏cmd‏ را تغییر می‌دهد. ‏بعلاوه نام ‏User‏ و ‏Organization‏ ثبت شده برای سیستم را با [Antichrist] تغییر می‌دهد.‏

برای اینکه خرابکاری این کرم را به حالت اولیه خودش بر گردونید به لینک زیر مراجعه کرده و فایل ۲کیلو بایتی را دریافت و انرا اجرا کرده و درضمن اگر انتی ویروس ندارید روی سیستم خود پیشنهاد می کنم آنتی ویروس بیت دیفندر رو روی سیستم خودتون نصب کنید

برای دریافت فایل اینجا را کلیک کنید

password:www.modaser.com