معرفی کرم : W32/Talangor.a

یزدفردا :احمد ابراهیمی:کرم ایرانی W32/Talangor.a دارای اندازه 27648 بایت است و فایلهای زیر را بر روی سیستم ایجاد می کند.

%Root%\Explore.exe
%Root%\Autorun.inf
%Virus-CurrentPath%\Autorun.inf
%Virus-CurrentPath%\config.ini
%Documents and Settings%\[User]\Autorun.inf
%System%\consol.dll
%System%\ddeshare.dll
%System%\dfrg.dll
%System%\ctfmon.cpl.cmd
%System%\ghayem.exe
%System%\map32.cmd
%Temp%\[Random].tmp\batfile.bat
%Temp%\[Random].tmp\b2e.exe

کلیدهای رجیستری که توسط این کرم ایرانی ساخته می شود به شرح ذیل می باشد:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecutionOptions\attrib.exe]
Debugger = "map32.cmd"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
Debugger = "talangor.exc"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
Debugger = "map32.cmd"

[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]
Shell = "explorer.exe , ctfmon.cpl.cmd"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.CPL = "ctfmon.cmd"
بنابراین با راه اندازی Windows این کرم اجرا می شود.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
UncheckedValue = "0x00000000"
با تغییر این مقدار کلید رجیستری فایلها و پوشه های Hidden نمایش داده نمی شود. برای نمایش فایلهای Hidden از برنامه زیر استفاده کنید :

http://www.imenantivirus.com/NoHidden.zip

برای بر طرف سازی اثرات تخريبی در رجیستری می توانيد از برنامه ی زير استفاده کنيد:

http://www.imenantivirus.com/RegRepair.zip

از دیگر کارهایی که W32/Talangor.a بر روی سیستم اعمال می کند، از اجرای برنامه هایی که دارای trayicon هستند ، جلوگیری می کند.

یزدفردا

• نویسنده : یزد فردا
• منبع خبر : خبرگزاری فردا