یزدفردا

كرم W32/Downloader.xi چیست؟

یدفردا -احمد ابراهیمی:اندازه این فایل ۷۴۷۵۲بایت است.
این کرم خود را در مسیر زیر کپی می کند و این فایل را در لیست  Processes در حال اجرا قرار می دهد:
%System%\CbEvtSvc.exe
W32/Downloader.xi سرویس زیر را در سیستم ایجاد می کند :
 
 نام سرویس عنوان  وضعیت سرویس  نام فایل 
 CbEvtSvc  CbEvtSvc  Running  %System%\CbEvtSvc.exe -k netsvcs
 
برای ایجاد این سرویس در سیستم، کلیدهای رجیستری زیر را نیز ایجاد می کند :
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc
 
و کلیدهای زیر را تغییر می دهد :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent
(Default) = 0x0000000C
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent
(Default) = 0x0000000C
 
این کرم اینترنتی تلاش می کند که از طریق پورت 443 یک سری اطلاعات را به  IP:66.199.231.178  ارسال کند.

یزدفردا