Damsun Security

ابزار پاكسازي RemoveSetayesh

اين كرم ايراني پس از اجراي فايل آن بر روي سيستم كاربر، ابتدا خودش را به صورت ‏زير بر روي سيستم كپي مي‌نمايد:‏

‎%System32%\Sys.exe
‎%Windows%\Shell.exe
‎%Windows%\vxds.exe
‎%Windows%\Help\vxds.exe
‎%Windows%\media\wma.exe

و براي اينکه با هر بار بالا آمدن سيستم اين فايل‌ها اجرا گردند، آنها را به شکل زير در ‏رجيستري ثبت مي‌کند:‏

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = userinit.exe, sys.exe
Userinit = Explorer.exe shell.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vxds = %Windows%\vxds.exe

همچنين در مسير System32 فايلي با نام ‏OEMLOGO.BMP‏ به صورت ‏مخفي ايجاد مي‌کند که به شکل زير مي‌باشد:‏

بعلاوه در همين مسير فايلي با نام ‏OEMLOGO.INI‏ به صورت مخفي مي‌سازد که ‏محتويات آن به شکل زير است:‏

[General]
Manufacturer=[Antichrist]
Model=[Day of judgment]
SupportURL=hxxp://www.antichrist.com/
LocalFile=blank.htm

[Support Information]
Line1=When comes the help of Allah, and victory,.
Line2=And thou dost see the people enter Allah's religion in crowds,.
Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: ‎for he is oft-Returning (in forgiveness)..

فايل ديگري نيز در همين مسير با نام ‏blank.htm‏ به صورت مخفي ايجاد مي‌کند که با ‏اجراي آن صفحه‌اي به شکل زير به نمايش درمي‌آيد:‏

که متن انگليسي نمايش داده شده در اين صفحه ترجمه سوره حمد مي‌باشد. آنگاه براي ‏اينکه با هر بار بالا آمدن سيستم اين فايل نمايش داده شود آن را به صورت زير در ‏رجيستري ثبت مي‌کند:‏

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm

براي اينکه مقدار ‏Home Page‏ و ‏Search Page‏ نرم‌افزار ‏Internet Explorer‏ را ‏برابر با صفحه مذکور قرار دهد، تغييرات زير را در رجيستري ايجاد مي‌نمايد:‏

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = %System32%\blank.htm
Search Page = %System32%\blank.htm

از کارهاي جالب اين ويروس اين است که در همه درايوها در داخل مسير ‏Recycler‏ ‏فولدري مخفي و با نام تصادفي ايجاد کرده و يک کپي از خودش را با نام ‏Sys.exe‏ ‏درون آن قرار مي‌دهد. سپس در ريشه هر درايو فايلي با نام ‏Autorun.inf‏ و با ‏محتويات زير مي‌سازد:‏

[autorun]
open=Recycler.{‎نام مسير تصادفي ايجاد شده‎}\sys.exe a
shell\open=Open
shell\open\Command=Recycler.{‎نام مسير تصادفي ايجاد شده‎}\sys.exe o
shell\open\Default=1‎
shell\explore=Explore
shell\explore\Command=Recycler.{‎نام مسير تصادفي ايجاد شده‎}\sys.exe e

اين کار باعث مي‌شود که وقتي کاربر براي ورود به درايوي بر روي آن دوبار کليک ‏نمايد، ابتدا فايل آلوده اجرا گردد.‏

همچنين اثرات ديگري به شکل زير دارد:‏

با ايجاد تغييراتي در رجيستري باعث مي‌شود که قبل از ورود به سيستم صفحه‌اي با تيتر ‏Antichrist‏ و با متن ‏Day of judgment‏ نمايش داده شود. همچنين باعث مي‌شود ‏فايل‌هاي ‏Super Hidden‎‏ نمايش داده نشود. جلوي اجراي برنامه‌هاي ‏RegEdit‏ و ‏Task Manager‏ را گرفته و رنگ زمينه ‏Windows‏ و صفحه ‏cmd‏ را تغيير مي‌دهد. ‏بعلاوه نام ‏User‏ و ‏Organization‏ ثبت شده براي سيستم را با [Antichrist] تغيير مي‌دهد.‏

لازم به ذکر است که آخرين نگارش ضدويروس سيمانتك اين کرم اينترنتي را شناخته و به صورت کامل پاکسازي مي‌نمايد.

براي پاكسازي اثرات باقي مانده اين ويروس همانند غير فعال شدن Registry  يا Folder Option و يا باز نشدن درايوها با دابل كليك بر روي آنها و غيره از ابزار پاكسازي زير يا بالاي صفحه استفاده نماييد:

RemoveSetayesh