ابزار پاكسازي RemoveSetayesh
اين كرم ايراني پس از اجراي فايل آن بر روي سيستم كاربر، ابتدا خودش را به صورت زير بر روي سيستم كپي مينمايد:
%System32%\Sys.exe
%Windows%\Shell.exe
%Windows%\vxds.exe
%Windows%\Help\vxds.exe
%Windows%\media\wma.exe
و براي اينکه با هر بار بالا آمدن سيستم اين فايلها اجرا گردند، آنها را به شکل زير در رجيستري ثبت ميکند:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = userinit.exe, sys.exe
Userinit = Explorer.exe shell.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vxds = %Windows%\vxds.exe
همچنين در مسير System32 فايلي با نام OEMLOGO.BMP به صورت مخفي ايجاد ميکند که به شکل زير ميباشد:
بعلاوه در همين مسير فايلي با نام OEMLOGO.INI به صورت مخفي ميسازد که محتويات آن به شکل زير است:
[General]
Manufacturer=[Antichrist]
Model=[Day of judgment]
SupportURL=hxxp://www.antichrist.com/
LocalFile=blank.htm
[Support Information]
Line1=When comes the help of Allah, and victory,.
Line2=And thou dost see the people enter Allah's religion in crowds,.
Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: for he is oft-Returning (in forgiveness)..
فايل ديگري نيز در همين مسير با نام blank.htm به صورت مخفي ايجاد ميکند که با اجراي آن صفحهاي به شکل زير به نمايش درميآيد:
که متن انگليسي نمايش داده شده در اين صفحه ترجمه سوره حمد ميباشد. آنگاه براي اينکه با هر بار بالا آمدن سيستم اين فايل نمايش داده شود آن را به صورت زير در رجيستري ثبت ميکند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
براي اينکه مقدار Home Page و Search Page نرمافزار Internet Explorer را برابر با صفحه مذکور قرار دهد، تغييرات زير را در رجيستري ايجاد مينمايد:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = %System32%\blank.htm
Search Page = %System32%\blank.htm
از کارهاي جالب اين ويروس اين است که در همه درايوها در داخل مسير Recycler فولدري مخفي و با نام تصادفي ايجاد کرده و يک کپي از خودش را با نام Sys.exe درون آن قرار ميدهد. سپس در ريشه هر درايو فايلي با نام Autorun.inf و با محتويات زير ميسازد:
[autorun]
open=Recycler.{نام مسير تصادفي ايجاد شده}\sys.exe a
shell\open=Open
shell\open\Command=Recycler.{نام مسير تصادفي ايجاد شده}\sys.exe o
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=Recycler.{نام مسير تصادفي ايجاد شده}\sys.exe e
اين کار باعث ميشود که وقتي کاربر براي ورود به درايوي بر روي آن دوبار کليک نمايد، ابتدا فايل آلوده اجرا گردد.
همچنين اثرات ديگري به شکل زير دارد:
با ايجاد تغييراتي در رجيستري باعث ميشود که قبل از ورود به سيستم صفحهاي با تيتر Antichrist و با متن Day of judgment نمايش داده شود. همچنين باعث ميشود فايلهاي Super Hidden نمايش داده نشود. جلوي اجراي برنامههاي RegEdit و Task Manager را گرفته و رنگ زمينه Windows و صفحه cmd را تغيير ميدهد. بعلاوه نام User و Organization ثبت شده براي سيستم را با [Antichrist] تغيير ميدهد.
لازم به ذکر است که آخرين نگارش ضدويروس سيمانتك اين کرم اينترنتي را شناخته و به صورت کامل پاکسازي مينمايد.
براي پاكسازي اثرات باقي مانده اين ويروس همانند غير فعال شدن Registry يا Folder Option و يا باز نشدن درايوها با دابل كليك بر روي آنها و غيره از ابزار پاكسازي زير يا بالاي صفحه استفاده نماييد:
