چندی پیش یک کرم اینترنتی به نام سل دوست، مشغول آلوده سازی رایانه های کاربران ایرانی است. براساس اعلام کارشناسان ضدویروس ایمن این کرم دوباره فعالیت خود را با نام W32/Saldost.g از سرگرفته است. "سل دوست جی" دست به کارهای مختلفی می زند که ذیلاً به بعضی از آنها اشاره می شود: 1. در کلید ریجستری مقادیر زیر را تغییر میدهد: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden = 2 HideFileExt = 2 ShowSuperHidden = 2 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Nofolderoptions = 1 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Nofolderoptions = 1 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore DisableConfig = 1 DisableSR = 1 2. در مسیرهای ذیل خود را با نام های Sex_ScreenSaver.scr و Sex_Game.exe کپی می کند. این مسیرها مخصوص برنامه شبکه های اشتراک گزاری (P2P) میباشد. %PROGRAMFILES%\Kazaa Lite\My Shared Folder\ %PROGRAMFILES%\Kazaa\My Shared Folder\ %PROGRAMFILES%\Icq\Shared Files\ C:\Inetpub\ftproot\ and more … 3. در مسیر %PROGRAMFILES%\XPCode\ خود را با نام های زیر کپی میکند: SexGame.exe SexScreenSaver.scr SexGameList.pif 4. در ریشه همه درایوها از جمله cooldisk خودش را با نام autorun.exe کپی می کند و در کنار آن فایلی به نام Autorun.inf ایجاد کرده،که با این کار بعد از کلیک کردن روی هر درایو، در حقیقت ویروس اجرا می گردد. نوع Autorun این ویروس به گونهای است که در صورت پاک شدن ویروس و باقی ماندن فایل Autorun.inf با کلیک کردن روی هر درایو، پنجره Open With باز میشود و با راست کلیک کردن نیز نمیتوان وارد درایو شد و باید حتما این فایل (Autorun.inf) پاک گردد. برای این کار می توانید از ابزار زیر استفاده کنید: www.imenantivirus.com/NoAutorun.zip