پیدایش دوباره کرم سل دوست

اخیرا کارشناسان نسخه "جی" کرم اینترنتی سل دوست را شناسایی کرده اند.

چندی پیش یک کرم اینترنتی به نام سل دوست، مشغول آلوده سازی رایانه های کاربران ایرانی است. براساس اعلام کارشناسان ضدویروس ایمن این کرم دوباره فعالیت خود را با نام W32/Saldost.g از سرگرفته است. "سل دوست جی" دست به کارهای مختلفی می زند که ذیلاً به بعضی از آنها اشاره می شود: 1. در کلید ریجستری مقادیر زیر را تغییر می‌دهد: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden = 2 HideFileExt = 2 ShowSuperHidden = 2 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Nofolderoptions = 1 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Nofolderoptions = 1 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore DisableConfig = 1 DisableSR = 1 2. در مسیرهای ذیل خود را با نام های Sex_ScreenSaver.scr و Sex_Game.exe کپی می کند. این مسیرها مخصوص برنامه شبکه های اشتراک گزاری (P2P) می‌باشد. %PROGRAMFILES%\Kazaa Lite\My Shared Folder\ %PROGRAMFILES%\Kazaa\My Shared Folder\ %PROGRAMFILES%\Icq\Shared Files\ C:\Inetpub\ftproot\ and more … 3. در مسیر %PROGRAMFILES%\XPCode\ خود را با نام های زیر کپی می‌کند: SexGame.exe SexScreenSaver.scr SexGameList.pif 4. در ریشه همه درایوها از جمله cooldisk خودش را با نام autorun.exe کپی می کند و در کنار آن فایلی به نام Autorun.inf ایجاد کرده،که با این کار بعد از کلیک کردن روی هر درایو، در حقیقت ویروس اجرا می گردد. نوع Autorun این ویروس به گونه‌ای است که در صورت پاک شدن ویروس و باقی ماندن فایل Autorun.inf با کلیک کردن روی هر درایو، پنجره Open With باز می‌شود و با راست کلیک کردن نیز نمی‌توان وارد درایو شد و باید حتما این فایل (Autorun.inf) پاک گردد. برای این کار می توانید از ابزار زیر استفاده کنید: www.imenantivirus.com/NoAutorun.zip