وظایف :
1 - دسترسی دیگران به منابع سیستمتشریح :
این کرم حاوی کد های تروجان مانندی است که از طریق کانال های IRC اجازه نفوذ به هکر می دهد . این سرویس در پشت پردازش ها اجرا می شود به دور از چشم کاربر . همچنین این کرم خود را در داخل شاخه سیستم ویندوز به نام فایل USBHARDWARE32C.EXE کپی می کند . و این شاخه ها را برای اجرا مجدد خود می سازد ::HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
همچنین این مقدار ها را تغییر می دهد ::
" HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N
" HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous = "1
وظایف ::
1 - دسترسی دیگران به منابع سیستمتشریح ::
این کرم همچنین شامل کد های تروجان مانندی است که از طریق کانال های IRC کار می کند . کار این کرم ساختن یک اکانت در سطح ادمین است و دزدن اطلاعات و اطلاعات مانند کلمات عبور سریال برنامه ها و باز ها و همچنین حملات D.O.S و همچنین ضبط صفحه کلید . و از کار انداختن آنتی ویروس ها و دیوار اتش ها و همچنین این کرم شاخه های زیر را در رجیستری می سازد ::HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Default =
lsassM.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
Default =
lsassM.exe
وظایف :
1 - از کار انداختن انتی ویروستشریح :
این کرم می تواند از کانال های IRC به هکر اجازه استفاده از سیستم قربانی را بدهد . همچنین این کرم از آسیب پذیری های DCOM-RPC و LSASS برای پخش خود استفاده می کند . این کرم خود را با نام فایل crmss.exe در شاخه سیستم ویندز کپی می کند . همچنین این شاخه ها را در رجیستری می سازد ::HKLM\Software\Microsoft\Windows\CurrentVersion\Run
xpupdate
updates.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
xpupdate
updates.exe
آشنایی با ویروس ها (5)- ویروس VBS/Mcon-G
وظایف :
1 - نصب خود بر روی رجیستریتشریح :
این کرم از کانال های IRC جابجا می شود . هنگامی که اجرا می شود خود را در شاخه هایی که در نام انها startup استفاده شده باشد به نام ttfload.vbs کپی میکند و شاخه های زیر را در رجیستری می سازد ::HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ttfload" wscript.exe \Fonts\ttfload.vbs "
HKCU\Software\Microsoft\Windows Scripting Host\Settings
Timeout
HKCU\Software\Microsoft\Windows Script Host\Settings
Timeout
INVALID FILE FORMAT
این کرم این شاخه را هم تغییر می دهد ::HKLM\Software\Microsoft\Internet Explorer\Main \
Start
" http://www.zonelabs.com
وظایف :
1 - از کار انداختن آنتی ویروس هاتشریح :
این کرم خود را در شاخه Temp ویندوز به نام فایل java.exe ذخیره میکند . و این شاخه ها را در رجیستری می سازد ::