• مشکی
  • سفید
  • سبز
  • آبی
  • قرمز
  • نارنجی
  • بنفش
  • طلایی
  • تعداد بازديد :
  • 2923
  • چهارشنبه 1382/12/13
  • تاريخ :

آشنایی با ویروس

Pruneنام :Pruneنام مستعار :Iraq Crisis, UN_Interview

این كرم با زبان Visual Basic Script نوشته شده است كه شیوه پراكندگی و انتشار آن از راه آلوده كردهEmail وMIRC و
پوشههایبهاشتراكگذاشتهشدهدرشبكهاست .

بدنه اصلی این كرم خود را با نام UN_Interview.txt.vbs در شاخهC:/Windows كپی می كند و بعد این كرم به 3 روال
 شروع به پخش می كند ( مثلا به وسیله میل وMIRC و شبكه بواسطه پیروی كردن ازPayload)

انتشار از طریق ایمیل :

كرم ازMS Outlook و آردس های موجود در كتاب آردس این برنامه برای انتشار خود استفاده می كند .
یك میل آلوده مثل مثال زیر می باشد :

Subject: US Goverment Material - Iraq Crisis Body: <empty> Attachment: UN_Interview.txt.vbsهنگامی كه فرستادن میل ها تمام شد كرم شروع به پاك كردن میل های فرستاده شده می ازmailbox قربانی می كند .آلودگی از طریقMIRC : كرمPrune كوشش می كند تا خود را از طریقMirc  و با بررسی حضور فایلMire.ini در شاخهc:/Mirc  خود را  وسعت می دهد.اگر این شاخه را پیدا كرد سعی می كند كه  فایلUn_Interview.txt.vbs را در هنگام كه افراد به اینترنت متصل می شوند بفرستد.آلودگی به وسیله شبكه : كرمPrune شروع به اسكن كردن رنج های IP می كند و  درایو های به اشتراك گذاشته شده در آنها را جستجو می كند .این كرم سعی می كند تا خود را در شاخهStaratup ویندوز ، با نامUn_Interview.txt.vbs كپی می كند  . كرم شروع به درست كردن فایلHCKD.txt كرده و  نتیجه بررسی رنجIP ها را در آنSave كند .IP ویژه ای كه این كرم استفاده می كندمتعلق به دانشگاهWashington است .زمانبارگذاری هنگامی كه سیستم در اول هر ماه روشن شود ،  كرم خود را به 39 فایل درc:/Unzipped وC:/Windows/Desktop و با نامهای مختلف از جمله موارد زیر  كپی و اضافه می كند:C:/UNZIPPED/DAMN_SOURCE.MPEG C:/WINDOWS/DESKTOP/CUNT-EAT-CUM.MP3 C:/WINDOWS/DESKTOP/www.SEX-MOVIES2.MPEG etc.و بعدا این پیغام را با متن زیر نمایش میدهد : 

  در هنگامی كه روز 1 یا 2 یا 3 یا 4 یا 5 از هر ماه باشد كرمPrune سعی می كند تا فایلهایی را كه ویندوز از آنجا نصب شده است و شاخه سیستم موجود در شاخه ویندوزرا پاك كند .  در هنگامی كه تاریخ سیستم به پنجم هر ماه می رسد این پیغام نمایش داده می شود :
 
UserName