کرم yaha.k

w32.yaha.k@mm يك نوع كرم كامپيوتريست. يكي از كارهايي كه اين كرم انجام ميدهد خاتمه دادن فايروالها و آنتي ويروسها. اين كرم از موتور SMTP خودش براي فرستان email براساس آدرسهايي كه در yahoo Pager, .Net Messenger, MSN Messanger, Windows Address و نيز تمام فايلهايي كه پسوندشان شامل HT است،استفاده میکند.
اين كرم تحت زبان++ Microsoft C نوشده شده و بوسيله UPX فشرده شده است.
سيستمهايي كه توسط اين كرم قابل آلوده شدن هستند عبارتند از : Win2000, Win NT, Win 98, Win95, win XP, Win ME و سيستمهايي كه از اين كرم مصون هستند و آلوده نمي‌شوند عبارتند از: Linux OS2 Macintash.
نكات تكنيكي:
هنگاميكه w32.yaha.k@mm اجرا مي‌شود كارهاي زير را انجام ميدهد:
1) خودش را بعنوان فايلهاي زير كپي مي‌كند و ويژگي پنهان بودن فايل را نيز فعال مي‌كند.
• C:\%System%\Win Services.exe
• C:\%System%\Nav32-loader.exe
• C:\%System%\Tcp Svs 32.exe

توجه: %System %متغير است. كرم ابتدا فولدر مربوط به Window System را پيدا میکند و سپس خودش را در آن مکان کپی میکند        به طور پيش فرض در ويندوزهاي ME, 98, 95 اين مسير بصورت C:\Windows\System است در ويندوزهاي 2000 , NT اين مسير بصورت C:\Winnt\System32 و براي ويندوز Xp بصورت C:\Windows\System32 است.
2) اين كرم در رجيستري ويندوز مقدار  C:\%System%\Win Services.exe را در كليد زير قرار ميدهد :                                                                                           HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
بنابراين هنگاميكه ويندوز شروع ميشود كرم نيز كار خود را آغاز مي‌كند.
3) كرم خودش را طوري پيكربندي ميكند كه با اجراي هر فايل exe اجرا شود واينكار را از طريق تغييردادن مقدار پيش فرض كليد رجيستري زير انجام مي‌دهد:

4) اين كرم سعي مي‌كند تا به فعاليت فايروالها و آنتي ويروسها پايان دهد. بعلاوه با دسترسي به ليست پروسسهاي فعال برخي از پروسسها را نيز غيرفعال مي‌كند.

5) اين كرم از موتور SMTP خودش براي ارسال email به تمام آدرسهاي موجود درWindows Address Book, MSN Messanger, .Net Messanger, yahoo Pager و تمام فايلهايي كه پسوندشان شامل HT است استفاده مي‌كند. موضوع و نام فايل همراه اين emailها مي‌تواند كه متغيير بوده و با هم متفاوت هستند.
اگر كه تاريخ سيستم March25 يا May22 باشد اين كرم پيغام زير را نمايش مي‌دهد وكار كليدهاي چپ و راست موس را عوض مي‌كند.

اگر كه روز سه شنبه باشد آنگاه اين كرم كارهاي زير را انجام مي‌دهد:
1- بصورت تصادفي مقدار داده صفحه پيش فرض (Start Page) را در رجيستري دستكاري كرده و يكي از موارد زير را قرار ميدهد:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

http:/ /www.unixhideout.com
http:/ /www.hirosh.tk
http:/ /www.neworder.box.sk
http:/ /www.blacksun.box.sk
http:/ /www.coderz.net
http:/ /www.hackers.com/html/neohaven.html
http:/ /www.ankitfadia.com
http:/ /www.hrvg.tk
http:/ /www.hackersclub.up.to
http:/ /geocities.com/snak33y3s
 
2- مكان فولدر مربوط به مستندات كاربر را در رجیستری پیدا کرده و خاصيت پنهان بودن به اين فولدر و زير فولدرهاي داخل آن و نيز تمام فايلها را فعال مي‌كند.
3- فايل متنيayehs.txt را بر روي ميزكاري ويندوز ايجاد مي‌كند و خاصيت پنهان بودن و آرشيو اين فايل را نيز فعال مي‌كند. متن اين فايل ميتواندكه متغيير بوده و قابل تغييرات

دستورات لازم براي از بين بردن كرم :
1)اگر كه كرم فعال نشده است و آنتي ويروس شما وجود كرم را در email و يا در حين فعال شدن كرم تشخيص دهد بايد كه كرم را پاك كنيد و اینكار را ميتواند با آنتی ویروس انجام دهيد.
 

2)اگر كه كرم فعال شده است بايد كه مراحل زير را انجام دهيد:
1- Updated virus defenition را از همین سایت download نماييد ولي نبايد كه آنرا نصب كنيد.
2- كامپيوتر خود را دوباره روشن كنيد و در حالت Sate Mode وارد شويد.
3- Regedit.exe را با نام reg.com كپي كنيد.
4- رجيستري را دستكاري كنيد و تغييرات ايجاد شده توسط كرم را به حالت قبلي برگردانيد.
5- آنتي ويروس از همین سایت download نماييد و آنرا اجرا نماييد.
6- Updated Virus defenition  را نصب نماييد.
7- سيستم خود را بطور كامل اسكن كنيد و فايل هاي شامل w32.kaha.k@mm را پاك كنيد.
جزييات بيشتر :
1) Down loading window Defeniton
فايل virus defenimor را با استفاده از IntelIigent Updater بر روي ميز كاري ويندوز ذخيره نماييد. ولي به هيچ عنوان آنرا نصب نكنيد فقط آنرا Download كنيد.
 

2) Restarting a Computer in safe mode
2.1) كامپيوتر خود را Shotdown كنيد و 30 ثانيه صبر كنيد (حتماً اين كار را بكنيد).
2.2) كامپيوتر را در حالت safe mode را روشن كنيد.
 

3) Copying Regedit.exe to Reg.com
1 . 3) پنجره MS-Dos مربوط به ويندوز را باز كنيد و عبارات زير را تايپ كنيدو دکمه Enter را بزنید.
\cd
Cd\windows
2 . 3) عبارات زير نوشته و دكمه Enter را بزنيد :
Copy regedit.exe    reg.com
3 . 3) عبارات زير را نوشته و Enter را بزنيد .
Start   reg.com
 

4) Editing the Registry and reversing the changes the worm made
1 . 4) در پنجره باز شده مسير زير را طي كنيد.
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
2 . 4) در قسمت سمت راست بر روي مقدار پيش فرض دوبار كيك كنيد.
3 . 4) مقدار فعلي را حذف كرده و عبارت “%1”%* تايپ كنيد.
4 . 4) به مسيرهاي زير بروید
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
5 . 4) در قسمت سمت راست مقدار زير را پاك كنيد.
Winservice
6 . 4) پنجره رجيستري را ببنديد.
 

5) Starting your Symantec antivirus Software                                                                                                                                                                 برنامه آنتي ويروسي راكه از همين سايت download كرده‌ايد را اجرا كنيد و فايلهاي آلوده شده را حذف كنيد.
 

6)  Installing the Inteligent virus definition
فايلي را در مرحله 1 از طريق اين سايت download کرديد را نصب كنيد.
 

7) Scaning for and Deleting the Infected files
1 .7) برنامه آنتي ويروس را اجرا كنيد و آنرا طوري پيكربندي كنيد كه تمام فايلها را اسكن كند
2 .7) يك اسكن از تمام قسمتهاي سيستم انجام دهيد.
3 .7) فايلهاي آلوده شده توسط اين كرم را حذف كنيد.