كرم W32/Foova.ai :
گفته بودم که این هفته شده هفته ویروس . در این پست به معرفی این کرم جدید ایرانی می پردازیم :
این کرم ایرانی خودش را در مسیرهای زیر کپی می کند
C:\ChamranPartC.exe
D:\ChamranPartD.exe
%WinDir%\system32\Chamran.exe
%WinDir%\system32\Cmd-Nk27.exe
%WinDir%\system\Shell32B.exe
%WinDir%\Dl.exe
%WinDir%\Mastore32.dll
%Temp%\FooVA-X27.ExE
%Temp%\~DFC8EC.tmp
%Temp%\~DF4831.tmp
از کارهایی که ورم W32/Foova.ai بر روی سیستم انجام می دهد درون فایل زیر گزارشی از تکثیر این ورم تهیه می کند
%Temp%\Help-X27.txt
پیامی به شکل زیر نمایش می دهد
بر روی صفحه نمایش صفحهای شبیه به شکل زیر نمایش می دهد
برای اجرای خود در هر بار راه اندازی کلید زیر را ایجاد می کند
HKLM\SOFTWARE\Microsoft
Yahoo! =%WinDir%\system\Shell32B.exe -BooT
با تبلیغ سایت hxxp://www.persiancod.com لینک های فریبنده زیر را نمایش می دهد
Fun - Sex And Love In This Pack
Fun - Sex And Love In This Site
For DL Sexy Site Use This Site
Israel Atack Or Iran Atack
Ye Dler Khob ba Sorate Ziad . Dl e Sh Kon
Anti Filter Ba Sorate Bala ... Ta Link Kharab NaShode DlKon
To in link Ye Harfie Ke Hamishe Mikhastam behet Bezanam
BaVar Kon Mitonam Dostesh Dashte Basham .. Bebin
Anti Virus e Virus Jadid Yahoo ....
Aks Hai Jaleb Yek Masol ! Midonam ke Bavaret Nemishe
Esmesh Ali Reza Hast Age Khasti Az Pack Ba Karash AshnaSHoo
Nazart Darbare In Chand Ta Aks Ba Hal Chie ?
Sexy - Sexy - Anal _Fuck_ In 1 Pack
Diaz ! No .Not .U BaD
Iran-Israel-USE-Iraq War Animat Picture
In Chi Hastesh !!Han? .. Dige Az In Aks Ha Baram Nafrest.. Fahmidi Ya Na ?! ...Ina
Ro Migam.Enkar Nakon .Barat Mote Asefam
Pliz DL Anti Yahoo Virus -->
Aks Jadidam Ro GoZashtam -- To Ham Akset Ro Bezar :)
I Love You .
Ye RooZ Be U Migam ..Ama Aval ino Nega Kon . Be Kasi HamNago
RooM Full Kon
Ba Har ID Khsti bia To Room
Kafet Mibore
Aks 4shanbe Sroi Az Raghse Mostarak DAr Shiraz
Eedam Arazel Dar Shiraz . Mostanad
با توجه به آنکه Icon این ورم شبیه Folder است ممکن است توسط کاربر اجرا شود که در صورت اجرای این ورم به صورت دستی فایل ورم پاک شده و پوشهای با همان نام در آن مسیر ایجاد می شود
