نویسنده و گردآورنده : احسان خوشخرام

نام ویروس : W32/Sober.r@MM
نوع : ویروس
میزان حجم : 113,551
طریقه پخش : E-mail

تشریح :
این کرم خود را از طریق فایل های ضمیمه به نام های KlassenFoto.zip و pword_change.zip و screen_photo.zip و privat-photo.zip پخش می کند .
درون این فایل های Zip شده فایل های اجرایی به نام PW_Klass.Pic.packed-bitmap.exe و Screen_Photo.jpeg-graphic1.exe
این کرم در مرحله اول شاخه های زیر را در رجیستری تهیه می کند :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run " WinINet" =C:\WINDOWS\ConnectionStatus\services.exe
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "_WinINet"=C:\WINDOWS\ConnectionStatus\services.exe

سپس فایل های زیر را می سازد :

• c:\WINDOWS\ConnectionStatus\netslot.nst
• c:\WINDOWS\ConnectionStatus\services.exe
• c:\WINDOWS\ConnectionStatus\socket.dli

سپس فایل های با حجم 0 درست می کند با نام و آدرس های زیر :

• c:\WINDOWS\system32\bbvmwxxf.hml
• c:\WINDOWS\system32\gdfjgthv.cvq
• c:\WINDOWS\system32\langeinf.lin
• c:\WINDOWS\system32\nonrunso.ber
• c:\WINDOWS\system32\rubezahl.rub
• c:\WINDOWS\system32\seppelmx.smx

سپس پورت های شماره TCP 587 و TCP 37 و صفحه خانگی قربانی را عوض می کند .
تیم irvirus حداکثر تا 12 ساعت دیگر پج آنتی ان را به زبان فارسی برای شما عزیزان قرار می دهد .
برای پاک سازی دستی هم می توانید از طریق Safe mode فایل های یاد شده را پاک و شاخه ایجاد شده را در رجیستری پاک کنید .