منبع: روزنامه جام جم

ویروس

تاریخ انتشار:2007 January 16

سیستم عامل‌های آسیب‌پذیر، ویندوزهای xp ,‌ Server 2003 , NT , Windows Me , Windows 2000 , 95 , 98 این کرم، پس از الوده کردن سیستم عامل قربانی، خود را با نام Logo1.exe در پوشه ویندوز و همچنین با نام pif.exe در مسیر اصلی کلیه درایورهای کامپیوتر ذخیره می‌کند. این کرم برای مخفی ماندن و جلوگیری از پاکسازی سیستم عامل توسط آنتی‌ویروسها، تمامی Processها را با نام‌های زیر می‌بندد:

FrogAgent.exe Mcshield.exe

Ravmon.exe spoclsv.exe

VsTskmgr.exe naPrdmgr.exe

TrojDie.kxp UpdaterUI.exe

Rundll23.exe TBMon.exe

RavmonD.exe Ravtask.exe

Ravmon.exe

اگر سیستم عامل به نسخه‌های قدیمی این کرم آلوده باشند، کرم جدید نسخه‌های قدیمی را پاک می‌کند و خود را جایگزین آن می‌کند. این کرم برای انتشار خود از دو روش استفاده می‌کند.

در روش اول، با استفاده از شبکه‌های به اشتراک گذاشته شده، خود را به کامپیوترهایی که پسورد ساده‌ای دارند، انتقال می‌دهند. در روش دوم، جست و جوی فایلهای exe موجود در کامپیوتر قربانی می‌پردازدسپس تمام آنها را آلوده می‌کند. اگر هر یک از فایلهای exe از از کامپیوتر آلوده شده به کامپیوتر دیگری انتقال یابد در صورت اجرا شدن فایل exe درون کامپیوتر جدید آن نیز آلوده می‌شود این کرم برای update کردن خود، اقدام به اتصال به یک وب سایت به آدرس mm.21380.com‌ می‌کند و از طریق آن نسخه‌های جدید و به روز شده خود را دریافت می‌کند.