آشنایی با کرم W32/Trojan.pa

محیط‌های قابل اجرا: Windows 2000,XP,NT,....

خصوصیات:

کرم  W32/Trojan.pa  دارای اندازه  49,152 بایت است و خود را در مسیر زیر کپی می‌کند :

%System%\New Folder.exe

با باز کردن هر پوشه در سیستم‌، یک  کپی از این فایل را با نام آن پوشه، در کنار پوشه ایجاد می‌کند. با توجه به اینکه آیکون این کرم شبیه به پوشه است باعث گمراه شدن کاربر می‌شود.

با حذف فایل Attrib.exe از مسیر  %System%  باعث می‌شود وضعیت Attribute فایل‌ها و پوشه‌ها قابل تغییر نباشد.

این کرم تغییرات زیر را در رجیستری بوجود می‌آورد :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

New Folder= %System%\New Folder.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Hidden = "30"

HideFileExt = "31"

ShowSuperHidden = "30"

SuperHidden = "30"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState

FullPath = "31"

FullPathAddress = "30"

و کلید زیر را حذف می‌کند :

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

برای بر طرف‌سازی اثرات تخریبی در رجیستری سیستم می‌توانید  را دانلود نمایید:

از دیگر کارهای W32/Trojan.pa این است که با کلیک بر روی هر قسمت TaskBar پنجره Shut down ویندوز باز می‌شود و همچنین مانع از اجرای برنامه Regedit و Task Manager می‌شود.

کرم W32/Trojan.pa همچنین مانع نمایش پسوند فایل‌ها می‌شود و Folder Option را غیر فعال می‌کند.

منبع: شرکت مهران رایانه