ايران ويج

این مطلب رو من از یک روزنامه بسیار قدیمی خوندم و چون عملکرد این ویروس شبیه عده بسیاری از ویروس هاست،برای شما هم می نویسم تا بدونید.
{این کرم هر چند ممکن است روی انواع ویندوز ها اجرا شود ولی فقط ویندوز xp را هدف قرار می دهد و برای آن ایجاد میشکل می کند.این ویروس پس از اجرا خود را با یک نام تصادفی و با پسوند exe در شاخه ویندوز کامپیوتر کپی می کند و محتویات شاخه temp ویندوز را پاک می کند و یک فایلdll با پسوند tmp در این شاخه می سازد که شامل قسمت اصلی این کرم می باشد.این ویروس ممکن است باعث از کار افتادن explorer شود.همچنین با انتقال به شبکه کارهای مخرب دیگری هم انجام می دهد.خوشبختانه هیچ گونه فایلی را آلوده نمی کند}
اگر دوستانی هم مطالبی مثل این مطلب دارن ارسال کنن تا بقیه هم استفاده کنن.

reza_g نوشته است:یک فایلdll با پسوند tmp در این شاخه می سازد

چی شد ؟
فایل DLL که TMP نمیشه

راستش دوست عزیز.خودم هم تعجب کردم.شاید اشکال چاپی تو روزنامه بوده شایدم با ساختار فایل های dll آشنا نبودن یا این که ما آشنا نیستیم.در هر حال حق با شماست.باید توضیح بیشتری می دادن.

avini نوشته است: چی شد ؟
فایل DLL که TMP نمیشه

هیچ اشکالی نداره ..
اولا Dll چون اجرایی نیست . فرقی نمی کنه با چه فرمتی ذخیره بشه .
در موقع فراخوانی . یا سویچ کردن فقط نیاز هست که پسوند فایل حاوی اطلاعات ( دینامیک لینک لایبری ) وارد بشه .
در ثانی اصلا هدف ویروس نویس در اینجا چیز دیگه ای بوده .
که بیشتر به خصوصیات خلقی ویروس نویس بر میگرده . ( یه کار غیر منطقی برای گمراه کردن کاربر . یا از این نوع . یا یه فایل منبع برای کپی کاری )

جیفو هم همین کارو میکنه (اگر نورتون داشته باشی منظورم رو می فهمی)
چون وقتی جیفو میگیری هی فایل .TMP درست میکنه تو فلدر تمپ !
بعد نورتون به جای اینکه خوده جیفو رو پاک کنه اون تمپ هارو پاک میکنه

با توضیحاتی که دادی میشه حدس زد یک فایل Dll رو با پسوند tmp تو پروسه Explorer اینجکت کردن!
چون زمانی که یه فایل Dll تو یه پروسه اینجکت میشه فرقی نداره که پسوندش چی باشه (هدف اصلی اینه که به عنوان یه ماژول تو یه پروسس دیگه کار خودش رو انجام بده)