در این مقاله می‌خواهم در مورد نحوه عملکرد جدیدترین ویروس کامپیوتری (Worm) که این روزها میلیونها کامپیوتر در سراسر جهان را آلوده کرده است و حتی شرکتهای بزرگ امنیتی جهان را به دردسر انداخته اطلاعات کاملی را ارائه کنم.
این کرم اینترنتی که به نام I-Worm.Kido توسط کوییک‌هیل و Worm/Kido.BO توسط آویرا و مکافیآن را با نام W32/Conficker.worm.gen.a  می‌شناسد، سیستم عاملهای Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP را آلوده می‌سازد.
این کرم اینترنتی که به سرعت از طریق اینترنت گسترش یافته، می‌تواند از طرق دیگر نظیر شبکه داخلی LAN، داریوهای حافظه مثل فلش و همچنین پسوردهای ضعیف مدیرشبکه نفوذ کند. کیدو برای پخش شدن از آسیب‌پذیری سرویس سرور ویندوز (SVCHOST.EXE) استفاده می‌کند.
وقتی I-Worm.Kido شروع به کار کرد، فعالیتهای زیر را در سیستم شما انجام می‌دهد:
ابتدا اگر سرویس SVCHOST.EXE نفوذپذیر بود آن به کاربر اجازه خواهد داد تا وقتی که فایلهای اشتراکی فعال بود کدها را بصورت ریموت اجرا کند.
این کرم یکی یا چندتا از فایلهای زیر را در مسیرهای ذکرشده ایجاد می‌کند:

%ProgramFiles%\Internet Explorer\{Random Name}.dll
%ProgramFiles%\Movie Maker\{Random Name}.dll
%System%\{Random Name}.dll
%Temp%\{Random Name}.dll
%Documents and Settings%\All Users\Application Data \
{Random Name}.dll

همچنین دیتاهای زیر را در رجیستری ویندوز تغییر می‌دهد:

{Random Name} = "rundll32.exe "{Random Name}.dll", ydmmgvos"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Service name = {Random Name}
Display name = {Random Name}
Startup Type = Automatic
ImagePath = "%System%\svchost.exe -k netsvcs"
HKLM\System\CurrentControlSet\Services\{Random Name}

dl = "0"
ds = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Applets

dl = "0"
ds = "0"
HKLM\Software\Microsoft\Windows\CurrentVersion\Applets

CheckedValue = "0"
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL

این کرم جدید اینترنتی همچنین اطلاعات زیر را در رجیستری برای توسعه سریع در طول شبکه ایجاد می‌کند:

TcpNumConnections = "00FFFFFE"
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters

ممکن است این مخرب اینترنتی System Restore ویندوز را که به وسیله کاربر برای بازگرداندن فایلهای ویندوز در مواقع ضروری ساخته شده است را پاک کند. همچنین چندین سرویس مهم سیستمی و محصولات امنیتی را غیرفعال می‌کند.

کارشناسان امنیتی شدیداً توصیه می‌کنند که وصله جدید مایکروسافت را از سایت آن دانلود کرده و سیستم خود را امن سازید. لینک دانلود
همچنین کوییک‌هیل یک ابزار رایگان را برای دانلود همگان بر روی سایت خود گذاشته که می‌توانید از این ابزار برای اسکن و از بین بردن این ورم استفاده کنید. لینک دانلود

متخصصان همچنین توصیه می‌کنند که مدیران شبکه حتما پسورد سخت (strong)  برای کاربران خود تعیین کنند تا از طریق پسوردهای ساده این ویروس در سطح شبکه داخلی منتشر نگردد.

این کرم همچنین سرویسهای زیر را غیرفعال و یا در اجرای آنان اختلال ایجاد می‌کند:
* Windows Update Service
* Background Intelligent Transfer Service
* Windows Defender
* Windows Error Reporting Services

کاربران ممکن است نتوانند به سایتهایی که یکی از کلمات زیر در آنها وجود دارد متصل شوند:
QuickHeal
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

آن همچنین به یکی از وب‌سایتهای زیر وصل شده و IP کامپیوتر قربانی را بدست می‌آورد:
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://getmyip.co.uk
http://checkip.dyndns.org

عملکرد:
* ممکن نقاط بازیابی سیستم (System Restore) را پاک کند.
* سرویسهای امنیتی و محافظتی مربوطه را غیرفعال می‌سازد.
* سرویسهای ویندوز را غیرفعال می‌سازد.
* دسترسی به سایتهای امنیتی را بلاک می‌کند.

سولوشن:
System Restore را غیرفعال کنید.

نحوه غیرفعال سیستم ری‌استور در ویندوز Me:
دکمه Start  و Settings و Control Panel سپس System را دابل کلیک کنید و به سربرگ Performance بروید. File System را کلیک و از تب 'Troubleshooting' گزینه 'Disable System Restore' را کلیک و Apply کرده و سپس سیستم را Restart می‌کنیم.

نحوه غیرفعال System Restore در ویندوز XP:
دکمه Start  و Settings و Control Panel سپس Performance and Maintenance. را انتخاب کنید. “System”  را دابل کلیک کرده و سربرگ System Restore را برگزینید. 'Turn off System Restore” را بر روی همه درایوها انتخاب کرده و Aplly، سپس سیستم را ریست کنید.
حالا می‌توانید آنتی‌ویروس خود را آپدیت کرده و سپس سیستم را اسکن کنید. ولی یک پیشنهاد جدی دارم که از آنتی‌ویروسی استفاده کنید که حتما همیشه به روز باشه و انجین قوی‌ای هم داشته باشه. من خودم آنتی‌ویروس کوئیک‌هیل را در بستر شبکه و کلاینت بسیار قوی دیدم و تا حالا هیچ ویروسی رو ندیدم که کوییک‌هیل نتواند آنرا از بین ببرد.