Tweet
Virüs nedir? nasıl bulaşır? nasıl temizlenir? virüslerden korunma?
Virüs Tanımı
Virüs, bir bilgisayara disketler, ağ paylaşımı, Internet (e-mail, dosya indirme) yollarıyla girebilen ve bilgisayarlarda istenmeyen sonuçlara ve zararlara yol açan bir bilgisayar programıdır. Virüslerin en önemli özelliği; girdikleri sistemlere kendilerini, kullanıcı farkında olmadan veya iradesi dışında çalıştırılacağı şekilde yerleştirmesi ve sistemlere zarar vermesidir. Virüsler genel olarak etkilerini diğer çalışan programlara bulaşarak onlarda çeşitli değişiklikler yaparak gösterirler. Virüslerin bir diğer özelliği ise kendilerini çoğaltmaları ve hafızada değişik yerlere kaydetmeleridir. Virüslerin etkileri ekranınıza rahatsızlık veren mesajlar çıkararak çalışmanızı engellemesi olabilabileceği gibi, bilgisayarın hafızasını ve disk alanını kullanarak erişiminizi engellemeleri veya kullandığınız dosyaların içeriklerini bozmaları veya silmeleri gibi oldukça zararlı etkileri de olabilir.
Virüs Nasıl Anlaşılır ve Temizlenir?
Anti-virüs yazılımı olmadığı şartlarda bilgisayarınızda virüs olduğunu ancak virus etkisini gösterdikten sonra anlayabilirsiniz. Bir virüsün etkileri bilgisayarda yavaşlama, Windows uygulamalarında hata mesajları (system fault, application error, missing files), bilgisayarın kilitlenmesi, DOS işletim sistemine dönmesi, bazı dosyaların açılmaması, değişik sesler veya bilgisayarınızın isteğiniz dışında işlemler yapmaya başlaması şeklinde görülebilir. Bu durumda bir anti-virüs programı kullanarak bilgisayarın virüsten temizlenmesi gerekmektedir. Virüsün bilgisayara geri dönülmez hasarlar vermiş olduğu durumlarda temizleme her zaman başarılı olmayabilir. Kullanılan anti-virüs yazılımlarının buldukları virüsleri silmeleri veya bulaştıkları dosyalardan temizlenmeleri mümkün olmaması da karşılaşılan bir durumdur. Anti-virüs yazılımlarının tarama işlemi sonrasında virüs bulamaması bilgisayarda virüs olmadığını değil, tarama işleminde kullanılan anti-virüs programlarının tanıdığı virüslerin bulunmadığını gösterebilir. Bu durumda kullanılan anti-virüs programının güncellenmesi veya daha güncel başka bir anti-virüs yazılımının kullanılması uygun olacaktır.
Virusden Korunma
Virüsler bilgisayarınıza bulaşmadan önce önlem almak ve baştan koruma sağlamak için McAfee Anti-Virus, Norton AntiVirus, F-Prot, Dr. Solomon's Anti-Virus Toolkits vs. gibi programları bilgisayarınıza henüz herhangi bir virüs sorunu ile karşılaşmamışken kurmanız gerekmektedir.
Ayrıca aşağıdaki sitelerden virüslerle, en yeni virus uyarıları hakkında detaylı bilgi bulabilirsiniz.
http://www.virus.com
http://www.mcafeeb2b.com/avert/virus-alerts/default.asp
http://www.mcafeeb2b.com/naicommon/a...s-glossary.asp
http://www.symantec.com/avcenter/vinfodb.html
http://www.symantec.com/avcenter/
http://www.securityfocus.com/
http://www.microsoft.com/technet/security/virus.asp
http://www.antivirus.com
Güncel Virusler
W32/Gaobot
W32/SoberD
W32/Bagle.E
W32/Netsky.B
W32/Mydoom
W32/Bagle.A
W32/SoberA
W32/MimailC
W32/Holar
W32/Blaster
W32/Nachi
W32/Sobig.F
WW32/Dumaru
W32/Mimail
W32/Gaobot
Virüs Tanımı :
Internet solucanı MS03-026, MS03-001, MS03-007 ve MS03-049 açıklarını kullanarak bilgisayarı etkilemektedir.
Belirtiler:
Beklenmeyen açık portlar
kayıt dosyasındaki varlığı
Güvenlik programların çalışmaması
Korunma Yöntemi:
Virüsten korunmak için yapılması gerekenler.
Windows işletim sistemi güncelemelerini mutlaka yapınız.
Bilgisayarda bulunan her kullanıcının şifresinin en az 8 karakter uzunluğunda olmasına ve içinde büyük harf, küçük harf, rakam ve özel karakterlerin bulunmasına özen gösteriniz.
Kullanılmayan windows paylaşımlarının kesinlikle kapatılması gerekmektedir. Bunun yanında varsayılan yönetici paylaşımlaırnın da
HKLM\System\CurrentControlSet\Services\LanmanServe r\Parameters\AutoShareWks (REG_DWORD) 0
verisi kayıt dosyasına işlenerek (registry) durdurulmalıdır.
Windows paylaşımın kullanımının zorunlu olduğu durumlarda paylaşım parola korumalı olmalıdır. Paylaşımın parolasız olması durumunda bilgisayaraınız virüse karşı korumasızdır.
Teknik özellikler:
Kendisini %System%\wuamps.exe olarak kopyalıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri;
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\ wuamps.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce wuamps.exe
Guvenlik yazilimlarini calismasini durduruyor.
Asagida belritilen baska Internet solucanlari tafindan kullanilan surecleri
duruduruyor
taskmon.exe
bbeagle.exe
d3dupdate.exe
winsys.exe
ssate.exe
i11r54n4.exe
rate.exe
irun4.exe
Ssate.exe
wuamps.exe
Asağıdaki siteler bağlantı yapılmasını engellemek icin "host" olarak ilgili verileri giriyor.
www.trendmicro.com
www.rads.mcafee.com
www.customer.symantec.com
www.liveupdate.symantec.com
www.us.mcafee.com
www.updates.symantec.com
www.update.symantec.com
www.nai.com
www.secure.nai.com
www.dispatch.mcafee.com
www.my-etrust.com
www.mast.mcafee.com
www.ca.com
www.networkassociates.com
www.kaspersky.com
www.avp.com
www.f-secure.com
www.viruslist.com
www.mcafee.com
www.sophos.com
www.securityresponse.symantec.com
www.symantec.com
Önceden belirlenmiş IRC sitesine baglanmaya calışıyor ve oradan alacağı komutları uyguluyor. Komutlar asagidaki işlemleri sağlamaktadır:
Sistem hakkida bilgi edinmek
Dosya indirmek ve calıştırmak
FTP sitelerine bağlanıp dosya yüklemek
SSH kullanarak baska sistemlere bağlanmak
Çalışan programları durdurmak
E-posta adresleri toplamak
SOCKS proxy olarak calışmak
Yukarda belirtilen açıkkları olan bilgisayaları ağda arıyor.
Asağıdaki paylaşımlara kullanıcı adı ve parola deniyerek bağlanmaya calışıyor.
admin$
c$
d$
e$
print$
W32/SoberD
Virüs Tanımı :
Toplu e-posta atan bir virustür. Ancak bazı sürümleri virüs içermeyen bozulmuş dosyalar göndermektedir.
Aşağıdaki özelliklerde geliyor:
Kimden:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
*][email protected]
[email protected]
Konu:
Microsoft Alarm: Bitte Lessen!
Microsoft Alert: Please Read!
Metin:
Mydoom virüsünün yeni bir varyantından bahsediyor.
Eklenti:
sys-patch
MS-UD
MS-Security
Patch
Update
MS-Q
.exe ya da .zip uzantılı.
Belirtiler:
Aşağıdaki dosyaların varlığı.
diagwinhost.exe
Humgly.lkur
Htemp32x.data
Hwintmpx33.dat
Hyfjq.yqwm
Hzmndpgwf.kxx
Etkileme Yöntemi:
E -posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %System%\diagwinhost.exe olarak kopyalıyor.
Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
%System%\temp32x.data
%System%\wintmpx33.dat
%System%\mslog32.dll
%System%\Humgly.lkur
%System%\yfjq.yqwm
%System%\zmndpgwf.kxx
Windows açıldığında kod çalışması için aşağıdaki değeri;
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run\disc32data "spool32" = %SYSDIR%\diagwinhost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
RunOnce "diagdir" = %SYSDIR%\diagwinhost.exe %1
Aşağıdaki mesajı görüntülüyor.
This patch has been successfully installed.
This patch does not need to be installed on this system.
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
Aşağıdaki dosyalardan e-posta adresleri topluyor ve %system%\mslog32.dll dosyasına kaydediyor.
.abd
.adb
.asp
.dbx
.doc
.eml
.ini
.log
.mdb
.php
.pl
.rtf
.shtml
.tbb
.ttt
.txt
.wab
.xls
W32/Bagle.E
Virüs Tanımı
Toplu e-posta gönderen bir virüstür. 25 Mart 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır.Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.
Konu:
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he
Mesaj içeriği
Boş
Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb
Belirtiler:
2745 TCP portunun açık olması
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Sistem zamanın 24 Mart 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor.
Kendisini %system%\i1ru74n4.exe olarak kopyalıyor.
notepad.exe'yi çalıştırıyor.
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, rate.exe"="%System%\i1ru74n4.exe
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "uid" = "[Random Value]"
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "port"="2745"
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki dosyalardan e-posta adresleri topluyor.
.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.adb
.sht
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor.
permail.uni-muenster.de
www.songtext.net/de
www.sportscheck.de
Aşağıdaki antivirüs güncellemelerini saplayan süreçleri durduruyor.
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
W32/Netsky.B
Virüs Tanımı:
Toplu e-posta gönderen bir virüstür. P2P paylaşımıyla da yayılmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.
Kimden:
etkilenmiş makineden toplanmış e-posta adreslerinden yaratılmış e-posta adresleri
[email protected]
Konu:
fake
for
hello
hi
immediately
information
it
read
something
stolen
unknown
warning
you
Mesaj içeriği:
about me
anything ok?
do you? that's funny
from the chatter
greetings
here
here is the document.
here it is
here, the cheats
here, the introduction
here, the serials
i found this document about you
I have your password!
i hope it is not true!
i wait for a reply!
i'm waiting ok
information about you
is that from you?
is that true?
is that your account?
is that your name?
kill the writer of this document!
my hero
read it immediately!
read the details.
reply
see you
something about you!
something is fool
something is going wrong
something is going wrong!
stuff about you?
take it easy
that is bad
thats wrong why?
what does it mean?
yes, really?
you are a bad writer
you are bad
you earn money
you feel the same
you try to steal
your name is wrong
Eklenti:
"Eklenti" isimleri de değişken olmaktadır ancak iki uzantılıdır.
Belirtiler:
Beklenmeyen ağ trafiği
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %Windir%\services.exe olarak kopyalıyor.
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, "service" = "%Windir%\services.exe -serv"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki kayıt dosyalarından.
"Taskmon" ve "Explorer" değerlerini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunServices
"KasperskyAV" ve "System." değerlerini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
W32/Mydoom arka kapısını kapatmak için
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
siliyor
Aşağıdaki dosyalardan e-posta adresleri topluyor.
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
"C"den "Z"ye kadar tüm sürücüleri tarıyıp "Sharing" veya "Share" isimli dizin arıyor. Eğer sürücü CDROM değilse kendisini ağağıdakşi isimlerle dizine kopyalıyor.
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe
W32/Mydoom
Virüs Tanımı :
Toplu e-posta atan bir virustür.
Kimden:
Konu:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Metin:
Eklenti:
doc.bat
document.zip
message.zip
readme.zip
text.pif
hello.cmd
body.scr
test.htm.pif
data.txt.exe
file.scr
Belirtiler:
Aşağıdaki kayıt(registry) dosyalarının varlığı
Anlamsız eklentinin içeriği
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması sonucu kendi SMPT motoru yardımı ve P2P paylaşımları yoluyla yayılıyor.
Teknik özellikler:
Virüs çalıştırıldığında:
aşağıdaki dosyaları yaratıyor.
"shimgapi.dll" %System% dizininde.
"Message" %temp% dizinde. Notepad tarafından açılan tamamen tesadüfi karakterlerden oluşmuş bir metindir.
"taskmon.exe" %System% dizinde. Başka bir taskmon.exe varsa üzerine yazıyor.
shimgapi.dll arka kapı olarak çalışan proxy programıdır.
Shimgapi.dll EXPLORER.EXE tarafından çalıştırılması için aşağıdaki kayıt (registry key) anahtarları girilir:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
Windows açıldığında kod çalışması için aşağıdaki değeri;
TaskMon = %System%\taskmon.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run
Aşağıdaki kayıt dosyalarını yaratır:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
Explorer\ComDlg32\Version
KEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Explorer\
ComDlg32\Version
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".htm"
".sht"
".php"
".asp"
".dbx"
".tbb"
".adb"
".pl"
".wap"
".txt"
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.
www.sco.com
%KaZaA dizinine iki dosya daha yaratıyor.
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
aşağıdaki uzantlarla
pif
scr
bat
exe
W32/Bagle.A
Virüs Tanımı:
Toplu e-posta gönderen bir virüstür. 28 Ocak 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.
Konu:
Hi
Mesaj içeriği:
Test =) Rastgele karakterler Test, yep.
Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb
Belirtiler:
6777 TCP portunun açık olması
bbeagle.exe dosyasını Sistem dizinide bulunması.
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Sistam zamanın 28 Ocak 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor.
Kendisini %system%\bbeagle.exe olarak kopyalıyor.
Calc.exe'yi çalıştırıyor.
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Run, "d3update.exe" = "%system%\bbeagle.exe"
HKEY_CURRENT_USER\Software\Windows98, "uid" = "[Random Value]"
HKEY_CURRENT_USER\Software\Windows98, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".wab"
".txt"
".htm"
".html"
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor.
www.elrasshop.de
www.it-msc.de
www.getyourfree.net
www.dmdesign.de
64.176.228.13
www.leonzernitsky.com
216.98.136.248
216.98.134.247
www.cdromca.com
www.kunst-in-templin.de
vipweb.ru
antol-co.ru
www.bags-dostavka.mags.ru
www.5x12.ru
bose-audio.net
www.sttngdata.de
wh9.tu-dresden.de
www.micronuke.net
www.stadthagen.org
www.beasty-cars.de
www.polohexe.de
www.bino88.de
www.grefrathpaenz.de
www.bhamidy.de
www.mystic-vws.de
www.auto-hobby-essen.de
www.polozicke.de
www.twr-music.de
www.sc-erbendorf.de
www.montania.de
www.medi-martin.de
vvcgn.de
www.ballonfoto.com
www.marder-gmbh.de
www.dvd-filme.com
www.smeangol.com
W32/SoberA
Virüs Tanımı :
Toplu e-posta atan bir virustür.
Aşağıdaki özelliklerde geliyor:
Kimden:
Değişken
Konu:
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr gehört!
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, it's enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
RE: Sex
Sorry, I've become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise
I've become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
I love you (I'm not a virus!)
Metin:
Değişken, ancak genelde Odin isminde başka bir virüsten bahsediyor
Eklenti:
.pif
.scr
.bat
.com
.exe
Belirtiler:
Aşağıdaki dosyaların varlığı.
Media.dll
Similare.exe
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %System%\Similare.exe olarak kopyalıyor.
Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
%SysDir%\WINREG.EXE
%SysDir%\FILEXE.EXE
%SysDir%\ANTIV.EXE
%SysDir%\SYSTEMINI.EXE
%SysDir%\DRIVERINI.EXE
%SysDir%\SYSTEMCHK.EXE
Windows açıldığında kod çalışması için aşağıdaki değeri;
" Belirtilen dosyalardan birisi" = "Belirtilen konumlardan birsi"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\
Run
Aşağıdaki dosyalardan e-posta adresleri topluyor ve aşağıdaki dosyaya kaydediyor.
%System%\Macromed\Help\Media.dll
W32/MimailC
Virüs Tanımı :
Toplu e-posta atan bir virustür.
Aşağıdaki özelliklerde geliyor:
Kimden:
James@bulundugunuz alan adı
Konu:
our private photos (Bir miktar boşlıktan sonra bir kaç karakter daha)
Eklenti:
PHOTOS.ZIP (12,958 bytes) (PHOTOS.JPG.EXE (12,832 bytes) dosyasını içeriyor)
Metin:
Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James.
Belirtiler:
vEXE.TMP ve ZIP.TMP dosyalarını varlığı
Güvenllik duvarının NETWATCH.EXE Internet bağlantı kurmaya çalışıyor alarmı vermesi.
Yüksek ölçekte uzaktaki sunucunun 80.portuna doğru veri akışı.
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %Windir%\Netwatch.exe olarak kopyalıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri; "NetWatch32" = "%Windir%\netwatch.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".bmp"
".jpg"
".gif"
".exe"
".dll"
".avi"
".mpg"
".mp3"
".vxd"
".ocx"
".psd"
".tif"
".zip"
".rar"
".pdf"
".cab"
".wav"
".com"
Topladığı e-posta adreslerini %Windir%\eml.tmp dosyasına yazıyor.
Internet bağlantısı olup olmadığını kontrol etmek için www.google.com adresine bağlantı kurmayı deniyor.
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.
www.darkprofits.net
www.darkprofits.com
%Windir% dizinine iki dosya daha yaratıyor.
zip.tmp
Exe.tmp
W32/Holar
Virüs Tanımı :
Toplu e-posta gönderen Internet solucanı, P2P dosya paylaşımları yoluyla da yayılmaktadır.
E-posta Aşağıdaki özelliklerde geliyor:
Kimden:
[email protected]
Konu:
Bir çok değişik konu ve içerik oluşturabilmekte, bir örnek vermek gerekirse
Virus Alert ! Dear User, McAfee.com Has recieved an infected message from you .
We believe that you are infected with Win32/HaWawi@MM Virus.
Please download the attached tool (ToolAv01w32) which will help you to clean your PC.
For more information : *Create an email addressed to [email protected].
Your name, phone number, address, and email address
Operating system: Antivirus program: Anti virus engine version (e.g. 4.1.20) DAT file version (e.g. 4.0.4140) Browser version Nature of problem
Eklenti:
Değişik eklenti isimleri kullanmakta;
Aint_it_Funny.pif
AniMaL_N_Burning_Ladies.pif
Beauty_VS_Your_FaCe.pif
Broke_ass.pif
Come_2_Cum.pif
Endless_life.pif
Famous_PpL_N_Bad_Setuations.pif
Gurls_Secrets.pif
HAwa.pif
HaWawi_N_Hawaii.pif
Hearts_translator.pif
Hot_Show.pif
How_to_improve_ur_love.pif
Leaders_Scandals.pif
Lo0o0o0o0oL.pif
Real_Magic.pif
Shakiraz_Big_ass.pif
Short_vClip.pif
Sweet_but_smilly.pif
Tears_of_Happiness.pif
Tedious_SeX.pif
Teenz_Raper.pif
The_Truth_of_Love.pif
ToolAv01w32.pif
unfaithful_Gurls.pif
White_AmeRica.pif
XxX_Mpegs_Downloader.pif
Metin:
Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James.
Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Virüs tarafından yüklenmis sayaç dosyasının kayıt dosyasın varlığı
HKEY_CURRENT_USER\DeathTime = %Run count%
Eğer sayaç 30'u geçerse, yerel diskteki tüm dosyları silmeye başlıyor ve bir çok mesaj kutusu açılıyor.
Etkileme Yöntemi: E-posta eklentisi ya da KaZaa'dan indirilen dosya çalıştırıldığında kendisini bilgisayara yükleyerek bulaşıyor
Teknik özellikler:
Aşağıdaki dosyaları gizli olacak şekilde belirtilen yerlere kopyalıyor.
%windir%\explore.exe (24,064 bytes)
%windir%\SMTP.ocx (25,737 bytes)
Windows açıldığında kod çalışması için aşağıdaki değeri;
"Explore" = C:\WINDOWS\SYSTEM\EXPLORE.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
P2P dosya paylaşım programlarından olan KaZaa kullanılıyorsa
%windir%\SYSTEM klasörünü varsayılan paylaşım olarak açıyor.
Windows Adres Defterinden, kurabiye dosyalarından, Internet geçici dosyalarından ve kullanıcının özel dosyalarından topladığı e-posta adreslerine kendi SMTP motorunu kullanarak e-posta gönderiyor.
W32/Mimail
Virüs Tanımı :
Toplu e-posta atan bir virustür.
Aşağıdaki özelliklerde geliyor:
Kimden:
admin@bulundugunuz alan adı
Konu:
e-posta adresiniz
Eklenti:
message.zip
Metin:
Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. --- Best regards, Administrator
Belirtiler:
videodrv.exe dosyasını varlığı
eml.tmp dosyasını varlığı
exe.tmp dosyasını varlığı
zip.tmp dosyasını varlığı
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %Windir%\Wideodrv.exe olarak kopyalıyor. Windows açıldığında kod çalışması için aşağıdaki değeri; "VideoDriver"="%Windir%\videodrv.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".bmp"
".jpg"
".gif"
".exe"
".dll"
".avi"
".mpg"
".mp3"
".vxd"
".ocx"
".psd"
".tif"
".zip"
".rar"
".pdf"
".cab"
".wav"
".com"
Topladığı e-posta adreslerini eml.tmp dosyasına yazıyor.
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
Message.zip dosyası Message.htm dosyasını içeriyor.
Çalıştırıldığında MS02-15 ve MS03-14 açıklarından yararlanarak Foo.exe solucanını bir kopyasını Temporary Internet Files dizinine kopyalıyor. HTML çalıştırıldığında kayıt dosyalarında aşağıdaki değişikliği yapıyor.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111} %Windir% dizinine iki dosya daha yaratıyor.
zip.tmp
Exe.tmp
W32/Blaster
Belirtiler:
msblast.exe dosyasını varlığı RPC servisindeki hata mesajları TFTP dosyaların varlığı
Etkileme Yöntemi:
Virüs Microsoft Windows işletim sistemlerini MS03-026 açlığından faydalanarak yayılmaktadır.
Rastgele seçtiği IP aralığında belirtilen açığı aramak için ağ taraması yapıyor.
Güncellemesi yapılmamış sistemleri yukarda belirtilen yöntemle etkiliyor
Korunma:
MS03-026 Microsoft açığından faydalanarak ağ üstünden yayılan bir virüstür.
Virüsten korunmak için Windows güncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.
Teknik özellikler:
Virüs çalıştırıldığında:
"Billy" isminde bir Mutex yaratıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri;
"windows auto update"="msblast.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run TCP 135 porttan DCOM RPC zayıflığından yararlanan paketleri rastgele IP'lere gönderiyor.
Açıktan yararlanarak etkilene bilgisayar TCP 4444 portunu dinleyen gizli CMD uygulaması çalıştırıyor.
Yeni etkilenen bilgisayara Msblast.exe dosyasın çekmesi için komut gönderiyor.
UDP 69 portunu dinliyor.
Uygun paket geldiğinde Msblast.exe binary dosyasını çalıştırıyor.
Sistem tarihi Ağustos 15 sonrasındaysa Microsoft Update'e Dos başlatıyor.
W32/Nachi
Belirtiler:
Belirtilen dosyaların varlığı
Etkileme Yöntemi:
Virüs Microsoft Windows işletim sistemlerini MS03-026 açlığından faydalanarak yayılmaktadır.
Rastgele seçtiği IP aralığında belirtilen açığı aramak için ağ taraması yapıyor.
Güncellemesi yapılmamış sistemleri yukarda belirtilen yöntemle etkiliyor.
Korunma:
MS03-026 Microsoft bülteninde ve IIS 5.0 web sunucusu kullanan bilgisayarlarda da MS03-007 bülteninde belirtilen açıklardan faydalanarak ağ üstünden yayılan bir virüstür.
Virüsten korunmak için Windows güncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.
Teknik özellikler:
Virüs çalıştırıldığında:[list][*]Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%System%\Wins\Dllhost.exe %System%\Dllcache\Tftpd.exe dosyasını bir kopyasını %System%\Wins\svchost.exe isminde çıkarıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri; RpcPatch RpcTftpd kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Aşağıdaki servisleri hazırlıyor
Servis Adı: RpcTftpd
Servis Görsel Adı: Network Connections Sharing
Servis Binari: %System%\wins\svchost.exe Elle çalıştırılacak şekilde bırakılıyor.
Servis Adı: RpcPatch
Servis Görsel Adı: WINS Client
Servis Binari: %System%\wins\dllhost.exe Servis otomatik olarak çalışıyor.
Msblast servisini sonlandırıyor ve %System%\msblast.exe dosyasını siliyor.
IP adresleri belirledikten sonra bilgisayarların çalıtığını anlamak için ICMP echo isteği ve PING paketleri gönderiyor.
TCP 135 porta DCOM RPC zayıflığından yararlanan ve TCP 80 porta WebDav zayıflığından yararlanan paketleri IP'lere gönderiyor.
Açıktan yararlanarak etkilenen bilgisayar TCP 666-765 port aralığında rastgele bir portu dinleyen gizli CMD uygulaması çalıştırıyor.
Yeni etkilenen bilgisayara Dllhost.exe ve Svchost.exe dosyasın çekmesi için komut gönderiyor.
İşetim sistemini ve güncellemelerini kontrol edip, DCOM RPC zayıflığı bulunuyorsa WindowsUpdate sitesine bağlanıp gerekli güncelleme dosyalarını indip çalıştırıyor.
Güncelleme indildikten sonra aktif hale gelebilmesi için bilgisayarı tekrar başlatıyor.
Sistem tarihi 2004 yılındaysa kendisini sistemden siliyor.
W32/Sobig.F
Virüs Tanımı :
Toplu e-posta gönderen Internet solucanı;, dosya paylaşımları yoluyla da yayılmaktadır.
E-posta Aşağıdaki özelliklerde geliyor:
Kimden:
[email protected] (not: virus değişik adresler de kullanabilyor.)
Konu:
Bir çok değişik konu oluşturabilmekte:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
Metin:
Please see the attached file for details
See the attached file for details
Eklenti:
Değişik eklenti isimleri kullanmakta;
application.zip (application.pif dosyasını içermekte)
details.zip (details.pif dosyasını içermekte)
document_9446.zip (document_9446.pif dosyasını içermekte)
document_all.zip (document_all.pif dosyasını içermekte)
movie0045.zip (movie0045.pif dosyasını içermekte)
thank_you.zip (thank_you.pif dosyasını içermekte)
your_details.zip (your_details.pif dosyasını içermekte)
your_document.zip (your_document.pif dosyasını içermekte)
wicked_scr.zip (wicked_scr.scr dosyasını içermekte)
Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Etkileme Yöntemi:
E-posta eklentisi ya da dosya paylaşımları ile yayılıyor.
Teknik Özellikler:
W32\SobigF çalıştırıldığında:
Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%windir%\winppr32.exe
Aşağıdaki dosyaları yaratıyor:
%Windir%\winsst32.dat
Windows açıldığında kod çalışması için için aşağıdaki değeri;
"TrayX"="%Windir%\winppr32.exe" /sinc
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Uygun şartlarda, virüs, yazarı tarafında kontrol edilen sunucular bağlanıyor ve truva atı bileşenini nerden indireceği bilgisini alıyor. Ardında bileşeni indiriyor ve çaılıtırıyor.
Internet solucanı 8998/udp portundan yazarı tarafından kontrol edilen sunuculara paket yoluyor
Sunucular cevap verirse ilgili truva atı bileşeni indiriyor ve çalıştırıyor.
Aşağıdaki UDP portlarını açıyor.
995
996
997
998
999
WW32/Dumaru
Toplu e-posta gönderen Internet solucanıdır.
E-posta Aşağıdaki özelliklerde geliyor:
Kimden:
"Microsoft" < [email protected] > Konu(Subject) Use this patch immediately !
Metin:
Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!
Eklenti:
patch.exe
Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Etkileme Yöntemi:
E-posta eklentisi ya da dosya paylaşımları ile yayılıyor.
Teknik Özellikler:
W32\Dumaru çalıştırıldığında:
Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%Windir%\dllreg.exe %System%\load32.exe %System%\vxdmgr32.exe
Aşağıdaki dosyayı daha önceden tanımlanmış bir IRC sunucusuna bağlanıp, belli bir kanala giriş yapmak ve oradan gelecek komutları dinlemek için yaratıyor:
%Windir%\windrv.exe Windows açıldığında kod çalışması için aşağıdaki değeri;
"load32" = "%Windir%\load32.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run win.ini dosyasını değiştiriyor. [windows] run=%Windir%\dllreg.exe
Aşağıdaki uzantılı dosyalardan e-posta adreslerini topluyor:
.htm
.wab
.html
.dbx
.tbb
.abd
Kendi SMTP motorunu kullanarak e-posta gönderiyor.
Virüs, bir bilgisayara disketler, ağ paylaşımı, Internet (e-mail, dosya indirme) yollarıyla girebilen ve bilgisayarlarda istenmeyen sonuçlara ve zararlara yol açan bir bilgisayar programıdır. Virüslerin en önemli özelliği; girdikleri sistemlere kendilerini, kullanıcı farkında olmadan veya iradesi dışında çalıştırılacağı şekilde yerleştirmesi ve sistemlere zarar vermesidir. Virüsler genel olarak etkilerini diğer çalışan programlara bulaşarak onlarda çeşitli değişiklikler yaparak gösterirler. Virüslerin bir diğer özelliği ise kendilerini çoğaltmaları ve hafızada değişik yerlere kaydetmeleridir. Virüslerin etkileri ekranınıza rahatsızlık veren mesajlar çıkararak çalışmanızı engellemesi olabilabileceği gibi, bilgisayarın hafızasını ve disk alanını kullanarak erişiminizi engellemeleri veya kullandığınız dosyaların içeriklerini bozmaları veya silmeleri gibi oldukça zararlı etkileri de olabilir.
Virüs Nasıl Anlaşılır ve Temizlenir?
Anti-virüs yazılımı olmadığı şartlarda bilgisayarınızda virüs olduğunu ancak virus etkisini gösterdikten sonra anlayabilirsiniz. Bir virüsün etkileri bilgisayarda yavaşlama, Windows uygulamalarında hata mesajları (system fault, application error, missing files), bilgisayarın kilitlenmesi, DOS işletim sistemine dönmesi, bazı dosyaların açılmaması, değişik sesler veya bilgisayarınızın isteğiniz dışında işlemler yapmaya başlaması şeklinde görülebilir. Bu durumda bir anti-virüs programı kullanarak bilgisayarın virüsten temizlenmesi gerekmektedir. Virüsün bilgisayara geri dönülmez hasarlar vermiş olduğu durumlarda temizleme her zaman başarılı olmayabilir. Kullanılan anti-virüs yazılımlarının buldukları virüsleri silmeleri veya bulaştıkları dosyalardan temizlenmeleri mümkün olmaması da karşılaşılan bir durumdur. Anti-virüs yazılımlarının tarama işlemi sonrasında virüs bulamaması bilgisayarda virüs olmadığını değil, tarama işleminde kullanılan anti-virüs programlarının tanıdığı virüslerin bulunmadığını gösterebilir. Bu durumda kullanılan anti-virüs programının güncellenmesi veya daha güncel başka bir anti-virüs yazılımının kullanılması uygun olacaktır.
Virusden Korunma
Virüsler bilgisayarınıza bulaşmadan önce önlem almak ve baştan koruma sağlamak için McAfee Anti-Virus, Norton AntiVirus, F-Prot, Dr. Solomon's Anti-Virus Toolkits vs. gibi programları bilgisayarınıza henüz herhangi bir virüs sorunu ile karşılaşmamışken kurmanız gerekmektedir.
Ayrıca aşağıdaki sitelerden virüslerle, en yeni virus uyarıları hakkında detaylı bilgi bulabilirsiniz.
http://www.virus.com
http://www.mcafeeb2b.com/avert/virus-alerts/default.asp
http://www.mcafeeb2b.com/naicommon/a...s-glossary.asp
http://www.symantec.com/avcenter/vinfodb.html
http://www.symantec.com/avcenter/
http://www.securityfocus.com/
http://www.microsoft.com/technet/security/virus.asp
http://www.antivirus.com
Güncel Virusler
W32/Gaobot
W32/SoberD
W32/Bagle.E
W32/Netsky.B
W32/Mydoom
W32/Bagle.A
W32/SoberA
W32/MimailC
W32/Holar
W32/Blaster
W32/Nachi
W32/Sobig.F
WW32/Dumaru
W32/Mimail
W32/Gaobot
Virüs Tanımı :
Internet solucanı MS03-026, MS03-001, MS03-007 ve MS03-049 açıklarını kullanarak bilgisayarı etkilemektedir.
Belirtiler:
Beklenmeyen açık portlar
kayıt dosyasındaki varlığı
Güvenlik programların çalışmaması
Korunma Yöntemi:
Virüsten korunmak için yapılması gerekenler.
Windows işletim sistemi güncelemelerini mutlaka yapınız.
Bilgisayarda bulunan her kullanıcının şifresinin en az 8 karakter uzunluğunda olmasına ve içinde büyük harf, küçük harf, rakam ve özel karakterlerin bulunmasına özen gösteriniz.
Kullanılmayan windows paylaşımlarının kesinlikle kapatılması gerekmektedir. Bunun yanında varsayılan yönetici paylaşımlaırnın da
HKLM\System\CurrentControlSet\Services\LanmanServe r\Parameters\AutoShareWks (REG_DWORD) 0
verisi kayıt dosyasına işlenerek (registry) durdurulmalıdır.
Windows paylaşımın kullanımının zorunlu olduğu durumlarda paylaşım parola korumalı olmalıdır. Paylaşımın parolasız olması durumunda bilgisayaraınız virüse karşı korumasızdır.
Teknik özellikler:
Kendisini %System%\wuamps.exe olarak kopyalıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri;
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\ wuamps.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce wuamps.exe
Guvenlik yazilimlarini calismasini durduruyor.
Asagida belritilen baska Internet solucanlari tafindan kullanilan surecleri
duruduruyor
taskmon.exe
bbeagle.exe
d3dupdate.exe
winsys.exe
ssate.exe
i11r54n4.exe
rate.exe
irun4.exe
Ssate.exe
wuamps.exe
Asağıdaki siteler bağlantı yapılmasını engellemek icin "host" olarak ilgili verileri giriyor.
www.trendmicro.com
www.rads.mcafee.com
www.customer.symantec.com
www.liveupdate.symantec.com
www.us.mcafee.com
www.updates.symantec.com
www.update.symantec.com
www.nai.com
www.secure.nai.com
www.dispatch.mcafee.com
www.my-etrust.com
www.mast.mcafee.com
www.ca.com
www.networkassociates.com
www.kaspersky.com
www.avp.com
www.f-secure.com
www.viruslist.com
www.mcafee.com
www.sophos.com
www.securityresponse.symantec.com
www.symantec.com
Önceden belirlenmiş IRC sitesine baglanmaya calışıyor ve oradan alacağı komutları uyguluyor. Komutlar asagidaki işlemleri sağlamaktadır:
Sistem hakkida bilgi edinmek
Dosya indirmek ve calıştırmak
FTP sitelerine bağlanıp dosya yüklemek
SSH kullanarak baska sistemlere bağlanmak
Çalışan programları durdurmak
E-posta adresleri toplamak
SOCKS proxy olarak calışmak
Yukarda belirtilen açıkkları olan bilgisayaları ağda arıyor.
Asağıdaki paylaşımlara kullanıcı adı ve parola deniyerek bağlanmaya calışıyor.
admin$
c$
d$
e$
print$
W32/SoberD
Virüs Tanımı :
Toplu e-posta atan bir virustür. Ancak bazı sürümleri virüs içermeyen bozulmuş dosyalar göndermektedir.
Aşağıdaki özelliklerde geliyor:
Kimden:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
*][email protected]
[email protected]
Konu:
Microsoft Alarm: Bitte Lessen!
Microsoft Alert: Please Read!
Metin:
Mydoom virüsünün yeni bir varyantından bahsediyor.
Eklenti:
sys-patch
MS-UD
MS-Security
Patch
Update
MS-Q
.exe ya da .zip uzantılı.
Belirtiler:
Aşağıdaki dosyaların varlığı.
diagwinhost.exe
Humgly.lkur
Htemp32x.data
Hwintmpx33.dat
Hyfjq.yqwm
Hzmndpgwf.kxx
Etkileme Yöntemi:
E -posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %System%\diagwinhost.exe olarak kopyalıyor.
Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
%System%\temp32x.data
%System%\wintmpx33.dat
%System%\mslog32.dll
%System%\Humgly.lkur
%System%\yfjq.yqwm
%System%\zmndpgwf.kxx
Windows açıldığında kod çalışması için aşağıdaki değeri;
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run\disc32data "spool32" = %SYSDIR%\diagwinhost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
RunOnce "diagdir" = %SYSDIR%\diagwinhost.exe %1
Aşağıdaki mesajı görüntülüyor.
This patch has been successfully installed.
This patch does not need to be installed on this system.
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
Aşağıdaki dosyalardan e-posta adresleri topluyor ve %system%\mslog32.dll dosyasına kaydediyor.
.abd
.adb
.asp
.dbx
.doc
.eml
.ini
.log
.mdb
.php
.pl
.rtf
.shtml
.tbb
.ttt
.txt
.wab
.xls
W32/Bagle.E
Virüs Tanımı
Toplu e-posta gönderen bir virüstür. 25 Mart 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır.Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.
Konu:
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he
Mesaj içeriği
Boş
Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb
Belirtiler:
2745 TCP portunun açık olması
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Sistem zamanın 24 Mart 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor.
Kendisini %system%\i1ru74n4.exe olarak kopyalıyor.
notepad.exe'yi çalıştırıyor.
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, rate.exe"="%System%\i1ru74n4.exe
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "uid" = "[Random Value]"
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "port"="2745"
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki dosyalardan e-posta adresleri topluyor.
.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.adb
.sht
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor.
permail.uni-muenster.de
www.songtext.net/de
www.sportscheck.de
Aşağıdaki antivirüs güncellemelerini saplayan süreçleri durduruyor.
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
W32/Netsky.B
Virüs Tanımı:
Toplu e-posta gönderen bir virüstür. P2P paylaşımıyla da yayılmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.
Kimden:
etkilenmiş makineden toplanmış e-posta adreslerinden yaratılmış e-posta adresleri
[email protected]
Konu:
fake
for
hello
hi
immediately
information
it
read
something
stolen
unknown
warning
you
Mesaj içeriği:
about me
anything ok?
do you? that's funny
from the chatter
greetings
here
here is the document.
here it is
here, the cheats
here, the introduction
here, the serials
i found this document about you
I have your password!
i hope it is not true!
i wait for a reply!
i'm waiting ok
information about you
is that from you?
is that true?
is that your account?
is that your name?
kill the writer of this document!
my hero
read it immediately!
read the details.
reply
see you
something about you!
something is fool
something is going wrong
something is going wrong!
stuff about you?
take it easy
that is bad
thats wrong why?
what does it mean?
yes, really?
you are a bad writer
you are bad
you earn money
you feel the same
you try to steal
your name is wrong
Eklenti:
"Eklenti" isimleri de değişken olmaktadır ancak iki uzantılıdır.
Belirtiler:
Beklenmeyen ağ trafiği
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %Windir%\services.exe olarak kopyalıyor.
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, "service" = "%Windir%\services.exe -serv"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki kayıt dosyalarından.
"Taskmon" ve "Explorer" değerlerini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunServices
"KasperskyAV" ve "System." değerlerini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
W32/Mydoom arka kapısını kapatmak için
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
siliyor
Aşağıdaki dosyalardan e-posta adresleri topluyor.
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
"C"den "Z"ye kadar tüm sürücüleri tarıyıp "Sharing" veya "Share" isimli dizin arıyor. Eğer sürücü CDROM değilse kendisini ağağıdakşi isimlerle dizine kopyalıyor.
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe
W32/Mydoom
Virüs Tanımı :
Toplu e-posta atan bir virustür.
Kimden:
Konu:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Metin:
Eklenti:
doc.bat
document.zip
message.zip
readme.zip
text.pif
hello.cmd
body.scr
test.htm.pif
data.txt.exe
file.scr
Belirtiler:
Aşağıdaki kayıt(registry) dosyalarının varlığı
Anlamsız eklentinin içeriği
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması sonucu kendi SMPT motoru yardımı ve P2P paylaşımları yoluyla yayılıyor.
Teknik özellikler:
Virüs çalıştırıldığında:
aşağıdaki dosyaları yaratıyor.
"shimgapi.dll" %System% dizininde.
"Message" %temp% dizinde. Notepad tarafından açılan tamamen tesadüfi karakterlerden oluşmuş bir metindir.
"taskmon.exe" %System% dizinde. Başka bir taskmon.exe varsa üzerine yazıyor.
shimgapi.dll arka kapı olarak çalışan proxy programıdır.
Shimgapi.dll EXPLORER.EXE tarafından çalıştırılması için aşağıdaki kayıt (registry key) anahtarları girilir:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
Windows açıldığında kod çalışması için aşağıdaki değeri;
TaskMon = %System%\taskmon.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run
Aşağıdaki kayıt dosyalarını yaratır:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
Explorer\ComDlg32\Version
KEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Explorer\
ComDlg32\Version
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".htm"
".sht"
".php"
".asp"
".dbx"
".tbb"
".adb"
".pl"
".wap"
".txt"
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.
www.sco.com
%KaZaA dizinine iki dosya daha yaratıyor.
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
aşağıdaki uzantlarla
pif
scr
bat
exe
W32/Bagle.A
Virüs Tanımı:
Toplu e-posta gönderen bir virüstür. 28 Ocak 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.
Konu:
Hi
Mesaj içeriği:
Test =) Rastgele karakterler Test, yep.
Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb
Belirtiler:
6777 TCP portunun açık olması
bbeagle.exe dosyasını Sistem dizinide bulunması.
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Sistam zamanın 28 Ocak 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor.
Kendisini %system%\bbeagle.exe olarak kopyalıyor.
Calc.exe'yi çalıştırıyor.
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Run, "d3update.exe" = "%system%\bbeagle.exe"
HKEY_CURRENT_USER\Software\Windows98, "uid" = "[Random Value]"
HKEY_CURRENT_USER\Software\Windows98, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".wab"
".txt"
".htm"
".html"
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor.
www.elrasshop.de
www.it-msc.de
www.getyourfree.net
www.dmdesign.de
64.176.228.13
www.leonzernitsky.com
216.98.136.248
216.98.134.247
www.cdromca.com
www.kunst-in-templin.de
vipweb.ru
antol-co.ru
www.bags-dostavka.mags.ru
www.5x12.ru
bose-audio.net
www.sttngdata.de
wh9.tu-dresden.de
www.micronuke.net
www.stadthagen.org
www.beasty-cars.de
www.polohexe.de
www.bino88.de
www.grefrathpaenz.de
www.bhamidy.de
www.mystic-vws.de
www.auto-hobby-essen.de
www.polozicke.de
www.twr-music.de
www.sc-erbendorf.de
www.montania.de
www.medi-martin.de
vvcgn.de
www.ballonfoto.com
www.marder-gmbh.de
www.dvd-filme.com
www.smeangol.com
W32/SoberA
Virüs Tanımı :
Toplu e-posta atan bir virustür.
Aşağıdaki özelliklerde geliyor:
Kimden:
Değişken
Konu:
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr gehört!
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, it's enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
RE: Sex
Sorry, I've become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise
I've become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
I love you (I'm not a virus!)
Metin:
Değişken, ancak genelde Odin isminde başka bir virüsten bahsediyor
Eklenti:
.pif
.scr
.bat
.com
.exe
Belirtiler:
Aşağıdaki dosyaların varlığı.
Media.dll
Similare.exe
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %System%\Similare.exe olarak kopyalıyor.
Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
%SysDir%\WINREG.EXE
%SysDir%\FILEXE.EXE
%SysDir%\ANTIV.EXE
%SysDir%\SYSTEMINI.EXE
%SysDir%\DRIVERINI.EXE
%SysDir%\SYSTEMCHK.EXE
Windows açıldığında kod çalışması için aşağıdaki değeri;
" Belirtilen dosyalardan birisi" = "Belirtilen konumlardan birsi"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\
Run
Aşağıdaki dosyalardan e-posta adresleri topluyor ve aşağıdaki dosyaya kaydediyor.
%System%\Macromed\Help\Media.dll
W32/MimailC
Virüs Tanımı :
Toplu e-posta atan bir virustür.
Aşağıdaki özelliklerde geliyor:
Kimden:
James@bulundugunuz alan adı
Konu:
our private photos (Bir miktar boşlıktan sonra bir kaç karakter daha)
Eklenti:
PHOTOS.ZIP (12,958 bytes) (PHOTOS.JPG.EXE (12,832 bytes) dosyasını içeriyor)
Metin:
Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James.
Belirtiler:
vEXE.TMP ve ZIP.TMP dosyalarını varlığı
Güvenllik duvarının NETWATCH.EXE Internet bağlantı kurmaya çalışıyor alarmı vermesi.
Yüksek ölçekte uzaktaki sunucunun 80.portuna doğru veri akışı.
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %Windir%\Netwatch.exe olarak kopyalıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri; "NetWatch32" = "%Windir%\netwatch.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".bmp"
".jpg"
".gif"
".exe"
".dll"
".avi"
".mpg"
".mp3"
".vxd"
".ocx"
".psd"
".tif"
".zip"
".rar"
".pdf"
".cab"
".wav"
".com"
Topladığı e-posta adreslerini %Windir%\eml.tmp dosyasına yazıyor.
Internet bağlantısı olup olmadığını kontrol etmek için www.google.com adresine bağlantı kurmayı deniyor.
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.
www.darkprofits.net
www.darkprofits.com
%Windir% dizinine iki dosya daha yaratıyor.
zip.tmp
Exe.tmp
W32/Holar
Virüs Tanımı :
Toplu e-posta gönderen Internet solucanı, P2P dosya paylaşımları yoluyla da yayılmaktadır.
E-posta Aşağıdaki özelliklerde geliyor:
Kimden:
[email protected]
Konu:
Bir çok değişik konu ve içerik oluşturabilmekte, bir örnek vermek gerekirse
Virus Alert ! Dear User, McAfee.com Has recieved an infected message from you .
We believe that you are infected with Win32/HaWawi@MM Virus.
Please download the attached tool (ToolAv01w32) which will help you to clean your PC.
For more information : *Create an email addressed to [email protected].
Your name, phone number, address, and email address
Operating system: Antivirus program: Anti virus engine version (e.g. 4.1.20) DAT file version (e.g. 4.0.4140) Browser version Nature of problem
Eklenti:
Değişik eklenti isimleri kullanmakta;
Aint_it_Funny.pif
AniMaL_N_Burning_Ladies.pif
Beauty_VS_Your_FaCe.pif
Broke_ass.pif
Come_2_Cum.pif
Endless_life.pif
Famous_PpL_N_Bad_Setuations.pif
Gurls_Secrets.pif
HAwa.pif
HaWawi_N_Hawaii.pif
Hearts_translator.pif
Hot_Show.pif
How_to_improve_ur_love.pif
Leaders_Scandals.pif
Lo0o0o0o0oL.pif
Real_Magic.pif
Shakiraz_Big_ass.pif
Short_vClip.pif
Sweet_but_smilly.pif
Tears_of_Happiness.pif
Tedious_SeX.pif
Teenz_Raper.pif
The_Truth_of_Love.pif
ToolAv01w32.pif
unfaithful_Gurls.pif
White_AmeRica.pif
XxX_Mpegs_Downloader.pif
Metin:
Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James.
Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Virüs tarafından yüklenmis sayaç dosyasının kayıt dosyasın varlığı
HKEY_CURRENT_USER\DeathTime = %Run count%
Eğer sayaç 30'u geçerse, yerel diskteki tüm dosyları silmeye başlıyor ve bir çok mesaj kutusu açılıyor.
Etkileme Yöntemi: E-posta eklentisi ya da KaZaa'dan indirilen dosya çalıştırıldığında kendisini bilgisayara yükleyerek bulaşıyor
Teknik özellikler:
Aşağıdaki dosyaları gizli olacak şekilde belirtilen yerlere kopyalıyor.
%windir%\explore.exe (24,064 bytes)
%windir%\SMTP.ocx (25,737 bytes)
Windows açıldığında kod çalışması için aşağıdaki değeri;
"Explore" = C:\WINDOWS\SYSTEM\EXPLORE.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
P2P dosya paylaşım programlarından olan KaZaa kullanılıyorsa
%windir%\SYSTEM klasörünü varsayılan paylaşım olarak açıyor.
Windows Adres Defterinden, kurabiye dosyalarından, Internet geçici dosyalarından ve kullanıcının özel dosyalarından topladığı e-posta adreslerine kendi SMTP motorunu kullanarak e-posta gönderiyor.
W32/Mimail
Virüs Tanımı :
Toplu e-posta atan bir virustür.
Aşağıdaki özelliklerde geliyor:
Kimden:
admin@bulundugunuz alan adı
Konu:
e-posta adresiniz
Eklenti:
message.zip
Metin:
Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. --- Best regards, Administrator
Belirtiler:
videodrv.exe dosyasını varlığı
eml.tmp dosyasını varlığı
exe.tmp dosyasını varlığı
zip.tmp dosyasını varlığı
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %Windir%\Wideodrv.exe olarak kopyalıyor. Windows açıldığında kod çalışması için aşağıdaki değeri; "VideoDriver"="%Windir%\videodrv.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".bmp"
".jpg"
".gif"
".exe"
".dll"
".avi"
".mpg"
".mp3"
".vxd"
".ocx"
".psd"
".tif"
".zip"
".rar"
".pdf"
".cab"
".wav"
".com"
Topladığı e-posta adreslerini eml.tmp dosyasına yazıyor.
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
Message.zip dosyası Message.htm dosyasını içeriyor.
Çalıştırıldığında MS02-15 ve MS03-14 açıklarından yararlanarak Foo.exe solucanını bir kopyasını Temporary Internet Files dizinine kopyalıyor. HTML çalıştırıldığında kayıt dosyalarında aşağıdaki değişikliği yapıyor.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111} %Windir% dizinine iki dosya daha yaratıyor.
zip.tmp
Exe.tmp
W32/Blaster
Belirtiler:
msblast.exe dosyasını varlığı RPC servisindeki hata mesajları TFTP dosyaların varlığı
Etkileme Yöntemi:
Virüs Microsoft Windows işletim sistemlerini MS03-026 açlığından faydalanarak yayılmaktadır.
Rastgele seçtiği IP aralığında belirtilen açığı aramak için ağ taraması yapıyor.
Güncellemesi yapılmamış sistemleri yukarda belirtilen yöntemle etkiliyor
Korunma:
MS03-026 Microsoft açığından faydalanarak ağ üstünden yayılan bir virüstür.
Virüsten korunmak için Windows güncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.
Teknik özellikler:
Virüs çalıştırıldığında:
"Billy" isminde bir Mutex yaratıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri;
"windows auto update"="msblast.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run TCP 135 porttan DCOM RPC zayıflığından yararlanan paketleri rastgele IP'lere gönderiyor.
Açıktan yararlanarak etkilene bilgisayar TCP 4444 portunu dinleyen gizli CMD uygulaması çalıştırıyor.
Yeni etkilenen bilgisayara Msblast.exe dosyasın çekmesi için komut gönderiyor.
UDP 69 portunu dinliyor.
Uygun paket geldiğinde Msblast.exe binary dosyasını çalıştırıyor.
Sistem tarihi Ağustos 15 sonrasındaysa Microsoft Update'e Dos başlatıyor.
W32/Nachi
Belirtiler:
Belirtilen dosyaların varlığı
Etkileme Yöntemi:
Virüs Microsoft Windows işletim sistemlerini MS03-026 açlığından faydalanarak yayılmaktadır.
Rastgele seçtiği IP aralığında belirtilen açığı aramak için ağ taraması yapıyor.
Güncellemesi yapılmamış sistemleri yukarda belirtilen yöntemle etkiliyor.
Korunma:
MS03-026 Microsoft bülteninde ve IIS 5.0 web sunucusu kullanan bilgisayarlarda da MS03-007 bülteninde belirtilen açıklardan faydalanarak ağ üstünden yayılan bir virüstür.
Virüsten korunmak için Windows güncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.
Teknik özellikler:
Virüs çalıştırıldığında:[list][*]Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%System%\Wins\Dllhost.exe %System%\Dllcache\Tftpd.exe dosyasını bir kopyasını %System%\Wins\svchost.exe isminde çıkarıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri; RpcPatch RpcTftpd kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Aşağıdaki servisleri hazırlıyor
Servis Adı: RpcTftpd
Servis Görsel Adı: Network Connections Sharing
Servis Binari: %System%\wins\svchost.exe Elle çalıştırılacak şekilde bırakılıyor.
Servis Adı: RpcPatch
Servis Görsel Adı: WINS Client
Servis Binari: %System%\wins\dllhost.exe Servis otomatik olarak çalışıyor.
Msblast servisini sonlandırıyor ve %System%\msblast.exe dosyasını siliyor.
IP adresleri belirledikten sonra bilgisayarların çalıtığını anlamak için ICMP echo isteği ve PING paketleri gönderiyor.
TCP 135 porta DCOM RPC zayıflığından yararlanan ve TCP 80 porta WebDav zayıflığından yararlanan paketleri IP'lere gönderiyor.
Açıktan yararlanarak etkilenen bilgisayar TCP 666-765 port aralığında rastgele bir portu dinleyen gizli CMD uygulaması çalıştırıyor.
Yeni etkilenen bilgisayara Dllhost.exe ve Svchost.exe dosyasın çekmesi için komut gönderiyor.
İşetim sistemini ve güncellemelerini kontrol edip, DCOM RPC zayıflığı bulunuyorsa WindowsUpdate sitesine bağlanıp gerekli güncelleme dosyalarını indip çalıştırıyor.
Güncelleme indildikten sonra aktif hale gelebilmesi için bilgisayarı tekrar başlatıyor.
Sistem tarihi 2004 yılındaysa kendisini sistemden siliyor.
W32/Sobig.F
Virüs Tanımı :
Toplu e-posta gönderen Internet solucanı;, dosya paylaşımları yoluyla da yayılmaktadır.
E-posta Aşağıdaki özelliklerde geliyor:
Kimden:
[email protected] (not: virus değişik adresler de kullanabilyor.)
Konu:
Bir çok değişik konu oluşturabilmekte:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
Metin:
Please see the attached file for details
See the attached file for details
Eklenti:
Değişik eklenti isimleri kullanmakta;
application.zip (application.pif dosyasını içermekte)
details.zip (details.pif dosyasını içermekte)
document_9446.zip (document_9446.pif dosyasını içermekte)
document_all.zip (document_all.pif dosyasını içermekte)
movie0045.zip (movie0045.pif dosyasını içermekte)
thank_you.zip (thank_you.pif dosyasını içermekte)
your_details.zip (your_details.pif dosyasını içermekte)
your_document.zip (your_document.pif dosyasını içermekte)
wicked_scr.zip (wicked_scr.scr dosyasını içermekte)
Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Etkileme Yöntemi:
E-posta eklentisi ya da dosya paylaşımları ile yayılıyor.
Teknik Özellikler:
W32\SobigF çalıştırıldığında:
Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%windir%\winppr32.exe
Aşağıdaki dosyaları yaratıyor:
%Windir%\winsst32.dat
Windows açıldığında kod çalışması için için aşağıdaki değeri;
"TrayX"="%Windir%\winppr32.exe" /sinc
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Uygun şartlarda, virüs, yazarı tarafında kontrol edilen sunucular bağlanıyor ve truva atı bileşenini nerden indireceği bilgisini alıyor. Ardında bileşeni indiriyor ve çaılıtırıyor.
Internet solucanı 8998/udp portundan yazarı tarafından kontrol edilen sunuculara paket yoluyor
Sunucular cevap verirse ilgili truva atı bileşeni indiriyor ve çalıştırıyor.
Aşağıdaki UDP portlarını açıyor.
995
996
997
998
999
WW32/Dumaru
Toplu e-posta gönderen Internet solucanıdır.
E-posta Aşağıdaki özelliklerde geliyor:
Kimden:
"Microsoft" < [email protected] > Konu(Subject) Use this patch immediately !
Metin:
Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!
Eklenti:
patch.exe
Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Etkileme Yöntemi:
E-posta eklentisi ya da dosya paylaşımları ile yayılıyor.
Teknik Özellikler:
W32\Dumaru çalıştırıldığında:
Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%Windir%\dllreg.exe %System%\load32.exe %System%\vxdmgr32.exe
Aşağıdaki dosyayı daha önceden tanımlanmış bir IRC sunucusuna bağlanıp, belli bir kanala giriş yapmak ve oradan gelecek komutları dinlemek için yaratıyor:
%Windir%\windrv.exe Windows açıldığında kod çalışması için aşağıdaki değeri;
"load32" = "%Windir%\load32.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run win.ini dosyasını değiştiriyor. [windows] run=%Windir%\dllreg.exe
Aşağıdaki uzantılı dosyalardan e-posta adreslerini topluyor:
.htm
.wab
.html
.dbx
.tbb
.abd
Kendi SMTP motorunu kullanarak e-posta gönderiyor.
