0
0
0
0
Forum Giris Giris Üyeler Ekibimiz Arama
Toplam Forum: 69     ***     Toplam Konu: 30100     ***     Toplam Mesaj: 148193
  
  Beni hatırla
Forum Anasayfa » BİLGİSAYAR / İNTERNET » PROĞRAMLAMA » İşte Virüsler Ve Bulaşma Yolları Veetkileri

önceki konu   diğer konu
4 okunmamış mesaj mevcut (Acik)
Gönderen
Mesaj
CocuksuMavi su an offline CocuksuMavi  
İşte Virüsler Ve Bulaşma Yolları Veetkileri
1 Mesaj
Virüs nedir? nasýl bulaþýr? nasýl temizlenir? virüslerden korunma?

--------------------------------------------------------------------------------

Virüs Tanýmý
Virüs, bir bilgisayara disketler, að paylaþýmý, Internet (e-mail, dosya indirme) yollarýyla girebilen ve bilgisayarlarda istenmeyen sonuçlara ve zararlara yol açan bir bilgisayar programýdýr. Virüslerin en önemli özelliði; girdikleri sistemlere kendilerini, kullanýcý farkýnda olmadan veya iradesi dýþýnda çalýþtýrýlacaðý þekilde yerleþtirmesi ve sistemlere zarar vermesidir. Virüsler genel olarak etkilerini diðer çalýþan programlara bulaþarak onlarda çeþitli deðiþiklikler yaparak gösterirler. Virüslerin bir diðer özelliði ise kendilerini çoðaltmalarý ve hafýzada deðiþik yerlere kaydetmeleridir. Virüslerin etkileri ekranýnýza rahatsýzlýk veren mesajlar çýkararak çalýþmanýzý engellemesi olabilabileceði gibi, bilgisayarýn hafýzasýný ve disk alanýný kullanarak eriþiminizi engellemeleri veya kullandýðýnýz dosyalarýn içeriklerini bozmalarý veya silmeleri gibi oldukça zararlý etkileri de olabilir.

Virüs Nasýl Anlaþýlýr ve Temizlenir?
Anti-virüs yazýlýmý olmadýðý þartlarda bilgisayarýnýzda virüs olduðunu ancak virus etkisini gösterdikten sonra anlayabilirsiniz. Bir virüsün etkileri bilgisayarda yavaþlama, Windows uygulamalarýnda hata mesajlarý (system fault, application error, missing files), bilgisayarýn kilitlenmesi, DOS iþletim sistemine dönmesi, bazý dosyalarýn açýlmamasý, deðiþik sesler veya bilgisayarýnýzýn isteðiniz dýþýnda iþlemler yapmaya baþlamasý þeklinde görülebilir. Bu durumda bir anti-virüs programý kullanarak bilgisayarýn virüsten temizlenmesi gerekmektedir. Virüsün bilgisayara geri dönülmez hasarlar vermiþ olduðu durumlarda temizleme her zaman baþarýlý olmayabilir. Kullanýlan anti-virüs yazýlýmlarýnýn bulduklarý virüsleri silmeleri veya bulaþtýklarý dosyalardan temizlenmeleri mümkün olmamasý da karþýlaþýlan bir durumdur. Anti-virüs yazýlýmlarýnýn tarama iþlemi sonrasýnda virüs bulamamasý bilgisayarda virüs olmadýðýný deðil, tarama iþleminde kullanýlan anti-virüs programlarýnýn tanýdýðý virüslerin bulunmadýðýný gösterebilir. Bu durumda kullanýlan anti-virüs programýnýn güncellenmesi veya daha güncel baþka bir anti-virüs yazýlýmýnýn kullanýlmasý uygun olacaktýr.

Virusden Korunma
Virüsler bilgisayarýnýza bulaþmadan önce önlem almak ve baþtan koruma saðlamak için McAfee Anti-Virus, Norton AntiVirus, F-Prot, Dr. Solomon's Anti-Virus Toolkits vs. gibi programlarý bilgisayarýnýza henüz herhangi bir virüs sorunu ile karþýlaþmamýþken kurmanýz gerekmektedir.

Ayrýca aþaðýdaki sitelerden virüslerle, en yeni virus uyarýlarý hakkýnda detaylý bilgi bulabilirsiniz.

http://www.virus.com
http://www.mcafeeb2b.com/avert/virus-alerts/default.asp
http://www.mcafeeb2b.com/naicommon/...us-glossary.asp
http://www.symantec.com/avcenter/vinfodb.html
http://www.symantec.com/avcenter/
http://www.securityfocus.com/
http://www.microsoft.com/technet/security/virus.asp
http://www.antivirus.com

Güncel Virusler


W32/Gaobot
  • W32/SoberD
  • W32/Bagle.E
  • W32/Netsky.B
  • W32/Mydoom
  • W32/Bagle.A
  • W32/SoberA
  • W32/MimailC
  • W32/Holar
  • W32/Blaster
  • W32/Nachi
  • W32/Sobig.F
  • WW32/Dumaru
  • W32/Mimail


    W32/Gaobot

    Virüs Tanýmý :

    Internet solucaný MS03-026, MS03-001, MS03-007 ve MS03-049 açýklarýný kullanarak bilgisayarý etkilemektedir.

    Belirtiler:

  • Beklenmeyen açýk portlar
  • kayýt dosyasýndaki varlýðý
  • Güvenlik programlarýn çalýþmamasý

    Korunma Yöntemi:

    Virüsten korunmak için yapýlmasý gerekenler.

  • Windows iþletim sistemi güncelemelerini mutlaka yapýnýz.
  • Bilgisayarda bulunan her kullanýcýnýn þifresinin en az 8 karakter uzunluðunda olmasýna ve içinde büyük harf, küçük harf, rakam ve özel karakterlerin bulunmasýna özen gösteriniz.
  • Kullanýlmayan windows paylaþýmlarýnýn kesinlikle kapatýlmasý gerekmektedir. Bunun yanýnda varsayýlan yönetici paylaþýmlaýrnýn da
    HKLM\System\CurrentControlSet\Services\LanmanServer\Paramete rs\AutoShareWks (REG_DWORD) 0
    verisi kayýt dosyasýna iþlenerek (registry) durdurulmalýdýr.
  • Windows paylaþýmýn kullanýmýnýn zorunlu olduðu durumlarda paylaþým parola korumalý olmalýdýr. Paylaþýmýn parolasýz olmasý durumunda bilgisayaraýnýz virüse karþý korumasýzdýr.

    Teknik özellikler:

  • Kendisini %System%\wuamps.exe olarak kopyalýyor.
  • Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðeri;

    kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;


  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\ wuamps.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \RunOnce wuamps.exe
  • Guvenlik yazilimlarini calismasini durduruyor.
  • Asagida belritilen baska Internet solucanlari tafindan kullanilan surecleri
    duruduruyor


  • taskmon.exe
  • bbeagle.exe
  • d3dupdate.exe
  • winsys.exe
  • ssate.exe
  • i11r54n4.exe
  • rate.exe
  • irun4.exe
  • Ssate.exe
  • wuamps.exe

    Asaðýdaki siteler baðlantý yapýlmasýný engellemek icin "host" olarak ilgili verileri giriyor.

    http://www.trendmicro.com
    http://www.rads.mcafee.com
    http://www.customer.symantec.com
    http://www.liveupdate.symantec.com
    http://www.us.mcafee.com
    http://www.updates.symantec.com
    http://www.update.symantec.com
    http://www.nai.com
    http://www.secure.nai.com
    http://www.dispatch.mcafee.com
    http://www.my-etrust.com
    http://www.mast.mcafee.com
    http://www.ca.com
    http://www.networkassociates.com
    http://www.kaspersky.com
    http://www.avp.com
    http://www.f-secure.com
    http://www.viruslist.com
    http://www.mcafee.com
    http://www.sophos.com
    http://www.securityresponse.symantec.com
    http://www.symantec.com

    Önceden belirlenmiþ IRC sitesine baglanmaya calýþýyor ve oradan alacaðý komutlarý uyguluyor. Komutlar asagidaki iþlemleri saðlamaktadýr:

  • Sistem hakkida bilgi edinmek
  • Dosya indirmek ve calýþtýrmak
  • FTP sitelerine baðlanýp dosya yüklemek
  • SSH kullanarak baska sistemlere baðlanmak
  • Çalýþan programlarý durdurmak
  • E-posta adresleri toplamak
  • SOCKS proxy olarak calýþmak

    Yukarda belirtilen açýkklarý olan bilgisayalarý aðda arýyor.
    Asaðýdaki paylaþýmlara kullanýcý adý ve parola deniyerek baðlanmaya calýþýyor.

  • admin$
  • c$
  • d$
  • e$
  • print$

    W32/SoberD

    Virüs Tanýmý :
    Toplu e-posta atan bir virustür. Ancak bazý sürümleri virüs içermeyen bozulmuþ dosyalar göndermektedir.

    Aþaðýdaki özelliklerde geliyor:

    Kimden:

  • Info@microsoft.com
  • Center@microsoft.com
  • UpDate@microsoft.com
  • News@microsoft.com
  • Help@microsoft.com
  • Studio@microsoft.com
  • *]Alert@microsoft.com
  • Security@microsoft.com

    Konu:

  • Microsoft Alarm: Bitte Lessen!
  • Microsoft Alert: Please Read!

    Metin:
  • Mydoom virüsünün yeni bir varyantýndan bahsediyor.

    Eklenti:

  • sys-patch
  • MS-UD
  • MS-Security
  • Patch
  • Update
  • MS-Q

    .exe ya da .zip uzantýlý.

    Belirtiler:

    Aþaðýdaki dosyalarýn varlýðý.

  • diagwinhost.exe
  • Humgly.lkur
  • Htemp32x.data
  • Hwintmpx33.dat
  • Hyfjq.yqwm
  • Hzmndpgwf.kxx

    Etkileme Yöntemi:

  • E -posta eklentisinin çalýþtýrýlýmasý.

    Teknik özellikler:

    Virüs çalýþtýrýldýðýnda:

  • Kendisini %System%\diagwinhost.exe olarak kopyalýyor.
  • Kendisinin iki kopyasýný da aþaðýdaki konumlara kopyalýyor
  • %System%\temp32x.data
  • %System%\wintmpx33.dat
  • %System%\mslog32.dll
  • %System%\Humgly.lkur
  • %System%\yfjq.yqwm
  • %System%\zmndpgwf.kxx

    Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðeri;
    kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
    Run\disc32data "spool32" = %SYSDIR%\diagwinhost.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
    RunOnce "diagdir" = %SYSDIR%\diagwinhost.exe %1

    Aþaðýdaki mesajý görüntülüyor.

  • This patch has been successfully installed.
    This patch does not need to be installed on this system.
    Microsoft Windows
    STOP: 0x80070725 {FatalSystemError}
    System File [filename].exe
    Connection lost or blocked by Firewall

    Aþaðýdaki dosyalardan e-posta adresleri topluyor ve %system%\mslog32.dll dosyasýna kaydediyor.

  • .abd
  • .adb
  • .asp
  • .dbx
  • .doc
  • .eml
  • .ini
  • .log
  • .mdb
  • .php
  • .pl
  • .rtf
  • .shtml
  • .tbb
  • .ttt
  • .txt
  • .wab
  • .xls

    W32/Bagle.E

    Virüs Tanýmý

    Toplu e-posta gönderen bir virüstür. 25 Mart 2004 tarihine kadar aktif olacaktýr. Kayýt dosyalarýna bir çok veri girmekte ve uzaktan web sitelerine baðlanmaktadýr.Internet solucaný kendisini, etkilediði makinede bulunan e-posta adreslerine göndermektedir.

    Konu:

  • Accounts department
  • Ahtung!
  • Camila
  • Daily activity report
  • Flayers among us
  • Freedom for everyone
  • From Hair-cutter
  • From me
  • Greet the day
  • Hardware devices price-list
  • Hello my friend
  • Hi!
  • Jenny
  • Jessica
  • Looking for the report
  • Maria
  • Melissa
  • Monthly incomings summary
  • New Price-list
  • Price
  • Price list
  • Proclivity to servitude
  • Registration confirmation
  • The account
  • The employee
  • The summary
  • USA government abolishes the capital punishment
  • Weekly activity report
  • Well...
  • You are dismissed
  • You really love me? he he

    Mesaj içeriði

    Boþ

    Eklenti:

    "Eklenti" isimleri de deðiþken olmakla birlikte boyutu 16Kb

    Belirtiler:

    2745 TCP portunun açýk olmasý

    Etkileme Yöntemi:

    E-posta eklentisinin çalýþtýrýlýmasý.

    Teknik özellikler:

    Virüs çalýþtýrýldýðýnda:

  • Sistem zamanýn 24 Mart 2004 olup olmadýðýný kontrol ediyor. 28 Ocak'tan sonraki günlerde bir þey yapmýyor.
  • Kendisini %system%\i1ru74n4.exe olarak kopyalýyor.
  • notepad.exe'yi çalýþtýrýyor.
  • Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðerleri;
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run, rate.exe"="%System%\i1ru74n4.exe
  • HKEY_CURRENT_USER\SOFTWARE\DateTime4, "uid" = "[Random Value]"
  • HKEY_CURRENT_USER\SOFTWARE\DateTime4, "port"="2745"
  • HKEY_CURRENT_USER\SOFTWARE\DateTime4, "frun" = "1"
    kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
    Aþaðýdaki dosyalardan e-posta adresleri topluyor.
  • .wab
  • .txt
  • .htm
  • .html
  • .dbx
  • .mdx
  • .eml
  • .nch
  • .mmf
  • .ods
  • .cfg
  • .asp
  • .php
  • .pl
  • .adb
  • .sht
  • Yukarda belirtilen yapýda e-posta hazýrlýyýp gönderiyor.
  • Aþaðýdaki sitelerden rastgele seçtiði birisine baðlantý kurmaya çalýþýyor.
  • permail.uni-muenster.de
  • www.songtext.net/de
  • www.sportscheck.de
    Aþaðýdaki antivirüs güncellemelerini saplayan süreçleri durduruyor.
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVLTMAIN.EXE
  • AVPUPD.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • UPDATE.EXE

    W32/Netsky.B

    Virüs Tanýmý:

    Toplu e-posta gönderen bir virüstür. P2P paylaþýmýyla da yayýlmaktadýr. Internet solucaný kendisini, etkilediði makinede bulunan e-posta adreslerine göndermektedir.

    Kimden:

  • etkilenmiþ makineden toplanmýþ e-posta adreslerinden yaratýlmýþ e-posta adresleri
  • skynet@skynet.de

    Konu:

  • fake
  • for
  • hello
  • hi
  • immediately
  • information
  • it
  • read
  • something
  • stolen
  • unknown
  • warning
  • you

    Mesaj içeriði:

  • about me
  • anything ok?
  • do you? that's funny
  • from the chatter
  • greetings
  • here
  • here is the document.
  • here it is
  • here, the cheats
  • here, the introduction
  • here, the serials
  • i found this document about you
  • I have your password!
  • i hope it is not true!
  • i wait for a reply!
  • i'm waiting ok
  • information about you
  • is that from you?
  • is that true?
  • is that your account?
  • is that your name?
  • kill the writer of this document!
  • my hero
  • read it immediately!
  • read the details.
  • reply
  • see you
  • something about you!
  • something is fool
  • something is going wrong
  • something is going wrong!
  • stuff about you?
  • take it easy
  • that is bad
  • thats wrong why?
  • what does it mean?
  • yes, really?
  • you are a bad writer
  • you are bad
  • you earn money
  • you feel the same
  • you try to steal
  • your name is wrong

    Eklenti:


    "Eklenti" isimleri de deðiþken olmaktadýr ancak iki uzantýlýdýr.

    Belirtiler:

    Beklenmeyen að trafiði

    Etkileme Yöntemi:

    E-posta eklentisinin çalýþtýrýlýmasý.

    Teknik özellikler:

    Virüs çalýþtýrýldýðýnda:

  • Kendisini %Windir%\services.exe olarak kopyalýyor.
  • Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðerleri;
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run, "service" = "%Windir%\services.exe -serv"
    kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
  • Aþaðýdaki kayýt dosyalarýndan.
  • "Taskmon" ve "Explorer" deðerlerini
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices
  • "KasperskyAV" ve "System." deðerlerini
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run
  • W32/Mydoom arka kapýsýný kapatmak için
  • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127E D}\InProcServer32
    siliyor
  • Aþaðýdaki dosyalardan e-posta adresleri topluyor.
  • .msg
  • .oft
  • .sht
  • .dbx
  • .tbb
  • .adb
  • .doc
  • .wab
  • .asp
  • .uin
  • .rtf
  • .vbs
  • .html
  • .htm
  • .pl
  • .php
  • .txt
  • .eml
  • Yukarda belirtilen yapýda e-posta hazýrlýyýp gönderiyor.
  • "C"den "Z"ye kadar tüm sürücüleri tarýyýp "Sharing" veya "Share" isimli dizin arýyor. Eðer sürücü CDROM deðilse kendisini aðaðýdakþi isimlerle dizine kopyalýyor.
  • doom2.doc.pif
  • sex sex sex sex.doc.exe
  • rfc compilation.doc.exe
  • dictionary.doc.exe
  • win longhorn.doc.exe
  • e.book.doc.exe
  • programming basics.doc.exe
  • how to hack.doc.exe
  • max payne 2.crack.exe
  • e-book.archive.doc.exe
  • virii.scr
  • nero.7.exe
  • eminem - lick my pussy.mp3.pif
  • cool screensaver.scr
  • serial.txt.exe
  • office_crack.exe
  • hardcore porn.jpg.exe
  • angels.pif
  • porno.scr
  • matrix.scr
  • photoshop 9 crack.exe
  • strippoker.exe
  • dolly_buster.jpg.pif
  • winxp_crack.exe

    W32/Mydoom

    Virüs Tanýmý :

    Toplu e-posta atan bir virustür.

    Kimden:

    Konu:

  • test
  • hi
  • hello
  • Mail Delivery System
  • Mail Transaction Failed
  • Server Report
  • Status
  • Error

    Metin:

    Eklenti:

  • doc.bat
  • document.zip
  • message.zip
  • readme.zip
  • text.pif
  • hello.cmd
  • body.scr
  • test.htm.pif
  • data.txt.exe
  • file.scr

    Belirtiler:

  • Aþaðýdaki kayýt(registry) dosyalarýnýn varlýðý
  • Anlamsýz eklentinin içeriði

    Etkileme Yöntemi:

    E-posta eklentisinin çalýþtýrýlýmasý sonucu kendi SMPT motoru yardýmý ve P2P paylaþýmlarý yoluyla yayýlýyor.

    Teknik özellikler:

    Virüs çalýþtýrýldýðýnda:

  • aþaðýdaki dosyalarý yaratýyor.
  • "shimgapi.dll" %System% dizininde.
  • "Message" %temp% dizinde. Notepad tarafýndan açýlan tamamen tesadüfi karakterlerden oluþmuþ bir metindir.
  • "taskmon.exe" %System% dizinde. Baþka bir taskmon.exe varsa üzerine yazýyor.
  • shimgapi.dll arka kapý olarak çalýþan proxy programýdýr.
  • Shimgapi.dll EXPLORER.EXE tarafýndan çalýþtýrýlmasý için aþaðýdaki kayýt (registry key) anahtarlarý girilir:
  • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127E D}\InProcServer32 "aglaDefault)" = %SysDir%\shimgapi.dll
  • Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðeri;
    TaskMon = %System%\taskmon.exe
    kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
    Run
  • Aþaðýdaki kayýt dosyalarýný yaratýr:
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \
    Explorer\ComDlg32\Version
  • KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\E xplorer\
    ComDlg32\Version
  • Aþaðýdaki dosyalardan e-posta adresleri topluyor.
  • ".htm"
  • ".sht"
  • ".php"
  • ".asp"
  • ".dbx"
  • ".tbb"
  • ".adb"
  • ".pl"
  • ".wap"
  • ".txt"
  • Yukarda belirtilen yapýda e-postalar hazýrlýyor ve topladýðý e-posta adreslerine gönderiyor.
  • Aþaðýdaki sitelerden rastgele seçtiði birisine DoS (Denial of Service) saldýrýsý yapýyor.
  • www.sco.com
  • %KaZaA dizinine iki dosya daha yaratýyor.
  • winamp5
  • icq2004-final
  • activation_crack
  • strip-girl-2.0bdcom_patches
  • rootkitXP
  • office_crack
  • nuke2004
  • aþaðýdaki uzantlarla
  • pif
  • scr
  • bat
  • exe

    W32/Bagle.A

    Virüs Tanýmý:

    Toplu e-posta gönderen bir virüstür. 28 Ocak 2004 tarihine kadar aktif olacaktýr. Kayýt dosyalarýna bir çok veri girmekte ve uzaktan web sitelerine baðlanmaktadýr. Internet solucaný kendisini, etkilediði makinede bulunan e-posta adreslerine göndermektedir.

    Konu:

    Hi

    Mesaj içeriði:

    Test =) Rastgele karakterler Test, yep.

    Eklenti:

    "Eklenti" isimleri de deðiþken olmakla birlikte boyutu 16Kb

    Belirtiler:

  • 6777 TCP portunun açýk olmasý
  • bbeagle.exe dosyasýný Sistem dizinide bulunmasý.
    Etkileme Yöntemi:

    E-posta eklentisinin çalýþtýrýlýmasý.

    Teknik özellikler:

    Virüs çalýþtýrýldýðýnda:

  • Sistam zamanýn 28 Ocak 2004 olup olmadýðýný kontrol ediyor. 28 Ocak'tan sonraki günlerde bir þey yapmýyor.
  • Kendisini %system%\bbeagle.exe olarak kopyalýyor.
  • Calc.exe'yi çalýþtýrýyor.
  • Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðerleri;
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run, "d3update.exe" = "%system%\bbeagle.exe"
  • HKEY_CURRENT_USER\Software\Windows98, "uid" = "[Random Value]"
  • HKEY_CURRENT_USER\Software\Windows98, "frun" = "1"
    kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
  • Aþaðýdaki dosyalardan e-posta adresleri topluyor.
  • ".wab"
  • ".txt"
  • ".htm"
  • ".html"
  • Yukarda belirtilen yapýda e-posta hazýrlýyýp gönderiyor.
  • Aþaðýdaki sitelerden rastgele seçtiði birisine baðlantý kurmaya çalýþýyor.
  • www.elrasshop.de
  • www.it-msc.de
  • www.getyourfree.net
  • www.dmdesign.de
  • 64.176.228.13
  • www.leonzernitsky.com
  • 216.98.136.248
  • 216.98.134.247
  • www.cdromca.com
  • www.kunst-in-templin.de
  • vipweb.ru
  • antol-co.ru
  • www.bags-dostavka.mags.ru
  • www.5x12.ru
  • bose-audio.net
  • www.sttngdata.de
  • wh9.tu-dresden.de
  • www.micronuke.net
  • www.stadthagen.org
  • www.beasty-cars.de
  • www.polohexe.de
  • www.bino88.de
  • www.grefrathpaenz.de
  • www.bhamidy.de
  • www.mystic-vws.de
  • www.auto-hobby-essen.de
  • www.polozicke.de
  • www.twr-music.de
  • www.sc-erbendorf.de
  • www.montania.de
  • www.medi-martin.de
  • vvcgn.de
  • www.ballonfoto.com
  • www.marder-gmbh.de
  • www.dvd-filme.com
  • www.smeangol.com

    W32/SoberA

    Virüs Tanýmý :

    Toplu e-posta atan bir virustür.

    Aþaðýdaki özelliklerde geliyor:

    Kimden:

    Deðiþken

    Konu:

  • Neuer Virus im Umlauf!
  • Sie versenden Spam Mails (Virus?)
  • Ein Wurm ist auf Ihrem Computer!
  • Langsam reicht es mir
  • Sie haben mir einen Wurm geschickt!
  • Hi Schnuckel was machst du so ?
  • VORSICHT!!! Neuer Mail Wurm
  • Re: Kontakt
  • RE: Sex
  • Sorry, Ich habe Ihre Mail bekommen
  • Hi Olle, lange niks mehr gehört!
  • Re: lol
  • Viurs blockiert jeden PC (Vorsicht!)
  • Überraschung
  • Ich habe Ihre E-Mail bekommen !
  • Jetzt rate mal, wer ich bin !?
  • Neue Sobig Variante (Lesen!!)
  • Back At The Funny Farm
  • Ich Liebe Dich
  • New internet virus!
  • You send spam mails (Worm?)
  • A worm is on your computer!
  • Now, it's enough
  • You have sent me a virus!
  • Hi darling, what are you doing now?
  • Be careful! New mail worm
  • Re: Contact
  • RE: Sex
  • Sorry, I've become your mail
  • Hey man, long not see you
  • Viurs blocked every PC (Take care!)
  • Surprise
  • I've become your mail!
  • Advise who I am!
  • New Sobig-Worm variation (please read)
  • I love you (I'm not a virus!)

    Metin:

    Deðiþken, ancak genelde Odin isminde baþka bir virüsten bahsediyor

    Eklenti:

  • .pif
  • .scr
  • .bat
  • .com
  • .exe

    Belirtiler:

  • Aþaðýdaki dosyalarýn varlýðý.
  • Media.dll
  • Similare.exe

    Etkileme Yöntemi:

  • E-posta eklentisinin çalýþtýrýlýmasý.

    Teknik özellikler:

    Virüs çalýþtýrýldýðýnda:

  • Kendisini %System%\Similare.exe olarak kopyalýyor.
  • Kendisinin iki kopyasýný da aþaðýdaki konumlara kopyalýyor
  • %SysDir%\WINREG.EXE
  • %SysDir%\FILEXE.EXE
  • %SysDir%\ANTIV.EXE
  • %SysDir%\SYSTEMINI.EXE
  • %SysDir%\DRIVERINI.EXE
  • %SysDir%\SYSTEMCHK.EXE
  • Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðeri;
    " Belirtilen dosyalardan birisi" = "Belirtilen konumlardan birsi"
    kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
  • KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run
  • Aþaðýdaki dosyalardan e-posta adresleri topluyor ve aþaðýdaki dosyaya kaydediyor.
  • %System%\Macromed\Help\Media.dll

    W32/MimailC

    Virüs Tanýmý :

    Toplu e-posta atan bir virustür.

    Aþaðýdaki özelliklerde geliyor:

    Kimden:

    James@bulundugunuz alan adý

    Konu:

    our private photos (Bir miktar boþlýktan sonra bir kaç karakter daha)

    Eklenti:

    PHOTOS.ZIP (12,958 bytes) (PHOTOS.JPG.EXE (12,832 bytes) dosyasýný içeriyor)

    Metin:

    Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James.

    Belirtiler:

  • vEXE.TMP ve ZIP.TMP dosyalarýný varlýðý
  • Güvenllik duvarýnýn NETWATCH.EXE Internet baðlantý kurmaya çalýþýyor alarmý vermesi.
  • Yüksek ölçekte uzaktaki sunucunun 80.portuna doðru veri akýþý.

    Etkileme Yöntemi:

    E-posta eklentisinin çalýþtýrýlýmasý

    Teknik özellikler:

    Virüs çalýþtýrýldýðýnda:

  • Kendisini %Windir%\Netwatch.exe olarak kopyalýyor.
  • Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðeri; "NetWatch32" = "%Windir%\netwatch.exe" kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Run
  • Aþaðýdaki dosyalardan e-posta adresleri topluyor.
  • ".bmp"
  • ".jpg"
  • ".gif"
  • ".exe"
  • ".dll"
  • ".avi"
  • ".mpg"
  • ".mp3"
  • ".vxd"
  • ".ocx"
  • ".psd"
  • ".tif"
  • ".zip"
  • ".rar"
  • ".pdf"
  • ".cab"
  • ".wav"
  • ".com"
  • Topladýðý e-posta adreslerini %Windir%\eml.tmp dosyasýna yazýyor.
  • Internet baðlantýsý olup olmadýðýný kontrol etmek için http://www.google.com adresine baðlantý kurmayý deniyor.
  • Yukarda belirtilen yapýda e-postalar hazýrlýyor ve topladýðý e-posta adreslerine gönderiyor.
  • Aþaðýdaki sitelerden rastgele seçtiði birisine DoS (Denial of Service) saldýrýsý yapýyor.
  • www.darkprofits.net
  • www.darkprofits.com
  • %Windir% dizinine iki dosya daha yaratýyor.
  • zip.tmp
  • Exe.tmp

    W32/Holar

    Virüs Tanýmý :

    Toplu e-posta gönderen Internet solucaný, P2P dosya paylaþýmlarý yoluyla da yayýlmaktadýr.

    E-posta Aþaðýdaki özelliklerde geliyor:

    Kimden:

    Dispatch@McAfee.com

    Konu:

    Bir çok deðiþik konu ve içerik oluþturabilmekte, bir örnek vermek gerekirse

    Virus Alert ! Dear User, McAfee.com Has recieved an infected message from you .
    We believe that you are infected with Win32/HaWawi@MM Virus.
    Please download the attached tool (ToolAv01w32) which will help you to clean your PC.
    For more information : *Create an email addressed to virus_research@nai.com.
    Your name, phone number, address, and email address
    Operating system: Antivirus program: Anti virus engine version (e.g. 4.1.20) DAT file version (e.g. 4.0.4140) Browser version Nature of problem

    Eklenti:

  • Deðiþik eklenti isimleri kullanmakta;
  • Aint_it_Funny.pif
  • AniMaL_N_Burning_Ladies.pif
  • Beauty_VS_Your_FaCe.pif
  • Broke_ass.pif
  • Come_2_Cum.pif
  • Endless_life.pif
  • Famous_PpL_N_Bad_Setuations.pif
  • Gurls_Secrets.pif
  • HAwa.pif
  • HaWawi_N_Hawaii.pif
  • Hearts_translator.pif
  • Hot_Show.pif
  • How_to_improve_ur_love.pif
  • Leaders_Scandals.pif
  • Lo0o0o0o0oL.pif
  • Real_Magic.pif
  • Shakiraz_Big_ass.pif
  • Short_vClip.pif
  • Sweet_but_smilly.pif
  • Tears_of_Happiness.pif
  • Tedious_SeX.pif
  • Teenz_Raper.pif
  • The_Truth_of_Love.pif
  • ToolAv01w32.pif
  • unfaithful_Gurls.pif
  • White_AmeRica.pif
  • XxX_Mpegs_Downloader.pif

    Metin:

    Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James.

    Belirtiler:

  • Belirtilen dosyalýrýn varlýðý ve kayýt dosyalarýn varlýðý
  • Virüs tarafýndan yüklenmis sayaç dosyasýnýn kayýt dosyasýn varlýðý
  • HKEY_CURRENT_USER\DeathTime = %Run count%
    Eðer sayaç 30'u geçerse, yerel diskteki tüm dosylarý silmeye baþlýyor ve bir çok mesaj kutusu açýlýyor.
    Etkileme Yöntemi: E-posta eklentisi ya da KaZaa'dan indirilen dosya çalýþtýrýldýðýnda kendisini bilgisayara yükleyerek bulaþýyor

    Teknik özellikler:

  • Aþaðýdaki dosyalarý gizli olacak þekilde belirtilen yerlere kopyalýyor.
  • %windir%\explore.exe (24,064 bytes)
  • %windir%\SMTP.ocx (25,737 bytes)
  • Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðeri;
    "Explore" = C:\WINDOWS\SYSTEM\EXPLORE.exe
    kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Run
  • P2P dosya paylaþým programlarýndan olan KaZaa kullanýlýyorsa
    %windir%\SYSTEM klasörünü varsayýlan paylaþým olarak açýyor.
  • Windows Adres Defterinden, kurabiye dosyalarýndan, Internet geçici dosyalarýndan ve kullanýcýnýn özel dosyalarýndan topladýðý e-posta adreslerine kendi SMTP motorunu kullanarak e-posta gönderiyor.

    W32/Mimail

    Virüs Tanýmý :

    Toplu e-posta atan bir virustür.

    Aþaðýdaki özelliklerde geliyor:

    Kimden:

    admin@bulundugunuz alan adý

    Konu:

    e-posta adresiniz

    Eklenti:

    message.zip

    Metin:

    Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. --- Best regards, Administrator

    Belirtiler:

  • videodrv.exe dosyasýný varlýðý
  • eml.tmp dosyasýný varlýðý
  • exe.tmp dosyasýný varlýðý
  • zip.tmp dosyasýný varlýðý

    Etkileme Yöntemi:

    E-posta eklentisinin çalýþtýrýlýmasý.

    Teknik özellikler:

    Virüs çalýþtýrýldýðýnda:

  • Kendisini %Windir%\Wideodrv.exe olarak kopyalýyor. Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðeri; "VideoDriver"="%Windir%\videodrv.exe" kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Run
  • Aþaðýdaki dosyalardan e-posta adresleri topluyor.
  • ".bmp"
  • ".jpg"
  • ".gif"
  • ".exe"
  • ".dll"
  • ".avi"
  • ".mpg"
  • ".mp3"
  • ".vxd"
  • ".ocx"
  • ".psd"
  • ".tif"
  • ".zip"
  • ".rar"
  • ".pdf"
  • ".cab"
  • ".wav"
  • ".com"
  • Topladýðý e-posta adreslerini eml.tmp dosyasýna yazýyor.
  • Yukarda belirtilen yapýda e-postalar hazýrlýyor ve topladýðý e-posta adreslerine gönderiyor.
  • Message.zip dosyasý Message.htm dosyasýný içeriyor.
  • Çalýþtýrýldýðýnda MS02-15 ve MS03-14 açýklarýndan yararlanarak Foo.exe solucanýný bir kopyasýný Temporary Internet Files dizinine kopyalýyor. HTML çalýþtýrýldýðýnda kayýt dosyalarýnda aþaðýdaki deðiþikliði yapýyor.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111} %Windir% dizinine iki dosya daha yaratýyor.
  • zip.tmp
  • Exe.tmp

    W32/Blaster

    Belirtiler:

    msblast.exe dosyasýný varlýðý RPC servisindeki hata mesajlarý TFTP dosyalarýn varlýðý

    Etkileme Yöntemi:

  • Virüs Microsoft Windows iþletim sistemlerini MS03-026 açlýðýndan faydalanarak yayýlmaktadýr.
  • Rastgele seçtiði IP aralýðýnda belirtilen açýðý aramak için að taramasý yapýyor.
  • Güncellemesi yapýlmamýþ sistemleri yukarda belirtilen yöntemle etkiliyor

    Korunma:

  • MS03-026 Microsoft açýðýndan faydalanarak að üstünden yayýlan bir virüstür.
  • Virüsten korunmak için Windows güncelleþtirmelerinin http://windowsupdate.microsoft.com adresinden yapýlmasý gerekmektedir.
    Teknik özellikler:

    Virüs çalýþtýrýldýðýnda:

  • "Billy" isminde bir Mutex yaratýyor.
  • Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðeri;
  • "windows auto update"="msblast.exe" kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Run TCP 135 porttan DCOM RPC zayýflýðýndan yararlanan paketleri rastgele IP'lere gönderiyor.
  • Açýktan yararlanarak etkilene bilgisayar TCP 4444 portunu dinleyen gizli CMD uygulamasý çalýþtýrýyor.
  • Yeni etkilenen bilgisayara Msblast.exe dosyasýn çekmesi için komut gönderiyor.
  • UDP 69 portunu dinliyor.
  • Uygun paket geldiðinde Msblast.exe binary dosyasýný çalýþtýrýyor.
  • Sistem tarihi Aðustos 15 sonrasýndaysa Microsoft Update'e Dos baþlatýyor.

    W32/Nachi

    Belirtiler:

    Belirtilen dosyalarýn varlýðý

    Etkileme Yöntemi:

  • Virüs Microsoft Windows iþletim sistemlerini MS03-026 açlýðýndan faydalanarak yayýlmaktadýr.
  • Rastgele seçtiði IP aralýðýnda belirtilen açýðý aramak için að taramasý yapýyor.
  • Güncellemesi yapýlmamýþ sistemleri yukarda belirtilen yöntemle etkiliyor.

    Korunma:

  • MS03-026 Microsoft bülteninde ve IIS 5.0 web sunucusu kullanan bilgisayarlarda da MS03-007 bülteninde belirtilen açýklardan faydalanarak að üstünden yayýlan bir virüstür.
  • Virüsten korunmak için Windows güncelleþtirmelerinin http://windowsupdate.microsoft.com adresinden yapýlmasý gerekmektedir.

    Teknik özellikler:

    Virüs çalýþtýrýldýðýnda:

  • Aþaðýdaki dosyalarý belirtilen yerlere kopyalýyor.
  • %System%\Wins\Dllhost.exe %System%\Dllcache\Tftpd.exe dosyasýný bir kopyasýný %System%\Wins\svchost.exe isminde çýkarýyor.
  • Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðeri; RpcPatch RpcTftpd kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Run
  • Aþaðýdaki servisleri hazýrlýyor
  • Servis Adý: RpcTftpd
  • Servis Görsel Adý: Network Connections Sharing
  • Servis Binari: %System%\wins\svchost.exe Elle çalýþtýrýlacak þekilde býrakýlýyor.
  • Servis Adý: RpcPatch
  • Servis Görsel Adý: WINS Client
  • Servis Binari: %System%\wins\dllhost.exe Servis otomatik olarak çalýþýyor.
  • Msblast servisini sonlandýrýyor ve %System%\msblast.exe dosyasýný siliyor.
  • IP adresleri belirledikten sonra bilgisayarlarýn çalýtýðýný anlamak için ICMP echo isteði ve PING paketleri gönderiyor.
  • TCP 135 porta DCOM RPC zayýflýðýndan yararlanan ve TCP 80 porta WebDav zayýflýðýndan yararlanan paketleri IP'lere gönderiyor.
  • Açýktan yararlanarak etkilenen bilgisayar TCP 666-765 port aralýðýnda rastgele bir portu dinleyen gizli CMD uygulamasý çalýþtýrýyor.
  • Yeni etkilenen bilgisayara Dllhost.exe ve Svchost.exe dosyasýn çekmesi için komut gönderiyor.
  • Ýþetim sistemini ve güncellemelerini kontrol edip, DCOM RPC zayýflýðý bulunuyorsa WindowsUpdate sitesine baðlanýp gerekli güncelleme dosyalarýný indip çalýþtýrýyor.
  • Güncelleme indildikten sonra aktif hale gelebilmesi için bilgisayarý tekrar baþlatýyor.
  • Sistem tarihi 2004 yýlýndaysa kendisini sistemden siliyor.

    W32/Sobig.F

    Virüs Tanýmý :

    Toplu e-posta gönderen Internet solucaný;, dosya paylaþýmlarý yoluyla da yayýlmaktadýr.

    E-posta Aþaðýdaki özelliklerde geliyor:

    Kimden:

    admin@internet.com (not: virus deðiþik adresler de kullanabilyor.)

    Konu:

  • Bir çok deðiþik konu oluþturabilmekte:
  • Re: Details
  • Re: Approved
  • Re: Re: My details
  • Re: Thank you!
  • Re: That movie
  • Re: Wicked screensaver
  • Re: Your application
  • Thank you!
  • Your details

    Metin:

  • Please see the attached file for details
  • See the attached file for details

    Eklenti:

  • Deðiþik eklenti isimleri kullanmakta;
  • application.zip (application.pif dosyasýný içermekte)
  • details.zip (details.pif dosyasýný içermekte)
  • document_9446.zip (document_9446.pif dosyasýný içermekte)
  • document_all.zip (document_all.pif dosyasýný içermekte)
  • movie0045.zip (movie0045.pif dosyasýný içermekte)
  • thank_you.zip (thank_you.pif dosyasýný içermekte)
  • your_details.zip (your_details.pif dosyasýný içermekte)
  • your_document.zip (your_document.pif dosyasýný içermekte)
  • wicked_scr.zip (wicked_scr.scr dosyasýný içermekte)

    Belirtiler:

    Belirtilen dosyalýrýn varlýðý ve kayýt dosyalarýn varlýðý

    Etkileme Yöntemi:

    E-posta eklentisi ya da dosya paylaþýmlarý ile yayýlýyor.

    Teknik Özellikler:

    W32\SobigF çalýþtýrýldýðýnda:

  • Aþaðýdaki dosyalarý belirtilen yerlere kopyalýyor.
  • %windir%\winppr32.exe
  • Aþaðýdaki dosyalarý yaratýyor:
  • %Windir%\winsst32.dat
  • Windows açýldýðýnda kod çalýþmasý için için aþaðýdaki deðeri;
  • "TrayX"="%Windir%\winppr32.exe" /sinc
    kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Run
  • Uygun þartlarda, virüs, yazarý tarafýnda kontrol edilen sunucular baðlanýyor ve truva atý bileþenini nerden indireceði bilgisini alýyor. Ardýnda bileþeni indiriyor ve çaýlýtýrýyor.
  • Internet solucaný 8998/udp portundan yazarý tarafýndan kontrol edilen sunuculara paket yoluyor
  • Sunucular cevap verirse ilgili truva atý bileþeni indiriyor ve çalýþtýrýyor.
  • Aþaðýdaki UDP portlarýný açýyor.
  • 995
  • 996
  • 997
  • 998
  • 999

    WW32/Dumaru

    Toplu e-posta gönderen Internet solucanýdýr.

    E-posta Aþaðýdaki özelliklerde geliyor:

    Kimden:

    "Microsoft" < security@microsoft.com > Konu(Subject) Use this patch immediately !

    Metin:

    Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!

    Eklenti:

    patch.exe

    Belirtiler:

    Belirtilen dosyalýrýn varlýðý ve kayýt dosyalarýn varlýðý

    Etkileme Yöntemi:

    E-posta eklentisi ya da dosya paylaþýmlarý ile yayýlýyor.

    Teknik Özellikler:

    W32\Dumaru çalýþtýrýldýðýnda:

  • Aþaðýdaki dosyalarý belirtilen yerlere kopyalýyor.
  • %Windir%\dllreg.exe %System%\load32.exe %System%\vxdmgr32.exe
  • Aþaðýdaki dosyayý daha önceden tanýmlanmýþ bir IRC sunucusuna baðlanýp, belli bir kanala giriþ yapmak ve oradan gelecek komutlarý dinlemek için yaratýyor:
  • %Windir%\windrv.exe Windows açýldýðýnda kod çalýþmasý için aþaðýdaki deðeri;
  • "load32" = "%Windir%\load32.exe" kayýt (registry) dosyasýnda belirtilen yerlere yazýyor;
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Run win.ini dosyasýný deðiþtiriyor. [windows] run=%Windir%\dllreg.exe
  • Aþaðýdaki uzantýlý dosyalardan e-posta adreslerini topluyor:
  • .htm
  • .wab
  • .html
  • .dbx
  • .tbb
  • .abd
    Kendi SMTP motorunu kullanarak e-posta gönderiyor.
    Zotob Hakkýnda Bilmeniz Gerekenler
    Zotob.A Windows 2000 tabanlý sistemleri tehdit eden ve Microsoft Güvenlik Bülteni MS05-039 tarafýndan giderilen güvenlik sorunundan yararlanan bir solucandýr. Bu solucan kötü amaçlý bir yazýlým yükler ve ardýndan bulaþabileceði baþka bilgisayarlar arar.

    Önemli Güvenlik Bülteni MS05-039 ile yayýnlanan güncelleþtirmeyi yüklediyseniz, zaten Zotob.A solucanýndan korunuyorsunuz demektir. Windows'un, Windows 2000 dýþýndaki herhangi bir desteklenen sürümünü kullanýyorsanýz, Zotob.A solucanýnýn tehdidi altýnda deðilsinizdir.

    Yazýlým Güvenliði Olaylarýný Yanýtlama Süreci'mizin bir bölümünü oluþturan araþtýrmamýz sýrasýnda, yalnýzca az sayýda kullanýcýnýn bu sorundan etkilenmiþ olduðu belirlendi. Microsoft güvenlik uzmanlarý doðrudan bu kullanýcýlarla birlikte çalýþýyor. Sorunun Internet'e yayýldýðýna dair bir göstergeyle karþýlaþmadýk.

    Þimdi Gerçekleþtirilecek Eylemler
    Bulaþma Olup Olmadýðýn Denetleme

    Zotob.A bir bilgisayara bulaþtýðýnda, Botzer.exe adlý kötü amaçlý bir dosyayý kopyalamaya çalýþýr. Solucan bulaþtýysa bilgisayarýnýzda bu dosya bulunur ve kayýt defterinizde bazý deðiþiklikler görülür. Bulaþma olup olmadýðýný denetlemek için aþaðýdaki yöntemlerden birini kullanýn. (Dosyayý bulursanýz kayýt defterine bakmanýz gerekmez; bu durumun tam tersi de geçerlidir.)

    Bilgisayarýnýzda botzor.exe dosyasýný arama

    Baþlat'ý týklatýn, Ara'nýn üzerine gidin ve sonra Dosya veya Klasörler'i týklatýn.

    Geliþmiþ Arama Seçeneklerini Kullan'ý týklatýn. Aþaðýdaki ölçütlerden biri ya da tümüyle arama yap ifadesinin altýnda aþaðýdaki bilgileri girin:

    A. Dosya adýnýn tamamý ya da bir kýsmý: kutusuna botzor.exe yazýn.

    B. Konum: kutusunda Yerel Sabit Diskler'i týklatýn.

    C. Ýleri Düzey Seçenekler'in altýnda Sistem klasörlerinde ara ve Gizli dosya ve klasörlerde ara'yý seçin.

    Ara'yý týklatýn.

    Kayýt defterine eklenen yeni anahtarlar olup olmadýðýna bakma

    Kayýt defteri anahtarý: HKLM\Software\Microsoft\Windows\
    CurrentVersion\Run, eklenen deðer: WINDOWS SYSTEM, veri: botzor.exe

    Kayýt defteri anahtarý: HKLM\Software\Microsoft\Windows\
    CurrentVersion\RunServices, eklenen deðer: WINDOWS SYSTEM, veri: botzor.exe

    Solucan Bilgisayarýnýza Bulaþmadýysa

    Güvenlik Güncelleþtirmesi 899588'i yükleyerek bilgisayarýnýzý Zotob.A solucanýndan koruyun. Kullandýðýnýz Windows sürümüne yönelik karþýdan yükleme baðlantýsý için Microsoft Güvenlik Bülteni MS05-039 makalesine bakýn.

    Solucan Bilgisayarýnýza Bulaþtýysa

    Uygulayacaðýnýz Fix Zotob temizleme aracý 'ile Zotob.A solucanýndan kurtulabilirsiniz.

    WORM_GONE.A - Yüksek Risk!


    Diðer isimleri: GONE.A, WORM_GONER.A, W32/Gone.A-mm
    Yük 1: Dosyalarý silme
    Yük 2: Mesaj gösterme
    Tetikleme durumu: Çalýþtýrýldýðýnda
    Dil: Ýngilizce
    Platform: Windows
    Kriptolanmýþ: hayýr
    virüsün boyutu: 38,912 Byte

    Bu worm (solucan) kendi kopyalarýný Microsoft Outlook ve ICQ ile yayan Visual Basic`te derlenmiþ bir windows çalýþtýrýlabilir dosyasý.Hafýzada belirli bazý dosyalarý buluyor ve bu dosyalarýn iþlemlerini kapatýyor. Sonra dosyalarý silme görevini gerçekleþtiriyor.

    Yayýlma:

    Saat 18:00`daki sonuçlara göre worm`un yayýlma bilgisi aþaðýdaki gibi:

    Ýlk Görülme
    Ülke
    Kopya

    2001-12-04 10:49
    US
    43

    2001-12-04 10:58
    GB
    49

    2001-12-04 11:55
    FR
    10

    2001-12-04 13:02
    DE
    1

    2001-12-04 13:30
    NL
    7

    2001-12-04 13:34
    CH
    33

    2001-12-04 14:08
    AR
    2



    Detay:

    Bu worm eposta ile ekte GONE.SCR dosyasý olarak geliyor. Dosya Visual Basic ile derlenmiþ ve UPX packer programý ile sýkýþtýrýlmýþ.

    Worm`lu epostanýn içeriði:


    Subject: Hi
    Message Body: How are you ?
    When I saw this screensaver, I immediately thought about you
    I am in a harry, I promise you will love it!
    Attachment: GONE.SCR




    Bir Outlook Application Object yaratýyor ve etkilenen kullanýcýnýn adres defterindekilere kendisini eposta ile göndermek için MAPI script komutlarýný kullanýyor. Daha sonra bu e-postalarý siliyor.
    Çalýþtýrýldýðýnda aþaðýdaki mesajý içeren bir pencere gösteriyor:

    pentagone
    coded by: suid
    texted by: ThE_SKuLL and |satan|
    greetings to: TraceWar, k9_unit, stef16 ^Reno
    greetings also to nonick2 out
    there where ever you are


    Daha sonra worm dosyasýný %System%\GONE.SCR dosyasýna yazýyor. Windows her açýldýðýnda kopyasýnýn otomatik olarak çalýþtýrýlmasý için aþaðýdaki registry anahtarýný yaratýyor:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run\%System%\gone.scr = %System%\gone.scr

    Ayrýca bir arkakapý (backdoor) kurmak için mIRC uygulamasýný kullanýyor. mIRC uygulamasý her baþlatýldýðýnda yüklenen bir script içeren REMOTE32.INI dosyasý yaratýyor. Daha sonra Worm`un yazarý bu worm eklentisini kullanarak IRC kanallarýna yada etkilenen kullanýcý ile ayný kanalda bulunan kullanýcýlara DoS saldýrýlarý düzenleyebiliyor.

    Worm ayrýca ICQ chat uygulamasý ile de yayýlýyor. ICQAPI`yi kullanarak kendisinin bir kopyasýný ICQ kullanýcýlarýna gönderiyor.

    Yaptýklarý:
    Worm`un hafýzadaki tüm iþlemleri etkileyen zarar verici iþlevleri var. Aþaðýdaki dosya isimleri ile alakalý iþlemleri durduruyor:

    IAMAPP.EXE
    IAMSERV.EXE
    CFINET.EXE
    APLICA32.EXE
    ZONEALARM.EXE
    ESAFE.EXE
    CFIADMIN.EXE
    CFIAUDIT.EXE
    CFINET32.EXE
    PCFWALLICON.EXE
    FRW.EXE
    VSHWIN32.EXE
    VSECOMR.EXE
    WEBSCANX.EXE
    AVCONSOL.EXE
    VSSTAT.EXE
    NAVAPW32.EXE
    NAVW32.EXE
    _AVP32.EXE
    _AVPCC.EXE
    _AVPM.EXE
    AVP32.EXE
    AVPCC.EXE
    AVPM.EXE
    AVP.EXE
    LOCKDOWN2000.EXE
    ICLOAD95.EXE
    ICMON.EXE
    ICSUPP95.EXE
    ICLOADNT.EXE
    ICSUPPNT.EXE
    TDS2-98.EXE
    TDS2-NT.EXE
    SAFEWEB.EXE


    Dosyanýn iþlemini durdurduktan sonra dosyayý ve ayný dirde bulunan tüm dosyalarý siliyor.Bu uygulamalarýn düzgün çalýþmasýný etkili bir þekilde durduruyor.

    Gizlilik rutini:

    Worm`un ana penceresi 'pentagon' ismini taþýyor. Windows 9x`de kendisini Task listesinde görünmeyen bir servis iþlemi olarak kayýt (register) ediyor. Kendisi Task listesinde görünmese de açtýðý Outlook Application Object task listesinde görünüyor. Daha sonra yakalanmamak için kendisinin o an çalýþan kopyasýný silmeyi saðlayacak komutlarý içeren bir kayýdý WININIT.INI dosyasýna ekliyor.

    Windows 95/98/Me Sistemlerden manuel olarak temizlenmesi:

    1. Bilgisayarý reboot edin:
    2. Baþlangýç logo`su görünmeden F8`e basýn.
    3. &#8220;Command prompt only&#8221; (Sadece komut satýrýgöz kırpma seçeneðini seçin.
    4. %System% dizinine gidin. %System% bir deðiþkendir. Genelde C:\Windows\System`dir.Komut satýrýnda aþaðýdaki satýrý yazýp enter`a basýn:attrib &#8211;s &#8211;h &#8211;r gone.scr
    5. Aþaðýdaki komutu yazýp Enter`a basarak worm dosyasýný silin : del gone.scr
    6. Bilgisayarý tekrar baþlatýn.
    7. Registry editöründe aþaðýdaki anahtara gidin:
    HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Cu rrentVersion>Run>%System%
    8. Aþaðýdaki kayýt giriþini bulun ve silin : gone.scr

    Windows NT/2000 Sistemlerden manuel olarak temizlenmesi:

    1. Windows 2000 CD`sinden boot edin ve 'repair install console'u seçin.
    2. %System% dizinine gidin. %System% bir deðiþkendir. Genelde C:\Winnt\System`dir .Komut satýrýnda aþaðýdaki satýrý yazýp enter`a basýn : attrib &#8211;s &#8211;h &#8211;r gone.scr
    3. Aþaðýdaki komutu yazýp Enter`a basarak worm dosyasýný silin : del gone.scr
    4. Bilgisayarý tekrar baþlatýn.
    5. Registry editöründe aþaðýdaki anahtara gidin : HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Cu rrentVersion>Run>%System%
    6. Aþaðýdaki kayýt giriþini bulun ve silin : gone.scr

    Kaynak:

    http://www.olympos.org/

    http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VNa me=WORM_GONE.A
  • Gönderen: 08.03.2006 - 17:04
    Bu Mesaji Bildir   CocuksuMavi üyenin diger mesajlarini ara CocuksuMavi üyenin Profiline bak CocuksuMavi üyeyi arkadas listeme ekle Yukari
    Pozisyon - İmzalar göster
    önceki konu   diğer konu

    Mesajlar Gönderen Tarih
     İşte Virüsler Ve Bulaşma Yolları Veetkileri
    CocuksuMavi 08.03.2006 - 17:04
     İşte Virüsler Ve Bulaşma Yolları Veetkileri
    fosaloglu 08.03.2006 - 17:24
     İşte Virüsler Ve Bulaşma Yolları Veetkileri
    vehbi70 08.03.2006 - 17:25
     İşte Virüsler Ve Bulaşma Yolları Veetkileri
    miss_cilekes 29.03.2006 - 01:37

    Lütfen Seçiniz:  
    Şu an Yok üye ve 1312 Misafir online. En son üyemiz: Didem_
    16977 üye ile 13.07.2024 - 11:50 tarihinde en fazla ziyaretçi online oldu.

    [Admin | Moderator | Kıdemli Üye | Üye]
    Dogum Gününüzü Tebrik Ederiz    Doğum gününüzü tebrik eder, sıhhat ve afiyet dolu ömür dileriz:
    hicran_50 (37), usri_yusraa (37), D&#221;YARBAKIR.. (33), ahmet_erdogan33.. (38), eryal (62), ((-AySeNuR-)) (29), Memet (43), berfo2004 (44), HÜKÜM (54), nerro_22 (34), engin03 (39), cenngiz (55), apo28 (41), KalbiGüzelKiz (41), ismail36 (38), hakikat_nuru (46), gencolhan (48), roket (39), yasarozdemir (44), harbi (55), yusuf_k9 (44), bhdr_84 (40), tugbali (37), orhan yurt (53), mehmet balaca (43), Mehmet Balaca (43), serkantokmak (49), rabiaaslan (39)
    Son 24 saatin aktif konuları - Top Üyeler
    0

    Copyright © ((( RAVDA.net )))  *  İrtibat   *   RAVDA Reklam Servisi   *   Tüm hakları saklıdır, izinsiz alıntı yapılamaz.
    Sitemizde yayınlanan imzalı yazıların içeriğinden yazarları, forum ve yorumlardan ekleyen şahıslar sorumlu olup, kesinlikle sitemiz sorumlu değildir.
    © by ((( RAVDA.net )))

    Sayfa 0.71392 saniyede açıldı   

    Reklamlardan
    RAVDA sitesi
    hiçbir şekilde
    sorumlu değildir.