seboist_85
02-05-2007, 02:01 AM
Bu konu altında güncel virüslerin belirtileri,engelleme ve kurtulma yöntemlerini,yapmanız gerekenleri bulacaksınız.
Burdakileri okumadan önce sizlere bir kaç tavsiyede bulunmak istiyorum :
1) Windows krıtik update yapın ve bunları düzenli olarak takip edin.
2) Sağlam ve devamlı güncelleyen bir virüs programı kullanın ( benim önerim KASPERSKY,program bölümünde deatlı olarak bulabilirsiniz.
3) Firewall kullanın ve mutlaka full olarak kullanın,zone alarm,anti hacker gibi bir çok programı forum içinde bulabilirsiniz.Özellikle kullanıcıların yorumlarını okuyun forumda sizlere daha yardımcı olacaktır.
4) Harddiskinizi ve internet bağlantınızı paylaşıma açmayın,mutlaka ayarlarını gözden geçirin,takıldıgınız veya merak ettiginiz konuları foruma yöneltin.
5) Mail adresinizi outlook express'de açın,bunun sebebi ise virüs programları bu şekilde daha etkili oluyor siz açmadan size gelen mailleri control edebiliyor.
6) Verecegim adresi mutlaka inceleyin,bu konuda size korunma programları ve kullanım yönlerini anlattım
*Bilgisayarınızın Güvenligini Ele Alın :
Şimdi tüm güncel virüsleri gözden geçirelim,sırası ile ve bu mesajdan sonraki mesajlarıda takip edin lütfen.
Anlatılan virüs isimleri :
*W32/Gaobot
*W32/SoberD
*W32/Bagle.E
*W32/Netsky.B
*W32/Mydoom
*W32/Bagle.A
*W32/SoberA
*W32/MimailC
*W32/Holar
*W32/Blaster
*W32/Nachi
*W32/Sobig.F
*WW32/Dumaru
*W32/Mimail
W32/Gaobot
Virüs Tanımı :
Internet solucani MS03-026, MS03-001, MS03-007 ve MS03-049 aciklarini kullanarak bilgisayari etkilemektedir.
Belirtiler:
Beklenmeyen acik portlar
Asagida belirtilen verilerilin kayit dosyasinda varligi
Guvenlik programlarin calismamasi
Etkileme Yöntemi:
Güncellenmemis isletim sistemlerin yukarda belirtilen aciklarinda faydalanarak ve acik paslasimlardan kullanici adi ve parola tahmini ile bilgisayara ulasmakta ve etkilemektedir.
Korunma Yöntemi:
Virüsten korunmak için yapılması gerekenler.
Yukarda adı geçen Windows işletim sistemi güncelemelerini mutlaka yapınız.
Bilgisayarda bulunan her kullanıcının şifresinin en az 8 karakter uzunluğunda olmasına ve içinde büyük harf, küçük harf, rakam ve özel karakterlerin bulunmasına özen gösteriniz.
Kullanılmayan windows paylaşımlarının kesinlikle kapatılması gerekmektedir. Bunun yanında varsayılan yönetici paylaşımlaırnın da
HKLM\System\CurrentControlSet\Services\LanmanServe r\Parameters\AutoShareWks (REG_DWORD) 0
verisi kayıt dosyasına işlenerek (registry) durdurulmalıdır (Bölüm Birim Koordinatörünüzden konu ile ilgili yardım alınız).
Windows paylaşımın kullanımının zorunlu olduğu durumlarda paylaşım parola korumalı olmalıdır. Paylaşımın parolasız olması durumunda bilgisayaraınız virüse karşı korumasızdır.
Teknik özellikler:
Kendisini %System%\wuamps.exe olarak kopyalıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri;
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\ wuamps.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce wuamps.exe
Guvenlik yazilimlarini calismasini durduruyor. Asagida belritilen baska Internet solucanlari tafindan kullanilan surecleri duruduruyor
taskmon.exe
bbeagle.exe
d3dupdate.exe
winsys.exe
ssate.exe
i11r54n4.exe
rate.exe
irun4.exe
Ssate.exe
wuamps.exe
Asagidaki siteler baglanti yapilmasin engellemek icin "host" olarak ilgili verileri giriyor.
127.0.0.1 http://www.trendmicro.com
127.0.0.1 trendmicro.com127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 http://www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 http://www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 http://www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 http://www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 http://www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 http://www.symantec.com
Onceden belirlenmis IRC sitesine baglanmaya calisiyor ve oradan alicagi komutlari uyguluyor. Komutlar asagidaki islemleri saglamaktadir:
Sistem hakkida bilgi edinmek
Dosya indirmek ve calistirmak
FTP sitelerine baglanip dosya yuklemek
SSH kullanarak baska sistemlere baglanmak
Calisan programlari durdurmak
E-posta adresleri toplamak
SOCKS proxy olarak calismak
Yukarda belirtilen aciklari olan bilgisayalari agda ariyor. Asagidaki paylasimlara kullanici adi ve parola deniyerek baglanmaya calisiyor.
admin$
c$
d$
e$
print$
W32/SoberD
Virüs Tanımı :
Toplu e-posta atan bir virustür. Ancak bazı sürümleri virüs içermeyen bozulmuş dosyalar göndermektedir.
Aşağıdaki özelliklerde geliyor:
Kimden (From):
Info@microsoft.com
Center@microsoft.com
UpDate@microsoft.com
News@microsoft.com
Help@microsoft.com
Studio@microsoft.com
Alert@microsoft.com
Security@microsoft.com
Konu(Subject):
Microsoft Alarm: Bitte Lessen!
Microsoft Alert: Please Read!
Metin (Body):
Mydoom virüsünün yeni bir varyantından bahsediyor.
Eklenti (Attachment):
sys-patch
MS-UD
MS-Security
Patch
Update
MS-Q
.exe ya da .zip uzantılı.
Belirtiler:
Aşağıdaki dosyaların varlığı.
diagwinhost.exe
Humgly.lkur
Htemp32x.data
Hwintmpx33.dat
Hyfjq.yqwm
Hzmndpgwf.kxx
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %System%\diagwinhost.exe olarak kopyalıyor.
Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
%System%\temp32x.data
%System%\wintmpx33.dat
%System%\mslog32.dll
%System%\Humgly.lkur
%System%\yfjq.yqwm
%System%\zmndpgwf.kxx
Windows açıldığında kod çalışması için aşağıdaki değeri;
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\disc32data "spool32" = %SYSDIR%\diagwinhost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce "diagdir" = %SYSDIR%\diagwinhost.exe %1
Aşağıdaki mesajı görüntülüyor.
This patch has been successfully installed.
This patch does not need to be installed on this system.
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
Aşağıdaki dosyalardan e-posta adresleri topluyor ve %system%\mslog32.dll dosyasına kaydediyor.
.abd
.adb
.asp
.dbx
.doc
.eml
.ini
.log
.mdb
.php
.pl
.rtf
.shtml
.tbb
.ttt
.txt
.wab
.xls
W32/Bagle.E
Virüs Tanımı
Toplu e-posta gönderen bir virüstür. 25 Mart 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır.Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.
Konu:
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he
Mesaj içeriği
Boş
Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb
Belirtiler:
2745 TCP portunun açık olması
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Sistem zamanın 24 Mart 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor.
Kendisini %system%\i1ru74n4.exe olarak kopyalıyor.
notepad.exe'yi çalıştırıyor.
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, rate.exe"="%System%\i1ru74n4.exe
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "uid" = "[Random Value]"
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "port"="2745"
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki dosyalardan e-posta adresleri topluyor.
.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.adb
.sht
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor.
permail.uni-muenster.de
http://www.songtext.net/de
http://www.sportscheck.de
Aşağıdaki antivirüs güncellemelerini saplayan süreçleri durduruyor.
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
W32/Netsky.B
Virüs Tanımı: Toplu e-posta gönderen bir virüstür. P2P paylaşımıyla da yayılmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.
Kimden:
etkilenmiş makineden toplanmış e-posta adreslerinden yaratılmış e-posta adresleri
skynet@skynet.de
Konu:
fake
for
hello
hi
immediately
information
it
read
something
stolen
unknown
warning
you
Mesaj içeriği:
about me
anything ok?
do you? that's funny
from the chatter
greetings
here
here is the document.
here it is
here, the cheats
here, the introduction
here, the serials
i found this document about you
I have your password!
i hope it is not true!
i wait for a reply!
i'm waiting ok
information about you
is that from you?
is that true?
is that your account?
is that your name?
kill the writer of this document!
my hero
read it immediately!
read the details.
reply
see you
something about you!
something is fool
something is going wrong
something is going wrong!
stuff about you?
take it easy
that is bad
thats wrong why?
what does it mean?
yes, really?
you are a bad writer
you are bad
you earn money
you feel the same
you try to steal
your name is wrong
Eklenti:"Eklenti" isimleri de değişken olmaktadır ancak iki uzantılıdır.
Belirtiler:
Beklenmeyen ağ trafiği
Etkileme Yöntemi: E-posta eklentisinin çalıştırılıması.
Teknik özellikler:Virüs çalıştırıldığında:
Kendisini %Windir%\services.exe olarak kopyalıyor.
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, "service" = "%Windir%\services.exe -serv"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki kayıt dosyalarından.
"Taskmon" ve "Explorer" değerlerini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunServices
"KasperskyAV" ve "System." değerlerini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
W32/Mydoom arka kapısını kapatmak için
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
siliyor
Aşağıdaki dosyalardan e-posta adresleri topluyor.
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
"C"den "Z"ye kadar tüm sürücüleri tarıyıp "Sharing" veya "Share" isimli dizin arıyor. Eğer sürücü CDROM değilse kendisini ağağıdakşi isimlerle dizine kopyalıyor.
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe
Burdakileri okumadan önce sizlere bir kaç tavsiyede bulunmak istiyorum :
1) Windows krıtik update yapın ve bunları düzenli olarak takip edin.
2) Sağlam ve devamlı güncelleyen bir virüs programı kullanın ( benim önerim KASPERSKY,program bölümünde deatlı olarak bulabilirsiniz.
3) Firewall kullanın ve mutlaka full olarak kullanın,zone alarm,anti hacker gibi bir çok programı forum içinde bulabilirsiniz.Özellikle kullanıcıların yorumlarını okuyun forumda sizlere daha yardımcı olacaktır.
4) Harddiskinizi ve internet bağlantınızı paylaşıma açmayın,mutlaka ayarlarını gözden geçirin,takıldıgınız veya merak ettiginiz konuları foruma yöneltin.
5) Mail adresinizi outlook express'de açın,bunun sebebi ise virüs programları bu şekilde daha etkili oluyor siz açmadan size gelen mailleri control edebiliyor.
6) Verecegim adresi mutlaka inceleyin,bu konuda size korunma programları ve kullanım yönlerini anlattım
*Bilgisayarınızın Güvenligini Ele Alın :
Şimdi tüm güncel virüsleri gözden geçirelim,sırası ile ve bu mesajdan sonraki mesajlarıda takip edin lütfen.
Anlatılan virüs isimleri :
*W32/Gaobot
*W32/SoberD
*W32/Bagle.E
*W32/Netsky.B
*W32/Mydoom
*W32/Bagle.A
*W32/SoberA
*W32/MimailC
*W32/Holar
*W32/Blaster
*W32/Nachi
*W32/Sobig.F
*WW32/Dumaru
*W32/Mimail
W32/Gaobot
Virüs Tanımı :
Internet solucani MS03-026, MS03-001, MS03-007 ve MS03-049 aciklarini kullanarak bilgisayari etkilemektedir.
Belirtiler:
Beklenmeyen acik portlar
Asagida belirtilen verilerilin kayit dosyasinda varligi
Guvenlik programlarin calismamasi
Etkileme Yöntemi:
Güncellenmemis isletim sistemlerin yukarda belirtilen aciklarinda faydalanarak ve acik paslasimlardan kullanici adi ve parola tahmini ile bilgisayara ulasmakta ve etkilemektedir.
Korunma Yöntemi:
Virüsten korunmak için yapılması gerekenler.
Yukarda adı geçen Windows işletim sistemi güncelemelerini mutlaka yapınız.
Bilgisayarda bulunan her kullanıcının şifresinin en az 8 karakter uzunluğunda olmasına ve içinde büyük harf, küçük harf, rakam ve özel karakterlerin bulunmasına özen gösteriniz.
Kullanılmayan windows paylaşımlarının kesinlikle kapatılması gerekmektedir. Bunun yanında varsayılan yönetici paylaşımlaırnın da
HKLM\System\CurrentControlSet\Services\LanmanServe r\Parameters\AutoShareWks (REG_DWORD) 0
verisi kayıt dosyasına işlenerek (registry) durdurulmalıdır (Bölüm Birim Koordinatörünüzden konu ile ilgili yardım alınız).
Windows paylaşımın kullanımının zorunlu olduğu durumlarda paylaşım parola korumalı olmalıdır. Paylaşımın parolasız olması durumunda bilgisayaraınız virüse karşı korumasızdır.
Teknik özellikler:
Kendisini %System%\wuamps.exe olarak kopyalıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri;
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\ wuamps.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce wuamps.exe
Guvenlik yazilimlarini calismasini durduruyor. Asagida belritilen baska Internet solucanlari tafindan kullanilan surecleri duruduruyor
taskmon.exe
bbeagle.exe
d3dupdate.exe
winsys.exe
ssate.exe
i11r54n4.exe
rate.exe
irun4.exe
Ssate.exe
wuamps.exe
Asagidaki siteler baglanti yapilmasin engellemek icin "host" olarak ilgili verileri giriyor.
127.0.0.1 http://www.trendmicro.com
127.0.0.1 trendmicro.com127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 http://www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 http://www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 http://www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 http://www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 http://www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 http://www.symantec.com
Onceden belirlenmis IRC sitesine baglanmaya calisiyor ve oradan alicagi komutlari uyguluyor. Komutlar asagidaki islemleri saglamaktadir:
Sistem hakkida bilgi edinmek
Dosya indirmek ve calistirmak
FTP sitelerine baglanip dosya yuklemek
SSH kullanarak baska sistemlere baglanmak
Calisan programlari durdurmak
E-posta adresleri toplamak
SOCKS proxy olarak calismak
Yukarda belirtilen aciklari olan bilgisayalari agda ariyor. Asagidaki paylasimlara kullanici adi ve parola deniyerek baglanmaya calisiyor.
admin$
c$
d$
e$
print$
W32/SoberD
Virüs Tanımı :
Toplu e-posta atan bir virustür. Ancak bazı sürümleri virüs içermeyen bozulmuş dosyalar göndermektedir.
Aşağıdaki özelliklerde geliyor:
Kimden (From):
Info@microsoft.com
Center@microsoft.com
UpDate@microsoft.com
News@microsoft.com
Help@microsoft.com
Studio@microsoft.com
Alert@microsoft.com
Security@microsoft.com
Konu(Subject):
Microsoft Alarm: Bitte Lessen!
Microsoft Alert: Please Read!
Metin (Body):
Mydoom virüsünün yeni bir varyantından bahsediyor.
Eklenti (Attachment):
sys-patch
MS-UD
MS-Security
Patch
Update
MS-Q
.exe ya da .zip uzantılı.
Belirtiler:
Aşağıdaki dosyaların varlığı.
diagwinhost.exe
Humgly.lkur
Htemp32x.data
Hwintmpx33.dat
Hyfjq.yqwm
Hzmndpgwf.kxx
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Kendisini %System%\diagwinhost.exe olarak kopyalıyor.
Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
%System%\temp32x.data
%System%\wintmpx33.dat
%System%\mslog32.dll
%System%\Humgly.lkur
%System%\yfjq.yqwm
%System%\zmndpgwf.kxx
Windows açıldığında kod çalışması için aşağıdaki değeri;
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\disc32data "spool32" = %SYSDIR%\diagwinhost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce "diagdir" = %SYSDIR%\diagwinhost.exe %1
Aşağıdaki mesajı görüntülüyor.
This patch has been successfully installed.
This patch does not need to be installed on this system.
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
Aşağıdaki dosyalardan e-posta adresleri topluyor ve %system%\mslog32.dll dosyasına kaydediyor.
.abd
.adb
.asp
.dbx
.doc
.eml
.ini
.log
.mdb
.php
.pl
.rtf
.shtml
.tbb
.ttt
.txt
.wab
.xls
W32/Bagle.E
Virüs Tanımı
Toplu e-posta gönderen bir virüstür. 25 Mart 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır.Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.
Konu:
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he
Mesaj içeriği
Boş
Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb
Belirtiler:
2745 TCP portunun açık olması
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
Sistem zamanın 24 Mart 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor.
Kendisini %system%\i1ru74n4.exe olarak kopyalıyor.
notepad.exe'yi çalıştırıyor.
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, rate.exe"="%System%\i1ru74n4.exe
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "uid" = "[Random Value]"
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "port"="2745"
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki dosyalardan e-posta adresleri topluyor.
.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.adb
.sht
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor.
permail.uni-muenster.de
http://www.songtext.net/de
http://www.sportscheck.de
Aşağıdaki antivirüs güncellemelerini saplayan süreçleri durduruyor.
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
W32/Netsky.B
Virüs Tanımı: Toplu e-posta gönderen bir virüstür. P2P paylaşımıyla da yayılmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.
Kimden:
etkilenmiş makineden toplanmış e-posta adreslerinden yaratılmış e-posta adresleri
skynet@skynet.de
Konu:
fake
for
hello
hi
immediately
information
it
read
something
stolen
unknown
warning
you
Mesaj içeriği:
about me
anything ok?
do you? that's funny
from the chatter
greetings
here
here is the document.
here it is
here, the cheats
here, the introduction
here, the serials
i found this document about you
I have your password!
i hope it is not true!
i wait for a reply!
i'm waiting ok
information about you
is that from you?
is that true?
is that your account?
is that your name?
kill the writer of this document!
my hero
read it immediately!
read the details.
reply
see you
something about you!
something is fool
something is going wrong
something is going wrong!
stuff about you?
take it easy
that is bad
thats wrong why?
what does it mean?
yes, really?
you are a bad writer
you are bad
you earn money
you feel the same
you try to steal
your name is wrong
Eklenti:"Eklenti" isimleri de değişken olmaktadır ancak iki uzantılıdır.
Belirtiler:
Beklenmeyen ağ trafiği
Etkileme Yöntemi: E-posta eklentisinin çalıştırılıması.
Teknik özellikler:Virüs çalıştırıldığında:
Kendisini %Windir%\services.exe olarak kopyalıyor.
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, "service" = "%Windir%\services.exe -serv"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki kayıt dosyalarından.
"Taskmon" ve "Explorer" değerlerini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunServices
"KasperskyAV" ve "System." değerlerini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
W32/Mydoom arka kapısını kapatmak için
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
siliyor
Aşağıdaki dosyalardan e-posta adresleri topluyor.
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
"C"den "Z"ye kadar tüm sürücüleri tarıyıp "Sharing" veya "Share" isimli dizin arıyor. Eğer sürücü CDROM değilse kendisini ağağıdakşi isimlerle dizine kopyalıyor.
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe