Master Hck
New member
- Katılım
- 9 Eyl 2008
- Mesajlar
- 209
- Reaction score
- 0
- Puanları
- 0
Zotob
Zotob Hakkında Bilmeniz Gerekenler
Zotob.A Windows 2000 tabanlı sistemleri tehdit eden ve Microsoft Güvenlik Bülteni MS05-039 tarafından giderilen güvenlik sorunundan yararlanan bir solucandır. Bu solucan kötü amaçlı bir yazılım yükler ve ardından bulaşabileceği başka bilgisayarlar arar.
Önemli Güvenlik Bülteni MS05-039 ile yayınlanan güncelleştirmeyi yüklediyseniz, zaten Zotob.A solucanından korunuyorsunuz demektir. Windows'un, Windows 2000 dışındaki herhangi bir desteklenen sürümünü kullanıyorsanız, Zotob.A solucanının tehdidi altında değilsinizdir.
Yazılım Güvenliği Olaylarını Yanıtlama Süreci'mizin bir bölümünü oluşturan araştırmamız sırasında, yalnızca az sayıda kullanıcının bu sorundan etkilenmiş olduğu belirlendi. Microsoft güvenlik uzmanları doğrudan bu kullanıcılarla birlikte çalışıyor. Sorunun Internet'e yayıldığına dair bir göstergeyle karşılaşmadık.
Şimdi Gerçekleştirilecek Eylemler
Bulaşma Olup Olmadığın Denetleme
Zotob.A bir bilgisayara bulaştığında, Botzer.exe adlı kötü amaçlı bir dosyayı kopyalamaya çalışır. Solucan bulaştıysa bilgisayarınızda bu dosya bulunur ve kayıt defterinizde bazı değişiklikler görülür. Bulaşma olup olmadığını denetlemek için aşağıdaki yöntemlerden birini kullanın. (Dosyayı bulursanız kayıt defterine bakmanız gerekmez; bu durumun tam tersi de geçerlidir.)
Bilgisayarınızda botzor.exe dosyasını arama
Başlat'ı tıklatın, Ara'nın üzerine gidin ve sonra Dosya veya Klasörler'i tıklatın.
Gelişmiş Arama Seçeneklerini Kullan'ı tıklatın. Aşağıdaki ölçütlerden biri ya da tümüyle arama yap ifadesinin altında aşağıdaki bilgileri girin:
A. Dosya adının tamamı ya da bir kısmı: kutusuna botzor.exe yazın.
B. Konum: kutusunda Yerel Sabit Diskler'i tıklatın.
C. İleri Düzey Seçenekler'in altında Sistem klasörlerinde ara ve Gizli dosya ve klasörlerde ara'yı seçin.
Ara'yı tıklatın.
Kayıt defterine eklenen yeni anahtarlar olup olmadığına bakma
Kayıt defteri anahtarı: HKLM\Software\Microsoft\Windows\
CurrentVersion\Run, eklenen değer: WINDOWS SYSTEM, veri: botzor.exe
Kayıt defteri anahtarı: HKLM\Software\Microsoft\Windows\
CurrentVersion\RunServices, eklenen değer: WINDOWS SYSTEM, veri: botzor.exe
WORM_GONE.A - Yüksek Risk!
Diğer isimleri: GONE.A, WORM_GONER.A, W32/Gone.A-mm
Yük 1: Dosyaları silme
Yük 2: Mesaj gösterme
Tetikleme durumu: Çalıştırıldığında
Dil: İngilizce
Platform: Windows
Kriptolanmış: hayır
virüsün boyutu: 38,912 Byte
Bu worm (solucan) kendi kopyalarını Microsoft Outlook ve ICQ ile yayan Visual Basic`te derlenmiş bir windows çalıştırılabilir dosyası.Hafızada belirli bazı dosyaları buluyor ve bu dosyaların işlemlerini kapatıyor. Sonra dosyaları silme görevini gerçekleştiriyor.
Yayılma:
Saat 18:00`daki sonuçlara göre worm`un yayılma bilgisi aşağıdaki gibi:
İlk Görülme
Ülke
Kopya
2001-12-04 10:49
US
43
2001-12-04 10:58
GB
49
2001-12-04 11:55
FR
10
2001-12-04 13:02
DE
1
2001-12-04 13:30
NL
7
2001-12-04 13:34
CH
33
2001-12-04 14:08
AR
2
Detay:
Bu worm eposta ile ekte GONE.SCR dosyası olarak geliyor. Dosya Visual Basic ile derlenmiş ve UPX packer programı ile sıkıştırılmış.
Worm`lu epostanın içeriği:
Subject: Hi
Message Body: How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!
Attachment: GONE.SCR
Bir Outlook Application Object yaratıyor ve etkilenen kullanıcının adres defterindekilere kendisini eposta ile göndermek için MAPI script komutlarını kullanıyor. Daha sonra bu e-postaları siliyor.
Çalıştırıldığında aşağıdaki mesajı içeren bir pencere gösteriyor:
pentagone
coded by: suid
texted by: ThE_SKuLL and |satan|
greetings to: TraceWar, k9_unit, stef16 ^Reno
greetings also to nonick2 out
there where ever you are
Daha sonra worm dosyasını %System%\GONE.SCR dosyasına yazıyor. Windows her açıldığında kopyasının otomatik olarak çalıştırılması için aşağıdaki registry anahtarını yaratıyor:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\%System%\gone.scr = %System%\gone.scr
Ayrıca bir arkakapı (backdoor) kurmak için mIRC uygulamasını kullanıyor. mIRC uygulaması her başlatıldığında yüklenen bir script içeren REMOTE32.INI dosyası yaratıyor. Daha sonra Worm`un yazarı bu worm eklentisini kullanarak IRC kanallarına yada etkilenen kullanıcı ile aynı kanalda bulunan kullanıcılara DoS saldırıları düzenleyebiliyor.
Worm ayrıca ICQ chat uygulaması ile de yayılıyor. ICQAPI`yi kullanarak kendisinin bir kopyasını ICQ kullanıcılarına gönderiyor.
Yaptıkları:
Worm`un hafızadaki tüm işlemleri etkileyen zarar verici işlevleri var. Aşağıdaki dosya isimleri ile alakalı işlemleri durduruyor:
IAMAPP.EXE
IAMSERV.EXE
CFINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWALLICON.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
Dosyanın işlemini durdurduktan sonra dosyayı ve aynı dirde bulunan tüm dosyaları siliyor.Bu uygulamaların düzgün çalışmasını etkili bir şekilde durduruyor.
Gizlilik rutini:
Worm`un ana penceresi 'pentagon' ismini taşıyor. Windows 9x`de kendisini Task listesinde görünmeyen bir servis işlemi olarak kayıt (register) ediyor. Kendisi Task listesinde görünmese de açtığı Outlook Application Object task listesinde görünüyor. Daha sonra yakalanmamak için kendisinin o an çalışan kopyasını silmeyi sağlayacak komutları içeren bir kayıdı WININIT.INI dosyasına ekliyor.
Windows 95/98/Me Sistemlerden manuel olarak temizlenmesi:
1. Bilgisayarı reboot edin:
2. Başlangıç logo`su görünmeden F8`e basın.
3. “Command prompt only” (Sadece komut satırı) seçeneğini seçin.
4. %System% dizinine gidin. %System% bir değişkendir. Genelde C:\Windows\System`dir.Komut satırında aşağıdaki satırı yazıp enter`a basın:attrib –s –h –r gone.scr
5. Aşağıdaki komutu yazıp Enter`a basarak worm dosyasını silin : del gone.scr
6. Bilgisayarı tekrar başlatın.
7. Registry editöründe aşağıdaki anahtara gidin:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run>%System%
8. Aşağıdaki kayıt girişini bulun ve silin : gone.scr
Windows NT/2000 XP Sistemlerden manuel olarak temizlenmesi:
1. Windows 2000 CD`sinden boot edin ve 'repair install console'u seçin.
2. %System% dizinine gidin. %System% bir değişkendir. Genelde C:\Winnt\System`dir .Komut satırında aşağıdaki satırı yazıp enter`a basın : attrib –s –h –r gone.scr
3. Aşağıdaki komutu yazıp Enter`a basarak worm dosyasını silin : del gone.scr
4. Bilgisayarı tekrar başlatın.
5. Registry editöründe aşağıdaki anahtara gidin : HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run>%System%
6. Aşağıdaki kayıt girişini bulun ve silin : gone.scr
W32.Badtrans.B@mm
24 Kasım 2001 tarihinde yayılmaya başlayan bu yeni virüs, farklı isimler altında bulaşırken, Windows\System dizininde "Kdll.dll." isimli dosyayı oluşturarak kullanıcının tüm klavye girdilerini (şifre,kredi kartı,vs.) kaydediyor ve başkalarına gönderiyor.
Teknik Özellikleri:
Ekte bulunan dosya, ilk kez çalıştırtıldığında kendini System yada Windows dizinine Kernel32.exe olarak kaydediyor; girilen text kayıtları için System\Cp_25389.nls dosyasını ve kayıt işlemini gerçekleştiren System\Kdll.dll dosyasını oluşturuyor bulaştığı bilgisayarda hacker'ların sisteme rahatça girmeleri için bir "arka kapı" açıyor.
Ayrıca açık olan pencereyi her dakika kontrol etmek için kullanılan bir kronometre içeren virüs, pencere başlıklarının şu 3 harfi içerip içermediğini kontrol ediyor:
LOG ( logon)
PAS (password)
REM (remote)
CON (connection)
TER (terminal)
NET (network)
Bu sözcüklerin herhangi biri bulunduğu anda, kayıt birimi 60 dakika süresince devrede oluyor.her 30 dakikada bir, kayıt dosyası ve girilmiş olan şifreler aşağıdaki adreslere gönderiliyor:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
Eğer bilgisayarda RAS desteği mevcutsa, aktif bir RAS bağlantısından sonra, Personal ve Internet Explorer/Cache dizinlerinde bulunan *.ht ve *.asp dosyalarında bulduğu e-mail adreslerine, kullanıcının SMTP sunucusunu kullanarak kendini göndermeye başlıyor.Ekte bulunan dosya ismi;
Pics
images
README
New_Napster_Site
news_doc
HAMSTER
YOU_are_FAT!
stuff
SETUP
Card
Me_nude
Sorry_about_yesterday
info
docs
Humor
fun
olabilir.
MAPI kullanılarak, henuz okunmamış maillere kendini yanıt gibi (RE: okunmamış mail başlığı) gönderdiği durumda ise ek ismi aşağıdaki şekilde oluyor:
PICS
IMAGES
README
New_Napster_Site
NEWS_DOC
HAMSTER
YOU_ARE_FAT!
SEARCHURL
SETUP
CARD
ME_NUDE
Sorry_about_yesterday
S3MSONG
DOCS
HUMOR
FUN
Virüs her durumda dosya ismine önce ".doc - .mp3 - .zip" uzantılarindan birini, ardındansa ".pif-.scr" uzantısını ekliyor.. Örneğin : CARD.Doc.pif ya da NEWS_DOC.mp3.scr gibi
Bilgisayarda bulunan SMTP bilgileri From (gönderen) alanında kullanılıyor,bulunamadığı durumdaysa aşağıdaki adreslerden biri Gönderen kısmında yer alıyor:
"Mary L. Adams" <[email protected]>
"Monika Prado" <[email protected]>
"Support" <[email protected]>
" Admin" <[email protected]>
" Administrator" <[email protected]>
"JESSICA BENAVIDES" <[email protected]>
"Joanna" <[email protected]>
"Mon S" <[email protected]>
"Linda" <[email protected]>
" Andy" <[email protected]>
"Kelly Andersen" <[email protected]>
"Tina" <[email protected]>
"Rita Tulliani" <[email protected]>
"JUDY" <[email protected]>
" Anna" <[email protected]>
Mesajlar Microsoft Outlook programıyla indirildiğinde, ekteki mesajın açılmasına çalıştırılmasına gerek duymadan harekete geçiyor. System%\Protocol.dll kaydedilen e-mail adresleriyle, aynı kişiye birden fazla mail gönderilmesini engelleniyor. Virüsü gönderen kişinin adresinin başına "_" işareti ekleniyor ve böylece karşı taraf virüs bulaşmış kullanıcıyı uyaramıyor.
Örneğin: [email protected] ->> _user@website
Maili gönderildikten sonra, Kernel32 kernel32.exe değerlerini Registry Key - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce ekliyor, böylece Windows tekrar başladığında virüs aktif oluyor.
Temizleme İşlemi
Virüsten kurtulmanın en iyi yöntemi, W32.Badtrans.B@mm Removal Tool kullanmak.. Bu yöntemi kullanamamanız durumunda, manuel olarak temizlemek zorundasınız..
Windows 95/98/Me/2000/XP için:
LiveUpdate kullanarak son güncellemeleri gerçekleştirdiğinizden emin olun. Bilgisayarınızı güvenli kipte çalıştırın.
Norton Anti Virus kullanarak tum dosyalarınızı tarayın. W32.Badtrans.B@mm bulaşmış olarak belirlenen tüm dosyalarınızı silin Bu işlemler bitiiğinde Registry Key düzenleme işlemine geçin.
Windows NT
CTRL+ALT+DELETE yaparak Görev Yöneticisi- İşlemler kısmına girin. Kernel.32 yi bularak görevine son verin. Görev yöneticisinden çıkarak, Norton Anti Virus' le tüm sisteminizi tarayın. Bu virüsün bulaştıığı dosyaları silin ve Registry Key düzenleme işlemine geçin
Registry Key Düzenleme:
Başlat-Çalıştır menüsünden regedit yazın ve çalıştırın. Açılan pencerede HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce kısmına geçin. Sağ kısımda Kernel32 kernel32.exe değerini silin.
W32.Vote.A@mm
Özellikleri:
Visual Basic'le yazılmış ve e-mail yoluyla yayılmakta olan bu solucan ,Msvbvm50.dll dosyasını kullanarak çalıştırıldığında, 2 adet .vbs uzantılı dosyayı ( \%Windows%\MixDaLaL.vbs & \%Windows\System%\ZaCker.vbs ) sisteme ekliyor ve çeşitli antivirus yazılımlarından dosya silmeye çalışıyor.
Etkileri:
Dosya Silme : Bilgisayar yeniden başlatıldıktan sonra Windows dizinindeki tüm dosyaları siliyor.
E-mail'le Yayılma : Microsoft Outlook adres defterindeki tüm kişilere otomatikman gönderiliyor
Dosya Değiştirme : "htm" ve "html" dosyalarında değişiklik yapıyor.
Güvenlik Ayarları : Backdoor.T rojan indirilmiş ve yüklenmişse, herhangi birinin bilgisayara girişi mümkün hale geliyor.
Yayılma:
E-mail Başlığı : Fwd : Peace BeTweeN AmeriCa and IsLaM!
Eklenti : WTC.exe (55808 Byte)
Subject: Fwd
eace BeTweeN AmeriCa and IsLaM!
Message:
Hi
iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!
Attachment: WTC.EXE
Bilgisayar yeniden başlatıldığında, \Windows dizinindeki tüm dosyaları silmeye çalışan virüs, sonrasında C:\Autoexec.bat dosyasını, C sürücüsünün formatlayacak şekilde değiştiriyor.
Nasıl Temizlenir?
Etkili olduğu dosyaları silmek ve registrye eklediği değeri kaldırmak gerekiyor.
Virüsten kurtulmak için Norton AntiVirus programında yapılacaklar,
1. LiveUpdate'i kullanarak en son güncellemelerine sahip olduğunuza emin olun.
2. Norton AntiVirus (NAV) 'ü tüm dosyaları tarıyacak şekilde ayarlayın.
3. Tüm sistemi tarayın.
W32.Vote.A@mm bulaşmış olan tüm dosyaları silin. Eğer virüs çalıştıysa ve NAV C:\Program Files\Norton AntiVirus dizininde yüklüyse, NAV'ı yeniden yüklemeniz gerekiyor.
Eğer virüs bulaştıktan sonra bilgisayar yeniden başlatıldıysa ya da sistem kötü durumda gözüküyorsa, işletim sistemini yeniden yüklemeniz tavsiye edilir.
Registry düzeltmek için:
Dikkat!!! : Değişiklik yapmadan önce sistem kaydının yedeğini almanız tavsiye olunur. Yanlış değişiklikler, geri alınamayacak veri kaybına yada bozulmasına sebep olabilir.
1. Başlat menüsünden Çalıştır seçeneğine regedit yazıp, Kayıt Düzenleyicisi'ni çalıştırın.
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run geçiş yapın.
3. Sağ panelde "Norton.Thar \%Windows\System%\ZaCker.vbs" değerini silin
4. Kayıt kısmına tıklayın ve çıkış yapın.
Diğer virus programlarını kullananlarında SIK SIK güncelleme yaparak sistemerini kontrol etmeleri yararlı olacaktır.
W32.Nimda.A@mm
Yeni keşfedilen ve çok tehlikeli olduğu belirtilen Nimda adlı yeni bilgisayar virüsünün, internet üzerinden binlerce ev ve işyeri bilgisayarlarında hızla yayıldığı belirtildi. Bilgisayar uzmanları, ilk olarak dün ABD'de ortaya çıkan ve 'Kırmızı Kod'' virüsünden de kötü olduğu belirtilen virüsün aynı hızla Asya'ya yayılarak küresel bilgisayar ağını tehdit ettiğine dikkat çekiyor. Nimda solucanı hem Windows 95, 98, ME, NT, veya 2000 çalıştıran kullanıcı işistasyonları (istemciler) için hemde Windows NT ve 2000 çalıştıran sunucular için bir tehdit oluşturuyor.
Nimda solucanını gönderen e-posta mesajının aynı zamanda aşağidaki karakteristiklere sahip oldugu gözlemlendi:
· · Mesajın konu başlığındaki yazı bir değişken gibi görünüyor fakat şimdiye kadar görülenler 80 karakterin üzerinde.
· · Ekteki çalıştırılabilir dosyanın çok çeşitleri olduğu görülüyor ve farklı mesajlardaki farklı ek dosyaların farklı MD5 checksumlarının olmasına sebep oluyor. Fakat, ek dosyanın boyutu sabit olarak 57344 byte oluyor.
Nasıl Çalışıyor?
README.EXE isimli ekli dosya, zararsız bir audio dosyasıymış gibi görünüyor. Solucan, Microsoft IIS Sunucu Unicode Web Traversal’a zarar verme olasılığını da kullanıyor. Böyle bir sunucunun keşfi üzerine solucan kendisini yüklüyor ve bir kopyasını alarak web içerikli dosyaları HTM, HTML ve ASP uzantılarıyla değiştirmeye başlıyor. Değiştirilmiş web sayfaları, virüsün bulaştığı IIS sunucusunun ziyaretçilerine solucanın bir kopyasını aktarabilir hale geliyor.
Nimda, virüsün bulaştığı bilgisayarın kullanıcısının Microsoft Outlook ve Outlook Express mesajlarındaki e-posta adreslerini soruşturuyor. Ardından, içinde barındırdığı bir e-posta motorunu kullanarak kendisini rastgele başlıklarla ve ana metin olmaksızın ekli bir dosya olarak gönderiyor.
Aynı zamanda, istemci makineler etkilenen IIS sunucularını aramaya başlıyorlar. Nimda önceki IIS solucanlari Code Red II ve sadmind/IIS solucanı tarafindan bırakılan arka kapıları (backdoor) arıyor. Ayrıca IIS dizin atlama/geçme (directory traversal) açığını deniyor. Potansiyel hedef IP adresleri asağıdaki tahmine göre seçiliyor: zamanın %50 si, ilk iki octet`i aynı olan adresler zamanın %25`i, ilk octet`i aynı olan adresler zamanin %25`i rastgele bir adres seçiliyor.
Nimda, uzaktan kumanda edilen bilgisayar sistemlerinde kendisinin kopyalanma ve çalıştırılmasına imkan vererek açık network paylaşımlarının varlığını soruşturuyor, bulaştığı bilgisayar sistemini uzaktan erişilebilir kılıyor ve birçok dosyanın tekrar yazılmasına imkan veriyor. Virüsün verileri ya da dosyaları silip silmediği konusu netlik kazanmadı, ancak bilgisayar işlemlerini yavaşlattığı belirtililiyor.
Windows 98/ME Kullanıcılari İçin
Windows 98/ME işletim sistemlerini kullanan kişilerin bilgisayarına bulaştığı zaman, bilgisayarlarda lokal network üzerinde şifresiz tam erişimli paylaşım açıyor.
Windows NT/2000 Kullanıcıları İçin
Windows NT/2000 işletim sistemlerinde GUEST kullanıcısını Administrators grubuna ekleyerek, sistemin yeniden açılmasından sonra tam paylaşımları açıyor.
IIS Kullanıcıları İçin
Virus IP adreslerini tarayarak Web Folder Transversal hatası bulunan IIS kullanan sunuculara bulaşıyor. Virus aynı zamanda IIS sunucularında W32/CodeRed.c virüsu tarafından açılan delikten de bulaşıyor.
Nasıl Yayılıyor?
Uzmanlar, yeni virüsün ''exe'' uzantılı bir solucan olduğunu, zararsız bir ses dosyası gibi görünen ve ''readme.exe'' başlıklı bir ekle gelen e-postayla bulaştığını açıklıyor. Web sayfasını etkileyen virüs dosyaların indirilmesinin yanısıra;
* e-posta ile istemciden istemciye,
* açık ağ paylaşımları ile istemciden istemciye,
* etkilenmiş web sitelerini görüntüleme ile web sunucudan istemciye,
* 'Microsoft IIS 4.0 / 5.0 directory traversal' güvenlik açığı tarayıp kullanarak istemciden web sunucuya,
* Code Red II veya sadmind/IIS solucanları tarafından bırakılan arka kapıları tarayarak istemciden web sunucuya geçiş gibi çeşitli metodlar kullanıyor.
E-posta ile Yayılma:
Bu solucan iki bölümden olusan bir MIME 'multipart/alternative' mesaj ile eposta yoluyla yayılıyor. İlk bölüm MIME tipi 'text/html' olarak tanımlanmış fakat text içermiyor ve bu sebeple e-postanın içeriği yok gibi görünüyor. İkinci bölüm MIME tipi 'audio/x-wav' olarak tanımlanmış fakat 'readme.exe' isminde base64-encoded çalıştırılabilir bir ek dosya içeriyor. CA-2001-06.html da tanımlanan (Automatic Execution of Embedded MIME Types) güvenlik açığına göre HTML postayı görüntülemek için Microsoft Internet Explorer 5.5 SP1 veya öncesini (IE 5.01 SP2 hariç) kullanan X86 platform üzerinde çalışan her posta yazılımı ilişikteki ek dosyayı otomatik olarak çalıştırıyor ve sonuç olarak makineye solucanı bulaştırıyor. Böylece, etkilenen konfigürasyonlarda, solucanın aktif olması sadece bu eposta mesajını açmakla (veya önizleme yapmakla) sağlanabiliyor. Aktif hale geçmesi çalıştırılabilir bir dosya olan ek dosyayı çalıştırmaklada mümkün.
W32.Sircam.Worm@mm (Backdoor.SirCam)
Son günlerde İnternet üzerinde dolaşan ve hızla yayılan bir virüs tespit edilmiştir.
Hızla yayılan ve W32.Sircam.Worm@mm (Backdoor.SirCam) olarak adlandırılan bu virus, bir bilgisayara bulaştığı an 'Belgelerim' klasöründeki '.doc', '.zip' ve '.jpg' uzantılı dosyaların listesini çıkarıyor. Virüs daha sonra kendini kopyalayarak kullanıcının adres defterindeki isimlere gönderiyor. Bu mesajlara Belgelerim klasöründen rastgele seçilen dosyalardan biri de ekleniyor. Bu güvenli ve özel bilgilerinizin başkalarının eline geçmesi anl****** geliyor. Virüsün iliştirildiği mesajın metni farklılık gösteriyor, ancak genelde şu tür bir içeriğe sahip;
" Hi! How are you? I send you this file in order to have your advice. See you later! Thanks "
bir e-posta alırsanız, eklerini açmadan acilen silmenizi önemle tavsiye ederiz. Hatta önerimiz; e-posta servisiniz webmail hizmeti veriyorsa ilk önce mesajlarınızı oradan kontrol edip şüpheli mesajları açmadan silmenizdir.
Hızla yayılan ve W32.Sircam.Worm@mm (Backdoor.SirCam) olarak adlandırılan bu virus, gelen e-posta içinde bulunan ekli dosya açıldığında açan kişinin bilgisi dışında e-posta programının adres defterinde bulunan tüm e-posta adreslerine farklı konulu ekli dosyalar göndererek yayılmakta ve yayılırken de kullanıcının bilgisayarında bulunan şahsi dosyaları da 3. şahıslara göndermektedir.
Eğer yukarıda bahsedilen e-postayı açtıysanız, virusün bilgisayarınıza bulaşıp bulaşmadığının tespiti ve bulaştı ise virüsü yoketmek için SYMANTEC firması tarafından hazırlanan "bu virüse özel ücretsiz" anti-virüs yazılımını veya temin edebileceğiniz diğer virus yazılımlarını bilgisayarınıza yükleyebilir ya da bilgisayarcınızla temasa geçebilirsiniz.
Hergün , farklı yöntemlerle yayılan yeni ve farklı virusler ortaya çıktığından bilgisayarınızda anti virüs- güvenlik programı kulllanmanızı eğer halihazırda kullanıyorsanız bu programı sürekli güncellemenizi ve internet üzerinden e-posta yolu ile yayılan virüslerden korunmak için tanımadığınız e-posta adreslerinden gelen mesajları açmamanızı ve gelen ekli dosyaları virus taramasından geçirmeden okumamanızı önemle tavsiye ediyoruz. İnternet üzerinde ücretli-ücretsiz temin edebileceğiniz birçok anti-virüs- güvenlik programlarını yükleyebilirsiniz.
W32.SİRCAM.WORM@MM (Backdoor.SirCam) Özellikleri
17 Temmuz 2001 de tespit edildi ve 7 Ağustos 2001 tarihinde güncel bir sürümü yayılmaya başladı.
W32.Sircam.Worm@mm kendi SMTP motorunu içermekte ve W32.Magistr.Worm.'a benzer şekilde çoğalmaktadır. Virüs, Windows NT veya Windows 2000 altında çoğalmamaktadır. SARC bu worm'u temizlemek için bir araç geliştirmiştir.
Dağıtımı
E-posta başlığı: Değişken başlık- Eklentinin dosya adı
Eklenti adı: Göndericinin bilgisayarından, .bat, .com, .ink, ya da .pif uzantılı bir dosya olarak geliyor.
Eklentinin büyüklüğü: En az 134kb büyüklüğünde.
Paylaşımlı sürücü: Paylaşımlı sürücüleri arayarak bulduklarına kendisini kopyalıyor.
Verdiği Zararlar
Büyük ölçekli e-posta gönderiyor: Bu worm bulaştığı PC'den rastgele seçtiği dökümana kendisini ekliyor ve e-mail yoluyla gönderiyor.
Dosya siliyor: Tüm dosyaların ve hard disk (C) 'deki dizinlerin 1/20 silinme ihtimali bulunmaktadır. Tarihin 16 Ekim'i gösterdiği ve tarih formatı olarak G/A/Y'nin kullanıldığı sistemlerde ortaya çıkar. "sc" uzantısı bulunmayan "FS2" eklentili dosyalarda her zaman ortaya çıkmaktadır.
Performans düşürüyor: Hard disk (C)'de kalan tüm alanı, c: ecycled\sircam.sys dosyası ile doldurma ihtimali 1/50 dir.
Gizli bilgiyi açığa çıkarıyor: Hard drive'dan rastgele seçtiği bir dökümanı alarak, worm ekliyor ve bu dokümanı açığa çıkarıyor.
Worm e-posta mesajı olarak aşağıdaki içerikle gelmektedir:
Başlık: Belirli bir e-posta başlığı bulunmamakta, ancak dosya ile gelen eklenti aynı adı taşımaktadır.
Eklenti: Göndericinin bilgisayarından alınan dosya .bat, .com, .lnk ya da .pif uzantısında olacaktır.
Mesaj: Mesaj metni kısmen değişik olabilmektedir. Her zaman mesajın ilk veya son satırı olarak aşağıdaki iki satır İngilizce veya İspanyolca cümle yer almaktadır.
İspanyolca Versiyonu:
İlk Satır: Hola como estas?
Son Satır: Nos vemos pronto, gracias.
İngilizce Versiyonu:
İlk Satır: Hi! How are you?
Son Satır: See you later. Thanks
Bu iki cümle arasında aşağıdaki metin ortaya çıkabilir.
İspanyolca Versiyon:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci=n que me pediste
İngilizce Versiyon:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
Zotob Hakkında Bilmeniz Gerekenler
Zotob.A Windows 2000 tabanlı sistemleri tehdit eden ve Microsoft Güvenlik Bülteni MS05-039 tarafından giderilen güvenlik sorunundan yararlanan bir solucandır. Bu solucan kötü amaçlı bir yazılım yükler ve ardından bulaşabileceği başka bilgisayarlar arar.
Önemli Güvenlik Bülteni MS05-039 ile yayınlanan güncelleştirmeyi yüklediyseniz, zaten Zotob.A solucanından korunuyorsunuz demektir. Windows'un, Windows 2000 dışındaki herhangi bir desteklenen sürümünü kullanıyorsanız, Zotob.A solucanının tehdidi altında değilsinizdir.
Yazılım Güvenliği Olaylarını Yanıtlama Süreci'mizin bir bölümünü oluşturan araştırmamız sırasında, yalnızca az sayıda kullanıcının bu sorundan etkilenmiş olduğu belirlendi. Microsoft güvenlik uzmanları doğrudan bu kullanıcılarla birlikte çalışıyor. Sorunun Internet'e yayıldığına dair bir göstergeyle karşılaşmadık.
Şimdi Gerçekleştirilecek Eylemler
Bulaşma Olup Olmadığın Denetleme
Zotob.A bir bilgisayara bulaştığında, Botzer.exe adlı kötü amaçlı bir dosyayı kopyalamaya çalışır. Solucan bulaştıysa bilgisayarınızda bu dosya bulunur ve kayıt defterinizde bazı değişiklikler görülür. Bulaşma olup olmadığını denetlemek için aşağıdaki yöntemlerden birini kullanın. (Dosyayı bulursanız kayıt defterine bakmanız gerekmez; bu durumun tam tersi de geçerlidir.)
Bilgisayarınızda botzor.exe dosyasını arama
Başlat'ı tıklatın, Ara'nın üzerine gidin ve sonra Dosya veya Klasörler'i tıklatın.
Gelişmiş Arama Seçeneklerini Kullan'ı tıklatın. Aşağıdaki ölçütlerden biri ya da tümüyle arama yap ifadesinin altında aşağıdaki bilgileri girin:
A. Dosya adının tamamı ya da bir kısmı: kutusuna botzor.exe yazın.
B. Konum: kutusunda Yerel Sabit Diskler'i tıklatın.
C. İleri Düzey Seçenekler'in altında Sistem klasörlerinde ara ve Gizli dosya ve klasörlerde ara'yı seçin.
Ara'yı tıklatın.
Kayıt defterine eklenen yeni anahtarlar olup olmadığına bakma
Kayıt defteri anahtarı: HKLM\Software\Microsoft\Windows\
CurrentVersion\Run, eklenen değer: WINDOWS SYSTEM, veri: botzor.exe
Kayıt defteri anahtarı: HKLM\Software\Microsoft\Windows\
CurrentVersion\RunServices, eklenen değer: WINDOWS SYSTEM, veri: botzor.exe
WORM_GONE.A - Yüksek Risk!
Diğer isimleri: GONE.A, WORM_GONER.A, W32/Gone.A-mm
Yük 1: Dosyaları silme
Yük 2: Mesaj gösterme
Tetikleme durumu: Çalıştırıldığında
Dil: İngilizce
Platform: Windows
Kriptolanmış: hayır
virüsün boyutu: 38,912 Byte
Bu worm (solucan) kendi kopyalarını Microsoft Outlook ve ICQ ile yayan Visual Basic`te derlenmiş bir windows çalıştırılabilir dosyası.Hafızada belirli bazı dosyaları buluyor ve bu dosyaların işlemlerini kapatıyor. Sonra dosyaları silme görevini gerçekleştiriyor.
Yayılma:
Saat 18:00`daki sonuçlara göre worm`un yayılma bilgisi aşağıdaki gibi:
İlk Görülme
Ülke
Kopya
2001-12-04 10:49
US
43
2001-12-04 10:58
GB
49
2001-12-04 11:55
FR
10
2001-12-04 13:02
DE
1
2001-12-04 13:30
NL
7
2001-12-04 13:34
CH
33
2001-12-04 14:08
AR
2
Detay:
Bu worm eposta ile ekte GONE.SCR dosyası olarak geliyor. Dosya Visual Basic ile derlenmiş ve UPX packer programı ile sıkıştırılmış.
Worm`lu epostanın içeriği:
Subject: Hi
Message Body: How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!
Attachment: GONE.SCR
Bir Outlook Application Object yaratıyor ve etkilenen kullanıcının adres defterindekilere kendisini eposta ile göndermek için MAPI script komutlarını kullanıyor. Daha sonra bu e-postaları siliyor.
Çalıştırıldığında aşağıdaki mesajı içeren bir pencere gösteriyor:
pentagone
coded by: suid
texted by: ThE_SKuLL and |satan|
greetings to: TraceWar, k9_unit, stef16 ^Reno
greetings also to nonick2 out
there where ever you are
Daha sonra worm dosyasını %System%\GONE.SCR dosyasına yazıyor. Windows her açıldığında kopyasının otomatik olarak çalıştırılması için aşağıdaki registry anahtarını yaratıyor:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\%System%\gone.scr = %System%\gone.scr
Ayrıca bir arkakapı (backdoor) kurmak için mIRC uygulamasını kullanıyor. mIRC uygulaması her başlatıldığında yüklenen bir script içeren REMOTE32.INI dosyası yaratıyor. Daha sonra Worm`un yazarı bu worm eklentisini kullanarak IRC kanallarına yada etkilenen kullanıcı ile aynı kanalda bulunan kullanıcılara DoS saldırıları düzenleyebiliyor.
Worm ayrıca ICQ chat uygulaması ile de yayılıyor. ICQAPI`yi kullanarak kendisinin bir kopyasını ICQ kullanıcılarına gönderiyor.
Yaptıkları:
Worm`un hafızadaki tüm işlemleri etkileyen zarar verici işlevleri var. Aşağıdaki dosya isimleri ile alakalı işlemleri durduruyor:
IAMAPP.EXE
IAMSERV.EXE
CFINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWALLICON.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
Dosyanın işlemini durdurduktan sonra dosyayı ve aynı dirde bulunan tüm dosyaları siliyor.Bu uygulamaların düzgün çalışmasını etkili bir şekilde durduruyor.
Gizlilik rutini:
Worm`un ana penceresi 'pentagon' ismini taşıyor. Windows 9x`de kendisini Task listesinde görünmeyen bir servis işlemi olarak kayıt (register) ediyor. Kendisi Task listesinde görünmese de açtığı Outlook Application Object task listesinde görünüyor. Daha sonra yakalanmamak için kendisinin o an çalışan kopyasını silmeyi sağlayacak komutları içeren bir kayıdı WININIT.INI dosyasına ekliyor.
Windows 95/98/Me Sistemlerden manuel olarak temizlenmesi:
1. Bilgisayarı reboot edin:
2. Başlangıç logo`su görünmeden F8`e basın.
3. “Command prompt only” (Sadece komut satırı) seçeneğini seçin.
4. %System% dizinine gidin. %System% bir değişkendir. Genelde C:\Windows\System`dir.Komut satırında aşağıdaki satırı yazıp enter`a basın:attrib –s –h –r gone.scr
5. Aşağıdaki komutu yazıp Enter`a basarak worm dosyasını silin : del gone.scr
6. Bilgisayarı tekrar başlatın.
7. Registry editöründe aşağıdaki anahtara gidin:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run>%System%
8. Aşağıdaki kayıt girişini bulun ve silin : gone.scr
Windows NT/2000 XP Sistemlerden manuel olarak temizlenmesi:
1. Windows 2000 CD`sinden boot edin ve 'repair install console'u seçin.
2. %System% dizinine gidin. %System% bir değişkendir. Genelde C:\Winnt\System`dir .Komut satırında aşağıdaki satırı yazıp enter`a basın : attrib –s –h –r gone.scr
3. Aşağıdaki komutu yazıp Enter`a basarak worm dosyasını silin : del gone.scr
4. Bilgisayarı tekrar başlatın.
5. Registry editöründe aşağıdaki anahtara gidin : HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run>%System%
6. Aşağıdaki kayıt girişini bulun ve silin : gone.scr
W32.Badtrans.B@mm
24 Kasım 2001 tarihinde yayılmaya başlayan bu yeni virüs, farklı isimler altında bulaşırken, Windows\System dizininde "Kdll.dll." isimli dosyayı oluşturarak kullanıcının tüm klavye girdilerini (şifre,kredi kartı,vs.) kaydediyor ve başkalarına gönderiyor.
Teknik Özellikleri:
Ekte bulunan dosya, ilk kez çalıştırtıldığında kendini System yada Windows dizinine Kernel32.exe olarak kaydediyor; girilen text kayıtları için System\Cp_25389.nls dosyasını ve kayıt işlemini gerçekleştiren System\Kdll.dll dosyasını oluşturuyor bulaştığı bilgisayarda hacker'ların sisteme rahatça girmeleri için bir "arka kapı" açıyor.
Ayrıca açık olan pencereyi her dakika kontrol etmek için kullanılan bir kronometre içeren virüs, pencere başlıklarının şu 3 harfi içerip içermediğini kontrol ediyor:
LOG ( logon)
PAS (password)
REM (remote)
CON (connection)
TER (terminal)
NET (network)
Bu sözcüklerin herhangi biri bulunduğu anda, kayıt birimi 60 dakika süresince devrede oluyor.her 30 dakikada bir, kayıt dosyası ve girilmiş olan şifreler aşağıdaki adreslere gönderiliyor:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
Eğer bilgisayarda RAS desteği mevcutsa, aktif bir RAS bağlantısından sonra, Personal ve Internet Explorer/Cache dizinlerinde bulunan *.ht ve *.asp dosyalarında bulduğu e-mail adreslerine, kullanıcının SMTP sunucusunu kullanarak kendini göndermeye başlıyor.Ekte bulunan dosya ismi;
Pics
images
README
New_Napster_Site
news_doc
HAMSTER
YOU_are_FAT!
stuff
SETUP
Card
Me_nude
Sorry_about_yesterday
info
docs
Humor
fun
olabilir.
MAPI kullanılarak, henuz okunmamış maillere kendini yanıt gibi (RE: okunmamış mail başlığı) gönderdiği durumda ise ek ismi aşağıdaki şekilde oluyor:
PICS
IMAGES
README
New_Napster_Site
NEWS_DOC
HAMSTER
YOU_ARE_FAT!
SEARCHURL
SETUP
CARD
ME_NUDE
Sorry_about_yesterday
S3MSONG
DOCS
HUMOR
FUN
Virüs her durumda dosya ismine önce ".doc - .mp3 - .zip" uzantılarindan birini, ardındansa ".pif-.scr" uzantısını ekliyor.. Örneğin : CARD.Doc.pif ya da NEWS_DOC.mp3.scr gibi
Bilgisayarda bulunan SMTP bilgileri From (gönderen) alanında kullanılıyor,bulunamadığı durumdaysa aşağıdaki adreslerden biri Gönderen kısmında yer alıyor:
"Mary L. Adams" <[email protected]>
"Monika Prado" <[email protected]>
"Support" <[email protected]>
" Admin" <[email protected]>
" Administrator" <[email protected]>
"JESSICA BENAVIDES" <[email protected]>
"Joanna" <[email protected]>
"Mon S" <[email protected]>
"Linda" <[email protected]>
" Andy" <[email protected]>
"Kelly Andersen" <[email protected]>
"Tina" <[email protected]>
"Rita Tulliani" <[email protected]>
"JUDY" <[email protected]>
" Anna" <[email protected]>
Mesajlar Microsoft Outlook programıyla indirildiğinde, ekteki mesajın açılmasına çalıştırılmasına gerek duymadan harekete geçiyor. System%\Protocol.dll kaydedilen e-mail adresleriyle, aynı kişiye birden fazla mail gönderilmesini engelleniyor. Virüsü gönderen kişinin adresinin başına "_" işareti ekleniyor ve böylece karşı taraf virüs bulaşmış kullanıcıyı uyaramıyor.
Örneğin: [email protected] ->> _user@website
Maili gönderildikten sonra, Kernel32 kernel32.exe değerlerini Registry Key - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce ekliyor, böylece Windows tekrar başladığında virüs aktif oluyor.
Temizleme İşlemi
Virüsten kurtulmanın en iyi yöntemi, W32.Badtrans.B@mm Removal Tool kullanmak.. Bu yöntemi kullanamamanız durumunda, manuel olarak temizlemek zorundasınız..
Windows 95/98/Me/2000/XP için:
LiveUpdate kullanarak son güncellemeleri gerçekleştirdiğinizden emin olun. Bilgisayarınızı güvenli kipte çalıştırın.
Norton Anti Virus kullanarak tum dosyalarınızı tarayın. W32.Badtrans.B@mm bulaşmış olarak belirlenen tüm dosyalarınızı silin Bu işlemler bitiiğinde Registry Key düzenleme işlemine geçin.
Windows NT
CTRL+ALT+DELETE yaparak Görev Yöneticisi- İşlemler kısmına girin. Kernel.32 yi bularak görevine son verin. Görev yöneticisinden çıkarak, Norton Anti Virus' le tüm sisteminizi tarayın. Bu virüsün bulaştıığı dosyaları silin ve Registry Key düzenleme işlemine geçin
Registry Key Düzenleme:
Başlat-Çalıştır menüsünden regedit yazın ve çalıştırın. Açılan pencerede HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce kısmına geçin. Sağ kısımda Kernel32 kernel32.exe değerini silin.
W32.Vote.A@mm
Özellikleri:
Visual Basic'le yazılmış ve e-mail yoluyla yayılmakta olan bu solucan ,Msvbvm50.dll dosyasını kullanarak çalıştırıldığında, 2 adet .vbs uzantılı dosyayı ( \%Windows%\MixDaLaL.vbs & \%Windows\System%\ZaCker.vbs ) sisteme ekliyor ve çeşitli antivirus yazılımlarından dosya silmeye çalışıyor.
Etkileri:
Dosya Silme : Bilgisayar yeniden başlatıldıktan sonra Windows dizinindeki tüm dosyaları siliyor.
E-mail'le Yayılma : Microsoft Outlook adres defterindeki tüm kişilere otomatikman gönderiliyor
Dosya Değiştirme : "htm" ve "html" dosyalarında değişiklik yapıyor.
Güvenlik Ayarları : Backdoor.T rojan indirilmiş ve yüklenmişse, herhangi birinin bilgisayara girişi mümkün hale geliyor.
Yayılma:
E-mail Başlığı : Fwd : Peace BeTweeN AmeriCa and IsLaM!
Eklenti : WTC.exe (55808 Byte)
Subject: Fwd
eace BeTweeN AmeriCa and IsLaM!Message:
Hi
iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!
Attachment: WTC.EXE
Bilgisayar yeniden başlatıldığında, \Windows dizinindeki tüm dosyaları silmeye çalışan virüs, sonrasında C:\Autoexec.bat dosyasını, C sürücüsünün formatlayacak şekilde değiştiriyor.
Nasıl Temizlenir?
Etkili olduğu dosyaları silmek ve registrye eklediği değeri kaldırmak gerekiyor.
Virüsten kurtulmak için Norton AntiVirus programında yapılacaklar,
1. LiveUpdate'i kullanarak en son güncellemelerine sahip olduğunuza emin olun.
2. Norton AntiVirus (NAV) 'ü tüm dosyaları tarıyacak şekilde ayarlayın.
3. Tüm sistemi tarayın.
W32.Vote.A@mm bulaşmış olan tüm dosyaları silin. Eğer virüs çalıştıysa ve NAV C:\Program Files\Norton AntiVirus dizininde yüklüyse, NAV'ı yeniden yüklemeniz gerekiyor.
Eğer virüs bulaştıktan sonra bilgisayar yeniden başlatıldıysa ya da sistem kötü durumda gözüküyorsa, işletim sistemini yeniden yüklemeniz tavsiye edilir.
Registry düzeltmek için:
Dikkat!!! : Değişiklik yapmadan önce sistem kaydının yedeğini almanız tavsiye olunur. Yanlış değişiklikler, geri alınamayacak veri kaybına yada bozulmasına sebep olabilir.
1. Başlat menüsünden Çalıştır seçeneğine regedit yazıp, Kayıt Düzenleyicisi'ni çalıştırın.
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run geçiş yapın.
3. Sağ panelde "Norton.Thar \%Windows\System%\ZaCker.vbs" değerini silin
4. Kayıt kısmına tıklayın ve çıkış yapın.
Diğer virus programlarını kullananlarında SIK SIK güncelleme yaparak sistemerini kontrol etmeleri yararlı olacaktır.
W32.Nimda.A@mm
Yeni keşfedilen ve çok tehlikeli olduğu belirtilen Nimda adlı yeni bilgisayar virüsünün, internet üzerinden binlerce ev ve işyeri bilgisayarlarında hızla yayıldığı belirtildi. Bilgisayar uzmanları, ilk olarak dün ABD'de ortaya çıkan ve 'Kırmızı Kod'' virüsünden de kötü olduğu belirtilen virüsün aynı hızla Asya'ya yayılarak küresel bilgisayar ağını tehdit ettiğine dikkat çekiyor. Nimda solucanı hem Windows 95, 98, ME, NT, veya 2000 çalıştıran kullanıcı işistasyonları (istemciler) için hemde Windows NT ve 2000 çalıştıran sunucular için bir tehdit oluşturuyor.
Nimda solucanını gönderen e-posta mesajının aynı zamanda aşağidaki karakteristiklere sahip oldugu gözlemlendi:
· · Mesajın konu başlığındaki yazı bir değişken gibi görünüyor fakat şimdiye kadar görülenler 80 karakterin üzerinde.
· · Ekteki çalıştırılabilir dosyanın çok çeşitleri olduğu görülüyor ve farklı mesajlardaki farklı ek dosyaların farklı MD5 checksumlarının olmasına sebep oluyor. Fakat, ek dosyanın boyutu sabit olarak 57344 byte oluyor.
Nasıl Çalışıyor?
README.EXE isimli ekli dosya, zararsız bir audio dosyasıymış gibi görünüyor. Solucan, Microsoft IIS Sunucu Unicode Web Traversal’a zarar verme olasılığını da kullanıyor. Böyle bir sunucunun keşfi üzerine solucan kendisini yüklüyor ve bir kopyasını alarak web içerikli dosyaları HTM, HTML ve ASP uzantılarıyla değiştirmeye başlıyor. Değiştirilmiş web sayfaları, virüsün bulaştığı IIS sunucusunun ziyaretçilerine solucanın bir kopyasını aktarabilir hale geliyor.
Nimda, virüsün bulaştığı bilgisayarın kullanıcısının Microsoft Outlook ve Outlook Express mesajlarındaki e-posta adreslerini soruşturuyor. Ardından, içinde barındırdığı bir e-posta motorunu kullanarak kendisini rastgele başlıklarla ve ana metin olmaksızın ekli bir dosya olarak gönderiyor.
Aynı zamanda, istemci makineler etkilenen IIS sunucularını aramaya başlıyorlar. Nimda önceki IIS solucanlari Code Red II ve sadmind/IIS solucanı tarafindan bırakılan arka kapıları (backdoor) arıyor. Ayrıca IIS dizin atlama/geçme (directory traversal) açığını deniyor. Potansiyel hedef IP adresleri asağıdaki tahmine göre seçiliyor: zamanın %50 si, ilk iki octet`i aynı olan adresler zamanın %25`i, ilk octet`i aynı olan adresler zamanin %25`i rastgele bir adres seçiliyor.
Nimda, uzaktan kumanda edilen bilgisayar sistemlerinde kendisinin kopyalanma ve çalıştırılmasına imkan vererek açık network paylaşımlarının varlığını soruşturuyor, bulaştığı bilgisayar sistemini uzaktan erişilebilir kılıyor ve birçok dosyanın tekrar yazılmasına imkan veriyor. Virüsün verileri ya da dosyaları silip silmediği konusu netlik kazanmadı, ancak bilgisayar işlemlerini yavaşlattığı belirtililiyor.
Windows 98/ME Kullanıcılari İçin
Windows 98/ME işletim sistemlerini kullanan kişilerin bilgisayarına bulaştığı zaman, bilgisayarlarda lokal network üzerinde şifresiz tam erişimli paylaşım açıyor.
Windows NT/2000 Kullanıcıları İçin
Windows NT/2000 işletim sistemlerinde GUEST kullanıcısını Administrators grubuna ekleyerek, sistemin yeniden açılmasından sonra tam paylaşımları açıyor.
IIS Kullanıcıları İçin
Virus IP adreslerini tarayarak Web Folder Transversal hatası bulunan IIS kullanan sunuculara bulaşıyor. Virus aynı zamanda IIS sunucularında W32/CodeRed.c virüsu tarafından açılan delikten de bulaşıyor.
Nasıl Yayılıyor?
Uzmanlar, yeni virüsün ''exe'' uzantılı bir solucan olduğunu, zararsız bir ses dosyası gibi görünen ve ''readme.exe'' başlıklı bir ekle gelen e-postayla bulaştığını açıklıyor. Web sayfasını etkileyen virüs dosyaların indirilmesinin yanısıra;
* e-posta ile istemciden istemciye,
* açık ağ paylaşımları ile istemciden istemciye,
* etkilenmiş web sitelerini görüntüleme ile web sunucudan istemciye,
* 'Microsoft IIS 4.0 / 5.0 directory traversal' güvenlik açığı tarayıp kullanarak istemciden web sunucuya,
* Code Red II veya sadmind/IIS solucanları tarafından bırakılan arka kapıları tarayarak istemciden web sunucuya geçiş gibi çeşitli metodlar kullanıyor.
E-posta ile Yayılma:
Bu solucan iki bölümden olusan bir MIME 'multipart/alternative' mesaj ile eposta yoluyla yayılıyor. İlk bölüm MIME tipi 'text/html' olarak tanımlanmış fakat text içermiyor ve bu sebeple e-postanın içeriği yok gibi görünüyor. İkinci bölüm MIME tipi 'audio/x-wav' olarak tanımlanmış fakat 'readme.exe' isminde base64-encoded çalıştırılabilir bir ek dosya içeriyor. CA-2001-06.html da tanımlanan (Automatic Execution of Embedded MIME Types) güvenlik açığına göre HTML postayı görüntülemek için Microsoft Internet Explorer 5.5 SP1 veya öncesini (IE 5.01 SP2 hariç) kullanan X86 platform üzerinde çalışan her posta yazılımı ilişikteki ek dosyayı otomatik olarak çalıştırıyor ve sonuç olarak makineye solucanı bulaştırıyor. Böylece, etkilenen konfigürasyonlarda, solucanın aktif olması sadece bu eposta mesajını açmakla (veya önizleme yapmakla) sağlanabiliyor. Aktif hale geçmesi çalıştırılabilir bir dosya olan ek dosyayı çalıştırmaklada mümkün.
W32.Sircam.Worm@mm (Backdoor.SirCam)
Son günlerde İnternet üzerinde dolaşan ve hızla yayılan bir virüs tespit edilmiştir.
Hızla yayılan ve W32.Sircam.Worm@mm (Backdoor.SirCam) olarak adlandırılan bu virus, bir bilgisayara bulaştığı an 'Belgelerim' klasöründeki '.doc', '.zip' ve '.jpg' uzantılı dosyaların listesini çıkarıyor. Virüs daha sonra kendini kopyalayarak kullanıcının adres defterindeki isimlere gönderiyor. Bu mesajlara Belgelerim klasöründen rastgele seçilen dosyalardan biri de ekleniyor. Bu güvenli ve özel bilgilerinizin başkalarının eline geçmesi anl****** geliyor. Virüsün iliştirildiği mesajın metni farklılık gösteriyor, ancak genelde şu tür bir içeriğe sahip;
" Hi! How are you? I send you this file in order to have your advice. See you later! Thanks "
bir e-posta alırsanız, eklerini açmadan acilen silmenizi önemle tavsiye ederiz. Hatta önerimiz; e-posta servisiniz webmail hizmeti veriyorsa ilk önce mesajlarınızı oradan kontrol edip şüpheli mesajları açmadan silmenizdir.
Hızla yayılan ve W32.Sircam.Worm@mm (Backdoor.SirCam) olarak adlandırılan bu virus, gelen e-posta içinde bulunan ekli dosya açıldığında açan kişinin bilgisi dışında e-posta programının adres defterinde bulunan tüm e-posta adreslerine farklı konulu ekli dosyalar göndererek yayılmakta ve yayılırken de kullanıcının bilgisayarında bulunan şahsi dosyaları da 3. şahıslara göndermektedir.
Eğer yukarıda bahsedilen e-postayı açtıysanız, virusün bilgisayarınıza bulaşıp bulaşmadığının tespiti ve bulaştı ise virüsü yoketmek için SYMANTEC firması tarafından hazırlanan "bu virüse özel ücretsiz" anti-virüs yazılımını veya temin edebileceğiniz diğer virus yazılımlarını bilgisayarınıza yükleyebilir ya da bilgisayarcınızla temasa geçebilirsiniz.
Hergün , farklı yöntemlerle yayılan yeni ve farklı virusler ortaya çıktığından bilgisayarınızda anti virüs- güvenlik programı kulllanmanızı eğer halihazırda kullanıyorsanız bu programı sürekli güncellemenizi ve internet üzerinden e-posta yolu ile yayılan virüslerden korunmak için tanımadığınız e-posta adreslerinden gelen mesajları açmamanızı ve gelen ekli dosyaları virus taramasından geçirmeden okumamanızı önemle tavsiye ediyoruz. İnternet üzerinde ücretli-ücretsiz temin edebileceğiniz birçok anti-virüs- güvenlik programlarını yükleyebilirsiniz.
W32.SİRCAM.WORM@MM (Backdoor.SirCam) Özellikleri
17 Temmuz 2001 de tespit edildi ve 7 Ağustos 2001 tarihinde güncel bir sürümü yayılmaya başladı.
W32.Sircam.Worm@mm kendi SMTP motorunu içermekte ve W32.Magistr.Worm.'a benzer şekilde çoğalmaktadır. Virüs, Windows NT veya Windows 2000 altında çoğalmamaktadır. SARC bu worm'u temizlemek için bir araç geliştirmiştir.
Dağıtımı
E-posta başlığı: Değişken başlık- Eklentinin dosya adı
Eklenti adı: Göndericinin bilgisayarından, .bat, .com, .ink, ya da .pif uzantılı bir dosya olarak geliyor.
Eklentinin büyüklüğü: En az 134kb büyüklüğünde.
Paylaşımlı sürücü: Paylaşımlı sürücüleri arayarak bulduklarına kendisini kopyalıyor.
Verdiği Zararlar
Büyük ölçekli e-posta gönderiyor: Bu worm bulaştığı PC'den rastgele seçtiği dökümana kendisini ekliyor ve e-mail yoluyla gönderiyor.
Dosya siliyor: Tüm dosyaların ve hard disk (C) 'deki dizinlerin 1/20 silinme ihtimali bulunmaktadır. Tarihin 16 Ekim'i gösterdiği ve tarih formatı olarak G/A/Y'nin kullanıldığı sistemlerde ortaya çıkar. "sc" uzantısı bulunmayan "FS2" eklentili dosyalarda her zaman ortaya çıkmaktadır.
Performans düşürüyor: Hard disk (C)'de kalan tüm alanı, c: ecycled\sircam.sys dosyası ile doldurma ihtimali 1/50 dir.
Gizli bilgiyi açığa çıkarıyor: Hard drive'dan rastgele seçtiği bir dökümanı alarak, worm ekliyor ve bu dokümanı açığa çıkarıyor.
Worm e-posta mesajı olarak aşağıdaki içerikle gelmektedir:
Başlık: Belirli bir e-posta başlığı bulunmamakta, ancak dosya ile gelen eklenti aynı adı taşımaktadır.
Eklenti: Göndericinin bilgisayarından alınan dosya .bat, .com, .lnk ya da .pif uzantısında olacaktır.
Mesaj: Mesaj metni kısmen değişik olabilmektedir. Her zaman mesajın ilk veya son satırı olarak aşağıdaki iki satır İngilizce veya İspanyolca cümle yer almaktadır.
İspanyolca Versiyonu:
İlk Satır: Hola como estas?
Son Satır: Nos vemos pronto, gracias.
İngilizce Versiyonu:
İlk Satır: Hi! How are you?
Son Satır: See you later. Thanks
Bu iki cümle arasında aşağıdaki metin ortaya çıkabilir.
İspanyolca Versiyon:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci=n que me pediste
İngilizce Versiyon:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
