Master Hck
New member
- Katılım
- 9 Eyl 2008
- Mesajlar
- 209
- Reaction score
- 0
- Puanları
- 0
HERKEZİ BİLGİLENDİRMEK İSTEDİM İYİ FORUMLAR TEŞEKKÜRÜ ÇOK GÖRMEYİN 
2 PARÇADA YAZIYORUM BİR KEREDE ALMIYOR !
Aşağıda virüsler hakkında bilgiler verilmiştir:
W32/Lovgate
W32/Slammer
W32/Sobig
W32/Lirva.A
W32/Yah****
W32/Korvar
W32/Braid
W32/Insane
W32/Bugbear
W95/Opaserv
W95/Scrup
Linux/Slapper
VBS/Neiber.A
W32/Manymize
W32/Yaha.E
W32/Frethem.f@MM
JS/SQLSpida
W32/Klez
W32/Fbound.C
W32/Gibe.A
W32/MyParty.a@MM
W32/Maldal.d@MM
W32/Zoher@MM
W32/Goner.A@mm
W32/BadTrans.B-mm
TROJ_VOTE.A
W32/Nimda@MM
W32/Magistr.b@MM
W32/SirCam@MM
Kızıl Kod Virüsü
W32/Lovgate@mm
Kendi SMTP motorunu kurarak toplu e-posta gönderen Internet solucanı aynı zamanda yerel ağdakı açık paylaşımları kullanarak da bilgisayarları etkilemeyeyi deniyor.
Metin (Body):
Gelen kutusundaki e-postalara cevap niteliğinde e-postanı metninde;
'll try to reply as soon as possible.
Take a look at the attachment and send me your opinion!
Ağ paylaşımlarını tarıyor ve paylaştırılmiş dosyalarda "Administrator" kullanicisi için aşağıdaki parolaları deniyerek paylaşımlara ulaşmayı deniyor:
boş parola
123
321
123456
654321
guest
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123
Paylaşımlara ulaştığında aşağıdaki dosyalari kopyalıyor.
pics.exe
images.exe
joke.exe
pspgame.exe
news_doc.exe
hamster.exe
tamagotxi.exe
searchurl.exe
setup.exe
card.exe
billgt.exe
midsong.exe
s3msong.exe
docs.exe
humor.exe
fun.exe
Teknik Özellikler:
E-posta eklentisi ya da ağdan kopyalanan virüs içerikli dosyalar çalıştırıldığında sistem dizinine;
WinRpcsrv.exe
syshelp.exe
winrpc.exe
WinGate.exe
rpcsrv.exe
dosyalarin kopyalıyor.
Windows 9x/ME işletim sistemlerinde Win.ini dosyasına
run=rpcsrv.exe
değerini yazıyor.
Turuva ati bileıeni için kendisini aıağidakı dosylara kopyalıyor:
ily.dll
task.dll
reg.dll
1.dll
Sistem her açıldığında otomatik çaliştırılmak için aşağıdaki deşerleri belirtilen kayıt dosyası(registry file) konumuna yazıyor.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "syshelp" = C:WINDOWSSYSTEMsyshelp.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "WinGate initialize" = C:WINDOWSSYSTEMWinGate.exe -remoteshell
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg
Text dosyaları çalıştırıldığında winrpc.exe dosyasını otomatik çalıştırmak için aşağıdaki kayıt dosyası değişikliğini yapıyor.
HKEY_CLASSES_ROOT xtfileshellopencommand (Default) = "winrpc.exe %1"
Belirtiler:
Kayıt dosyasında belirtilen değişikliklerin olması
Belirtilen dosyalarin varlığı
10168 nolu portun açık olması
Etkileme Yöntemi:
E-postanın eklentisinin ya da ağ paylaşımları sonucu kopyalanmiş virüslü dosyaların çalıştırılması ile bilgisayarı etkiliyor.
W32/SQLSlammer.worm
Yaması yapılmamış aşağıda belirtilen sistemler için büyük risk taşımaktadır:
Microsoft SQL Server 2000
Microsoft Desktop Engine (MSDE) 2000
Yaması yaplımamış SQL sunucularda "Server Resolution" servisinin tampon taşması açığından yararlanıyor (MS02-39).
Yanlış yapılandırılmış paket sadece 384 bytes (tüm solucan bu kadar) ve içinde aşağıdaki satırları taşıyor.
"h.dllhel32hkernQhounthickChGetTf",
"hws2",
"Qhsockf"
"toQhsend"
Temizleme Yöntemi:
UDP 1434 portuna gelen tüm trafiği durudurun.
Bilgisayarı tekrar başlatın.
Service Pack 3'ü indirip çalıştırın. Bilgisayarı tekrar başkatın.
W32/Sobig
Toplu e-posta atan virus, ağ bağlantıları ve e-posta ile bilgisayarları etkilemektedir.
Kimden(From):
[email protected]
Konu(Subject):
Re: Movies
Re: Sample
Re: ********
Re: Here is that sample
Belirtiler:
WINMGM32.EXE dosyasını varlığı
SNTMLS.DAT dosyasını varlığı
DWN.DAT dosyasını varlığı
Eklenti(Attachment) :
Movie_0074.mpeg.pif
********003.pif
Untitled1.pif
Sample.pif
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması ya da açık paylaşımlar yolu ile bilgisayarı etkilemektedir.
Teknik Özellikler:
Virüs çalıştırıldığında:
Kendisini %Windir%Winmgm32.exe olarak kopyalıyor.
%Windir%Winmgm32.exe isminde bir işlem başlatıyor.Winmgm32.exe aşağıdakileri yapıyor:
Adı Worm.X olan bir Mutex oluşturuyor.
Belirli bir websitesine dwn.dat dosyasını indirmek için bağlanıyor. İndirdiğinde içeriğini çalıştırıyor.
Açık paylaşımları arayor ve bulduğunda kendisi aşağıdaki konumlardan birisine kopyalıyor.
WindowsAll UsersStart MenuProgramsStartUp
********s and SettingsAll UsersStart MenuProgramsStartup
Aşağıdaki uzantılı virüs içerikli dosyları e-posta ile göndermek için oluşturuyor.
.txt
.eml
.html
.htm
.dbx
.wab
Windows tekrar başlatıldığında çalıştırılma için kayıt dosyasında aşağıdaki değişiklikleri yapıyor:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun anahtarı içine WindowsMGM %Windir%Winmgm32.exe değerini yazıyor.
W32/Lirva.A
Toplu e-posta atan Internet solucanı ayını zamanda ICQ, IRC, KaZaa ile de yayılmaya çalışıyor. Bİlgisayara bir şifre çalıcı program da yüklüyor. Aynı zamanda güvenlik programlarının çalışmasını da durduruyor.
Konu (Subject):
Fw: Prohibited customers... ?
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header Are you a Soccer Fan
Metin (Body):
Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
Ek (Attachment):
Resume.exe
Download.exe
CERT-Vuln-Info.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Sophos.exe
Cogito_Ergo_Sum.exe
Sk8erBoi.exe
Beautifull.scr
Teknik Özellikler:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIND.EXE
CLAW95.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
ECENGINE.EXE
EFINET32.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
IFACE.EXE
IOMON98.EXE
JED.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
Internet solucanı başlıklarında aşağıdaki isimler yazan tüm pencereleri kapatıyor:
anti
Anti
AVP
McAfee
Norton
virus
Virus
Sistemde değişiklikler yapıyor:
Internet solucanı kendisini değişken isimlerle %WINDIR%SYSTEM32 dizini altına kopyalıyor.
Sistem her yeniden başladığında çalışması için kayıt dosyasına yeni bir anahtar yazıyor:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Avril Lavigne - Muse" = C:WINDOWSSYSTEMA33AAAAgbab.EXE
Başka bir anahtar da sistemin virüs tarafıdan etkilendiğini belirtmek için yartılıyor:
HKEY_LOCAL_MACHINESoftwareHKLMSoftwareOvGAvril Lavigne
Yukarda e-posta eklentileri kısmında belirtilen isimlerinden birisi olarak aşağıdaki dizinlere kopyalıyor.
C:
%WINDIR%TEMP
Kendisini aşağıdaki dizinlere kopyalıyor.
%Temporary%
%Temporary%*.tft
%System%*.exe
%All Drives%Recycled*.exe
%Kazaa Downloads%*.exe
avril-ii.inf adlı virüs yazarından bir notu da %WINDIR%TEMP dizinine kopyalıyor.
Internet bağlantısın kontrol ediyor ve bağlantı yoksa varsayılan çevirmeli ağ bağlantısını kurmayı deniyor.
Wİndows Address Book ve uzantıları .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch ve .idx olan dosyalardaki e-posta adreslerine e-posta göndermeyi deniyor.
Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp
ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı WindowsSystem dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.
mIRC program dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.
Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini RECYcLED dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.
@win .exe
Kendisini RECYcLED dizini altına değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için belirtilen şekilde değiştiriyor.
Kendisini KaZaa dizinine değisken isimlerle kopyalıyor.
Eğer ayın 7si,11i ya da 24 ise, www.arvil-lavigne.com adresine bağlanıp grafik animasyonlar gösteriyor.
Belirtiler :
Yukarıda belirtilen Kayıt anahtarlarının varlığı
Yukarıda belirtilen dosyaların varlığı
E-posta trafiği
IRC trafiği
ICQ trafiği
SMTP sunucusuna ağ trafiği (62.118.249.10 Port 25 TCP).
Etkileme Yöntemi:
Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp
ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı WindowsSystem dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.
mIRC prgram dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.
Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini RECYcLED dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.
@win .exe
W32/Yah****
Internet solucanı kendi SMTP motorunu kullanarak Windows Address Defteri, MSN Messenger, .NET Messen ger, Yahoo Pager ve HT harfleirini içeren uzantıya sahip dosyalar içindeki adreslere e-posta ile göndererek dağılmaktadır. Antivirüs ya da güvenlik programlarını çalışmasını durdurmaktadır ve içinde uzataki makinaya DoS saldırsı yapmasını sağlayacak kod barındırmaktadır.
Konu (Subject):
Are you a Soccer Fan ?
Are you beautiful
Are you the BEST
Check it out
Demo KOF 2002
Feel the fragrance of Love
Freak Out
Free Demo Game
Free rAVs Screensavers
Free Screenavers of Love
Free Screensavers
Free Screensavers 4 U
Free Win32 API source
Free XXX
Hardcore Screensavers 4 U
I Love You..
Jenna 4 U
Learn SQL 4 Free
Lovers Corner
Need money ??
One Hacker's Love
One Virus Writer's Story
Patch for Elkern.gen
Patch for Klez.H
Play KOF 2002 4 Free
Project Sample Screensavers
Sample KOF 2002
Sample Playboy
Screensavers from Club Jenna
Sexy Screensavers 4 U
The King of KOF Wanna Brawl ??
Things to note
Visit us
Wanna be a HE-MAN
Wanna be friends ?
Wanna be friends ?
Wanna be like a stone ?
Wanna be my sweetheart ??
Wanna Hack ??
Wanna Rumble ??
We want peace
Whats up
Who is your Valentine
World Tour
WWE Screensavers
XXX Screensavers 4 U
Ek (Attachment):
Beautifull.scr
Body_Building.scr
Britney_Sample.scr
Codeproject.scr
Cupid.scr
FixElkern.com
FixKlez.com
FreakOut.exe
Free_Love_Screensavers.scr
Hacker.scr
Hacker_The_LoveStory.scr
Hardcore4Free.scr
I_Love_You.scr
Jenna_Jemson.scr
King_of_Figthers.exe
KOF.exe
KOF_Demo.exe
KOF_Fighting.exe
KOF_Sample.exe
KOF_The_Game.exe
KOF2002.exe
Love.scr
My_Sexy_Pic.scr
MyPic.scr
MyProfile.scr
Notes.exe
Peace.scr
Playboy.scr
Plus2.scr
Plus6.scr
Project.exe
Ravs.scr
Real.scr
Romantic.scr
Romeo_Juliet.scr
Screensavers.scr
Services.scr
Sex.scrSoccer.scr
Sexy_Jenna.scr
SQL_4_Free.scr
Stone.scr
Sweetheart.scr
The_Best.scr
THEROCK.scr
up_life.scr
Valentines_Day.scr
VXer_The_LoveStory.scr
Ways_To_Earn_Money.exe
World_Tour.scr
xxx4Free.scr
zDenka.scr
zXXX_BROWSER.exe
Metin (Body):
Bir çok değişik metin oluşturabiliyor. Bir kaç örnek vermek gerekirse.
hey,
did u always dreamnt of hacking ur friends hotmail account..
finally i got a hotmail hack from the internet that really works..
ur my best friend thats why sending to u..
check it..just run it..enter victim's address and u will get the pass.
hi,
check the attached love screensaver
and feel the fragrance of true love..
Hi,
check the attached screensaver..
its really wonderfool..
i got it from freescreensavers.com
Hi,
check ur friends circle using the attached friendship screensaver..
check the attached screensaver
and if u like it send it to all those you consider
to be true friends... if it comes back to you then
you will know that you have a circle of friends..
Hi,
check the attached screensaver
and enjoy the world of friendship..
Hi,
are u in a rocking mood...
check the attached scrennsaver and start shaking..
Hi,
Check the attached screensaver..
Hi,
Are you lonely ??..
check the attached screensaver and
forget the pain of loneliness
Hi,
Looking for online pals..
check the attached friend finder software..
Hi,
sending you a screensaver..
checkit and let me know how it is...
Hi,
Check the attached screensaver
and feel the fragrance of true love...
Hey,
I just got this wonderfull screensaver from freescreensaver.com..
Just check it out and let me know how it is..
Hi,? I just came across it.. check out..??
Are you one of those unfortunate human beings who are desperately
looking for friends.. but still not getting true friends with whom
you can share your everything..
anyway you wont feel down any more cause GC Chat Network has brought
up a global chat and online match making system using its own GC
Messenger. Attached is the fully functional free version of GC
Instant Messenger and Match Making client..
Just install, register an account with us and find thousands of online
pals all over the world..
You can also search for friends by specific country,city,region etc.
Regards Admin,
GC Global Chat Network System..
Hi,
So you think you are in love..
is it true love ? you may think right now that you are in
true love but it is certainly possible that it is nothing
but a mere infatuation to you..
anyway to know yourself better than you have ever known check
the attached screensaver and feel the fragrance of true love..
Belirtiler :
Aşağıdaki dosyaların varlığı (saklı dosyalar)
C:\%System%WinServices.exe.
C:\%System%Nav32_loader.exe
C:\%System%Tcpsvs32.exe
Kayıt dosyasında yukarda belirtilen değişikliklerin olması.
Antivirüs ve/ya güvenlik duvarı programın çalışmaması.
Etkileme Yöntemi: :
E-posta eklentisi çalıştırıldığında kendisini bilgisayara yükleyerek bulaşıyor.
Teknik Özellikler:
W32Yah**** çalıştırıldığında:
Aşağıdaki dosyaları gizli olacak şekilde belirtilen yerlere kopyalıyor.
C:\%System%WinServices.exe.
C:\%System%Nav32_loader.exe
C:\%System%Tcpsvs32.exe
Windows açıldığında kod çalışması için aşağıdaki değeri;
WinServices.exe C:\%System%WinServices.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices
Her .exe çalıştırıldığında kendisini de çalıştırabilmek için belirtilen kayıt değerini değiştiriyor.
HKEY_LOCAL_MACHINESoftwareClassesexefileshellopenc ommand
C:\%System%WinServices.exe"%1
C:\%System% altına kendisini aşağıdaki isimlerden biriyle kaydediyor.
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr
Internet solucanı aşağıdakiisimleri kullanan antivirüs ve güvenlik duvarı programlarının çalışmasını durduruyor.
REGEDIT
ACKWIN32
F-AGNT95
SWEEP95
VET95
N32SCANW
_AVPM
LOCKDOWNADVANCED
NSPLUGIN
NSCHEDNT
NRESQ32
NPSSVC
NOD32
_AVPCC
_AVP32
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
VSECOMR
VETTRAY
TDS2-NT
TDS2-98
SCAN32
PCFWALLICON
NSCHED32
IAMSERV.EXE
FRW.EXE
MCAFEE
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
ESAFE.EXE
AVPM.EXE
AVPCC.EXE
AMON.EXE
ALERTSVC
ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
RMVTRJANSAFEWEB
WEBSCANX
PVIEW
ANTIVIR
W32/Korvar
Aşağıdaki özelliklerde geliyor:
Konu (Subject):
Değişken
Metin(Body):
Değişken
Ek (Attachment):
WINrastgele karakterler.TXT (12,6 KB) MUSIC_1.HTM
WINrastgele karakterler.GIF (120 bytes) MUSIC_2.CEO
Teknik Özellikler:
Virüs, tarafından oluşturulmuş e-postanın kullanıcı tarafından bakıldıgında otomatik olarak çalışması için iFRAME açığını kullanıcı makinesini etkilemek için kullanıyor. Başka bir yol olarak da kullanıcı .HTM dosyasını çalıştırdığında "Microsoft VM ActiveX Component" açığından yaralanarak aşağıdaki kayıt dosyasına .CEO uzantılı dosyasını ekliyor:
HKEY_CLASS_ROOT.CEODefault="exefile"
HKEY_CLASS_ROOT.CEOContent Type="application/x-msdownload"
.CEO dosyası çalışıtırıldığında .EXE dosyası gibi algılanıyor ve çalıştırma sonucu kendisini WINDOWS SYSTEM (%SysDir%) dizini altına WIN ile başlıyan ve .PIF uzantılı rastgele bir isimle kaydediyor. Ardından aşagıdaki kayıt dosyaları oluşturuyor.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion Run "(Default)"= Çalıştırılmış virüslü dosya
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion Run "WIN random characters"=C:WINDOWSSYSTEMWIN Rastgele karakter.pif
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion Run "(Default)"= Çalıştırılmış virüslü dosya
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion Run "WIN random characters"=C:WINDOWSSYSTEMWIN random characters.pif
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion RunServices "(Default)"= Çalıştırılmış virüslü dosya
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion RunServices "WIN Rastgele karakter"=C:WINDOWSSYSTEMWIN random characters.pif Çalıştırıldıktan sonra rastgele mesaj kutusu gösterir.
Belirtiler:
Sistemin yavaşlaması
WIN*.PIF dosyalarını WINDOWS SYSTEM dizininde bulunuşu
W32/Funlove.gen ve W32/Funlove.dr virüslerinin varlığı
Etkileme Yöntemi:
E-posta eklentisi ile yayılan Internet solucanı yaması uygulanmamamıs Microsoft Internet Explorer'in otomatik eklenti çaliştirma özelliğinden yararlanarak bulaşıyor. Çalıştırıldığında güvenlik yazılımlarının çalışmasını durdurup, dosyaların silmeyi deniyor. Bilgisayarın sabit diskindeki e-posta adreslerini toplayıp kendisini SMTP ile bu adreslere göndermeyeye çalışıyor.
W32/Braid
Yerel sistemdeki e-posta adreslerine kendi SMTP motorunu kullanarak gönderiyor. Virüs from kısmına gerçek bir e-posta adresi atıyarak, e-posta görüntülendiğinde otomatik olarak çalışmasını sağlaryan Internet Explorer açığından yaralanıcakl şekilde e-posta hazırlıyor. Bunlarla birlikte çalıştırldığıda ağ paylaşımları yardımı ile virsünyayılmasını sağlayan bir dosya da yaratıyor.
Konu (Subject):
Gönderenin Windows kayıt şirket ismi
Metin (Body):
Hello,
Product Name: Microsoft Windows %Gönderenin etkilenmiş windows sürümü%
Product Id: %Gönderenin etkilenmiş makinesindeki Windows ID %
Product Key: %Gönderenin etkilenmiş sistemindeki Windows anahtarı%
Process List:%Gönderenin etkilenmiş sisteminde çaışan işlemler%
Thank you.
Ek (Attachment):
README.EXE
Belirtiler :
Aşağıdaki dosyaların varlığı:
HELP.EML
%Desktop folder%Explorer.exe
%SysDir%Bride.exe
Etkileme Yöntemi:
Eklenti çalıştırldıktan sonra, virüs taşınır çalıştırılabilir dosyaları (.EXE, .OCX, ve .SCR) etkilyor. Kenidisini başka e-posta adreslerine göndermek için .DBX ve .HTM dosyalarında e-posta adresi taraması yapıyor. Bulduğu adresleri hem TO: hem de FROM: kısmında kullanıp e-postalar hazırlıyor ve bunları gönderiyor. Güvenlik programlarını durudurabiliyor.
Teknik Özellikler:
Virüs "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020)" açığından yararlanarak zayıf Outlook Express programları (ver 5.01 or 5.5 without SP2) tarafından sadece e-posta görüntülenmesi sonucu otomatik eklenti çalıştırılmasını sağlıyor.
Çalıştırıldığında kendisini WINDOWS SYSTEM (%SysDir%) dizinine REGEDIT.EXE (Not: WINDOWS dizininde REGEDIT.EXE isimli temiz bir dosya hali hazırda zaten var) olarak kopyalıyor ve aşağıdaki kayıt değerini er açılışta çalışmak için işliyor:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun
egedit=
C:WindowsSystem
egedit.exe
Virüs WINDOWS SYSTEM dizinine , BRIDE.EXE ve MSCONFIG.EXE isimli iki dosya kopyalıyor. Bu dosyalar SDAT4132 (veya yeni) dat dosyaları tarfından W32/Funlove.dr olarak tanınıyor. Bu dosyalar çalıştırıldığında tüm taşınır çalıştırılabilir dosyaları (.EXE, .OCX, ve .SCR) W32/Funlove virüsünün geliştirilmiş şekliyle etkiliyor. Bu dosyalar 4132 DATs (veya yeni) dat dosyaları ve şu ank iarama motoru ile W32/FunLove.gen olarak tesbit ediliyor.
W95/Opaserv
WinNT/2K/XP işletim sistemlerinde bu tehlike etkili değildir. Windows 9x tabanlı işletim sitemlerinde etkilidir. Ağ-üstünde ilerliyen solucan kendisini bir kopyasını açık paylaşımlar (parola koruması olmayan) sayesinde Startup (Başlangıç) dizinine yazmaya çalışmaktadır.
Çalıştırıldığında ya da başlangıçta bilgisayar tarafından çalıştırıldığında bir sonraki açlışlarda da otomatik çalıştırılmak için kayıt dosyalarında aşağıdaki değişikliği yapmaktadır:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "ScrSvr" = %WinDir%ScrSvr.exe
Bunların yanı sıra aşağıdaki dosyayı da değiştirip,
cwindowswin.ini
tmp.ini okumasını;
run= c: mp.ini
komutuyla sağlar, kendi yarattığı;
c mp.ini
dosyasını açılışlarda çalışır hale getirir. Dosyanın içeriği aşağıdaki gibidir.
run= c:windowsscrsvr.exe
W32/Insane
Virüs tanımlama bilgi bankası olarak 4229 DAT dosyasını eski, destek verilmeyen virüs tarama motorları (arama motoru sürümü 4.0.70 ve 4.1.40) ile birlikte kullanan makinelerde "W32/Insane.dam" yanlış alarmı gözlenmektedir.
Bu mesajı alan kullanıcıların en kısa zamanda virüs tarama motorunu 4.1.60 sürümüne güncellemeleri gerekmektedir.
W32/Bugbear
MSVC'de yazılan bu virüs UPX olarak paketlenmiştir. Ağ paylaşımları ve e-posta ile dağılmaktadır. Keyloger olarak çalışan bir truva atı da içermektedir. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir. Virüs kodu e-posta "Konu" ve "Eklenti" kısmını içermektedir.
Konu (Subject):
Büyük ihtimalle etkilediği makinedeki kelimeleri ya da dosya isimlerini "Konu" olarak seçiyor. Olası "Konu" satırları aşağıda verilmiştir (ancak, "Konu" satırları değişken olabilir.):
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Correction of errors
Cows
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
Hello!
Hi!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
News
Payment notices
Please Help...
Re: $150 FREE Bonus!
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
wow!
Your Gift
Your News Alert
Ek: (Attachment):
İsimleri de değişken olmakla birlikte genelde aşağıdaki satırları içermektedir:
Card
Docs
image
images
music
news
photo
pics
readme
resume
Setup
song
video
Teknik Detaylar:
Eklentilerinde ikili uzantısı olması genel bir olgu (örnek: .doc.pif). Gönderdiği e-postalar Microsoft Internet Explorer'ın (ver 5.01 ya da 5.5 SP2 yüklenmemiş) Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020) açığından faydalanmaya çalışıyor.
"Gelen kutusu" içinde bulunan adresleri ve diskte de aşağıda uzantıları verilmiş dosyaları arayıp e-posta adreslerine ulaşmaya çalışıyor.
MMF
NCH
MBX
EML
TBB
DBX
OCS
Varolan kullanıcını ve SMTP sunucusunu e-posta adreslerini aşağıdaki kayıt dosyasından alır: HKEY_CURRENT_USERSOFTWAREMicrosoftInternet Account ManagerAccounts
Belirtirler:
Çalıştırıldığında kendisini %WinDir%System dizini altına ****.EXE olarak kopyalar.( * rast gele karakterleri temsil etmektedir). Örneğin:
Win98 : C:WINDOWSSYSTEMFYFA.EXE
2k Pro : C:WINNTSYSTEM32FVFA.EXE
Aşağıdaki kayıt dosyasını bir sonraki açılışta dosyayı çalıştırması için düzenler:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion RunOnce "%ras tgele harfler%" = %rast gele dosya adı%.EXE (Win9x)
Startup (Başlangıçta) dizinine kendisini ***.EXE olarak kopyalar. ( * rastgele karakterleri temsil etmektedir).
Örneğin:
Win98 : C:WINDOWSStart MenuProgramsStartupCUK.EXE
2k Pro : C ocuments and Settings(username)Start MenuProgramsStartupCYC.E
Truva Atı Bileşeni
Internet solucanı etkilediği makinede port 36794 açarak ve değişik bir çok çalışan işleri arayıp onları durduruyor.Bu işler arasında bir çok ünlü anti-virüs ve güvenlik-duvarı programı var:
ACKWIN32.exe
F-AGNT95.exe
ANTI-TROJAN.exe
APVXDWIN.exe
AUTODOWN.exe
AVCONSOL.exe
AVE32.exe
AVGCTRL.exe
AVKSERV.exe
AVNT.exe
AVP32.exe
AVP32.exe
AVPCC.exe
AVPCC.exe
AVPDOS32.exe
AVPM.exe
AVPM.exe
AVPTC32.exe
AVPUPD.exe
AVSCHED32.exe
AVWIN95.exe
AVWUPD32.exe
BLACKD.exe
BLACKICE.exe
CFIADMIN.exe
CFIAUDIT.exe
CFINET.exe
CFINET32.exe
CLAW95.exe
CLAW95CF.exe
CLEANER.exe
CLEANER3.exe
DVP95_0.exe
ECENGINE.exe
ESAFE.exe
ESPWATCH.exe
FINDVIRU.exe
FPROT.exe
IAMAPP.exe
IAMSERV.exe
IBMASN.exe
IBMAVSP.exe
ICLOAD95.exe
ICLOADNT.exe
ICMON.exe
ICSUPP95.exe
ICSUPPNT.exe
IFACE.exe
IOMON98.exe
JEDI.exe
LOCKDOWN2000.exe
LOOKOUT.exe
LUALL.exe
MOOLIVE.exe
MPFTRAY.exe
N32SCANW.exe
NAVAPW32.exe
NAVLU32.exe
NAVNT.exe
NAVW32.exe
NAVWNT.exe
NISUM.exe
NMAIN.exe
NORMIST.exe
NUPGRADE.exe
NVC95.exe
OUTPOST.exe
PADMIN.exe
PAVCL.exe
PAVSCHED.exe
PAVW.exe
PCCWIN98.exe
PCFWALLICON.exe
PERSFW.exe
F-PROT.exe
F-PROT95.exe
RAV7.exe
RAV7WIN.exe
RESCUE.exe
SAFEWEB.exe
SCAN32.exe
SCAN95.exe
SCANPM.exe
SCRSCAN.exe
SERV95.exe
SPHINX.exe
F-STOPW.exe
SWEEP95.exe
TBSCAN.exe
TDS2-98.exe
TDS2-NT.exe
VET95.exe
VETTRAY.exe
VSCAN40.exe
VSECOMR.exe
VSHWIN32.exe
VSSTAT.exe
WEBSCANX.exe
WFINDV32.exe
ZONEALARM.exe
Bu dışardan erişim saldırgana dosya çekme, çalıştırma, işleri durdurmayı ve bir çok değişik işlem yapma izin veriyor.
Buna ek olarak keylogger olarak çalışacak bir DLL dosyası bırakıyor. Bu DLL PWS-Hooker.dll olarak gözüküyor.
Ağ paylaşımı etkileşimi
Internet solucanı etkilediği makinede port 36794 açarak ve değişik bir çok çalışan işleri arayıp onları durduruyor.Bu işler arasında bir çok ünlü anti-virüs ve güvenlik-duvarı programı var:
Port 36974 açık olması
Aşağıdaki dosyaların varlıkları (* herhangi bir karakteri temsil etmekte):
%WinDir%System****.EXE (50,688 ya da 50,684 bytes)
%WinDir%******.DAT
%WinDir%******.DAT
%WinDir%System******.DLL
%WinDir%System*******.DLL
%WinDir%System*******.DLL
W95/Scrup
WinNT/2K/XP işletim sistemlerinde bu tehlike etkili değildir. Windows 9x tabanlı işletim sitemlerinde etkilidir.
Ağ-üstünde ilerliyen solucan kendisini bir kopyasını açık paylaşımlar (parola koruması olmayan) sayesinde Startup (Başlangıç) dizinine yazmaya çalışmaktadır.
Çalıştırıldığında ya da başlangıçta bilgisayar tarafından çalıştırıldığında bir sonraki açlışlarda da otomatik çalıştırılmak için kayıt dosyalarında aşağıdaki değişikliği yapmaktadır: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "ScrSvr" = %WinDir%ScrSvr.exe
Bunların yanı sıra aşağıdaki dosyayı da değiştirip, cwindowswin.ini tmp.ini okumasını; run= c: mp.ini komutuyla sağlar, kendi yarattığı; c mp.ini dosyasını açılışlarda çalışır hale getirir. Dosyanın içeriği aşağıdaki gibidir. run= c:windowsscrsvr.exe
Linux/Slapper
Linux/Slapper Aphace web sunucunlarında OpenSSL bileşenleri kullanan SSL özelliği çalışır durumda olanları bellek taşamsı zayıflığından yararlanarak bilgisayarları etkileyen bir Internet solucanı. Aktif olduktan sonra DoS saldırısı başlatabilen bilen bir arka kapı oluşturuyor.
Linux/Slapper sistemler arasında TCP port 443 (SSL) kullanarak yayılıyor. Bu porta bağlanmadan önce TCP port 80 (HTTP) ile bağlantı kurup sunucu makinenin kullandığı Aphace web sunucusunun sürümünü öğrenmeye çalışır. Eğer web sunucusu Apache dışında bir programsa bilgisayarı etkilemeyi denemiyor.
Internet solcanın aradığı sürümler:
Red Hat Apache 1.3.6, 1.3.9, 1.3.12, 1.3.19, 1.3.20, 1.3.22, 1.3.23, 1.3.26.
SuSE running Apache 1.3.12, 1.3.17, 1.3.19, 1.3.20, 1.3.23.
Mandrake running Apache 1.3.14, 1.3.19, 1.3.20, 1.3.23.
Slackware running Apache 1.3.26.
Debian running Apache 1.3.26.
Gentoo herhangi bir Apache sürümü.
Daha ayrıntılı liste için aşağıdaki web sitesini ziyaret ediniz:
http://online.securityfocus.com/bid/5363/info/
Eğer ki işletim sistemi ya da Apache sürümünü belirliyemezse, İşletim sistemi olarak Red Hat ve Aphace sürümü olarak da Apache 1.3.23 varsayrak işlemelerine başlıyor.
Linux/Slapper TCP port 443 (SSL) ile uzaktaki sisteme bağlanıp kendisine bellek taşaması açığından faydalanarak bir kabuğa(./bin/sh) ulaşmaya çalışıyor. Linux/Slapper yayılmakta kullandığı OpenSSL açığı 30 Temmuz 2002 tarihinde çözümü ile birlikte http://www.openssl.org/news/secadm_20020730.txt adresinde yayınlandı.
Eğer Linux/Slapper uzaktaki makineyi kırabildiyse, ulaştığı kabuğa bir betik yükler. Bu betik Internet solcanın uuencoded kaynak kodu kopyasını içermektedir. Betik /tmp/.unlock.c dosyanın içine kaynak kodunu açar ve çalıştırır. Bir daemon işlem olarak gözükecek olan .unlock başlatılır.
Unutulmamalıdır ki Linux/Slapper yayılması ve etkilemesi, gcc derleyicisinin saldırıyı alan makinede var olmasına ve bu derleyicinin Apache tarafından çalıştırılabiliyor olmasına dayanmaktadır. Bazı sınırlandırmalar getirilerek derleyicinin web sunucusu tarafından çalıştırılmamamsı iyi bir güvenlik önlemi olacaktır.
Bir defa aktif hale geçtikten sonra, Linux/Slapper UDP port 4156 üstünden bağlantı kurulacak bir arka kapı yaratıyor. Bu arka kapı diğer virüsten etkilenmiş bilgisayarlar tarafından başlatılan bir çok değişik saldırı oluşmasını sağlıyor. Örneğin: herhangi bir kodun çalıştırılması, TCP taşkını., DNS taşkını, diskte e-posta adreslerin aranması gibi.
Temizlenmesi:
Aşağıdaki işlemi arayın ve çalışmasını durdurun (kill):
.unlock
Aşağıdaki dosyaları (eğer varsa) silin:
/tmp/.unlock
/tmp/.unlock.c
/tmp/.unlock.uu
/tmp/.update.c
/tmp/update
Daha detaylı bilgi için:
http://online.securityfocus.com/bid/5363/solution/
VBS/Neiber.A
VBS.Neiber.A virüsü Microsoft Windows Adres Defteri'ndeki kayıtlara toplu e-posta atan bir Internet solucanıdır. Eklentisi ve görünür bir içeriği olmamasına rağmen metin içine gömülü HTML kodu sayesinde virüslü %Windir%Bernie.vbs dosyasını oluşturup çalıştırmaktadır.
Konu (Subject):
Attention virus
Mesaj:
Metin bölümü boş gözükse de, içeriğinde virüsün HTML kodu var.
Ek (Attachment):
Yok
Belirtiler:
Bernie.vbs çalıştırıldıktan sonra aşağıdakileri sırasıyla yapmakta:
Kendisini %Sistem%Bernie.vbs olarak kopyalıyor.
Windows'un her açılışında çalışmak için HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun değerine "Bernie wscript.exe %system%Bernie.vbs" ekliyor
"HKEY_CURRENT_USERsoftwareBernie" değerinin 1 olup olmadığını kontrol ediyor. 1 değilse Microsoft Windows Adres Defteri'ndeki tüm kayıtlar e-posta gönderiyor.
E-postaları gönderdikten sonra yerel ve bağlantılı disklerde *.vbs ve *.vbe dosyalarını arayıp üstlerine kendisini yazıyor.
En son olarak da bilgisayar çakılıncaya kadar Notepad açıyor.
W32/Manymize
W32.Manymize@mm virüsü kendisi ile birlikte üç dosyayı da Microsoft Windows Adres Defteri'ndeki e-posta adreslerine gönderen (toplu e-posta atan) bir virüstür.
Konu (Subject):
Internet solucanı aşağıdaki seçeneklerden birini konu olarak seçiyor.
Hi (alıcının e-posta adresi)
Dear (alıcının e-posta adresi)
Hello (alıcının e-posta adresi)
My friend, (alıcının e-posta adresi)
How are you !! (alıcının e-posta adresi)
Mesaj:
Mesaj dört kelime veya kelime grubunun birleşmesinden oluşuyor.
1. Grup
Hi (alıcının e-posta adresi)
Dear (alıcının e-posta adresi)
Hello (alıcının e-posta adresi)
My friend, (alıcının e-posta adresi)
How are you !! (alıcının e-posta adresi)
2. Grup
, See this
, This is
, Open the
, Attached is my
, Watch my
3. Grup
funny
interesting
cute
amusing
special
4. Grup
video.
movie.
penguin.
clip.
tape.
Ek (Attachment):
Mi2.htm
Mi2.chm
Mi2.wmv
Mi2.exe
Belirtiler:
Virüs okunduğunda veya ön izleme ile bakıldığında bilgisayarı otomatik etkileyebilmek için IFRAME ve MIME açığından , yararlanmaktadır.
Ek olarak, Mi2.wmv otomatik olarak çalıştırıldığında kullandığı açık Windows Media Dosyasının Mi2.htm çalıştırılmasına izin verilmesini sağlıyor.
Internet solucanı e-posta adreslerini C rogram FilesCommon FilesSystemWab32.dll veya D rogram FilesCommon FilesSystemWab32.dll dosyalarını kullanarak Microsoft Windows Addres defterinden alıp kullanır. Eğer belirtilen iki dosya da yoksa 120 tane e-posta adresi arasından rastgele seçtiği ve "@pchome.com.tw." ile biten adreslere kendini gönderiyor
W32/Yaha.E
Yerel diskteki e-posta adreslerine SMTP ile e-posta gönderen Internet solucanın özellikleri:
Konu (Subject): humour you care ur friend Who is ur Best Friend make ur friend happy
True Love to enjoy Free Screen saver Friendship Screen saver
Bullshit Need a friend? Find a good friend war Againest Loneliness
I am For u Life for enjoyment Nothink to worryy Ur My Best Friend
LoveGangs to ur lovers Best Friends Send This to everybody u like
Enjoy Romantic life to watch to share How sweet this Screen saver
Let's Laugh One Way to Love Learn How To Love Are you looking for Love
Interesting Enjoy friendship Shake it baby Shake ur friends
One Hackers Love Origin of Friendship The world of lovers The world of Friendship
Love Friendship how are you U r the person?
Hi U realy Want this Romantic searching for true Love
New Wonderfool excite Looking for Friendship
charming Idiot Nice Wowwww check it
One Funny Great Easy Way to revel ur love
Shaking powful Joke Let's Dance and forget pains
Interesting Screensaver Friendship Say 'I Like You' To ur riend
relations stuff to ur friends Check ur friends Circle
for you to see to check love speaks from the heart
Mesaj:
"Hi Check the Attachment ..See u"
"Attached one Gift for u.."
"wOW CHECK THIS" "Enjoy this friendship Screen Saver and Check ur friends circle... Send this screensaver from to everyone you consider a FRIEND, even if it means sending it back to the person who sent it to you. If it comes back to you, then you'll know you have a circle of friends.
"To remove yourself from this mailing list, point your browser to: [web address]"
"Enter your email address ([sender's address]) in the field provided and click "Unsubscribe".
"Reply to this message with the word "REMOVE" in the subject line. This message was sent to address [sender's address] X-PMG-Recipient: [sender's address]"
Ek (Attachment):
screensaver screensaver4u screensaver4u screensaverforu
freescreensaver love lovers lovescr
loverscreensaver loversgang loveshore love4u
lovers enjoylove sharelove shareit
checkfriends urfriend friendscircle friendship
friends friendscr friends friends4u
friendship4u friendshipbird friendshipforu friendsworld
werfriends passion bullshitscr shakeit
shakescr shakinglove shakingfriendship passionup
rishtha greetings lovegreetings friendsgreetings
friendsearch lovefinder truefriends truelovers
fucker loveletter resume biodata
dailyreport mountan goldfish weeklyreport
report love
Uzantı:
.doc .txt .bmp .zip
.mp3 .jpg .htm .pif
.xls .gif .mpg .bat
.wav .dat .mdb .scr
Belirtiler:
Bilgisayarınızda yüklü ise aşağıdaki programların çalıştırılamaması.
ATRACK F-PROT95 LUCOMSERVER NISSERV RESCUE32
ANTIV FP-WIN MCAFEE IR NISUM SAFEWEB
AVCONSOL F-STOPW NAVAPSVC NMAIN SCAM32
AVP.EXE IAMAPP NAVAPW32 NORTON SIRC32
AVP32 ICMON NAVLU32 NVC95 SYMPROXYSVC
AVSYNMGR IOMON98 NAVRUNR PCCWIN98 VSHWIN32
CFINET LOCKDOWN2000 NAVW32 POP3TRAP VSSTAT
CFINET32 LUALL NAVWNT PVIEW95 WEBSCANX
WEBTRAP WINK ZONEALARM
Virüs eklentili dosya açıldığında aşağıdaki metinleri içeren ekran koruyucularının çalışması.
Ur My Best Friend!!
No Configuration is availabile Now
Config
madd
U r so cute today #!#!
True Love never ends
I like U very much!!!
U r My Best Friend
W32/Frethem.f@MM
Microsoft Outlook Express posta kutuları dosyaları (.DBX dosyaları), ve Windows Address Book (.WAB dosyası) içindeki e-posta adreslerini topladıktan sonra bu adreslere SMTP aracılığı ile e-posta gönderen internet solucanının özellikleri:
Konu (Subject):
Re: Your password!
Mesaj:
"ATTENTION! You can access very important information by this password."
"DO NOT SAVE password to disk use your mind now press cancel."
Ek (Attachment):
decrypt-password.exe (35,840 bytes)
password.txt (31 bytes)
Internet solucanı Incorrect MIME Header Can Cause IE to Execute E-mail Attachment Microsoft Internet Explorer (ver 5.01 or 5.5 without SP2), açığından yaralanarak otomatik olarak çaıştırılıp sistemi etkilemektedir.
Exe dosyası kendisini bilgisayarın her açılışında çalışmak için Start MenuProgramsStartupsetup.exe konumuna kopyalar.
Belirtiler:
Aşağıdaki dosyaların bilgisayarınızda bulunması
Start MenuProgramsStartupsetup.exe
%WinDir%status.ini
%WinDir%Win64.ini
JS/SQLSpida
Internet solucanı MS SQL sunucularını hedefliyor. Varsayılan SQL administrator hesabının (SA) zayıflığını kullanarak bilgisayar bulaşıyor. SQL yöneticileri SA hesabının zayıflığını kapatmak için gerekli önlemleri almaları gerekmektedir. SQL sunucusunu güvenli hale getirme konusunda daha detaylı bilgi almak için: http://support.microsoft.com/default...;EN-US;Q313418
Belirtiler:
Aşağıdaki dosyaların bilgisayarınızda bulunması:
%WinDir%system32driversservices.exe
%WinDir%system32sqlexec.js
%WinDir%system32clemail.exe
%WinDir%system32sqlprocess.js
%WinDir%system32sqlinstall.bat
%WinDir%system32sqldir.js
%WinDir%system32
un.js
%WinDir%system32 imer.dll
%WinDir%system32samdump.dll
%WinDir%system32pwdump2.exe
W32/Klez
Microsoft Internet Explorer (vers. 5.01/5.5 SP2 kurulmamış) "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" açığından yaralanarak bulaşıyor. E-posta'nın kimden kısmını değişitirebiliyor. Gönderen adresi virüs tarafında etkilenmiş herhangi bir sistemin kullanıcınısını adresi olabiliyor. Gelen e-posta bu nedenle başka biri tarfından gönderilmiş gibi gözükebilen virusun özellikleri:
2 PARÇADA YAZIYORUM BİR KEREDE ALMIYOR ! Aşağıda virüsler hakkında bilgiler verilmiştir:
W32/Lovgate
W32/Slammer
W32/Sobig
W32/Lirva.A
W32/Yah****
W32/Korvar
W32/Braid
W32/Insane
W32/Bugbear
W95/Opaserv
W95/Scrup
Linux/Slapper
VBS/Neiber.A
W32/Manymize
W32/Yaha.E
W32/Frethem.f@MM
JS/SQLSpida
W32/Klez
W32/Fbound.C
W32/Gibe.A
W32/MyParty.a@MM
W32/Maldal.d@MM
W32/Zoher@MM
W32/Goner.A@mm
W32/BadTrans.B-mm
TROJ_VOTE.A
W32/Nimda@MM
W32/Magistr.b@MM
W32/SirCam@MM
Kızıl Kod Virüsü
W32/Lovgate@mm
Kendi SMTP motorunu kurarak toplu e-posta gönderen Internet solucanı aynı zamanda yerel ağdakı açık paylaşımları kullanarak da bilgisayarları etkilemeyeyi deniyor.
Metin (Body):
Gelen kutusundaki e-postalara cevap niteliğinde e-postanı metninde;
'll try to reply as soon as possible.
Take a look at the attachment and send me your opinion!
Ağ paylaşımlarını tarıyor ve paylaştırılmiş dosyalarda "Administrator" kullanicisi için aşağıdaki parolaları deniyerek paylaşımlara ulaşmayı deniyor:
boş parola
123
321
123456
654321
guest
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123
Paylaşımlara ulaştığında aşağıdaki dosyalari kopyalıyor.
pics.exe
images.exe
joke.exe
pspgame.exe
news_doc.exe
hamster.exe
tamagotxi.exe
searchurl.exe
setup.exe
card.exe
billgt.exe
midsong.exe
s3msong.exe
docs.exe
humor.exe
fun.exe
Teknik Özellikler:
E-posta eklentisi ya da ağdan kopyalanan virüs içerikli dosyalar çalıştırıldığında sistem dizinine;
WinRpcsrv.exe
syshelp.exe
winrpc.exe
WinGate.exe
rpcsrv.exe
dosyalarin kopyalıyor.
Windows 9x/ME işletim sistemlerinde Win.ini dosyasına
run=rpcsrv.exe
değerini yazıyor.
Turuva ati bileıeni için kendisini aıağidakı dosylara kopyalıyor:
ily.dll
task.dll
reg.dll
1.dll
Sistem her açıldığında otomatik çaliştırılmak için aşağıdaki deşerleri belirtilen kayıt dosyası(registry file) konumuna yazıyor.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "syshelp" = C:WINDOWSSYSTEMsyshelp.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "WinGate initialize" = C:WINDOWSSYSTEMWinGate.exe -remoteshell
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg
Text dosyaları çalıştırıldığında winrpc.exe dosyasını otomatik çalıştırmak için aşağıdaki kayıt dosyası değişikliğini yapıyor.
HKEY_CLASSES_ROOT xtfileshellopencommand (Default) = "winrpc.exe %1"
Belirtiler:
Kayıt dosyasında belirtilen değişikliklerin olması
Belirtilen dosyalarin varlığı
10168 nolu portun açık olması
Etkileme Yöntemi:
E-postanın eklentisinin ya da ağ paylaşımları sonucu kopyalanmiş virüslü dosyaların çalıştırılması ile bilgisayarı etkiliyor.
W32/SQLSlammer.worm
Yaması yapılmamış aşağıda belirtilen sistemler için büyük risk taşımaktadır:
Microsoft SQL Server 2000
Microsoft Desktop Engine (MSDE) 2000
Yaması yaplımamış SQL sunucularda "Server Resolution" servisinin tampon taşması açığından yararlanıyor (MS02-39).
Yanlış yapılandırılmış paket sadece 384 bytes (tüm solucan bu kadar) ve içinde aşağıdaki satırları taşıyor.
"h.dllhel32hkernQhounthickChGetTf",
"hws2",
"Qhsockf"
"toQhsend"
Temizleme Yöntemi:
UDP 1434 portuna gelen tüm trafiği durudurun.
Bilgisayarı tekrar başlatın.
Service Pack 3'ü indirip çalıştırın. Bilgisayarı tekrar başkatın.
W32/Sobig
Toplu e-posta atan virus, ağ bağlantıları ve e-posta ile bilgisayarları etkilemektedir.
Kimden(From):
[email protected]
Konu(Subject):
Re: Movies
Re: Sample
Re: ********
Re: Here is that sample
Belirtiler:
WINMGM32.EXE dosyasını varlığı
SNTMLS.DAT dosyasını varlığı
DWN.DAT dosyasını varlığı
Eklenti(Attachment) :
Movie_0074.mpeg.pif
********003.pif
Untitled1.pif
Sample.pif
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması ya da açık paylaşımlar yolu ile bilgisayarı etkilemektedir.
Teknik Özellikler:
Virüs çalıştırıldığında:
Kendisini %Windir%Winmgm32.exe olarak kopyalıyor.
%Windir%Winmgm32.exe isminde bir işlem başlatıyor.Winmgm32.exe aşağıdakileri yapıyor:
Adı Worm.X olan bir Mutex oluşturuyor.
Belirli bir websitesine dwn.dat dosyasını indirmek için bağlanıyor. İndirdiğinde içeriğini çalıştırıyor.
Açık paylaşımları arayor ve bulduğunda kendisi aşağıdaki konumlardan birisine kopyalıyor.
WindowsAll UsersStart MenuProgramsStartUp
********s and SettingsAll UsersStart MenuProgramsStartup
Aşağıdaki uzantılı virüs içerikli dosyları e-posta ile göndermek için oluşturuyor.
.txt
.eml
.html
.htm
.dbx
.wab
Windows tekrar başlatıldığında çalıştırılma için kayıt dosyasında aşağıdaki değişiklikleri yapıyor:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun anahtarı içine WindowsMGM %Windir%Winmgm32.exe değerini yazıyor.
W32/Lirva.A
Toplu e-posta atan Internet solucanı ayını zamanda ICQ, IRC, KaZaa ile de yayılmaya çalışıyor. Bİlgisayara bir şifre çalıcı program da yüklüyor. Aynı zamanda güvenlik programlarının çalışmasını da durduruyor.
Konu (Subject):
Fw: Prohibited customers... ?
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header Are you a Soccer Fan
Metin (Body):
Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
Ek (Attachment):
Resume.exe
Download.exe
CERT-Vuln-Info.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Sophos.exe
Cogito_Ergo_Sum.exe
Sk8erBoi.exe
Beautifull.scr
Teknik Özellikler:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIND.EXE
CLAW95.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
ECENGINE.EXE
EFINET32.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
IFACE.EXE
IOMON98.EXE
JED.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
Internet solucanı başlıklarında aşağıdaki isimler yazan tüm pencereleri kapatıyor:
anti
Anti
AVP
McAfee
Norton
virus
Virus
Sistemde değişiklikler yapıyor:
Internet solucanı kendisini değişken isimlerle %WINDIR%SYSTEM32 dizini altına kopyalıyor.
Sistem her yeniden başladığında çalışması için kayıt dosyasına yeni bir anahtar yazıyor:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Avril Lavigne - Muse" = C:WINDOWSSYSTEMA33AAAAgbab.EXE
Başka bir anahtar da sistemin virüs tarafıdan etkilendiğini belirtmek için yartılıyor:
HKEY_LOCAL_MACHINESoftwareHKLMSoftwareOvGAvril Lavigne
Yukarda e-posta eklentileri kısmında belirtilen isimlerinden birisi olarak aşağıdaki dizinlere kopyalıyor.
C:
%WINDIR%TEMP
Kendisini aşağıdaki dizinlere kopyalıyor.
%Temporary%
%Temporary%*.tft
%System%*.exe
%All Drives%Recycled*.exe
%Kazaa Downloads%*.exe
avril-ii.inf adlı virüs yazarından bir notu da %WINDIR%TEMP dizinine kopyalıyor.
Internet bağlantısın kontrol ediyor ve bağlantı yoksa varsayılan çevirmeli ağ bağlantısını kurmayı deniyor.
Wİndows Address Book ve uzantıları .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch ve .idx olan dosyalardaki e-posta adreslerine e-posta göndermeyi deniyor.
Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp
ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı WindowsSystem dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.
mIRC program dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.
Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini RECYcLED dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.
@win .exe
Kendisini RECYcLED dizini altına değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için belirtilen şekilde değiştiriyor.
Kendisini KaZaa dizinine değisken isimlerle kopyalıyor.
Eğer ayın 7si,11i ya da 24 ise, www.arvil-lavigne.com adresine bağlanıp grafik animasyonlar gösteriyor.
Belirtiler :
Yukarıda belirtilen Kayıt anahtarlarının varlığı
Yukarıda belirtilen dosyaların varlığı
E-posta trafiği
IRC trafiği
ICQ trafiği
SMTP sunucusuna ağ trafiği (62.118.249.10 Port 25 TCP).
Etkileme Yöntemi:
Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp
ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı WindowsSystem dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.
mIRC prgram dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.
Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini RECYcLED dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.
@win .exe
W32/Yah****
Internet solucanı kendi SMTP motorunu kullanarak Windows Address Defteri, MSN Messenger, .NET Messen ger, Yahoo Pager ve HT harfleirini içeren uzantıya sahip dosyalar içindeki adreslere e-posta ile göndererek dağılmaktadır. Antivirüs ya da güvenlik programlarını çalışmasını durdurmaktadır ve içinde uzataki makinaya DoS saldırsı yapmasını sağlayacak kod barındırmaktadır.
Konu (Subject):
Are you a Soccer Fan ?
Are you beautiful
Are you the BEST
Check it out
Demo KOF 2002
Feel the fragrance of Love
Freak Out
Free Demo Game
Free rAVs Screensavers
Free Screenavers of Love
Free Screensavers
Free Screensavers 4 U
Free Win32 API source
Free XXX
Hardcore Screensavers 4 U
I Love You..
Jenna 4 U
Learn SQL 4 Free
Lovers Corner
Need money ??
One Hacker's Love
One Virus Writer's Story
Patch for Elkern.gen
Patch for Klez.H
Play KOF 2002 4 Free
Project Sample Screensavers
Sample KOF 2002
Sample Playboy
Screensavers from Club Jenna
Sexy Screensavers 4 U
The King of KOF Wanna Brawl ??
Things to note
Visit us
Wanna be a HE-MAN
Wanna be friends ?
Wanna be friends ?
Wanna be like a stone ?
Wanna be my sweetheart ??
Wanna Hack ??
Wanna Rumble ??
We want peace
Whats up
Who is your Valentine
World Tour
WWE Screensavers
XXX Screensavers 4 U
Ek (Attachment):
Beautifull.scr
Body_Building.scr
Britney_Sample.scr
Codeproject.scr
Cupid.scr
FixElkern.com
FixKlez.com
FreakOut.exe
Free_Love_Screensavers.scr
Hacker.scr
Hacker_The_LoveStory.scr
Hardcore4Free.scr
I_Love_You.scr
Jenna_Jemson.scr
King_of_Figthers.exe
KOF.exe
KOF_Demo.exe
KOF_Fighting.exe
KOF_Sample.exe
KOF_The_Game.exe
KOF2002.exe
Love.scr
My_Sexy_Pic.scr
MyPic.scr
MyProfile.scr
Notes.exe
Peace.scr
Playboy.scr
Plus2.scr
Plus6.scr
Project.exe
Ravs.scr
Real.scr
Romantic.scr
Romeo_Juliet.scr
Screensavers.scr
Services.scr
Sex.scrSoccer.scr
Sexy_Jenna.scr
SQL_4_Free.scr
Stone.scr
Sweetheart.scr
The_Best.scr
THEROCK.scr
up_life.scr
Valentines_Day.scr
VXer_The_LoveStory.scr
Ways_To_Earn_Money.exe
World_Tour.scr
xxx4Free.scr
zDenka.scr
zXXX_BROWSER.exe
Metin (Body):
Bir çok değişik metin oluşturabiliyor. Bir kaç örnek vermek gerekirse.
hey,
did u always dreamnt of hacking ur friends hotmail account..
finally i got a hotmail hack from the internet that really works..
ur my best friend thats why sending to u..
check it..just run it..enter victim's address and u will get the pass.
hi,
check the attached love screensaver
and feel the fragrance of true love..
Hi,
check the attached screensaver..
its really wonderfool..
i got it from freescreensavers.com
Hi,
check ur friends circle using the attached friendship screensaver..
check the attached screensaver
and if u like it send it to all those you consider
to be true friends... if it comes back to you then
you will know that you have a circle of friends..
Hi,
check the attached screensaver
and enjoy the world of friendship..
Hi,
are u in a rocking mood...
check the attached scrennsaver and start shaking..
Hi,
Check the attached screensaver..
Hi,
Are you lonely ??..
check the attached screensaver and
forget the pain of loneliness
Hi,
Looking for online pals..
check the attached friend finder software..
Hi,
sending you a screensaver..
checkit and let me know how it is...
Hi,
Check the attached screensaver
and feel the fragrance of true love...
Hey,
I just got this wonderfull screensaver from freescreensaver.com..
Just check it out and let me know how it is..
Hi,? I just came across it.. check out..??
Are you one of those unfortunate human beings who are desperately
looking for friends.. but still not getting true friends with whom
you can share your everything..
anyway you wont feel down any more cause GC Chat Network has brought
up a global chat and online match making system using its own GC
Messenger. Attached is the fully functional free version of GC
Instant Messenger and Match Making client..
Just install, register an account with us and find thousands of online
pals all over the world..
You can also search for friends by specific country,city,region etc.
Regards Admin,
GC Global Chat Network System..
Hi,
So you think you are in love..
is it true love ? you may think right now that you are in
true love but it is certainly possible that it is nothing
but a mere infatuation to you..
anyway to know yourself better than you have ever known check
the attached screensaver and feel the fragrance of true love..
Belirtiler :
Aşağıdaki dosyaların varlığı (saklı dosyalar)
C:\%System%WinServices.exe.
C:\%System%Nav32_loader.exe
C:\%System%Tcpsvs32.exe
Kayıt dosyasında yukarda belirtilen değişikliklerin olması.
Antivirüs ve/ya güvenlik duvarı programın çalışmaması.
Etkileme Yöntemi: :
E-posta eklentisi çalıştırıldığında kendisini bilgisayara yükleyerek bulaşıyor.
Teknik Özellikler:
W32Yah**** çalıştırıldığında:
Aşağıdaki dosyaları gizli olacak şekilde belirtilen yerlere kopyalıyor.
C:\%System%WinServices.exe.
C:\%System%Nav32_loader.exe
C:\%System%Tcpsvs32.exe
Windows açıldığında kod çalışması için aşağıdaki değeri;
WinServices.exe C:\%System%WinServices.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices
Her .exe çalıştırıldığında kendisini de çalıştırabilmek için belirtilen kayıt değerini değiştiriyor.
HKEY_LOCAL_MACHINESoftwareClassesexefileshellopenc ommand
C:\%System%WinServices.exe"%1
C:\%System% altına kendisini aşağıdaki isimlerden biriyle kaydediyor.
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr
Internet solucanı aşağıdakiisimleri kullanan antivirüs ve güvenlik duvarı programlarının çalışmasını durduruyor.
REGEDIT
ACKWIN32
F-AGNT95
SWEEP95
VET95
N32SCANW
_AVPM
LOCKDOWNADVANCED
NSPLUGIN
NSCHEDNT
NRESQ32
NPSSVC
NOD32
_AVPCC
_AVP32
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
VSECOMR
VETTRAY
TDS2-NT
TDS2-98
SCAN32
PCFWALLICON
NSCHED32
IAMSERV.EXE
FRW.EXE
MCAFEE
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
ESAFE.EXE
AVPM.EXE
AVPCC.EXE
AMON.EXE
ALERTSVC
ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
RMVTRJANSAFEWEB
WEBSCANX
PVIEW
ANTIVIR
W32/Korvar
Aşağıdaki özelliklerde geliyor:
Konu (Subject):
Değişken
Metin(Body):
Değişken
Ek (Attachment):
WINrastgele karakterler.TXT (12,6 KB) MUSIC_1.HTM
WINrastgele karakterler.GIF (120 bytes) MUSIC_2.CEO
Teknik Özellikler:
Virüs, tarafından oluşturulmuş e-postanın kullanıcı tarafından bakıldıgında otomatik olarak çalışması için iFRAME açığını kullanıcı makinesini etkilemek için kullanıyor. Başka bir yol olarak da kullanıcı .HTM dosyasını çalıştırdığında "Microsoft VM ActiveX Component" açığından yaralanarak aşağıdaki kayıt dosyasına .CEO uzantılı dosyasını ekliyor:
HKEY_CLASS_ROOT.CEODefault="exefile"
HKEY_CLASS_ROOT.CEOContent Type="application/x-msdownload"
.CEO dosyası çalışıtırıldığında .EXE dosyası gibi algılanıyor ve çalıştırma sonucu kendisini WINDOWS SYSTEM (%SysDir%) dizini altına WIN ile başlıyan ve .PIF uzantılı rastgele bir isimle kaydediyor. Ardından aşagıdaki kayıt dosyaları oluşturuyor.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion Run "(Default)"= Çalıştırılmış virüslü dosya
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion Run "WIN random characters"=C:WINDOWSSYSTEMWIN Rastgele karakter.pif
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion Run "(Default)"= Çalıştırılmış virüslü dosya
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion Run "WIN random characters"=C:WINDOWSSYSTEMWIN random characters.pif
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion RunServices "(Default)"= Çalıştırılmış virüslü dosya
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion RunServices "WIN Rastgele karakter"=C:WINDOWSSYSTEMWIN random characters.pif Çalıştırıldıktan sonra rastgele mesaj kutusu gösterir.
Belirtiler:
Sistemin yavaşlaması
WIN*.PIF dosyalarını WINDOWS SYSTEM dizininde bulunuşu
W32/Funlove.gen ve W32/Funlove.dr virüslerinin varlığı
Etkileme Yöntemi:
E-posta eklentisi ile yayılan Internet solucanı yaması uygulanmamamıs Microsoft Internet Explorer'in otomatik eklenti çaliştirma özelliğinden yararlanarak bulaşıyor. Çalıştırıldığında güvenlik yazılımlarının çalışmasını durdurup, dosyaların silmeyi deniyor. Bilgisayarın sabit diskindeki e-posta adreslerini toplayıp kendisini SMTP ile bu adreslere göndermeyeye çalışıyor.
W32/Braid
Yerel sistemdeki e-posta adreslerine kendi SMTP motorunu kullanarak gönderiyor. Virüs from kısmına gerçek bir e-posta adresi atıyarak, e-posta görüntülendiğinde otomatik olarak çalışmasını sağlaryan Internet Explorer açığından yaralanıcakl şekilde e-posta hazırlıyor. Bunlarla birlikte çalıştırldığıda ağ paylaşımları yardımı ile virsünyayılmasını sağlayan bir dosya da yaratıyor.
Konu (Subject):
Gönderenin Windows kayıt şirket ismi
Metin (Body):
Hello,
Product Name: Microsoft Windows %Gönderenin etkilenmiş windows sürümü%
Product Id: %Gönderenin etkilenmiş makinesindeki Windows ID %
Product Key: %Gönderenin etkilenmiş sistemindeki Windows anahtarı%
Process List:%Gönderenin etkilenmiş sisteminde çaışan işlemler%
Thank you.
Ek (Attachment):
README.EXE
Belirtiler :
Aşağıdaki dosyaların varlığı:
HELP.EML
%Desktop folder%Explorer.exe
%SysDir%Bride.exe
Etkileme Yöntemi:
Eklenti çalıştırldıktan sonra, virüs taşınır çalıştırılabilir dosyaları (.EXE, .OCX, ve .SCR) etkilyor. Kenidisini başka e-posta adreslerine göndermek için .DBX ve .HTM dosyalarında e-posta adresi taraması yapıyor. Bulduğu adresleri hem TO: hem de FROM: kısmında kullanıp e-postalar hazırlıyor ve bunları gönderiyor. Güvenlik programlarını durudurabiliyor.
Teknik Özellikler:
Virüs "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020)" açığından yararlanarak zayıf Outlook Express programları (ver 5.01 or 5.5 without SP2) tarafından sadece e-posta görüntülenmesi sonucu otomatik eklenti çalıştırılmasını sağlıyor.
Çalıştırıldığında kendisini WINDOWS SYSTEM (%SysDir%) dizinine REGEDIT.EXE (Not: WINDOWS dizininde REGEDIT.EXE isimli temiz bir dosya hali hazırda zaten var) olarak kopyalıyor ve aşağıdaki kayıt değerini er açılışta çalışmak için işliyor:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun
egedit=
C:WindowsSystem
egedit.exe
Virüs WINDOWS SYSTEM dizinine , BRIDE.EXE ve MSCONFIG.EXE isimli iki dosya kopyalıyor. Bu dosyalar SDAT4132 (veya yeni) dat dosyaları tarfından W32/Funlove.dr olarak tanınıyor. Bu dosyalar çalıştırıldığında tüm taşınır çalıştırılabilir dosyaları (.EXE, .OCX, ve .SCR) W32/Funlove virüsünün geliştirilmiş şekliyle etkiliyor. Bu dosyalar 4132 DATs (veya yeni) dat dosyaları ve şu ank iarama motoru ile W32/FunLove.gen olarak tesbit ediliyor.
W95/Opaserv
WinNT/2K/XP işletim sistemlerinde bu tehlike etkili değildir. Windows 9x tabanlı işletim sitemlerinde etkilidir. Ağ-üstünde ilerliyen solucan kendisini bir kopyasını açık paylaşımlar (parola koruması olmayan) sayesinde Startup (Başlangıç) dizinine yazmaya çalışmaktadır.
Çalıştırıldığında ya da başlangıçta bilgisayar tarafından çalıştırıldığında bir sonraki açlışlarda da otomatik çalıştırılmak için kayıt dosyalarında aşağıdaki değişikliği yapmaktadır:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "ScrSvr" = %WinDir%ScrSvr.exe
Bunların yanı sıra aşağıdaki dosyayı da değiştirip,
cwindowswin.ini
tmp.ini okumasını;
run= c: mp.ini
komutuyla sağlar, kendi yarattığı;
c mp.ini
dosyasını açılışlarda çalışır hale getirir. Dosyanın içeriği aşağıdaki gibidir.
run= c:windowsscrsvr.exe
W32/Insane
Virüs tanımlama bilgi bankası olarak 4229 DAT dosyasını eski, destek verilmeyen virüs tarama motorları (arama motoru sürümü 4.0.70 ve 4.1.40) ile birlikte kullanan makinelerde "W32/Insane.dam" yanlış alarmı gözlenmektedir.
Bu mesajı alan kullanıcıların en kısa zamanda virüs tarama motorunu 4.1.60 sürümüne güncellemeleri gerekmektedir.
W32/Bugbear
MSVC'de yazılan bu virüs UPX olarak paketlenmiştir. Ağ paylaşımları ve e-posta ile dağılmaktadır. Keyloger olarak çalışan bir truva atı da içermektedir. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir. Virüs kodu e-posta "Konu" ve "Eklenti" kısmını içermektedir.
Konu (Subject):
Büyük ihtimalle etkilediği makinedeki kelimeleri ya da dosya isimlerini "Konu" olarak seçiyor. Olası "Konu" satırları aşağıda verilmiştir (ancak, "Konu" satırları değişken olabilir.):
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Correction of errors
Cows
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
Hello!
Hi!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
News
Payment notices
Please Help...
Re: $150 FREE Bonus!
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
wow!
Your Gift
Your News Alert
Ek: (Attachment):
İsimleri de değişken olmakla birlikte genelde aşağıdaki satırları içermektedir:
Card
Docs
image
images
music
news
photo
pics
readme
resume
Setup
song
video
Teknik Detaylar:
Eklentilerinde ikili uzantısı olması genel bir olgu (örnek: .doc.pif). Gönderdiği e-postalar Microsoft Internet Explorer'ın (ver 5.01 ya da 5.5 SP2 yüklenmemiş) Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020) açığından faydalanmaya çalışıyor.
"Gelen kutusu" içinde bulunan adresleri ve diskte de aşağıda uzantıları verilmiş dosyaları arayıp e-posta adreslerine ulaşmaya çalışıyor.
MMF
NCH
MBX
EML
TBB
DBX
OCS
Varolan kullanıcını ve SMTP sunucusunu e-posta adreslerini aşağıdaki kayıt dosyasından alır: HKEY_CURRENT_USERSOFTWAREMicrosoftInternet Account ManagerAccounts
Belirtirler:
Çalıştırıldığında kendisini %WinDir%System dizini altına ****.EXE olarak kopyalar.( * rast gele karakterleri temsil etmektedir). Örneğin:
Win98 : C:WINDOWSSYSTEMFYFA.EXE
2k Pro : C:WINNTSYSTEM32FVFA.EXE
Aşağıdaki kayıt dosyasını bir sonraki açılışta dosyayı çalıştırması için düzenler:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion RunOnce "%ras tgele harfler%" = %rast gele dosya adı%.EXE (Win9x)
Startup (Başlangıçta) dizinine kendisini ***.EXE olarak kopyalar. ( * rastgele karakterleri temsil etmektedir).
Örneğin:
Win98 : C:WINDOWSStart MenuProgramsStartupCUK.EXE
2k Pro : C ocuments and Settings(username)Start MenuProgramsStartupCYC.E
Truva Atı Bileşeni
Internet solucanı etkilediği makinede port 36794 açarak ve değişik bir çok çalışan işleri arayıp onları durduruyor.Bu işler arasında bir çok ünlü anti-virüs ve güvenlik-duvarı programı var:
ACKWIN32.exe
F-AGNT95.exe
ANTI-TROJAN.exe
APVXDWIN.exe
AUTODOWN.exe
AVCONSOL.exe
AVE32.exe
AVGCTRL.exe
AVKSERV.exe
AVNT.exe
AVP32.exe
AVP32.exe
AVPCC.exe
AVPCC.exe
AVPDOS32.exe
AVPM.exe
AVPM.exe
AVPTC32.exe
AVPUPD.exe
AVSCHED32.exe
AVWIN95.exe
AVWUPD32.exe
BLACKD.exe
BLACKICE.exe
CFIADMIN.exe
CFIAUDIT.exe
CFINET.exe
CFINET32.exe
CLAW95.exe
CLAW95CF.exe
CLEANER.exe
CLEANER3.exe
DVP95_0.exe
ECENGINE.exe
ESAFE.exe
ESPWATCH.exe
FINDVIRU.exe
FPROT.exe
IAMAPP.exe
IAMSERV.exe
IBMASN.exe
IBMAVSP.exe
ICLOAD95.exe
ICLOADNT.exe
ICMON.exe
ICSUPP95.exe
ICSUPPNT.exe
IFACE.exe
IOMON98.exe
JEDI.exe
LOCKDOWN2000.exe
LOOKOUT.exe
LUALL.exe
MOOLIVE.exe
MPFTRAY.exe
N32SCANW.exe
NAVAPW32.exe
NAVLU32.exe
NAVNT.exe
NAVW32.exe
NAVWNT.exe
NISUM.exe
NMAIN.exe
NORMIST.exe
NUPGRADE.exe
NVC95.exe
OUTPOST.exe
PADMIN.exe
PAVCL.exe
PAVSCHED.exe
PAVW.exe
PCCWIN98.exe
PCFWALLICON.exe
PERSFW.exe
F-PROT.exe
F-PROT95.exe
RAV7.exe
RAV7WIN.exe
RESCUE.exe
SAFEWEB.exe
SCAN32.exe
SCAN95.exe
SCANPM.exe
SCRSCAN.exe
SERV95.exe
SPHINX.exe
F-STOPW.exe
SWEEP95.exe
TBSCAN.exe
TDS2-98.exe
TDS2-NT.exe
VET95.exe
VETTRAY.exe
VSCAN40.exe
VSECOMR.exe
VSHWIN32.exe
VSSTAT.exe
WEBSCANX.exe
WFINDV32.exe
ZONEALARM.exe
Bu dışardan erişim saldırgana dosya çekme, çalıştırma, işleri durdurmayı ve bir çok değişik işlem yapma izin veriyor.
Buna ek olarak keylogger olarak çalışacak bir DLL dosyası bırakıyor. Bu DLL PWS-Hooker.dll olarak gözüküyor.
Ağ paylaşımı etkileşimi
Internet solucanı etkilediği makinede port 36794 açarak ve değişik bir çok çalışan işleri arayıp onları durduruyor.Bu işler arasında bir çok ünlü anti-virüs ve güvenlik-duvarı programı var:
Port 36974 açık olması
Aşağıdaki dosyaların varlıkları (* herhangi bir karakteri temsil etmekte):
%WinDir%System****.EXE (50,688 ya da 50,684 bytes)
%WinDir%******.DAT
%WinDir%******.DAT
%WinDir%System******.DLL
%WinDir%System*******.DLL
%WinDir%System*******.DLL
W95/Scrup
WinNT/2K/XP işletim sistemlerinde bu tehlike etkili değildir. Windows 9x tabanlı işletim sitemlerinde etkilidir.
Ağ-üstünde ilerliyen solucan kendisini bir kopyasını açık paylaşımlar (parola koruması olmayan) sayesinde Startup (Başlangıç) dizinine yazmaya çalışmaktadır.
Çalıştırıldığında ya da başlangıçta bilgisayar tarafından çalıştırıldığında bir sonraki açlışlarda da otomatik çalıştırılmak için kayıt dosyalarında aşağıdaki değişikliği yapmaktadır: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "ScrSvr" = %WinDir%ScrSvr.exe
Bunların yanı sıra aşağıdaki dosyayı da değiştirip, cwindowswin.ini tmp.ini okumasını; run= c: mp.ini komutuyla sağlar, kendi yarattığı; c mp.ini dosyasını açılışlarda çalışır hale getirir. Dosyanın içeriği aşağıdaki gibidir. run= c:windowsscrsvr.exe
Linux/Slapper
Linux/Slapper Aphace web sunucunlarında OpenSSL bileşenleri kullanan SSL özelliği çalışır durumda olanları bellek taşamsı zayıflığından yararlanarak bilgisayarları etkileyen bir Internet solucanı. Aktif olduktan sonra DoS saldırısı başlatabilen bilen bir arka kapı oluşturuyor.
Linux/Slapper sistemler arasında TCP port 443 (SSL) kullanarak yayılıyor. Bu porta bağlanmadan önce TCP port 80 (HTTP) ile bağlantı kurup sunucu makinenin kullandığı Aphace web sunucusunun sürümünü öğrenmeye çalışır. Eğer web sunucusu Apache dışında bir programsa bilgisayarı etkilemeyi denemiyor.
Internet solcanın aradığı sürümler:
Red Hat Apache 1.3.6, 1.3.9, 1.3.12, 1.3.19, 1.3.20, 1.3.22, 1.3.23, 1.3.26.
SuSE running Apache 1.3.12, 1.3.17, 1.3.19, 1.3.20, 1.3.23.
Mandrake running Apache 1.3.14, 1.3.19, 1.3.20, 1.3.23.
Slackware running Apache 1.3.26.
Debian running Apache 1.3.26.
Gentoo herhangi bir Apache sürümü.
Daha ayrıntılı liste için aşağıdaki web sitesini ziyaret ediniz:
http://online.securityfocus.com/bid/5363/info/
Eğer ki işletim sistemi ya da Apache sürümünü belirliyemezse, İşletim sistemi olarak Red Hat ve Aphace sürümü olarak da Apache 1.3.23 varsayrak işlemelerine başlıyor.
Linux/Slapper TCP port 443 (SSL) ile uzaktaki sisteme bağlanıp kendisine bellek taşaması açığından faydalanarak bir kabuğa(./bin/sh) ulaşmaya çalışıyor. Linux/Slapper yayılmakta kullandığı OpenSSL açığı 30 Temmuz 2002 tarihinde çözümü ile birlikte http://www.openssl.org/news/secadm_20020730.txt adresinde yayınlandı.
Eğer Linux/Slapper uzaktaki makineyi kırabildiyse, ulaştığı kabuğa bir betik yükler. Bu betik Internet solcanın uuencoded kaynak kodu kopyasını içermektedir. Betik /tmp/.unlock.c dosyanın içine kaynak kodunu açar ve çalıştırır. Bir daemon işlem olarak gözükecek olan .unlock başlatılır.
Unutulmamalıdır ki Linux/Slapper yayılması ve etkilemesi, gcc derleyicisinin saldırıyı alan makinede var olmasına ve bu derleyicinin Apache tarafından çalıştırılabiliyor olmasına dayanmaktadır. Bazı sınırlandırmalar getirilerek derleyicinin web sunucusu tarafından çalıştırılmamamsı iyi bir güvenlik önlemi olacaktır.
Bir defa aktif hale geçtikten sonra, Linux/Slapper UDP port 4156 üstünden bağlantı kurulacak bir arka kapı yaratıyor. Bu arka kapı diğer virüsten etkilenmiş bilgisayarlar tarafından başlatılan bir çok değişik saldırı oluşmasını sağlıyor. Örneğin: herhangi bir kodun çalıştırılması, TCP taşkını., DNS taşkını, diskte e-posta adreslerin aranması gibi.
Temizlenmesi:
Aşağıdaki işlemi arayın ve çalışmasını durdurun (kill):
.unlock
Aşağıdaki dosyaları (eğer varsa) silin:
/tmp/.unlock
/tmp/.unlock.c
/tmp/.unlock.uu
/tmp/.update.c
/tmp/update
Daha detaylı bilgi için:
http://online.securityfocus.com/bid/5363/solution/
VBS/Neiber.A
VBS.Neiber.A virüsü Microsoft Windows Adres Defteri'ndeki kayıtlara toplu e-posta atan bir Internet solucanıdır. Eklentisi ve görünür bir içeriği olmamasına rağmen metin içine gömülü HTML kodu sayesinde virüslü %Windir%Bernie.vbs dosyasını oluşturup çalıştırmaktadır.
Konu (Subject):
Attention virus
Mesaj:
Metin bölümü boş gözükse de, içeriğinde virüsün HTML kodu var.
Ek (Attachment):
Yok
Belirtiler:
Bernie.vbs çalıştırıldıktan sonra aşağıdakileri sırasıyla yapmakta:
Kendisini %Sistem%Bernie.vbs olarak kopyalıyor.
Windows'un her açılışında çalışmak için HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun değerine "Bernie wscript.exe %system%Bernie.vbs" ekliyor
"HKEY_CURRENT_USERsoftwareBernie" değerinin 1 olup olmadığını kontrol ediyor. 1 değilse Microsoft Windows Adres Defteri'ndeki tüm kayıtlar e-posta gönderiyor.
E-postaları gönderdikten sonra yerel ve bağlantılı disklerde *.vbs ve *.vbe dosyalarını arayıp üstlerine kendisini yazıyor.
En son olarak da bilgisayar çakılıncaya kadar Notepad açıyor.
W32/Manymize
W32.Manymize@mm virüsü kendisi ile birlikte üç dosyayı da Microsoft Windows Adres Defteri'ndeki e-posta adreslerine gönderen (toplu e-posta atan) bir virüstür.
Konu (Subject):
Internet solucanı aşağıdaki seçeneklerden birini konu olarak seçiyor.
Hi (alıcının e-posta adresi)
Dear (alıcının e-posta adresi)
Hello (alıcının e-posta adresi)
My friend, (alıcının e-posta adresi)
How are you !! (alıcının e-posta adresi)
Mesaj:
Mesaj dört kelime veya kelime grubunun birleşmesinden oluşuyor.
1. Grup
Hi (alıcının e-posta adresi)
Dear (alıcının e-posta adresi)
Hello (alıcının e-posta adresi)
My friend, (alıcının e-posta adresi)
How are you !! (alıcının e-posta adresi)
2. Grup
, See this
, This is
, Open the
, Attached is my
, Watch my
3. Grup
funny
interesting
cute
amusing
special
4. Grup
video.
movie.
penguin.
clip.
tape.
Ek (Attachment):
Mi2.htm
Mi2.chm
Mi2.wmv
Mi2.exe
Belirtiler:
Virüs okunduğunda veya ön izleme ile bakıldığında bilgisayarı otomatik etkileyebilmek için IFRAME ve MIME açığından , yararlanmaktadır.
Ek olarak, Mi2.wmv otomatik olarak çalıştırıldığında kullandığı açık Windows Media Dosyasının Mi2.htm çalıştırılmasına izin verilmesini sağlıyor.
Internet solucanı e-posta adreslerini C rogram FilesCommon FilesSystemWab32.dll veya D rogram FilesCommon FilesSystemWab32.dll dosyalarını kullanarak Microsoft Windows Addres defterinden alıp kullanır. Eğer belirtilen iki dosya da yoksa 120 tane e-posta adresi arasından rastgele seçtiği ve "@pchome.com.tw." ile biten adreslere kendini gönderiyor
W32/Yaha.E
Yerel diskteki e-posta adreslerine SMTP ile e-posta gönderen Internet solucanın özellikleri:
Konu (Subject): humour you care ur friend Who is ur Best Friend make ur friend happy
True Love to enjoy Free Screen saver Friendship Screen saver
Bullshit Need a friend? Find a good friend war Againest Loneliness
I am For u Life for enjoyment Nothink to worryy Ur My Best Friend
LoveGangs to ur lovers Best Friends Send This to everybody u like
Enjoy Romantic life to watch to share How sweet this Screen saver
Let's Laugh One Way to Love Learn How To Love Are you looking for Love
Interesting Enjoy friendship Shake it baby Shake ur friends
One Hackers Love Origin of Friendship The world of lovers The world of Friendship
Love Friendship how are you U r the person?
Hi U realy Want this Romantic searching for true Love
New Wonderfool excite Looking for Friendship
charming Idiot Nice Wowwww check it
One Funny Great Easy Way to revel ur love
Shaking powful Joke Let's Dance and forget pains
Interesting Screensaver Friendship Say 'I Like You' To ur riend
relations stuff to ur friends Check ur friends Circle
for you to see to check love speaks from the heart
Mesaj:
"Hi Check the Attachment ..See u"
"Attached one Gift for u.."
"wOW CHECK THIS" "Enjoy this friendship Screen Saver and Check ur friends circle... Send this screensaver from to everyone you consider a FRIEND, even if it means sending it back to the person who sent it to you. If it comes back to you, then you'll know you have a circle of friends.
"To remove yourself from this mailing list, point your browser to: [web address]"
"Enter your email address ([sender's address]) in the field provided and click "Unsubscribe".
"Reply to this message with the word "REMOVE" in the subject line. This message was sent to address [sender's address] X-PMG-Recipient: [sender's address]"
Ek (Attachment):
screensaver screensaver4u screensaver4u screensaverforu
freescreensaver love lovers lovescr
loverscreensaver loversgang loveshore love4u
lovers enjoylove sharelove shareit
checkfriends urfriend friendscircle friendship
friends friendscr friends friends4u
friendship4u friendshipbird friendshipforu friendsworld
werfriends passion bullshitscr shakeit
shakescr shakinglove shakingfriendship passionup
rishtha greetings lovegreetings friendsgreetings
friendsearch lovefinder truefriends truelovers
fucker loveletter resume biodata
dailyreport mountan goldfish weeklyreport
report love
Uzantı:
.doc .txt .bmp .zip
.mp3 .jpg .htm .pif
.xls .gif .mpg .bat
.wav .dat .mdb .scr
Belirtiler:
Bilgisayarınızda yüklü ise aşağıdaki programların çalıştırılamaması.
ATRACK F-PROT95 LUCOMSERVER NISSERV RESCUE32
ANTIV FP-WIN MCAFEE IR NISUM SAFEWEB
AVCONSOL F-STOPW NAVAPSVC NMAIN SCAM32
AVP.EXE IAMAPP NAVAPW32 NORTON SIRC32
AVP32 ICMON NAVLU32 NVC95 SYMPROXYSVC
AVSYNMGR IOMON98 NAVRUNR PCCWIN98 VSHWIN32
CFINET LOCKDOWN2000 NAVW32 POP3TRAP VSSTAT
CFINET32 LUALL NAVWNT PVIEW95 WEBSCANX
WEBTRAP WINK ZONEALARM
Virüs eklentili dosya açıldığında aşağıdaki metinleri içeren ekran koruyucularının çalışması.
Ur My Best Friend!!
No Configuration is availabile Now
Config
madd
U r so cute today #!#!
True Love never ends
I like U very much!!!
U r My Best Friend
W32/Frethem.f@MM
Microsoft Outlook Express posta kutuları dosyaları (.DBX dosyaları), ve Windows Address Book (.WAB dosyası) içindeki e-posta adreslerini topladıktan sonra bu adreslere SMTP aracılığı ile e-posta gönderen internet solucanının özellikleri:
Konu (Subject):
Re: Your password!
Mesaj:
"ATTENTION! You can access very important information by this password."
"DO NOT SAVE password to disk use your mind now press cancel."
Ek (Attachment):
decrypt-password.exe (35,840 bytes)
password.txt (31 bytes)
Internet solucanı Incorrect MIME Header Can Cause IE to Execute E-mail Attachment Microsoft Internet Explorer (ver 5.01 or 5.5 without SP2), açığından yaralanarak otomatik olarak çaıştırılıp sistemi etkilemektedir.
Exe dosyası kendisini bilgisayarın her açılışında çalışmak için Start MenuProgramsStartupsetup.exe konumuna kopyalar.
Belirtiler:
Aşağıdaki dosyaların bilgisayarınızda bulunması
Start MenuProgramsStartupsetup.exe
%WinDir%status.ini
%WinDir%Win64.ini
JS/SQLSpida
Internet solucanı MS SQL sunucularını hedefliyor. Varsayılan SQL administrator hesabının (SA) zayıflığını kullanarak bilgisayar bulaşıyor. SQL yöneticileri SA hesabının zayıflığını kapatmak için gerekli önlemleri almaları gerekmektedir. SQL sunucusunu güvenli hale getirme konusunda daha detaylı bilgi almak için: http://support.microsoft.com/default...;EN-US;Q313418
Belirtiler:
Aşağıdaki dosyaların bilgisayarınızda bulunması:
%WinDir%system32driversservices.exe
%WinDir%system32sqlexec.js
%WinDir%system32clemail.exe
%WinDir%system32sqlprocess.js
%WinDir%system32sqlinstall.bat
%WinDir%system32sqldir.js
%WinDir%system32
un.js
%WinDir%system32 imer.dll
%WinDir%system32samdump.dll
%WinDir%system32pwdump2.exe
W32/Klez
Microsoft Internet Explorer (vers. 5.01/5.5 SP2 kurulmamış) "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" açığından yaralanarak bulaşıyor. E-posta'nın kimden kısmını değişitirebiliyor. Gönderen adresi virüs tarafında etkilenmiş herhangi bir sistemin kullanıcınısını adresi olabiliyor. Gelen e-posta bu nedenle başka biri tarfından gönderilmiş gibi gözükebilen virusun özellikleri:
