Virus nedir? nasıl bulaşır? nasıl temizlenir? viruslerden korunma?

19-09-2019, 09:39:27

#1
Diaz

Açık Profil bilgileri

Özel Mesaj Gönder

Diaz tarafından gönderilen tüm mesajları bul

Diaz'ı arkadaş olarak ekle

Platinum
Virus Tanımı

Virus, bir bilgisayara disketler, ağ paylaşımı, Internet (e-mail, dosya indirme) yollarıyla girebilen ve bilgisayarlarda istenmeyen sonuclara ve zararlara yol acan bir bilgisayar programıdır. Viruslerin en onemli ozelliği; girdikleri sistemlere kendilerini, kullanıcı farkında olmadan veya iradesi dışında calıştırılacağı şekilde yerleştirmesi ve sistemlere zarar vermesidir. Virusler genel olarak etkilerini diğer calışan programlara bulaşarak onlarda ceşitli değişiklikler yaparak gosterirler. Viruslerin bir diğer ozelliği ise kendilerini coğaltmaları ve hafızada değişik yerlere kaydetmeleridir. Viruslerin etkileri ekranınıza rahatsızlık veren mesajlar cıkararak calışmanızı engellemesi olabilabileceği gibi, bilgisayarın hafızasını ve disk alanını kullanarak erişiminizi engellemeleri veya kullandığınız dosyaların iceriklerini bozmaları veya silmeleri gibi oldukca zararlı etkileri de olabilir.

Virus Nasıl Anlaşılır ve Temizlenir?

Anti-virus yazılımı olmadığı şartlarda bilgisayarınızda virus olduğunu ancak virus etkisini gosterdikten sonra anlayabilirsiniz. Bir virusun etkileri bilgisayarda yavaşlama, Windows uygulamalarında hata mesajları (system fault, application error, missing files), bilgisayarın kilitlenmesi, DOS işletim sistemine donmesi, bazı dosyaların acılmaması, değişik sesler veya bilgisayarınızın isteğiniz dışında işlemler yapmaya başlaması şeklinde gorulebilir. Bu durumda bir anti-virus programı kullanarak bilgisayarın virusten temizlenmesi gerekmektedir. Virusun bilgisayara geri donulmez hasarlar vermiş olduğu durumlarda temizleme her zaman başarılı olmayabilir. Kullanılan anti-virus yazılımlarının buldukları virusleri silmeleri veya bulaştıkları dosyalardan temizlenmeleri mumkun olmaması da karşılaşılan bir durumdur. Anti-virus yazılımlarının tarama işlemi sonrasında virus bulamaması bilgisayarda virus olmadığını değil, tarama işleminde kullanılan anti-virus programlarının tanıdığı viruslerin bulunmadığını gosterebilir. Bu durumda kullanılan anti-virus programının guncellenmesi veya daha guncel başka bir anti-virus yazılımının kullanılması uygun olacaktır.

Virusden Korunma
Virusler bilgisayarınıza bulaşmadan once onlem almak ve baştan koruma sağlamak icin McAfee Anti-Virus, Norton AntiVirus, F-Prot, Dr. Solomon's Anti-Virus Toolkits vs. gibi programları bilgisayarınıza henuz herhangi bir virus sorunu ile karşılaşmamışken kurmanız gerekmektedir.

Ayrıca aşağıdaki sitelerden viruslerle, en yeni virus uyarıları hakkında detaylı bilgi bulabilirsiniz.

http://www.virus.com
http://www.mcafeeb2b.com/avert/virus-alerts/default.asp
http://www.mcafeeb2b.com/naicommon/a...s-glossary.asp
http://www.symantec.com/avcenter/vinfodb.html
http://www.symantec.com/avcenter
http://www.securityfocus.com
http://www.microsoft.com/technet/security/virus.asp
http://www.antivirus.com

Guncel Virusler

W32/Gaobot
W32/SoberD
W32/Bagle.E
W32/Netsky.B
W32/Mydoom
W32/Bagle.A
W32/SoberA
W32/MimailC
W32/Holar
W32/Blaster
W32/Nachi
W32/Sobig.F
WW32/Dumaru
W32/Mimail

W32/Gaobot

Virus Tanımı :

Internet solucanı MS03-026, MS03-001, MS03-007 ve MS03-049 acıklarını kullanarak bilgisayarı etkilemektedir.

Belirtiler:
Beklenmeyen acık portlar
kayıt dosyasındaki varlığı
Guvenlik programların calışmaması

Korunma Yontemi:

Virusten korunmak icin yapılması gerekenler.
Windows işletim sistemi guncelemelerini mutlaka yapınız.
Bilgisayarda bulunan her kullanıcının şifresinin en az 8 karakter uzunluğunda olmasına ve icinde buyuk harf, kucuk harf, rakam ve ozel karakterlerin bulunmasına ozen gosteriniz.
Kullanılmayan windows paylaşımlarının kesinlikle kapatılması gerekmektedir. Bunun yanında varsayılan yonetici paylaşımlaırnın da
HKLM\System\CurrentControlSet\Services\LanmanServe r\Parameters\AutoShareWks (REG_DWORD) 0
verisi kayıt dosyasına işlenerek (registry) durdurulmalıdır.
Windows paylaşımın kullanımının zorunlu olduğu durumlarda paylaşım parola korumalı olmalıdır. Paylaşımın parolasız olması durumunda bilgisayaraınız viruse karşı korumasızdır.

Teknik ozellikler:
Kendisini %System%\wuamps.exe olarak kopyalıyor.
Windows acıldığında kod calışması icin aşağıdaki değeri;

kayıt (registry) dosyasında belirtilen yerlere yazıyor;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\ wuamps.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce wuamps.exe
Guvenlik yazilimlarini calismasini durduruyor.
Asagida belritilen baska Internet solucanlari tafindan kullanilan surecleri
duruduruyor
taskmon.exe
bbeagle.exe
d3dupdate.exe
winsys.exe
ssate.exe
i11r54n4.exe
rate.exe
irun4.exe
Ssate.exe
wuamps.exe

Asağıdaki siteler bağlantı yapılmasını engellemek icin "host" olarak ilgili verileri giriyor.

www.trendmicro.com
www.rads.mcafee.com
www.customer.symantec.com
www.liveupdate.symantec.com
www.us.mcafee.com
www.updates.symantec.com
www.update.symantec.com
www.nai.com
www.secure.nai.com
www.dispatch.mcafee.com
www.my-etrust.com
www.mast.mcafee.com
www.ca.com
www.networkassociates.com
www.kaspersky.com
www.avp.com
www.f-secure.com
www.viruslist.com
www.mcafee.com
www.sophos.com
www.securityresponse.symantec.com
www.symantec.com

Onceden belirlenmiş IRC sitesine baglanmaya calışıyor ve oradan alacağı komutları uyguluyor. Komutlar asagidaki işlemleri sağlamaktadır:
Sistem hakkida bilgi edinmek
Dosya indirmek ve calıştırmak
FTP sitelerine bağlanıp dosya yuklemek
SSH kullanarak baska sistemlere bağlanmak
Calışan programları durdurmak
E-posta adresleri toplamak
SOCKS proxy olarak calışmak

Yukarda belirtilen acıkkları olan bilgisayaları ağda arıyor.
Asağıdaki paylaşımlara kullanıcı adı ve parola deniyerek bağlanmaya calışıyor.
admin$
c$
d$
e$
print$

W32/SoberD

Virus Tanımı :
Toplu e-posta atan bir virustur. Ancak bazı surumleri virus icermeyen bozulmuş dosyalar gondermektedir.

Aşağıdaki ozelliklerde geliyor:

Kimden:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
*][email protected]
[email protected]

Konu:
Microsoft Alarm: Bitte Lessen!
Microsoft Alert: Please Read!

Metin:
Mydoom virusunun yeni bir varyantından bahsediyor.

Eklenti:
sys-patch
MS-UD
MS-Security
Patch
Update
MS-Q

.exe ya da .zip uzantılı.

Belirtiler:

Aşağıdaki dosyaların varlığı.
diagwinhost.exe
Humgly.lkur
Htemp32x.data
Hwintmpx33.dat
Hyfjq.yqwm
Hzmndpgwf.kxx

Etkileme Yontemi:
E -posta eklentisinin calıştırılıması.

Teknik ozellikler:

Virus calıştırıldığında:
Kendisini %System%\diagwinhost.exe olarak kopyalıyor.
Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
%System%\temp32x.data
%System%\wintmpx33.dat
%System%\mslog32.dll
%System%\Humgly.lkur
%System%\yfjq.yqwm
%System%\zmndpgwf.kxx

Windows acıldığında kod calışması icin aşağıdaki değeri
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run\disc32data "spool32" = %SYSDIR%\diagwinhost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
RunOnce "diagdir" = %SYSDIR%\diagwinhost.exe %1

Aşağıdaki mesajı goruntuluyor.
This patch has been successfully installed.
This patch does not need to be installed on this system.
Microsoft Windows
STOP: 0x80070725
System File [filename].exe
Connection lost or blocked by Firewall

Aşağıdaki dosyalardan e-posta adresleri topluyor ve %system%\mslog32.dll dosyasına kaydediyor.
.abd
.adb
.asp
.dbx
.doc
.eml
.ini
.log
.mdb
.php
.pl
.rtf
.shtml
.tbb
.ttt
.txt
.wab
.xls

W32/Bagle.E

Virus Tanımı

Toplu e-posta gonderen bir virustur. 25 Mart 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir cok veri girmekte ve uzaktan web sitelerine bağlanmaktadır.Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine gondermektedir.

Konu:
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he

Mesaj iceriği
Boş

Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb

Belirtiler:
2745 TCP portunun acık olması

Etkileme Yontemi:
E-posta eklentisinin calıştırılıması.

Teknik ozellikler:

Virus calıştırıldığında:
Sistem zamanın 24 Mart 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki gunlerde bir şey yapmıyor.
Kendisini %system%\i1ru74n4.exe olarak kopyalıyor.
notepad.exe'yi calıştırıyor.
Windows acıldığında kod calışması icin aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, rate.exe"="%System%\i1ru74n4.exe
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "uid" = "[Random Value]"
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "port"="2745"
HKEY_CURRENT_USER\SOFTWARE\DateTime4, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki dosyalardan e-posta adresleri topluyor.
.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.adb
.sht
Yukarda belirtilen yapıda e-posta hazırlıyıp gonderiyor.
Aşağıdaki sitelerden rastgele sectiği birisine bağlantı kurmaya calışıyor.
permail.uni-muenster.de
www.songtext.net/de
www.sportscheck.de
Aşağıdaki antivirus guncellemelerini saplayan surecleri durduruyor.
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE

W32/Netsky.B

Virus Tanımı:

Toplu e-posta gonderen bir virustur. P2P paylaşımıyla da yayılmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine gondermektedir.

Kimden:
etkilenmiş makineden toplanmış e-posta adreslerinden yaratılmış e-posta adresleri
[email protected]

Konu:
fake
for
hello
hi
immediately
information
it
read
something
stolen
unknown
warning
you

Mesaj iceriği:
about me
anything ok?
do you? that's funny
from the chatter
greetings
here
here is the document.
here it is
here, the cheats
here, the introduction
here, the oooooos
i found this document about you
I have your password!
i hope it is not true!
i wait for a reply!
i'm waiting ok
information about you
is that from you?
is that true?
is that your account?
is that your name?
kill the writer of this document!
my hero
read it immediately!
read the details.
reply
see you
something about you!
something is fool
something is going wrong
something is going wrong!
stuff about you?
take it easy
that is bad
thats wrong why?
what does it mean?
yes, really?
you are a bad writer
you are bad
you earn money
you feel the same
you try to steal
your name is wrong

Eklenti:
"Eklenti" isimleri de değişken olmaktadır ancak iki uzantılıdır.

Belirtiler:
Beklenmeyen ağ trafiği

Etkileme Yontemi:
E-posta eklentisinin calıştırılıması.

Teknik ozellikler:

Virus calıştırıldığında:
Kendisini %Windir%\services.exe olarak kopyalıyor.
Windows acıldığında kod calışması icin aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, "service" = "%Windir%\services.exe -serv"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki kayıt dosyalarından.
"Taskmon" ve "Explorer" değerlerini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunServices
"KasperskyAV" ve "System." değerlerini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
W32/Mydoom arka kapısını kapatmak icin
HKEY_CLASSES_ROOT\CLSID\\InProcServer32
siliyor
Aşağıdaki dosyalardan e-posta adresleri topluyor.
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml
Yukarda belirtilen yapıda e-posta hazırlıyıp gonderiyor.
"C"den "Z"ye kadar tum suruculeri tarıyıp "Sharing" veya "Share" isimli dizin arıyor. Eğer surucu CDROM değilse kendisini ağağıdakşi isimlerle dizine kopyalıyor.
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.ooooo.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
oooooo.txt.exe
office_ooooo.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 ooooo.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_ooooo.exe

W32/Mydoom

Virus Tanımı :

Toplu e-posta atan bir virustur.

Kimden:

Konu:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Metin:

Eklenti:
doc.bat
document.zip
message.zip
readme.zip
text.pif
hello.cmd
body.scr
test.htm.pif
data.txt.exe
file.scr

Belirtiler:
Aşağıdaki kayıt(registry) dosyalarının varlığı
Anlamsız eklentinin iceriği

Etkileme Yontemi:
E-posta eklentisinin calıştırılıması sonucu kendi SMPT motoru yardımı ve P2P paylaşımları yoluyla yayılıyor.

Teknik ozellikler:

Virus calıştırıldığında:
aşağıdaki dosyaları yaratıyor.
"shimgapi.dll" %System% dizininde.
"Message" %temp% dizinde. Notepad tarafından acılan tamamen tesadufi karakterlerden oluşmuş bir metindir.
"taskmon.exe" %System% dizinde. Başka bir taskmon.exe varsa uzerine yazıyor.
shimgapi.dll arka kapı olarak calışan proxy programıdır.
Shimgapi.dll EXPLORER.EXE tarafından calıştırılması icin aşağıdaki kayıt (registry key) anahtarları girilir:
HKEY_CLASSES_ROOT\CLSID\\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
Windows acıldığında kod calışması icin aşağıdaki değeri;
TaskMon = %System%\taskmon.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run
Aşağıdaki kayıt dosyalarını yaratır:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
Explorer\ComDlg32\Version
KEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Explorer\
ComDlg32\Version
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".htm"
".sht"
".php"
".asp"
".dbx"
".tbb"
".adb"
".pl"
".wap"
".txt"
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gonderiyor.
Aşağıdaki sitelerden rastgele sectiği birisine DoS (Denial of Service) saldırısı yapıyor.
www.sco.com
%KaZaA dizinine iki dosya daha yaratıyor.
winamp5
icq2004-final
activation_ooooo
strip-girl-2.0bdcom_patches
rootkitXP
office_ooooo
nuke2004
aşağıdaki uzantlarla
pif
scr
bat
exe

W32/Bagle.A

Virus Tanımı:

Toplu e-posta gonderen bir virustur. 28 Ocak 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir cok veri girmekte ve uzaktan web sitelerine bağlanmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine gondermektedir.

Konu:
Hi

Mesaj iceriği:
Test =) Rastgele karakterler Test, yep.

Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb

Belirtiler:
6777 TCP portunun acık olması
bbeagle.exe dosyasını Sistem dizinide bulunması.
Etkileme Yontemi:
E-posta eklentisinin calıştırılıması.

Teknik ozellikler:

Virus calıştırıldığında:
Sistam zamanın 28 Ocak 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki gunlerde bir şey yapmıyor.
Kendisini %system%\bbeagle.exe olarak kopyalıyor.
Calc.exe'yi calıştırıyor.
Windows acıldığında kod calışması icin aşağıdaki değerleri;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Run, "d3update.exe" = "%system%\bbeagle.exe"
HKEY_CURRENT_USER\Software\Windows98, "uid" = "[Random Value]"
HKEY_CURRENT_USER\Software\Windows98, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".wab"
".txt"
".htm"
".html"
Yukarda belirtilen yapıda e-posta hazırlıyıp gonderiyor.
Aşağıdaki sitelerden rastgele sectiği birisine bağlantı kurmaya calışıyor.
www.elrasshop.de
www.it-msc.de
www.getyourfree.net
www.dmdesign.de
64.176.228.13
www.leonzernitsky.com
216.98.136.248
216.98.134.247
www.cdromca.com
www.kunst-in-templin.de
vipweb.ru
antol-co.ru
www.bags-dostavka.mags.ru
www.5x12.ru
bose-audio.net
www.sttngdata.de
wh9.tu-dresden.de
www.micronuke.net
www.stadthagen.org
www.beasty-cars.de
www.polohexe.de
www.bino88.de
www.grefrathpaenz.de
www.bhamidy.de
www.mystic-vws.de
www.auto-hobby-essen.de
www.polozicke.de
www.twr-music.de
www.sc-erbendorf.de
www.montania.de
www.medi-martin.de
vvcgn.de
www.ballonfoto.com
www.marder-gmbh.de
www.dvd-filme.com
www.smeangol.com

W32/SoberA

Virus Tanımı :

Toplu e-posta atan bir virustur.

Aşağıdaki ozelliklerde geliyor:

Kimden:
Değişken

Konu:
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr gehort!
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Uberraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, it's enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
RE: Sex
Sorry, I've become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise
I've become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
I love you (I'm not a virus!)

Metin:
Değişken, ancak genelde Odin isminde başka bir virusten bahsediyor

Eklenti:
.pif
.scr
.bat
.com
.exe

Belirtiler:
Aşağıdaki dosyaların varlığı.
Media.dll
Similare.exe

Etkileme Yontemi:
E-posta eklentisinin calıştırılıması.

Teknik ozellikler:

Virus calıştırıldığında:
Kendisini %System%\Similare.exe olarak kopyalıyor.
Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
%SysDir%\WINREG.EXE
%SysDir%\FILEXE.EXE
%SysDir%\ANTIV.EXE
%SysDir%\SYSTEMINI.EXE
%SysDir%\DRIVERINI.EXE
%SysDir%\SYSTEMCHK.EXE
Windows acıldığında kod calışması icin aşağıdaki değeri;
" Belirtilen dosyalardan birisi" = "Belirtilen konumlardan birsi"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\
Run
Aşağıdaki dosyalardan e-posta adresleri topluyor ve aşağıdaki dosyaya kaydediyor.
%System%\Macromed\Help\Media.dll

W32/MimailC

Virus Tanımı :

Toplu e-posta atan bir virustur.

Aşağıdaki ozelliklerde geliyor:

Kimden:
[email protected] alan adı

Konu:
our private photos (Bir miktar boşlıktan sonra bir kac karakter daha)

Eklenti:
PHOTOS.ZIP (12,958 bytes) (PHOTOS.JPG.EXE (12,832 bytes) dosyasını iceriyor)

Metin:
Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James.

Belirtiler:
vEXE.TMP ve ZIP.TMP dosyalarını varlığı
Guvenllik duvarının NETWATCH.EXE Internet bağlantı kurmaya calışıyor alarmı vermesi.
Yuksek olcekte uzaktaki sunucunun 80.portuna doğru veri akışı.

Etkileme Yontemi:
E-posta eklentisinin calıştırılıması

Teknik ozellikler:

Virus calıştırıldığında:
Kendisini %Windir%\Netwatch.exe olarak kopyalıyor.
Windows acıldığında kod calışması icin aşağıdaki değeri; "NetWatch32" = "%Windir%\netwatch.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".bmp"
".jpg"
".gif"
".exe"
".dll"
".avi"
".mpg"
".mp3"
".vxd"
".ocx"
".psd"
".tif"
".zip"
".rar"
".pdf"
".cab"
".wav"
".com"
Topladığı e-posta adreslerini %Windir%\eml.tmp dosyasına yazıyor.
Internet bağlantısı olup olmadığını kontrol etmek icin www.google.com adresine bağlantı kurmayı deniyor.
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gonderiyor.
Aşağıdaki sitelerden rastgele sectiği birisine DoS (Denial of Service) saldırısı yapıyor.
www.darkprofits.net
www.darkprofits.com
%Windir% dizinine iki dosya daha yaratıyor.
zip.tmp
Exe.tmp

W32/Holar

Virus Tanımı :

Toplu e-posta gonderen Internet solucanı, P2P dosya paylaşımları yoluyla da yayılmaktadır.

E-posta Aşağıdaki ozelliklerde geliyor:

Kimden:
[email protected]

Konu:
Bir cok değişik konu ve icerik oluşturabilmekte, bir ornek vermek gerekirse

Virus Alert ! Dear User, McAfee.com Has recieved an infected message from you .
We believe that you are infected with Win32/[email protected] Virus.
Please download the attached tool (ToolAv01w32) which will help you to clean your PC.
For more information : *Create an email addressed to [email protected].
Your name, phone number, address, and email address
Operating system: Antivirus program: Anti virus engine version (e.g. 4.1.20) DAT file version (e.g. 4.0.4140) Browser version Nature of problem

Eklenti:
Değişik eklenti isimleri kullanmakta;
Aint_it_Funny.pif
AniMaL_N_Burning_Ladies.pif
Beauty_VS_Your_FaCe.pif
Broke_ass.pif
Come_2_Cum.pif
Endless_life.pif
Famous_PpL_N_Bad_Setuations.pif
Gurls_Secrets.pif
HAwa.pif
HaWawi_N_Hawaii.pif
Hearts_translator.pif
Hot_Show.pif
How_to_improve_ur_love.pif
Leaders_Scandals.pif
Lo0o0o0o0oL.pif
Real_Magic.pif
Shakiraz_Big_ass.pif
Short_vClip.pif
Sweet_but_smilly.pif
Tears_of_Happiness.pif
Tedious_SeX.pif
Teenz_Raper.pif
The_Truth_of_Love.pif
ToolAv01w32.pif
unfaithful_Gurls.pif
White_AmeRica.pif
XxX_Mpegs_Downloader.pif

Metin:
Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James.

Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Virus tarafından yuklenmis sayac dosyasının kayıt dosyasın varlığı
HKEY_CURRENT_USER\DeathTime = %Run count%
Eğer sayac 30'u gecerse, yerel diskteki tum dosyları silmeye başlıyor ve bir cok mesaj kutusu acılıyor.
Etkileme Yontemi: E-posta eklentisi ya da KaZaa'dan indirilen dosya calıştırıldığında kendisini bilgisayara yukleyerek bulaşıyor

Teknik ozellikler:
Aşağıdaki dosyaları gizli olacak şekilde belirtilen yerlere kopyalıyor.
%windir%\explore.exe (24,064 bytes)
%windir%\SMTP.ocx (25,737 bytes)
Windows acıldığında kod calışması icin aşağıdaki değeri;
"Explore" = C:\WINDOWS\SYSTEM\EXPLORE.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
P2P dosya paylaşım programlarından olan KaZaa kullanılıyorsa
%windir%\SYSTEM klasorunu varsayılan paylaşım olarak acıyor.
Windows Adres Defterinden, kurabiye dosyalarından, Internet gecici dosyalarından ve kullanıcının ozel dosyalarından topladığı e-posta adreslerine kendi SMTP motorunu kullanarak e-posta gonderiyor.

W32/Mimail

Virus Tanımı :

Toplu e-posta atan bir virustur.

Aşağıdaki ozelliklerde geliyor:

Kimden:
[email protected] alan adı

Konu:
e-posta adresiniz

Eklenti:
message.zip

Metin:
Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. --- Best regards, Administrator

Belirtiler:
videodrv.exe dosyasını varlığı
eml.tmp dosyasını varlığı
exe.tmp dosyasını varlığı
zip.tmp dosyasını varlığı

Etkileme Yontemi:
E-posta eklentisinin calıştırılıması.

Teknik ozellikler:

Virus calıştırıldığında:
Kendisini %Windir%\Wideodrv.exe olarak kopyalıyor. Windows acıldığında kod calışması icin aşağıdaki değeri; "VideoDriver"="%Windir%\videodrv.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".bmp"
".jpg"
".gif"
".exe"
".dll"
".avi"
".mpg"
".mp3"
".vxd"
".ocx"
".psd"
".tif"
".zip"
".rar"
".pdf"
".cab"
".wav"
".com"
Topladığı e-posta adreslerini eml.tmp dosyasına yazıyor.
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gonderiyor.
Message.zip dosyası Message.htm dosyasını iceriyor.
Calıştırıldığında MS02-15 ve MS03-14 acıklarından yararlanarak Foo.exe solucanını bir kopyasını Temporary Internet Files dizinine kopyalıyor. HTML calıştırıldığında kayıt dosyalarında aşağıdaki değişikliği yapıyor.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\ %Windir% dizinine iki dosya daha yaratıyor.
zip.tmp
Exe.tmp

W32/Blaster

Belirtiler:
msblast.exe dosyasını varlığı RPC servisindeki hata mesajları TFTP dosyaların varlığı

Etkileme Yontemi:
Virus Microsoft Windows işletim sistemlerini MS03-026 aclığından faydalanarak yayılmaktadır.
Rastgele sectiği IP aralığında belirtilen acığı aramak icin ağ taraması yapıyor.
Guncellemesi yapılmamış sistemleri yukarda belirtilen yontemle etkiliyor

Korunma:
MS03-026 Microsoft acığından faydalanarak ağ ustunden yayılan bir virustur.
Virusten korunmak icin Windows guncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.
Teknik ozellikler:

Virus calıştırıldığında:
"Billy" isminde bir Mutex yaratıyor.
Windows acıldığında kod calışması icin aşağıdaki değeri;
"windows auto update"="msblast.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run TCP 135 porttan DCOM RPC zayıflığından yararlanan paketleri rastgele IP'lere gonderiyor.
Acıktan yararlanarak etkilene bilgisayar TCP 4444 portunu dinleyen gizli CMD uygulaması calıştırıyor.
Yeni etkilenen bilgisayara Msblast.exe dosyasın cekmesi icin komut gonderiyor.
UDP 69 portunu dinliyor.
Uygun paket geldiğinde Msblast.exe binary dosyasını calıştırıyor.
Sistem tarihi Ağustos 15 sonrasındaysa Microsoft Update'e Dos başlatıyor.

W32/Nachi

Belirtiler:
Belirtilen dosyaların varlığı

Etkileme Yontemi:
Virus Microsoft Windows işletim sistemlerini MS03-026 aclığından faydalanarak yayılmaktadır.
Rastgele sectiği IP aralığında belirtilen acığı aramak icin ağ taraması yapıyor.
Guncellemesi yapılmamış sistemleri yukarda belirtilen yontemle etkiliyor.

Korunma:
MS03-026 Microsoft bulteninde ve IIS 5.0 web sunucusu kullanan bilgisayarlarda da MS03-007 bulteninde belirtilen acıklardan faydalanarak ağ ustunden yayılan bir virustur.
Virusten korunmak icin Windows guncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.

Teknik ozellikler:

Virus calıştırıldığında:[list][*]Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%System%\Wins\Dllhost.exe %System%\Dllcache\Tftpd.exe dosyasını bir kopyasını %System%\Wins\svchost.exe isminde cıkarıyor.
Windows acıldığında kod calışması icin aşağıdaki değeri; RpcPatch RpcTftpd kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Aşağıdaki servisleri hazırlıyor
Servis Adı: RpcTftpd
Servis Gorsel Adı: Network Connections Sharing
Servis Binari: %System%\wins\svchost.exe Elle calıştırılacak şekilde bırakılıyor.
Servis Adı: RpcPatch
Servis Gorsel Adı: WINS Client
Servis Binari: %System%\wins\dllhost.exe Servis otomatik olarak calışıyor.
Msblast servisini sonlandırıyor ve %System%\msblast.exe dosyasını siliyor.
IP adresleri belirledikten sonra bilgisayarların calıtığını anlamak icin ICMP echo isteği ve PING paketleri gonderiyor.
TCP 135 porta DCOM RPC zayıflığından yararlanan ve TCP 80 porta WebDav zayıflığından yararlanan paketleri IP'lere gonderiyor.
Acıktan yararlanarak etkilenen bilgisayar TCP 666-765 port aralığında rastgele bir portu dinleyen gizli CMD uygulaması calıştırıyor.
Yeni etkilenen bilgisayara Dllhost.exe ve Svchost.exe dosyasın cekmesi icin komut gonderiyor.
İşetim sistemini ve guncellemelerini kontrol edip, DCOM RPC zayıflığı bulunuyorsa WindowsUpdate sitesine bağlanıp gerekli guncelleme dosyalarını indip calıştırıyor.
Guncelleme indildikten sonra aktif hale gelebilmesi icin bilgisayarı tekrar başlatıyor.
Sistem tarihi 2004 yılındaysa kendisini sistemden siliyor.

W32/Sobig.F

Virus Tanımı :

Toplu e-posta gonderen Internet solucanı;, dosya paylaşımları yoluyla da yayılmaktadır.

E-posta Aşağıdaki ozelliklerde geliyor:

Kimden:
[email protected] (not: virus değişik adresler de kullanabilyor.)

Konu:
Bir cok değişik konu oluşturabilmekte:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

Metin:
Please see the attached file for details
See the attached file for details

Eklenti:
Değişik eklenti isimleri kullanmakta;
application.zip (application.pif dosyasını icermekte)
details.zip (details.pif dosyasını icermekte)
document_9446.zip (document_9446.pif dosyasını icermekte)
document_all.zip (document_all.pif dosyasını icermekte)
movie0045.zip (movie0045.pif dosyasını icermekte)
thank_you.zip (thank_you.pif dosyasını icermekte)
your_details.zip (your_details.pif dosyasını icermekte)
your_document.zip (your_document.pif dosyasını icermekte)
wicked_scr.zip (wicked_scr.scr dosyasını icermekte)

Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı

Etkileme Yontemi:
E-posta eklentisi ya da dosya paylaşımları ile yayılıyor.

Teknik Ozellikler:

W32\SobigF calıştırıldığında:
Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%windir%\winppr32.exe
Aşağıdaki dosyaları yaratıyor:
%Windir%\winsst32.dat
Windows acıldığında kod calışması icin icin aşağıdaki değeri;
"TrayX"="%Windir%\winppr32.exe" /sinc
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Uygun şartlarda, virus, yazarı tarafında kontrol edilen sunucular bağlanıyor ve truva atı bileşenini nerden indireceği bilgisini alıyor. Ardında bileşeni indiriyor ve caılıtırıyor.
Internet solucanı 8998/udp portundan yazarı tarafından kontrol edilen sunuculara paket yoluyor
Sunucular cevap verirse ilgili truva atı bileşeni indiriyor ve calıştırıyor.
Aşağıdaki UDP portlarını acıyor.
995
996
997
998
999

WW32/Dumaru

Toplu e-posta gonderen Internet solucanıdır.

E-posta Aşağıdaki ozelliklerde geliyor:

Kimden:
"Microsoft" < [email protected] > Konu(Subject) Use this patch immediately !

Metin:
Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!

Eklenti:
patch.exe

Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı

Etkileme Yontemi:
E-posta eklentisi ya da dosya paylaşımları ile yayılıyor.

Teknik Ozellikler:

W32\Dumaru calıştırıldığında:
Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%Windir%\dllreg.exe %System%\load32.exe %System%\vxdmgr32.exe
Aşağıdaki dosyayı daha onceden tanımlanmış bir IRC sunucusuna bağlanıp, belli bir kanala giriş yapmak ve oradan gelecek komutları dinlemek icin yaratıyor:
%Windir%\windrv.exe Windows acıldığında kod calışması icin aşağıdaki değeri;
"load32" = "%Windir%\load32.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run win.ini dosyasını değiştiriyor. [windows] run=%Windir%\dllreg.exe
Aşağıdaki uzantılı dosyalardan e-posta adreslerini topluyor:
.htm
.wab
.html
.dbx
.tbb
.abd
Kendi SMTP motorunu kullanarak e-posta gonderiyor.

__________________