|
Yeni Virusler: Bilgi & Tanim
S.A
Arkadaslar Bu bölümde bundan sonra yeni çikan virusler hakkinda bilgi verecegiz. Sisteme nasil sizarlar, Zararlari nelerdir, En önemlisi Nasil Silinirler. Forum düzenini saglamak için lütfen bu kurala uyalim! Saygilar! elimdekileri sizle paylaşayım |
ISIM: NetSky.B
ALIAS: I-Worm.Moodown.B, W32/Netsky.B@mm, Moodown.B Tanim Moodown.B (Diger Adi: NetSky.B) solucani ilke kez 18 Subat 2004\'de görüldü. Bu virus Emaillerle birlikte Zip dosyasi olarak gelmekte, ve kendini sistemde ki tum paylasima açik dizin ve sürücülere kopyalamaktadir. Silme Yöntemi Nasil silinecigi hakkinda bilgi: |
Yaygin olarak kullanilan Anti-Virüs Programlari:
Norton Anti-virüs McAfee Antivirüs AVP Panda Anti-virüs Titanium F-prot Anti-virüs programlari hakkinda bilgi edinebileceginiz siteler: |
Troj/Prorat-D
Tanim Troj/Prorat-D trojani sisteminize uzaktan erisim saglanmasina neden olur. Troj/Prorat-D trojani kendi kopyalarini Windows System veya System32 dizinlerine FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE ve WSERVICE.EXE isimlerinden biri seklinde kaydeder. Troj/Prorat-D Kendisini çalistirmak için se registry de ekte belirtilen yerlere kendini yerlestirir : HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ Windows Reg Services = C:\<Windows System>\<DosyaAdi> HKCU\Software\Microsoft\Windows\CurrentVersion\Run \ Windows Reg Services = C:\<Windows System>\<DosyaAdi> HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell = Explorer.exe C:\<Windows System>\<DosyaAdi> HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run\ Windows Reg Services = C:\<Windows System>\<DosyaAdi> DirectX for Microsoft Windows = C:\<Windows System>\<DosyaAdi> HKLM\Software\Microsoft\Active Setup\Installed Components\ [A75aed00-d7bf-11d1-9947-00c0Cf98bbc9]\ StubPath = C:\<Windows System>\<DosyaAdi> HKLM\Software\Microsoft\Active Setup\Installed Components\ [5Y99AE78-58TT-11dW-BE53-Y67078979Y]\ StubPath = C:\<Windows System>\<DosyaAdi> Ayni zamanda dosyasinida bilgisayariniza indirir. Bu dosyada kendinisi Windows dizininde WINLOGON.EXE olarak degistirir ve WINKEY.DLL dosyasini kontrolu altina alarak registryde HKCU\Software\Microsoft DirectX\WinSettings\Troj/Prorat-C is embedded within WINKEY.DLL satirini ekler. Bununlada yetinmeyerek SYSTEM.INI ve WIN.INI dosyalarinda [boot] ve [windows] bolumlerinde dosya yoluna ait düzenlemeler yapar Örnek: Dosya : SYSTEM.INI Bölüm : boot Parametre : shell (Yeni) Deger : EXPLORER.EXE C:\<Windows System>\<DosyaAdi> Dosya : WIN.INI Bölüm : windows Parametre : run (Yeni) Deger : C:\<Windows System>\<DosyaAdi> Bunlar gibi bizim bilmedigimiz baska zararlarida olabilir. Korunmak için Virus programlarini update edebilirsiniz. Saygilar! |
Witty virüsü ISS ürünlerindeki ICQ parse açığını kullanıyor.
Virüs kendisini UDP port 4000 kaynak portundan rastgele bir hedef porta gidecek şekilde IP adreslerine gönderiyor. Virüs sadece hafızada duruyor, etkilenen bilgisayarda dosyalar yaratmıyor fakat sabit disklerde rastgele sektörlerin üzerine yazıyor. Bunun sonucunda da sistem düzgün çalışamıyor ve reboot işleminde mavi ekran\'a (BSoD) yol açabiliyor. Kaynakça: Etkilenen Sistemler Etkilenenler: BlackICE™ Agent for Server 3.6 ebz, ecd, ece, ecf BlackICE PC Protection 3.6 cbz, ccd, ccf BlackICE Server Protection 3.6 cbz, ccd, ccf RealSecure® Network 7.0, XPU 22.4 ve 22.10 RealSecure Server Sensor 7.0 XPU 22.4 ve 22.10 RealSecure Desktop 7.0 ebf, ebj, ebk, ebl RealSecure Desktop 3.6 ebz, ecd, ece, ecf RealSecure Guard 3.6 ebz, ecd, ece, ecf RealSecure Sentry 3.6 ebz, ecd, ece, ecf |
I-Worm.Cult
Bu worm bulaşmış olduğu mail adreslerini ve kazaa nın dosya paylaşım ağını kullanıyor ve üstüne üstlük backdoor bileşenleri içeriyor. Worm .exe uzantılı olup 13kb civarında Worm kendi çoğaltıp ismini winupdate.exe diye değiştiriyor ve regedit ayarlarını ona gore düzenliyor. örnek: HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce Microsoft auto update = winupdate.exe HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Microsoft auto update = winupdate.exe Bunun yanında kendi için registry key oluşturup bunu içinde saklıyor. örnek: HKLMSOFTWAREMicrosoftWDXDriver stv1= stv2= stv3= stv4= xdvd= Gösterdiği sahte uyarı mesajı ise; Application Error The instruction at |0x776456de| referenced memory at |0x623525dg3|. The memory could not be |read| Click on OK to terminate the application Mail dağılımındaki mesaj örneği: Konu: Hi, I sent you an eCard from BlueMountain.com Mesaj: To view your eCard, open the attachment If you have any comments or questions, please visit Thanks for using BlueMountain.com. Eklenmiş dosya: BlueMountaineCard.pif Worm sadece eklenmiş dosya açılırsa bulaşıyor ve kendini sisteme yayıyor. Kazaa daki dağılma örneği: Worm kendini windows a Kazaa adlı bir alt klasör diye tanımlayıp kendini kopyalıyor. Kopyalarının örnek isimler: "SMS_sender.exe" "DivX 5.03 Codecs.exe" "Download accelarator.exe" "PaintShop Pro 7 Crack_By_Force.exe" "ZoneAlarm Pro KeyGen.exe" Bu sahte Kazaa klasörü, Kazaa dosya paylaşımı için açılıyor ve su sayede diğer KAzaa kullanıcılarına yayılıyor Backdoor uygulaması IRC kanalına bağlanıp sahibinden gönderilen bazı komutları dinliyor örnek komutlar: - sistem bilgileri hakkında ayrıntılı rapor - URL den dosya yüklenmesi - dosya çalıştırma - gibi ... |
Yeni Posta Kurdu: Netsky.V
Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor. Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor. Bunun için de üreticinin geçtiğimiz Ekim ayında yayınladığı bir yama ile kapattığı Microsoft browserındaki bir güvenlik açığını kullanıyor. Kurt, yayılmak için bulaştığı bilgisayardaki posta adreslerini arıyor ve posta göndermek için de kendi SMTP motorunu kullanıyor. Sophos’un açıklamalarına göre virüslü e-postalar “Converting message. Please wait” veya “Please wait while loading failed message” gibi metinler içeriyor. Ayrıca bu zararlı, bulaştığı bilgisayarları kullanarak 22 ile 29 Nisan tarihleri arasında çeşitli paylaşım aracı istemcisi sunucularına saldırı yapacak. Özellikle , ve adresleri, çok sayıda sorgu gönderilerek yani “distributed Denial of Service” saldırısı ile çökertilmeye çalışılacak. |
Backdoor.Mosuck
Bu Backdoor’u tamamen silmek icin symantec tarafindan bir Tool gelistirilmistir. Backdoor zararlarini hepimiz biliyoruz. Burda anlatmaya gerek yok. Tool burdaki linktedir. |
Dikkat Yeni Virüs: W32/Bagle.z@MM
Virüs Belirtileri: Makinede TCP port 2535’in açılması/dinlenmesi. Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı Risk Seviyesi: Orta Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı Diğer isimleri: WORM_BAGLE.X (Trend Micro) Etkilediği sistemler: Windows 95, 98, ME, NT, 2000 ve XP Virüs Belirtileri: Makinede TCP port 2535’in açılması/dinlenmesi. Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı Risk Seviyesi: Orta Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı Diğer isimleri: WORM_BAGLE.X (Trend Micro) Etkilediği sistemler: Windows 95, 98, ME, NT, 2000 ve XP Bu toplu eposta atma solucanı (worm) aşağıdaki karakteristiklere sahip: * Mesajları göndermede kendi SMTP motorunu kullanıyor * Bulaştığı makinadan eposta adreslerini topluyor * Sahte From: (Gönderen) adresi oluşturuyor * Ek dosya şifreli bir zip dosyası olabiliyor (Şifre mesajın gövdesinde bulunuyor) * Uzaktan erişim bileşeni içeriyor (Virüs yazarını otomatik haberdar ediyor) * Kendi kopyalarını içinde shar kelimesi içeren klasörlere kopyalıyor (bazı genel peer-to-peer dosya paylaşım yazılımları bu tip klasörler kullanıyor. ör: KaZaa, Bearshare, Limewire) Çözüm: Virüsün sisteminize bulaştığından şüpheleniyorsanız ve sisteminizde bir antivirüs yazılımı yüklü değilse Network Associates’in color=#0000ffStinger aracını indirirek sisteminizi tarayabilirsiniz. Veya Trend Micro’nun ücretsiz online antivirüs tarama/temizleme aracı HouseCall’u kullanabilirsiniz: color=#0000ffhttp://housecall.trendmicro.com/housecall/start_corp.asp Antivirüs yazılımı kullananlar güncelleme yaptıktan sonra sistemlerini tarayabilirler. |
W32/Sasser.worm (Yüksek Risk)
Bu kendini yayan virüs Microsoft’un LSASS güvenlik açığını ( MS04-011) kullanıyor. Solucan avserve.exe dosyası ile yayılıyor. Diğer worm’ların (solucan) aksine eposta ile yayılmıyor. Makineye bulaşması için kullanıcı müdahelesi gerektirmiyor. Solucan etkilenen sistemlerin virüslü kodu indirerek çalıştırmasını sağlıyor. Semptomları: Virüs kendisini Windows klasörüne avserve.exe olarak kopyalıyor ve açılışta kendisinin otomatik olarak çalıştırılması için aşağıdaki registry anahtarını yaratıyor: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun "avserve.exe" = C:WINDOWSavserve.exe Solucan açık için rastgele IP adreslerini tarıyor. TCP port 5554’de FTP sunucusu olarak çalışıyor ve TCP port 9996’da remote shell açıyor. C sürücüsünün kök dizininde win.log isminde bir dosya yaratıyor. Bu dosya yerel makinenin IP adreslerini içeriyor. Virüsün kopyaları Windows System klasöründe #_up.exe olarak yaratılıyorlar. örnek: c:WINDOWSsystem3211583_up.exe c:WINDOWSsystem3216913_up.exe c:WINDOWSsystem3229739_up.exe Solucanın yan etkilerinden biri LSASS.EXE’nin çökmesi ve sonucunda makinenin reboot etmesi. Diğer İsimleri: W32.Sasser.Worm (Symantec) W32/Sasser.A (F-Secure) Çözüm: Microsoft Güvenlik Bülteni MS04-011’de belirtilen yamalar geçilmeli: Antivirüs yazılımları güncellenmeli. Antivirüs yazılımına sahip olmayanlar NAI firmasının Stinger aracını indirerek sistemlerini tarayabilirler ya da Trend Micro’nun ücretsiz online virüs tarama sayfasından sistemlerini tarayabilirler. Manuel korunma için ağ sınırlarında TCP portları 139, 445, 5554 ve 9996 bloklanmalı. Kaynakça: |
| Bütün Zaman Ayarları WEZ +3 olarak düzenlenmiştir. Şu Anki Saat: 08:48 . |
Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2025, vBulletin Solutions, Inc.
Dizayn ve Kurulum : Makinist