|
|
GÜVENLİK BİLGİLERİ & HABERLERİ Bilgisayar güvenliği hakkında tüm bilgileri burada bulabilirsiniz |
|
Seçenekler | Stil |
28.08.09, 20:54 | #21 |
Virüsün ismi : W32/Rbot-HE
Diğer ismi : Backdoor.Rbot.gen Yayılması : Network sistemler Çalıştığı sistem : Windows Yan Etkileri : =>> İnternet’den yaptığınız download’larda bilgisayarınıza zararlı code’ler indiriyor ve siz farkında olmuyorsunuz. =>> W32/Rbot-HE IRC ’deki acıkları bulup sizin network sisteminize bula$abiliyor. Bilgisayarınızın sistem dosyalarına zararlı code’ler (kodlar) bula$tırıyor. =>> sisteminizin güvenlik seviyesini düşürür. İlk Görüldüğü Zaman : 25 August 2004 20:24:44 Yayılması Seviyesi : Normal Kaynak : Sophos ww.uydulife.tv
|
|
28.08.09, 20:55 | #22 | |||||||||
Üye Numarası: 109
Üyelik tarihi: 20.08.2008
Yaşım: 42
Mesajlar: 5.693
Konular: 4141
Rep Gücü : 32
Rep Puanı : 1000
Rep Seviyesi :
Level: 53 [] Paylaşım: 132 / 1324 |
Virüsün ismi : W32/Rbot-HC
Diğer ismi : Backdoor.Rbot.gen Yayılması : Network sistemler İlk görüldüğü zaman : 25 August 2004 15:25:51 Çalıştığı sistem : Windows Yan etkileri : =>> Yukarıda yazdığım W32/Rbot-HE virüsünün bir deği$ik $eklidir. Çalı$ması ve yayılması aynıdır. =>> Sırayla tekrarlayacak olursak : Internet üzerinden yaptığınız download’larla bilgisayarınıza zararlı code’ler (kodlar) indirir böylece kendini çoğaltır. =>> Sisteminizi yava$latır. Yayılma seviyesi : Aktif - Normal ww.uydulife.tv
|
|||||||||
28.08.09, 20:56 | #23 | |||||||||
V.İ.P. ÖZEL ÜYE
Üye Numarası: 772
Üyelik tarihi: 15.04.2009
Yaşım: 31
Mesajlar: 84
Konular: 27
Rep Gücü : 16
Rep Puanı : 15
Rep Seviyesi :
Level: 8 [] Paylaşım: 0 / 178 |
hım gzl bilgi saol
ww.uydulife.tv
__________________
''Ne Mutlu TÜRKÜM Diyene!'' Vbulletin Site Tasarımı Yapılır. Mybb Site Tasarımı Yapılır Smf Site Tasarımı Yapılır Host Bulunur Domain Bulnur █║▌│ █║▌ ║││█║█║ © Copyright 2009-2010 ® All Rights Reserved..
|
|||||||||
28.08.09, 20:56 | #24 | |||||||||
Üye Numarası: 109
Üyelik tarihi: 20.08.2008
Yaşım: 42
Mesajlar: 5.693
Konular: 4141
Rep Gücü : 32
Rep Puanı : 1000
Rep Seviyesi :
Level: 53 [] Paylaşım: 132 / 1324 |
Virüsün ismi : W32/Forbot-E
Diğer ismi : WORM_SDBOT.SR Backdoor.Win32.Agent.cf Yayılması : Network sistemler Çalıştığı sistem : Windows İlk görüldüğü zaman : 26 August 2004 05:32:11 Etkileri : =>> Internet’den download yaptığınız zaman bilgisayarınızda arka kapılar acar böylelikle daha çabuk yayılır. =>> Kendini registry’e kaydeder. =>> Sisteminizin yava$lamasına neden olur. =>> Sisteminizin güvenliğini azaltır. Kaynak : Sophos ww.uydulife.tv
|
|||||||||
28.08.09, 20:56 | #25 | |||||||||
Üye Numarası: 109
Üyelik tarihi: 20.08.2008
Yaşım: 42
Mesajlar: 5.693
Konular: 4141
Rep Gücü : 32
Rep Puanı : 1000
Rep Seviyesi :
Level: 53 [] Paylaşım: 132 / 1324 |
Virüs nedir ? Trojan (Truva ati) nedir ?)
Virüsler, kendi kodlarını başka programlara veya program niteliği olan dosyalara bulaştırabilme özelliği olan (kendi kodunu kopyalayabilen) bilgisayar programlarıdır. Bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar. Belli bir amaca yönelik olarak yazılmış, zarar vermeye yönelik olabilecekleri gibi eğlence amacıyla da yazılmış olabilirler. Truva atları, virüslerden oldukça farklı bir yapıya sahiptir.Asla başka programlara bulaşmazlar. Belli olaylara bağlı olarak tetiklenen bir rutindirler. Kendilerini kopyalayamadıkları için bazı programların içine bilinçli olarak yerleştirilirler. Trojanlar, ilgi çeken, utility gibi programların içine yerleştirilirler. Trojan kodu, trojanın içine gizlendi?i programın yazarı tarafından yazılımı? olabilecegi gibi sonradan da programa eklenmemi ? olabilir.Trojanlar aslında kopya koruma amacıyla hazırlanırlar. Virüsler çoğunlukla Assembly gibi düşük seviyeli bir programlama dili ile yazılırlar.Bunun asıl 2 sebebi vardır. 1- Assembli’in çok güçlü bir dil olması 2- Yazılan programların derlendikten sonraki dosya boylarının çok küçük olması Bu özelliklerin her ikisi de virüs yazarlarının assembly dilini kullanması için yeterli ve gerekli sebeplerdir. Virüsleri özelliklerine göre sınıflandırma pek mümkün olmasa da aşağıdaki şekildeki gibi bir sınıflandırma yapmak yanlış olmayacaktır.Ancak pek çok virüs, pek çok özelliği bünyesinde barındırabilir.Bağlanmama hızını arttırabilmek amacıyla yapılan bu durum sonucu virüs, boot sektörlere, mbr kayıtlarına, programlara bulaşabilir. şimdi de bu virüs türlerinin izleyişlerine bakalım 1 - Disk virüsleri : a- Boot b- MBR 2 - Dosya virüsleri : a- Program (TSR ve nonTSR) b- Makro virüsleri 3- FlashBIOS virüsleri 1 - DiSK ViRÜSLERI Disk virüsleri, adından da anlaşılacağı üzere, disk ve/veya disketler üzerinde iletişim sistemi için özel anlamı olan bölgelere (boot sektör, MBR) yerle?en virüslerdir. Disk virüsleri, hakkında en çok yanlış bilginin olduğu virüs türüdür.Boot ve MBR virüsleri, aşağıda da göreceksiniz gibi işletim sisteminden önce hafızaya yüklenir.Bu yüzden işletim sistemini kolaylıkla atlatıp, Yukarıdaki şekilde de görüleceği gibi disk virüslerini boot ve MBR (partition) virüsleri olarak 2 gruba ayırtabiliriz . BOOT Virüsleri Boot virüslerinin ne olduğuna geçmeden önce boot sektör nedir, disk üzerinde nerede bulunur, önce bunlara bir bakalım; Boot sektör, bir diskin veya disketin işletim sistemini yüklemeye yarayan 1 sektör (512 byte) uzunlu?undaki bir programdır.Boot sektörler, disketlerde 0.cy iz, 0.cy kafa,1.ci sektör üzerinde bulunur. Hard disklerde ise boot sektörü 0.ci iz, 1.ci kafa ve 1.ci sektör üzerinde bulunur.Boot sektör, açılış için gerekli sistem dosyalarının yükleyen programdır.Aynı zamanda disk (veya disket) ile ilgili bilgileri saklar.DOS buradaki bilgileri kullanarak cılider hesaplarını yapar. Normal koşullarda, bilgisayar başlatabilecek durumdaki bir sistem disketini (virüssüz) sürücüye takip bilgisayarı açtığımızda da, bilgisayar ilk olarak disket sürücüye bakar.E?er sürücüde bir disket var ise bu disketin boot sektörü hafızanın 0000:7C00 (hex) adresine okunur ve okunan boot sektör çalıştırılır.Boot sektör, işletim sistemini yükleyerek denetimi işletim sistemine bırakır.Eğer bilgisayarı boot edecek disket bir boot virüsü içeriyorsa o zaman durum değişir.Bilgisayar, boot sektörü yine 0000:7C00 adresine okur ve akışı bu adrese yönlendirir.Disketten okunan boot kaydı, yapı olarak değiştirildiğinden dolayı, 0000:7C00’daki kod virüsü hafıza içine yükleyip, hafızadaki konumunu garanti altına alacaktır.Virüs aktivitesi için gerekli interrupt servislerini de kontrol altına aldıktan sonra orjinal boot kaydını okuyarak işletim sisteminin yüklenmesini saklayacaktır. MBR (Partition) Virüsleri MBR virüsleri esas olarak, boot virüslerinden pek de farklı değildir.Ancak can alıcı bir nokta vardır ki, bu boot ve mbr virüsleri arasındaki en önemli noktadyr. Hard diskler kapasite olarak çok farklı ve büyük kapasitede olduklarından diskin DOS’a tanıtılması amacıyla MBR - Master Boot Record (Ana açılı kaydı) denilen özel bir açılış programı içerirler.Bu kod diskin 0.cy iz, 0.cy kafa ve 1.ci sektörü üzerinde bulunur.Yani disketlerde boot sektörün bulunduğu konum, hard diskler için MBR yeridir.Master boot record, hangi disk partitionundan bilgisayarın açılacağını gösterir.Bu yüzden çok önemlidir.E?er bilgisayar hard diskten boot ediliyorsa, o takdirde mbr ve partition table okunur.Aktif partitiona ait boot sektör okunur.Bundan sonrası boot sektör kısmındaki sistemin aynısıdır. 2 - DOSYA ViRÜSLERi Dosya virüsleri açıkça anlaşılacağı gibi hedefi dosyalar olan virüslerdir.Dosya virüsleri çoğunlukla COM, EXE, SYS olmak üzere OVL, OVR, DOC, XLS, DXF gibi değişik tipte kütüklere bulaşabilirler. Makro virüsleri Makro virüsleri Word, Excel gibi programların makro dilleri ile (mesela VBA - Visual Basic for Applications) yazılırlar.Aktif olmaları bazı uygulamalara (word, excel vs) basit olduğundan program virüslerine oranla çok daha az etkilidirler. Program virüsleri Program virüsleri, DOS’un çalıştırılabilir dosya uzantıları olan COM ve EXE türü programlar başta olmak üzere SYS, OVL, DLL gibi değişik sürücü ve kütüphane dosyalarını kendilerine kurban olarak seçip bu dosyalara bulaşabilirler.Dosya virüsleri bellekte sürekli kalmayan (nonTSR) ve bellekte yerle?ik duran (TSR) olarak 2 tipte yazılırlar. nonTSR (Bellekte sürekli kalmayan) virüsler Bellekte sürekli olarak kalmazlar.Kodları oldukça basittir.Bellekte sürekli kalmayan virüsler sadece virüslü bir program çalıştırıldığında başka programlara bulaşabilirler.Virüslü program çalıştırıldığında programın başında program kontrolünü virüs koduna yönlendirecek bir takım komutlar bulunur.Virüs kontrolü bu şekilde ele aldıktan sonra virüs kendisine temiz olarak nitelendirilen virüssüz programlar aramaya koyulur.Bulduğu temiz programların sonuna kendi kodunu ekler ve programın başına da virüsün kontrolü ele alabilmesi için özel bir atlama komutu yerleştirir ve kendisine yeni kurban programlar arar.Virüs bulaşma i?ini bitirdikten sonra çalıştırmak istediğimiz program ile ilgili tüm ayarları düzenleyerek kontrolü konak programa devreder. TSR (Bellekte sürekli kalan) virüsler TSR virüsler yapı olarak TSR olmayan virüslerden çok farklıdır.TSR virüsler, 2 temel bölümden olu?urlar.1.ci bölüm; Virüsün çalışmasy için gerekli ayarlamaları yapar ve TSR olacak kodu aktifleştirir.2.bölüm TSR olan kodun kendisidir ve TSR virüslerin hayati önemdeki bölümüdür.Bu tip virüsler, çalışmak için sadece TSR olmakla kalmazlar.Aynı zamanda çeşitli Interruptlary (kesilmeleri) kontrol altına alırlar.Böylece DOS üzerinden yapılan işlemleri bile kontrol altına alabilirler.Örnek vermek gerekirse; TSR bir virüs DIR, COPY gibi DOS komutları ile yapılan -daha doğrusu yapılmak istenen- işlemleri kontrol altına alabilir.Kullanıcı DIR komutunu kullandığında dosya boylarının 0 olarak gösterilmesi, dosya boylarının eksik gösterilmesi gibi işlemler TSR bir virüs için çok kolaydır. 3 - FlashBIOS Virüsleri FlashBIOS virüsleri tekrar yazılabilir özellikteki BIOS chiplerine bulaşırlar Trojanın ismi : Troj/Agent-BX Diğer(takma) ismi : BackDoor.Agent.bx Çalıştığı sistem : Windows İlk görüldüğü zaman : 26 August 2004 09:21:07 Etkileri : =>> Bilgisayarınızda açıklar yaratır. =>> Bilgisayarınızdaki verileri deği$tirir. =>> Bilgisayarınızdaki bilgileri çalar. =>> Bilgisayarınıza uyumsuz veriler ekler. =>> Kendini registry’e kaydeder. =>> Sisteminizin güvenliği azaltır. Yayılma Seviyesi :Aktif - Normal Kaynak : Sophos ww.uydulife.tv
|
|||||||||
28.08.09, 20:57 | #26 | |||||||||
Üye Numarası: 109
Üyelik tarihi: 20.08.2008
Yaşım: 42
Mesajlar: 5.693
Konular: 4141
Rep Gücü : 32
Rep Puanı : 1000
Rep Seviyesi :
Level: 53 [] Paylaşım: 132 / 1324 |
Virüsün ismi : W32/Sdbot-OC
Diğer(takma) ismi : Worm.Win32.Donk.d WORM_SDBOT.SE Yayıldığı sistem : Network Çalıştığı sistem : Windows İlk görüldüğü zaman : 26 Ağustos 2004 15:00:44 Etkileri : =>> Bilgisayarınızdaki Anti-Virüs programının çalı$masını engeller,kapatır. =>> Bilgisayarınızda kendini çoğaltır ve açık kapılar yaratır. =>> Arama motorlarını kullanarak E-mail ile kendini çoğaltır. =>> Internet’den download ederek bilgisayarınıza zararlı kod(code)’ler indirir. =>> Kendini Registry’e kaydeder. =>> Sisteminizin güvenliğini azaltır. Risk seviyesi : Aktif - Normal ww.uydulife.tv
|
|||||||||
28.08.09, 20:58 | #27 | |||||||||
Üye Numarası: 109
Üyelik tarihi: 20.08.2008
Yaşım: 42
Mesajlar: 5.693
Konular: 4141
Rep Gücü : 32
Rep Puanı : 1000
Rep Seviyesi :
Level: 53 [] Paylaşım: 132 / 1324 |
W32.Kwbot.G.Worm
Tip:solucan Bulaştıgı boyut:250,500 bytes Etkiledigi sistemler:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me Etkilemedigi sistemler:Windows 3.x, Macintosh, OS/2, UNIX, Linux İlk görüldügü tarih:30 nisan 2003 genellikle exe uzantılı dosyalarda bulunmaktadır.. kaynak:sarc Virüsün ismi : W32/MyDoom-V Diğer(takma) ismi : .:: WORM_MYDOOM.GEN ::. I-Worm.Mydoom-t ::. W32/Mydoom.v@MM ::. Yayıldığı sistem : E-mail Çalıştığı sistem : Windows (2000/Xp) İlk görüldüğü zaman : 9 Eylül 2004 saat : 21:29:50 Seviyesi : Aktif - Normal Etkileri(kurdun): =>> Internet’den bilgisayariniza zararlı kod(code)ler indirir. Böylece bilgisayarinizda aciklar yaratır. =>> E-mail’inizde ki$ilere E-mail atarak kendini cogaltır. =>> Kendini registry’e kaydeder. =>> E-mail’inizin düzgün cali$masini engeller. Kaynak : Sophos ww.uydulife.tv
|
|||||||||
28.08.09, 20:59 | #28 | |||||||||
Üye Numarası: 109
Üyelik tarihi: 20.08.2008
Yaşım: 42
Mesajlar: 5.693
Konular: 4141
Rep Gücü : 32
Rep Puanı : 1000
Rep Seviyesi :
Level: 53 [] Paylaşım: 132 / 1324 |
Virüsün ismi : W32/Lovgate-X
Diğer(Takma) ismi : =>> I-Worm.LovGate.q =>> Win32/Lovgate.X =>> WORM_LOVGATE.Q Çalıştığı ve etkilediği sistem : Windows(98/2000/XP) İlk görüldüğü zaman : 25 Mart 2004 13:14:50 / 16 Eylül 2004 13:50:21 Seviyesi : Aktif - Yüksek Risk Etkileri : =>> E-mail ile ya da internet’den donwload ile bula$ıyor. =>> Internet’den kendini yaymak için zararlı kod’(Code)ler indiriyor. =>> E-mail’inizdeki ki$ilere Spam göndererek yayılıyor. =>> Sistem güvenliğini tamamen azaltıyor. =>> Exe. Dosyalarına bula$ıyor. =>> Kendini Registry’e kaydediyor. Kaynak: Sophos yukarıdaki link sophos virusleri hakkında bilgi içerir Trojan Nedir? Trojan (Truva atı); iki kısımdan olusan ve bilgisayarları uzaktan kumanda etme amaçıyla yazılmış programlardır.Bu program sayesinde windows kullanmaya yeni baslayan bir insan bile bilgisayarınızda bir cok yetkiye sahip olabilir.(Bilgisayranızı formatlamak,accountunuzu calmak...vs ).Bu tip programlar genelde kendini hacker sanan insanlar tarafından kullanılıyor ancak gercek hacker olupta bu trojanları kullanan insanlarda var fakat bu noktada olayın boyutu biraz degisiyor ornegin hackerlar internetteki trojan bulasmıs tum bilgisayarları (online olan) kullanarak buyuk sitelere D.O.S attack yapıyorlar boylece bu sitelere erisimi uzun bir sure engelleyerek siteleri buyuk zarara sokuyorlar. Bu programların birinci kısmı uzaktaki bilgisayarı kontrol etmeye yararken diger kısmı ise uzaktan yonetilecek bilgisayarla kontrol kısmı arasında bağlantı kurmasını saglayacak açıklık yaratır.Yani bizim problemimiz trojan programının bilgisayarımızda acık port bırakan kısmıyla ilgili olacak ve bunu nasıl egarte edecegimizi bu yazımızda isleyeceğiz. Trojanların Bilgisayarımıza Bulasmasını Engellemek: Oncelikle hiç bir trojan siz izin vermediginiz takdirde sizin bilgisayarınızda çalışmaz yani sizin tanımadıgınız kisilerden gelen hic bir dosyayı almayin boylece trojanlardan kurtulmus olursunuz.Fakat genelde trojan programları istenilen herhangi bir programın icerisine bulastırılabildigi icin siz farkında olmadan herhengi bir yerden yuklediginiz program icinde bilgisayarınıza trojan almış olabilirsiniz bunu engellemenin en iyi yolu antivirus programları kullanmaktan geciyor.Ornegin AVP programıyla bilgisayarınıza bulasan hem virusleri hemde trojanları engelleyebilirsiniz. Ozet olarak tanımadıgınız kisilerden (genlde irc ortamında ) herhengi bir dosya almayarak (ozellikle sonu ve .ini ve .exe olarak biten dosyaları) vede kaliteli bir antivirus programı ve firewall programı kurarak trojan tehlikesini buyuk olcude atlasmıs olursunuz. NOT: Antivirus programları genelde yeni cıkan trojan ve virusleri tanımazlar.Bu yuzden kurdugunuz antivirus programını web sayfasına duzenli olarak ziyaret edip programınızı update etmeyi unutmayın. Bilgisayarda Trojan olup olmadıgını nasıl anlarız: Bunu anlamanın bir cok yolu var ornegin: Bilgisayarmızda Kontrolumuz Dısında Calısmalar Oluyorsa: Internetteyken siz herhangi bir islem yapmamanıza ragmen bilgisayarınız bir seyler yuklemeye devam ediyor ,cd kapagınız acılıp kapanıyor , mouseunuzun isteginizin dısında hareket ediyor ,ekranınıza resim veya yazılar geliyorsa ..yani bilgisayrınızda sizin kontrolunuz dısında herhangi bir olay gerveklesiyorsa bilgisayranızda trojan vardır diyebiliriz ama yinede bu kesindir diye bir yargı verilemez Anti Trojan Programı kullanmak:Bir anti trojan programıyla bilgisayarınızı scan ederek bilgisayarımızdaki trojanları bulabiliriz ancak genelde yeni cıkan trojanlar genelde bu tip programlarla bulunamıyor bu yuzden surekli olarak programı resmi web sayfasından update eytmekte yarar var. Bilgisayarımızda baslat (start) tusundan programlar (programs) ordanda baslangıc (startup) tusuna bastıgımız zaman bilgisayarımızın acılısıyla birlikte calısan programları goruruz eger burda bizim kurmadıgımız herhangi ibr program varsa bu program bir trojan olabilir. Diger ve en kesin yontemlerden birisi ise dos moduna dusup komut satırında ntstat -a yazmaktır bu komut sizin bilgisayarınız internette kimlerle hangi porta baglı oldugunu gosterir eger bu program bilgisayarınızda calısmıyorsa herhangi bir problem yok eger ornegin 0.0.0.0:12345 gibi bir sonuc veriyorsa bilgisayarınızda netbus isimli bir trojan vardır.Bunu nerden anladın diyorsanız trojanlar bilgisayarımıza baglanmak icin bilgisayarımızda ki portları kullanırlar trojanlar arasından netbus ise bilgisayraımıza baglanmak icin 12345 portunu kullanır. Bilgisayara Bulasmıs Trojanı Temizlemek: Bilgisayarımıza bulasmis trojanı ik farklı yontemle temizleyebilriz : 1. TrojanCleaner Programı kullanarak bir cok trojanu bilgisayarımızdan temizleyebiliriz.Programı kullanımı cok basit biraz karıstırmayla kolayca kullanabilirisiniz 2.Yontem ise trojanları elle silmek diye tabir edebilicegimiz bir yontem bu yontemde trojanın eger biz bilgisayraımızdaki ismini ve regeditteki yerini biliyorsak kolayca ortadan kaldırabiliriz.Simdi bunu nasıl yapacagımızı ve yaparken nelere dikkat edecegimizi adım adım gorelim: Trojan temizliğine başlamadan önce, PC’nizdeki gizli ve sistem dosyalarınızın tümünü görünür hale getirin.Bunun için Windows Gezgini’nde Görünüm Klasör seçenekleri (View Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show All Filles) kutucuğunun işaretli olduğuna emin olun.Ayrıca altındaki "Bilinen Dosya Türlerinin Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız da yararınıza olacaktır. Bazı trojan’ların açıklamalarında aynı ada ve farklı dizine sahip birden fazla dosyanın silinmesi gerektiği yazmaktadır.Eğer söz konusu dosya dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır. Unutmayın ki, trojanların isimlerini ve diğer bilgilerini değiştirmek pek zor değildir.Burada verdiklerimiz, taşıdıkları orjinal özelliklerdir.Adı değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını inceleyebilirsiniz. Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli olun.Özellikle Registry, Windows için hayati önem taşır.Yanlış bir şey silmeniz sisteminizde aksıklıklara yol açabilir. TEMİZLİK ZAMANI ACID SHIVERS Port Numarası: 10520 Dosya Adı: "msgsvr16.exe" Boyutu: 186 kb Dizini: C:Windows 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "Explorer | msgsvr16.exe" kaydını sil. 2. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "Explorervmsgsvr16.exe" kaydını sil 3. PC’nizi MS-DOS kipinde başlatın. 4. C:Windowsmsgsvr16.exe" dosyasını silin. 5. PC’nizi yeniden başlatın. BACK ORIFICE Port Numarası: 31337 Dosya Adı: ".exe" Boyutu: 126 kb Dizini: C:Windowssystem 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices ".exe" kaydını silin 2. PC’nizi yeniden başlatın. 3. Windows Explorer’ı başlatın.Görünüm Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun. 4. "C:WindowsSystem.exe" dosyasını silin. 5. PC’nizi yeniden başlatın. BACKDOOR Port Numarası: 1999 Dosya Adı: "icqnuke.exe" Boyutu: 102 Kb Dizini: C:Windows, C:Windowssystem 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "icqnuke.exe." kaydını silin 2. PC’nizi MS-DOS kipinde başlatın. 3. "C:Windowsicqnuke.exe" ve "C:WindowsSystemicqnuke.exe" dosyalarını silin. 4. PC’nizi yeniden başlatın. BIG GLUCK Port Numarası: 34324 Dosya Adı: "bg10.exe" Boyutu: 100 Kb Dizini: C:Windows, C:Windowssystem 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "bg10.exe." kaydını silin. 2. PC’nizi MS-DOS kipinde başlatın. 3. "C:Windowsg10.exe" ve "C:WindowsSystemg10.exe" dosyalarını silin. 4. PC’nizi yeniden başlatın. BRADE RUNNER Port Numarası: 21,5400,5401,5402 Dosya Adı: "server.exe" Boyutu: 323 Kb Dizini: C:Windows, C:Windowssystem 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "server.exe." kaydını silin. 2. PC’nizi MS-DOS kipinde başlatın. 3. "C:Windowsserver.exe" ve "C:WindowsSystemserver.exe" dosyalarını silin. 4. PC’nizi yeniden başlatın. BUGS Port Numarası: 2115 Dosya Adı: "bugs.exe" Boyutu: 78 Kb Dizini: C:Windows, C:Windowssystem 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "bugs.exe." kaydını silin. 2. PC’nizi MS-DOS kipinde başlatın. 3. "C:Windowsugs.exe" ve "C:WindowsSystemugs.exe" dosyalarını silin. 4. PC’nizi yeniden başlatın. DEEP BACK ORIFICE Port Numarası: 31338 Dosya Adı: ".exe" Boyutu: 122 Kb Dizini: C:Windowssystem 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices ".exe" kaydını silin 2. PC’nizi yeniden başlatın. 3. Windows Explorer’ı başlatın.Görünüm Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun. 4. "C:WindowsSystem.exe" dosyasını silin. 5. PC’nizi yeniden başlatın. DEEP THROAT Port Numarası: 2140, 3150 Dosya Adı: "systempatch.exe" Boyutu: 255 Kb Dizini: ? 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun anahtarını açın. "systemDLL32 | systempatch.exe" kaydının işaret ettiği dizini bir kenara not aldıktan sonra söz konusu kaydı silin. 2. PC’nizi MS-DOS kipinde başlatın. 3. Not etmiş olduğunuz dizin altındaki "systempatch.exe" dosyasını silin.MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri kısaltılacağı için, "system~1.exe" veya benzeri ada sahip bir dosyayı aramalısınız.Eğer "system~" şeklinde başlayan birden fazla EXE dosyası varsa hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin. 4. PC’nizi yeniden başlatın. GIRLFRIEND Port Numarası: 21554 Dosya Adı: "windll.exe" Boyutu: ? Dizini: C:Windows 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "windll.exe" kaydını silin 2. PC’nizi yeniden başlatın. 3. "C:WindowsSystemwindll.exe" dosyasını silin. 4. PC’nizi yeniden başlatın. HACK A TACK Port Numarası: 31785, 31787 Dosya Adı: "expl32.exe" Boyutu: 236 Kb Dizini: C:Windows 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun"Explorer32.exe | C:Windowsexpl32.exe" kaydını silin. 2. PC’nizi MS-DOS kipinde başlatın. 3. "C:Windowsexpl32.exe" dosyasını silin. 4. PC’nizi yeniden başlatın. INIKILLER Port Numarası: 9989 Dosya Adı: "bad.exe" Boyutu: ? Dizini: C:Windows 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Explorer" kaydını silin. 2.PC’nizi yeniden başlatın. 3. "C:Windowsad.exe" dosyasını silin. 4. PC’nizi yeniden başlatın. MASTERS PARADISE Port Numarası: 3129, 40421, 40422,40423, 40426 Dosya Adı: "sysedit.exe", "keyhook.dll" Boyutu: ? Dizini: C:Windows Port Numarası: 20034 Dosya Adı: "NBSvr.exe" Boyutu: 599 Dizini: C:Windows, "C:WindowsSystem 1.PC’nizi yeniden başlatın. 2. "C:Windowssysedit.exe" ve "C:Windowskeyhook.dll" dosyalarını silin. 3. PC’nizi yeniden başlatın. 4. Gerçek "sysedit.exe" dosyasını Windows CD’nizden veya güvendiğiniz bir arkadaşınızdan tekrar yükleyin. NETBUS PRO Port Numarası: 20034 Dosya Adı: "NBSvr.exe" Boyutu: 599 Dizini: C:Windows, "C:WindowsSystem 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "NetBus Server Pro | nbsvr.exe" kaydını silin. 2. Registry’nizdeki HKEY_CURRENT_USERNetBus Server anahtarını silin. 3. PC’nizi MS-DOS kipinde başlatın. 4. "C:WindowsNBHelp.exe" , "C:WindowsNBHelp.dll", "C:WindowsLog.txt" dosyalarını silin.(Aynı dosyalar "C:WindowsSystem dizininde de olabilir.) 5. PC’nizi yeniden başlatın. NETBUS Port Numarası: 12345, 12346 Dosya Adı: "patch.exe" Boyutu: 470 Kb Dizini: "C:WindowsSystem 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "patch.exe." kaydını arayın.Söz konusu kaydı bulamazsanız trojan’ın adı değiştirilmiş demektir.Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve "C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın.470 KB boyutunda olan dosya, adı değiştirilmiş NetBus trojanıdır.Registry kaydını silin. 2. Bir MS-DOS Komut İstemi penceresi açın ve "C:WindowsSystempatch.exe/remove" komutunu kullanın.(Trojanın adı değiştirilmişse, patch.exe yerine PC’nizdeki adını yazın.) 3. "C:WindowsSystempatch.exe" dosyasını silin. NETSPHERE Port Numarası: 30100, 30101, 30102 Dosya Adı: "nssx.exe" Boyutu: 640 Kb Dizini: "C:WindowsSystem 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "NSSX | "C:WindowsSystem ssx.exe" kaydını silin. 2. PC’nizi MS-DOS kipinde başlatın. 3. "C:Windows ssx.exe" dosyasını silin. 4. PC’nizi yeniden başlatın. SUBSEVEN Port Numarası: 1243, 1999,6711, 6776 Dosya Adı: 1. Dosya: "server.exe", "rundll16.exe", "systray.dl", "Task_bar.exe" 2. Dosya: "FAVPNMCFEE.dll", "MVOKH_32.dll", "nodll.exe", "watching.dll" Boyutu: 328 Kb, 35 Kb Dizini: C:Windows, C:WindowsSystem 1. C:WindowsSystemSysEdit.exe" dosyasını çalıştırın.SYSTEM.INI dosyasının [boot] bölümündeki "sheel=Explorer.exe" satırını inceleyin.Satırın sagına yukarıda adı gecen dosya adlarından biri eklenmisse,dosya adını bir kenara not edin ve satırı "shell=Explorer.exe" haline getirin. 2. Aynı penceredeki WIN.INI dosyasını [windows] bolumunde "run=" ve "load=" diye baslayan satırları inceleyin.Soz konusu satırlardan biri yukardaki adı geçen dosyalardan birini işaret ediyorsa, dosya adını ot edin ve silin. 3. Yapmıs oldugunuz degisiklikleri kaydetip "sysedit" penceresini acın. 4. Registiey’deki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun anahtarını inceleyin ve yukarıda adı gecen dosyalara isaret eden kayıtları silin.Herhangi bir kayıt bulamazsanız trojanın adı değiştirilmiş demektir.Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:Windows dizinindeki EXE dosyalarıyla karşılaştırın.328 Kb boyutunda olan dosya, adı değiştirilmiş SubSeven trojanıdır.Registry kaydını silin. 5. PC’nizi yeniden başlatın. 6. C:Windows dizinindeki trojan dosyasını silin. WINCRASH Port Numarası: 5742 Dosya Adı: "server.exe" Boyutu: 290 Kb Dizini: "C:WindowsSystem 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "MsManager | SERVER.EXE" kaydını silin. 2. PC’nizi MS-DOS kipinde başlatın. 3. "C:WindowsSystemserver.exe" dosyasını silin. 4. PC’nizi yeniden başlatın. ww.uydulife.tv
|
|||||||||
28.08.09, 21:00 | #29 | |||||||||
Üye Numarası: 109
Üyelik tarihi: 20.08.2008
Yaşım: 42
Mesajlar: 5.693
Konular: 4141
Rep Gücü : 32
Rep Puanı : 1000
Rep Seviyesi :
Level: 53 [] Paylaşım: 132 / 1324 |
Nisan Ayının Şampiyon (!) Virüsü: Netsky
MailWatch, Nisan 2004’te 7 milyonun üzerinde virüsü bloke etti. Nisan ayında en sık rastlanan virüs türü Netsky oldu. Dünya çapında kurumsal iletişim ağlarını istenmeyen mesajlara ve virüslere karşı koruyan MailWatch, Nisan 2004’te kurumsal müşterileri adına bloke ettiği virüsleri açıkladı. Nisan ayında 228 milyondan fazla e-posta tarandı. Bu rakam, Mart ayına oranla % 16’lık bir artış olduğunu gösteriyor. MW ayrıca, yalnızca 24 saat içinde 8,24 milyon e-postayı tarayarak 8 milyon sınırını aşmayı başardı. MailWatch, Nisan ayında toplam 7.213.484 virüsün kurumsal bilgisayarlara girmesini önledi. Mart ayında olduğu gibi, Nisan’da da en yaygın görülen virüs Netsky oldu. Nisan ayında durdurulan ilk 10 virüs şöyle: Virüsün Adı Vaka Adedi W32/Netsky.p@MM 2.332.885 W32/Netsky.d@MM 1.415.713 W32/Netsky.p@MM!zip 877.167 W32/Netsky.t@MM 749.967 W32/Netsky.s@MM (ED) 420.525 W32/Netsky.s@MM 405.848 W32/Netsky (ED) 276.101 W32/Netsky.q@MM 254.722 W32/Netsky.b@MM 241.941 W32/Netsky.c@MM 238.615 Toplam 7.213.484 EasyLink Ürün Pazarlama Başkan Yardımcısı Bill Fallon konuyla ilgili bir açıklama yaptı: "Nisan 2004, Netsky ve türevlerinin yoğun biçimde gözlendiği bir ay oldu. Halen İnternet’te 25 farklı Netsky versiyonu var. Tahminlerimize göre bu virüs yaz aylarında da etkisini koruyacak. Günümüzün İnternet’e dayalı iş uygulamalarında istenmeyen e-postalar ve virüsler büyük maliyetler yaratıyor. Fakat MailWatch çözümleri sayesinde bu maliyetlerde önemli düşüşler sağlanabiliyor.” Merkezi New Jersey’de bulunan EasyLink, şirketlerin, ticari ilişkide bulundukları topluluklar ve müşterileri ile olan bilgi alışverişini güçlendiren hizmetler sunmaktadır. EasyLink ağı, global ekonomide para, mal, ürün ve insan hareketleri kapsamında gerçekleşen sigorta talepleri, ticaret ve seyahat onayları, satın alma siparişleri, faturalar, sevk ihbarları ve fon transferleri gibi birçok işlemin yapılmasını kolaylaştırmaktadır. EasyLink, şirketlere, işlerini güvenli, etkili ve esnek ortamlarda elektronik olarak yapma ve rekabet güçlerini artırma imkanı sunmaktadır. kaynak:teknoloji merkezi VIRUS:W32/Bagle.z@MM Risk Seviyesi: Orta Belirtileri: Makinede TCP port 2535’in açılması/dinlenmesi Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı Diğer isimleri: WORM_BAGLE.X (Trend Micro) Etkilediği sistemler: Windows 95, 98, ME, NT, 2000 ve XP Bu toplu eposta atma solucanı (worm) aşağıdaki karakteristiklere sahip: * Mesajları göndermede kendi SMTP motorunu kullanıyor * Bulaştığı makinadan eposta adreslerini topluyor * Sahte From: (Gönderen) adresi oluşturuyor * Ek dosya şifreli bir zip dosyası olabiliyor (Şifre mesajın gövdesinde bulunuyor) * Uzaktan erişim bileşeni içeriyor (Virüs yazarını otomatik haberdar ediyor) * Kendi kopyalarını içinde shar kelimesi içeren klasörlere kopyalıyor (bazı genel peer-to-peer dosya paylaşım yazılımları bu tip klasörler kullanıyor. ör: KaZaa, Bearshare, Limewire) Çözüm: Virüsün sisteminize bulaştığından şüpheleniyorsanız ve sisteminizde bir antivirüs yazılımı yüklü değilse Network Associates’in color=#0000ff Stinger aracını indirirek sisteminizi tarayabilirsiniz. Veya Trend Micro’nun ücretsiz online antivirüs tarama/temizleme aracı HouseCall’u kullanabilirsiniz: Antivirüs yazılımı kullananlar güncelleme yaptıktan sonra sistemlerini tarayabilirler. VIRUS : W32.Sober.D@mm Diğer İsimleri: Win32.Sober.D [Computer Associates], W32/Sober.d@MM [McAfee], WORM_SOBER.D [Trend] Tip: Worm (Solucan) Etkilenen Sistemler: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Etkilenmeyen SistemlerOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x Visual Basic kullanılarak yazılmış olan W32/Sober.d@MM’nin karakteristik özellikleri aşağıda belirtilmiştir: • Kendisine ait SMTP motoru • Kaynak ve hedef eposta adresleri kurbanın bilgisayarından toplanmaktadır • Mesaj Microsoft tarafindan gönderilmiş bir yama içerdigini iddia etmektedir (İngilizce ve Almanca) • Eposta yayılması Gönderilen epostalar İngilizce ve Almanca içerikli olabilir. Alıcının eposta adresinin bitiş uzantısı mesajın içeriğinin dilini tanımlamak için kullanılmaktadır. Alıcının adresi aşağıdaki uzantıları içeriyorsa eposta Almanca ulaşacaktır: • .de • .ch • .at • .li • @gmx Eposta Microsoft’un W32/Mydoom@MM virüsü için çıkardığı yamayı içerdigini iddia etmektedir. Aşagıda bazı örnekler belirtilmektedir: Gönderen (From): (Gönderen)@microsoft.(ulke ) Gönderen aşağıdaki listelerden alınır: • Info • Center • UpDate • News • Help • Studio • Alert • Security Ülke aşağıdaki listeden seçilir: • de (for messages in German) • at (for messages in German) • com (for messages in English) Konu (Subject): Değişkendir, Alman ve İngiliz alıcılar için cümle aşağıdaki gibi başlamaktadır. • Microsoft Alarm: Bitte Lessen! • Microsoft Alert: Please Read! İçerik: (Almanca) Neue Virus-Variante W32.Mydoom verbreitet sich schnell. Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet. Wie seine Vorg Zudem installiert er auf infizierten Systemen einen gefahrlichen Trojaner! Fuhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg. Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Sch +++ +++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1 +++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943 (İngilizce) New MyDoom Virus Variant Detected! A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet. Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus. The worm also has a backdoor Trojan capability. By default, the Trojan component listens on port 13468. Protection: Please download this digitally signed attachment. This Update includes the functionality of previously released patches. +++ +++ One Microsoft Way, Redmond, Washington 98052 +++ Restricted Rights at 48 CFR 52.227-19 com Ek Dosya (Attachment): .EXE veya .ZIP uzantılı olabilir. İsimler aşağıdaki listeden seçilir. • sys-patch • MS-UD • MS-Security • Patch • Update • MS-Q Kaynak: , , , Virüsün ismi : W32/Sasser-G Diğer(takma) ismi : Worm.Win32.Sasser.g Çalıştığı ve etkilediği sistem : Windows(98/2000/NT/XP) İlk görüldüğü zaman : 20 Eylül 2004 Saat : 10:56:41 Seviyesi : Aktif - Normal Bilgi : Bilinen Sasser virüslerinin son halkası. Worm’un etkileri : =>> Bilgisayarınızdaki yazılımları etkiliyor ya da deği$tiriyor. =>> Internet’den kendini yaymak için zararlı kod’(Code)ler indiriyor. =>> Sistem güvenliğini tamamen azaltıyor. =>> Exe. Dosyalarına bula$ıyor. =>> Kendini Registry’e kaydediyor. =>> Bilgisayarınızdaki bilgileri siliyor yok ediyor. =>> Bilgisayarınızdaki dosyaların isimlerini ve uzantılarını deği$tiriyor. Kaynak : Sophos ww.uydulife.tv
|
|||||||||
28.08.09, 21:01 | #30 | |||||||||
Üye Numarası: 109
Üyelik tarihi: 20.08.2008
Yaşım: 42
Mesajlar: 5.693
Konular: 4141
Rep Gücü : 32
Rep Puanı : 1000
Rep Seviyesi :
Level: 53 [] Paylaşım: 132 / 1324 |
Backdoor.Win32.Surila.k
Surila bir torjan olup, Visual C++ da yazılmıstır. Boyutu 244 kb ila 413 kb arasında değişmektedir. Surila bir kez calıstırıldıgında kendini windows sistem klasorune dx32cxlp.exe olarak kopyalar. Ve asagıdaki registry anahtarılarını yaratır; [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] devsec = %System%dx32cxlp.exe [HKLMSOFTWAREMicrosoftInternet Explorermutexname] burdaki mutexname rastgele bir degerdir ! ilk registry anahtarı sayesinde trojan her tekrar baslatmada otomatik yuklenmeyi saglar. ikinci ahantar ise sisteme kendini tanımlatır. Surila aynı zamanda baslangıc klasorune kendini kopyalar ve windows sistem dosayasında dx32cxconf.ini diye bir dosyada yaratır. Ve servis adı olarakta dx32cxel: %Systemdx32cxel.sys ni yaratır. Ve bilgisayarın internet baglantısında tam yetki için kendini windows FirewallPolicy içinde kayıt ettirir. Bu sayede internetten faydalanan yasal ve zararsız bir program gibi gorunur. Surila asagıdaki IRC serverları komut almak için dinler; 62.241.53.2:4242, 211.233.41.235:4661, 81.23.250.167:4242, 193.19.227.24:4661, 66.98.192.99:3306, 207.44.222.47:4661, 213.158.119.104:4661, 207.44.206.27:4661, 62.241.53.4:4242, 216.127.94.107:4661, 67.15.18.45:3306, 62.241.53.15:4242, 64.246.54.12:3306, 62.241.53.16:4242, 211.214.161.107:4661, 67.15.18.57:3306, 66.98.144.100:4242, 69.50.187.210:4661, 66.111.43.80:4242, 212.199.125.36:8080, 66.90.68.2:6565, 62.241.53.17:4242, 69.50.228.50:4646, 81.23.250.169:4242, 69.57.132.8:4661, 4.246.18.98:4661, 218.78.211.62:4661, 207.44.142.33:4242, 64.246.16.11:4661, 205.209.176.220:4661, 80.64.179.46:4242, 65.75.161.70:4661 Ve ayrıca Surila, AntiVirus programların guncelleme yapmaması için, guncelleme adreslerini[asagıda ki siteleri] 127.0.0.1 IP si ile degiştiriyor. Virüsün ismi : W32/Forbot-Gen Diğer(takma) ismi : W32/Forbot-Gen. Çalıştığı ve etkilediği sistem : Windows(98/2000/NT/XP) İlk görüldüğü zaman : 21 Eylül 2004 Saat : 11:00:25 Seviyesi : Aktif - Normal Bilgi : Bilinen Forbot virüsünün son halkası. Anti’si aynı. W32/Forbot-Gen detects members of the Forbot family of worms. W32/Forbot-Gen worms typically attempt to spread to remote shares and open a backdoor on an infected computer. W32/Forbot-Gen worms typically copy themselves to the Windows system folder and create registry entries under the following ................................s in order to run on system startup: HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce HKLMSoftwareMicrosoftWindowsCurrentVersionRunServi ces HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce Kurdun (Worm’un) etkileri : =>> Forbot virüslerinin en tipik özelliği IE bağlantısını kesiyor. Bilgisayariniz internete bağlanamıyor. =>> Sistem güvenliğini tamamen azaltıyor. =>> Kendini Registry’e kaydediyor. Kaynak : Sophos W32/Atak-E tip: solucan nasıl bulaşır: emaille etkiledigi sistemler: windows etkileri: ----kendini etkilenmiş bilgisayarda bulunan email adresine gönderir ----bilgisayardaki datayı değiştirir ----göndericinin email adresini hareketlendirir ----kendi email motorunu kullanır ----kendini registrye install eder ilk görüldügü zaman:6 Aralık 2004 05:24:44 (GMT) R34 [ trojan + şifre çalıcı ] unsticky tarafından Visual Basic de yazılmıs, UPX ile sıkıstırılmıs olan bir trojan aynı zamanda bir şifre calıcı olarak gecmekte. Boyutu yaklasık 15.5 kb tır. Tam guncel haldeki AVP antivirus ile 12 aralık 2004 te yapılmıs olan taramada bulunamamıstır. Bilinen özellikleri; !! System32 klasorune ozel bir program ismi ile kendini kopyalamaktadır. !! İlk server ını silip, kopyaladıgı server ile işine devam etmektedir. !! Kendini baslangıca ekleyip, Olay goruntuleyicisinde gorunmemektedir. !! Ad-Aware, Norton, ve McAfee antivirus uygulamalarını devre dışı bırakmaktadır. !! ZoneAlarm, Kerio, ve Windows guvenlik duvarlarını devre dışı bırakmaktadır. !! Olay goruntuleyicisi, MSConfig, RegEdit, sistem Geri donusunu, ve komut istemini devre dısı bırakmaktadır. !! AIM MD5 Hashlarını ve TestBuddy şifrelerini toplamaktadır. !! İç ve Dış iletişimde kullanılan tum IP leri toplamaktadır. !! Ve diğer tum hashlerini, şifreleri, host adlarını ve IP lerini şifrelenmiş özel bir websitesine kaydetmektedir. SistemSurucusu\WINDOWS\system32\msps.exe içine kendini koymakta olup, msps.exe in boyutu yaklasık 15.872 kb tır. Baslangıc içinde HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows "load" data: SistemSurucusu\WINDOWS\system32\msps.exe Kayıtını regeditte olusturmaktadır. Bu trojan ve özellikleri Windows XP işletim sisteminde denenmiştir W32/Zafi.d@MM - Orta Risk Zafi.d virüsü eposta veya P2P paylaşım programları ile yayılıyor. Virüsün bulaşabilmesi için kullanıcının epostadaki ek dosyayı veya P2P ile paylaşılan dosyayı çalıştırması gerekiyor. Karakteristikleri: * Eposta mesajlarını gönderebilmek için Kendi SMTP motorunu kullanıyor. * From: adresini sahte olarak yaratıyor. * Bulaştığı makinadan eposta adreslerini topluyor. * Gönderdiği epostaların gövdesi ya Macarca ya da İngilizce oluyor. * p2p ile yayılabiliyor. * güvenlik servislerini kapatabiliyor. Eposta ile yayılım: Virüs kendisini ZIP, CMD, PIF, BAT veya COM uzantılarına sahip dosyalarda gönderiyor. Aşağıdaki uzantılara sahip dosyalardan eposta adreslerini topluyor: htm wab txt dbx tbb asp php sht adb mbx eml pmr fpt inb Toplanan eposta adresleri System32 klasörü altında rastgele isimlere sahip DLL uzantılı 5 dosyada tutuluyor: ör: c:WINDOWSSYSTEMckolieqt.dll c:WINDOWSSYSTEMfktnxowp.dll c:WINDOWSSYSTEMgczomkgr.dll c:WINDOWSSYSTEMhgtmrsvo.dll Virüs kendisini aşağıdaki kelimeleri içeren eposta adreslerine göndermiyor: yaho win use info help admi webm micro msn hotm suppor syman viru trend secur panda cafee sopho kasper Virüsün gönderdiği eposta Yılbaşı tebriği görüntüsünde oluyor. Virüslü mesajın içeriği daha önceki varyantları gibi alıcı adresinin alan adına göre çeşitli dillerde olabiliyor. Ör. alan adı .com ile biten bir alıcıya ingilizce, .de ile biten bir alıcıya almanca olarak gönderiyor. P2P ile yayılım: Virüs kendisini C: sürücüsünde aşağıdaki kelimeleri içeren klasörlerin içine kopyalıyor: share upload music Kendisini aşağıdaki isimlerde kopyalıyor: winamp 5.7 new!.exe ICQ 2005a new!.exe Kendisinin manuel olarak temizlenmesini engellemek için aşağıdaki kelimeleri içeren işlemlerin çalışmasını engelliyor: reged msconfig task Ayrıca güvenlik duvarı ve Antivirus yazılımı gibi güvenlik servislerini kapatmaya çalışıyor. :%windir%system32 klasörüne aşağıdaki dosyaları bırakıyor: C:WINNTsystem32 .EXE - 11,745 bytes C:WINNTsystem32 C:WINNTsystem32Norton Update.exe - 11,745 bytes C:WINNTsystem32 .DLL - (kendisinin ziplenmiş hali) C:s.cm - 20,552 bytes (winzip dll module) Aşağıdaki registry anahtarı yaratılıyor: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWxp4 Etkilenen sistemde TCP 8181 portu açılıyor. Çözüm: Antivirüs yazılımlarınızı güncelleyerek sistemlerinizi taratın. Manuel temizleme bilgileri kaynak adresinden temin edilebilir ww.uydulife.tv
|
|||||||||
Bookmarks |
Etiketler |
yeni virusler: bilgi & tanim |
Konuyu Toplam 2 Üye okuyor. (0 Kayıtlı üye ve 2 Misafir) | |
|
|