Yeni Virusler: Bilgi & Tanim

[crazyossie]

Gaobot.CKP {worm}


Etkileri :

++ 113 nolu portu acarak, sistemi saldırganların uzaktan kontrol etmesine olanak verir.
++ bulastıgı bilgisayarın CPU, RAM, boş alan, işletim sistemi ve paylaşılan dokumanları gibi
bilgileri toplar.
++ bulaştıgı sistemde keylogger olarak calısır
++ bazı oyunların cd keylerini calar
++ bulaştıgı bilgisayardan DDoS atagı gercekleştirir.
++ bazı exe leri yukleyerek, çalıştırır.
++ eger webcam takılıysa resim çeker.

Yayılma stratejisi :

Windows un sistem dizinine DLLMAN.exe yaratır, bu exe worm un bir kopyasıdır.
Ayrıca regedit kayıtlarına;

HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
Windows Online Updater = dllman.exe

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
Windows Online Updater = dllman.exe

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices
Windows Online Updater = dllman.exe

satırlarını ekler..
Bu satırların yardımıyla, sistem basladıgında worm otomatik olarak calısır.

Bulaşma tarzları :

bu worm iP adreslerine saldırır, ve RPC DCOM,WebDAV ve LSASS acıgı bulunan bilgisayara
girmeye calısır. Bunun yanında Bagle.A, Mydoom.A, Optix, NetDevil, Kuang ve SubSeven gibi
zararlı programlardan etkilenmiş bilgisayarlarada bulaşmaya calısır.

Yerel bir agda bulaşmak için paylasıma acık dosyaları dener yada bazı basit kullanıcı adı
ve şifrelerini kendi deneyerek ağda bulunan bilgisayarlara girmeye calısır..

Agda bir bilgisayara girdiğinde kendini direk paylasıma acık dosyalara kopyalar..

Bu worm Visual C++ da yazılmıs ve MEW algoritması ile sıkıstırılmıstır.
Yaklasık dosya boyutu 100 bytedır.

Çıplak virüs’ Wurmark-D’ye dikkat


İnternette yeni yıl mesajı taşıyan Wurmark-D adında bir solucan ortaya çıktı. Bilgisayara bulaşan solucan ekranda çıplak erkek ve kadın fotoğrafı çıkarıyor.

Güvenlik şirketi Sophos Türkiye temsilcisi Bilser Bilgisayar Pazarlama Müdürü Kerem Dörter, e-postalara ekli bir dosya ile yayılan solucanın, yeni yıl kutlama mesajı görünümünde ulaştığı ve linke tıklandığında solucanın kendisini sinsice sisteme yüklediğini söyledi. NTVMSNBC Teknoloji Servisi’ne konuşan Dörter, solucanın bilgisayara yüklendikten sonra kendisini diğer kullanıcılara gönderdiğini belirtti.

ÇIPLAK ‘MUTLU YILLAR’ ALDATIYOR
NTVMSNBC Teknoloji Servisi’ne bağlanan Sophos Türkiye yetkilisi Kerem Dörter, Wurmark-D’nin çalıştırıldığında bilgisayarda bulunan adreslere otomatik olarak e-posta gönderdiği ve aynı zamanda anti-virüs programlarını da devre dışı bıraktığını vurguladı. Dosya açıldığında ekrana kadın ve erkek çıplak vücutlarından oluşan ‘Happy New Year” (MUTLU YILLAR) yazısı çıkıyor. Dörter ayrıca, Türkiye’de solucanın yayılımı ile ilgili olarak henüz ciddi bir risk oluşmadığını ifade etti.

KURBAN BAYRAMINA DİKKAT
Wurmark-D solucanı getirdiği mesajda şöyle diyor: “All the best in new year from our family here is a litle attachment to make you smile in new year email me back haha... Ailemiz size yeni yılda en iyi dileklerini sunar, yeni yıl için yüzünü güldürecek bir ek dosya gönderiyoruz, bize eposta atın ha ha”. Solucan beraberinde zip dosyası olarak, ‘sexy_new_year.scr, HOT_NEW_YEAR.scr, Marry_christmas.scr, with_love.scr, From_my_hart.scr, new_year.scr, and Hot_new_year.scr dosyalarından herhangi birisini gönderiyor.

Dörter, ABD ve Avrupalı kullanıcıların Noel tatili dönüşü e-posta kutularında biriken mesajları okurken yanlışlıkla solucanı bilgisayarlarına bulaştırdıklarını, benzer bir sorunun Türkiye’de Kurban Bayramı sonrasında da yaşanabileceği uyarısında bulundu. Dörter, zararlı kod taşıyıma potansiyeli bulunan .scr, .bat, .pif gibi dosyaların doğrudan ağ geçidi ya da mesajlaşma sistemleri üzerinde bloklamalarının faydalı olacağını sözlerine ekledi



Yeni çıkan Virüs, Solucan, Truvalar hakkında haberler


[VIRUS] Lasco.A

Lasco.A virüsü bluetooth üzerinden yayılıyor ve Symbian Series 60 platformunu etkiliyor.


[VIRUS] MetalGear.a - Symbian akıllı telefonları için yeni bir virüs

Symbian işletim sistemi kullanan mobil telefonları hedefleyen yeni bir truva atı tespit edildi.


[VIRUS] Santy.A virüsü yayılmak için Google’ı kullanıyor

Santy solucanı PHP Bulletin Board (phpBB) yazılımındaki bir açığı kullanarak yayılıyor. Bu açıktan etkilenen phpBB yazılımlarını bulmak için ise Google arama motorunu kullanıyor.
Virüs bulaştığı sunucudaki tüm web sayfalarının içeriğini aşağıdaki yazı ile değiştiriyor:
"This Site is Defaced!!! NeverEverNoSanity."

Hotmail Mcafee’den Trend Micro’ya geçiyor

Pazartesi günü duyurulan yeni anlaşmaya göre Microsoft 187 milyon Hotmail eposta hesabını virüslere karşı korumak için Trend Micro kullanacak. Hotmail’de şu ana kadar Mcafee kullanılıyordu. Microsoft yetkilileri değişikliğin neden yapıldığı konusunda bir açıklama yapmadılar.


[VIRUS] W32/Zafi.d@MM - Orta Risk

Zafi.d virüsü eposta veya P2P paylaşım programları ile yayılıyor. Virüsün bulaşabilmesi için kullanıcının epostadaki ek dosyayı veya P2P ile paylaşılan dosyayı çalıştırması gerekiyor.


Virüsler ve ünlü insanlar: Her tür kötü amaçlı kodu yaymak için etkili formül

Ünlü kişilerin isimlerini kullanmak Virüs yazarlarının virüslerini yaymada kullandıkları yöntemlerden biri.


Paranızı çalmak için yeni yollar geliştiriliyor

Phishing tehditi hakkında bilginiz var ve bankanızdan olduğunu iddia eden bir eposta’nın içinde bir bağlantıya tıklamanız istendiğinde veya kullanıcı ismi ve şifrenizi cevap olarak yazmanız istendiğinde buna gülüp geçerek, epostayıda silerek koruma sağlayacağınızı düşünüyorsanız yanılıyorsunuz.


[VIRUS] W32/Mydoom.s@MM (Orta Risk)

Bulaşma belirtileri: rasor38a.dll ve winpsd.exe dosyalarının varlığı, ve zenandjuice.com sitelerine http bağlantısı, Eposta ile virüs gönderimi


[VIRUS] Eski Bluetooth açığı mobil telefonlar için virüs tehlikesini artırıyor

Geçen sene saldırganların MSBlast-tipi bir solucan yaratarak mobil cihazlara kullanıcı müdahelesi gerektirmeden bulaşabilmesine izin veren güvenlik açıkları keşfedilmişti.


[VIRUS] En son MyDoom varyantı Yahoo’yu etkiledi

MyDoom virüsünün yeni bir çeşidi (MyDOom.Q veya MyDoom.O olarak biliniyor) yeni eposta adresleri bulmak için Yahoo People Search’ü kullanıyor.

Cep telefonunda Outlook kullanımı ve virüsler

Güvenlik uzmanları cep telefonlarınıza virüslerin girmesinin an meselesi olduğunu
söylüyor. Antivirüs firmaları, Vodafone`un cep telefonu ağları üzerinde Microsoft
Outlook sunan Yeni Zelanda servisinin virüs saldırılarını arttırabileceğini söylüyorlar.


Seksizm`e Karşı Savaş Açan Worm

eni çıkan Virüs, Solucan, Truvalar hakkında haberler


[VIRUS] Lasco.A

Lasco.A virüsü bluetooth üzerinden yayılıyor ve Symbian Series 60 platformunu etkiliyor.


[VIRUS] MetalGear.a - Symbian akıllı telefonları için yeni bir virüs

Symbian işletim sistemi kullanan mobil telefonları hedefleyen yeni bir truva atı tespit edildi.


[VIRUS] Santy.A virüsü yayılmak için Google’ı kullanıyor

Santy solucanı PHP Bulletin Board (phpBB) yazılımındaki bir açığı kullanarak yayılıyor. Bu açıktan etkilenen phpBB yazılımlarını bulmak için ise Google arama motorunu kullanıyor.
Virüs bulaştığı sunucudaki tüm web sayfalarının içeriğini aşağıdaki yazı ile değiştiriyor:
"This Site is Defaced!!! NeverEverNoSanity."

Hotmail Mcafee’den Trend Micro’ya geçiyor

Pazartesi günü duyurulan yeni anlaşmaya göre Microsoft 187 milyon Hotmail eposta hesabını virüslere karşı korumak için Trend Micro kullanacak. Hotmail’de şu ana kadar Mcafee kullanılıyordu. Microsoft yetkilileri değişikliğin neden yapıldığı konusunda bir açıklama yapmadılar.


[VIRUS] W32/Zafi.d@MM - Orta Risk

Zafi.d virüsü eposta veya P2P paylaşım programları ile yayılıyor. Virüsün bulaşabilmesi için kullanıcının epostadaki ek dosyayı veya P2P ile paylaşılan dosyayı çalıştırması gerekiyor.


Virüsler ve ünlü insanlar: Her tür kötü amaçlı kodu yaymak için etkili formül

Ünlü kişilerin isimlerini kullanmak Virüs yazarlarının virüslerini yaymada kullandıkları yöntemlerden biri.


Paranızı çalmak için yeni yollar geliştiriliyor

Phishing tehditi hakkında bilginiz var ve bankanızdan olduğunu iddia eden bir eposta’nın içinde bir bağlantıya tıklamanız istendiğinde veya kullanıcı ismi ve şifrenizi cevap olarak yazmanız istendiğinde buna gülüp geçerek, epostayıda silerek koruma sağlayacağınızı düşünüyorsanız yanılıyorsunuz.


[VIRUS] W32/Mydoom.s@MM (Orta Risk)

Bulaşma belirtileri: rasor38a.dll ve winpsd.exe dosyalarının varlığı, ve zenandjuice.com sitelerine http bağlantısı, Eposta ile virüs gönderimi


[VIRUS] Eski Bluetooth açığı mobil telefonlar için virüs tehlikesini artırıyor

Geçen sene saldırganların MSBlast-tipi bir solucan yaratarak mobil cihazlara kullanıcı müdahelesi gerektirmeden bulaşabilmesine izin veren güvenlik açıkları keşfedilmişti.


[VIRUS] En son MyDoom varyantı Yahoo’yu etkiledi

MyDoom virüsünün yeni bir çeşidi (MyDOom.Q veya MyDoom.O olarak biliniyor) yeni eposta adresleri bulmak için Yahoo People Search’ü kullanıyor.

Cep telefonunda Outlook kullanımı ve virüsler

Güvenlik uzmanları cep telefonlarınıza virüslerin girmesinin an meselesi olduğunu
söylüyor. Antivirüs firmaları, Vodafone`un cep telefonu ağları üzerinde Microsoft
Outlook sunan Yeni Zelanda servisinin virüs saldırılarını arttırabileceğini söylüyorlar.


Seksizm`e Karşı Savaş Açan Worm

SAN FRANCISCO, California (Reuters) - Bir güvenlik şirketinin pazartesi günü
yaptığı açıklamaya göre, 17 yaşında olduğunu iddia eden bir kız çocuğu, kadınların
da bilgisayar virüsü yazabileceğini kanıtlamak ve Seksizm`e karşı sesini duyurmak
için Microsoft`un .NET Web servisi platformunu hedef alan yeni bir worm yazdığını
belirtti.


W32/Maldal-I

----------=[ Diğer Adları ]=----------
DAZ2ME Worm
MALDAL.I
MALDAL

VBS/Britney-A

Diğer Adları:
VBS/Breetnee
VBS/BritneyPic@MM
worm/BritneyPic

WORM_YARNER.A

Diğer Adları:
YARNER.A
YAWSETUP
WORM_YARNER.B
WORM_YARNER.GEN
W32.Yarner.A@mm


Yeni Virüs - WORM_YAHA.A

Platform: Windows
Boyutu: 20,992 Byte - UPX ile sıkıştırılmış
Diğer isimleri:
W32/Yaha@mm, YAHA.A


Yeni virüs - JS/Coolnow-A

Diğer isimleri: JS.Menger.worm


Yeni virüs - VBS_NUMGAME.A

Risk oranı: Orta
Virüs tipi: VBScript
Diğer isimleri:
VBS/NumGame@mm, NUMGAME.A
Boyutu: 21,194 Byte (HTML)
12,969 Byte (VBE)

Apple kendi kullanıcılarına virüs gönderdi

Apple`ın İsveçteki merkezi müşterilerine ve bayilerine eposta ile virüs gönderdi.

Yeni virus - W32.Led@mm

Diğer isimleri: W32/Fagled@MM, Win32.Fagled
Tipi: Solucan/Worm


W32/Maldal-I

----------=[ Diğer Adları ]=----------
DAZ2ME Worm
MALDAL.I
MALDAL

VBS/Britney-A

Diğer Adları:
VBS/Breetnee
VBS/BritneyPic@MM
worm/BritneyPic

WORM_YARNER.A

Diğer Adları:
YARNER.A
YAWSETUP
WORM_YARNER.B
WORM_YARNER.GEN
W32.Yarner.A@mm


Yeni Virüs - WORM_YAHA.A

Platform: Windows
Boyutu: 20,992 Byte - UPX ile sıkıştırılmış
Diğer isimleri:
W32/Yaha@mm, YAHA.A


Yeni virüs - JS/Coolnow-A

Diğer isimleri: JS.Menger.worm


Yeni virüs - VBS_NUMGAME.A

Risk oranı: Orta
Virüs tipi: VBScript
Diğer isimleri:
VBS/NumGame@mm, NUMGAME.A
Boyutu: 21,194 Byte (HTML)
12,969 Byte (VBE)

Apple kendi kullanıcılarına virüs gönderdi

Apple`ın İsveçteki merkezi müşterilerine ve bayilerine eposta ile virüs gönderdi.

Yeni virus - W32.Led@mm

Diğer isimleri: W32/Fagled@MM, Win32.Fagled
Tipi: Solucan/Worm

Anti-virüs şirketleri Bagle virüsünün yeni varyantının haftasonunda hızla yayıldığını duyurdu. Kendisini şaka gibi gösteren virüs, bulaştığı bilgisayarları ele geçirerek sistemin güvenlik önlemlerini kapatmaya çalışıyor. Yeni Bağle, en hızlı yayılan virüsler arasına girmesine rağmen, şu ana kadar çok büyük zarara yol açmadığı belirtiliyor.

İlişikte "Price’ ve ’Joke’ başlıklı bir dosya ile birlikte gelen yeni Bagle varyantı, ’Bagle.AT’, ’Bagle.BB’ ve ’Bağle.Au’ olarak adlandırılıyor. Solucanın çok küçük farklılıklar içeren ’Bagle.bd’ ve ’Bagle.bc’ adlı iki ayrı versiyonu daha var. Konu başlığında, ’Re:, Re: Hello, Re: Hi, Re: Thank You! ve Re: Thanks ’ gibi ifadeler yer alan e-postanın mesaj kısmında ise genelde bir gülümseme ikonu dışında başka bir şey bulunmuyor.

Fırewall’u Kapatmaya Çalışıyor
Microsoft’un, Windows 95, 98, ME, NT, 2000 ve XP işletim sistemlerinde etkili olabilen virüs, bulaştığı bilgisayardaki Outlook programındaki e-posta adreslerini ele geçirerek, kendi posta gönderme yazılımını kullanarak başka adreslere yayılıyor. Virüs bunun yanı sıra, bilgisayarın güvenlik duvarını (firewall) ve XP’deki güvenlik merkezi uygulamalarını devre dışı bırakmaya çalışıyor.

Online güvenlik şirketleri, bilgisayar kullanıcılarını bu içerikteki mesajlara karşı dikkatli olmaya çağırırken, anti-virüs yazılımlarını da güncellemelerini öneriyor. Anti-virüs firmalarının çoğu virüsle ilgili uyarı yayınlarken farklı risk dereceleri açıkladı. Amerikalı Panda yeni varyant için kırmızı alarm yayınlarken. Messagelabs ilk ortaya çıktığı cuma günü virüsün 900 bin kopyasına rastladıklarını duyurdu.

Finlandiyalı F-Secure yeni Bagle’a en yüksek ikinci tehdit derecesi verirken, McAfee Bagle’ı orta riskli buldu. Black Spider ise virüsün ortaya çıktığı andan itibaren 1 milyon kopyayı engellediklerini belirtti. Sophos’tan yapılan açıklamada da tüm dünyada çeşitli müşterilerden Bagle ihbarları yağdığı belirtildi.

İlk olarak 19 Ocak’ta ortaya çıkan Bagle solucanının bugüne kadar 40’tan fazla versiyonu bulunmuştu.


W32/Kipis-I

W32/Kipis-I is an email worm for the Windows platform.

The worm harvests email addresses from files with the following file extensions:

ADB
DBX
DOC
EML
HTM
HTML
TBB
TXT
UIN
XLS
XML

The email sent by W32/Kipis-I has the following properties:

Subjects:
Valentine’s day
Present
your
Happy day
Happy Valentine’s day
your love
here
hi
you my love..
Re: My porno

Message texts:

With the coming Valentine’s day! I very much love you. Please see
my flash present.

I congratulate on the coming Valentine’s day! My gift to you.

love you! ,congratulate!"

Thank you!!!

----Original Message----
From: <random address>
To: <random address>
Sent: <time/date>
Subject: My porno

Attached file:

your present
present
flash love
love
Valentine
porn
porno_03
Joke
nude
My nude_04

Attachment extension:

.scr
.exe

From:
<current user>
adam
alex
anna
brenda
dana
dave
linda
liza
maria
mary
mike
rosa
sandra
stan
stiv

Note: The "from" field consists of one of the above names and "@<domain names found when harvesting email addresses>"

W32/Kipis-I will not send emails to addresses which contain any of the following strings:

.edu
.gov
abuse
accoun
antivir
bitdefen
borlan
bugs
cafee
contact
drweb
e-trust-
f-prot
foo.
help
icrosoft
info
iruslis
kaspersky
klamav
listserv
mailer
messagelab
news
newviru
nod32
nodomai
norman
panda
podpiska
privacy
rar
rating
register
ripe.
sales
secur
sendmail
service
soft
software.
sopho
support
sybari
symante
virus
webmaster
winrar
winzip



İlk görüldüğü tarih : 17 February 2005 2143

Takma ismi : Email-Worm.Win32.Kipis.k

Etkilediği İ$letim Sistemleri : Windows/98/2000/NT/XP

Yayılması : E-mail (E-postalar ile)

Seviyesi : Normal - Aktif



Etkileri :

=>> E-mail’inizden bilgisayarınıza bula$ıyor.

=>> E-mail’inizdeki listelerinizi siliyor.

=>> E-mail’inizin geç acılmasina sebeb oluyor.

=>> Kendini Registry’e kaydediyor.

=>> ve her virüs’ün yaptığı gibi bilgisayarınızı yava$latıyor.

Kaynak : Sophos