Yeni Virusler: Bilgi & Tanim - Sayfa 3

**crazyossie** · 28.08.09, 20:54

Virüsün ismi : W32/Rbot-HE

Diğer ismi : Backdoor.Rbot.gen

Yayılması : Network sistemler

Çalıştığı sistem : Windows

Yan Etkileri : =>> İnternet’den yaptığınız download’larda bilgisayarınıza zararlı code’ler
indiriyor ve siz farkında olmuyorsunuz.

=>> W32/Rbot-HE IRC ’deki acıkları bulup sizin network sisteminize bula$abiliyor.
Bilgisayarınızın sistem dosyalarına zararlı code’ler (kodlar) bula$tırıyor.

=>> sisteminizin güvenlik seviyesini düşürür.

İlk Görüldüğü Zaman : 25 August 2004 20:24:44

Yayılması Seviyesi : Normal

Kaynak : Sophos

**crazyossie** · 28.08.09, 20:55

Virüsün ismi : W32/Rbot-HC

Diğer ismi : Backdoor.Rbot.gen

Yayılması : Network sistemler

İlk görüldüğü zaman : 25 August 2004 15:25:51

Çalıştığı sistem : Windows

Yan etkileri : =>> Yukarıda yazdığım W32/Rbot-HE virüsünün bir deği$ik $eklidir.
Çalı$ması ve yayılması aynıdır.

=>> Sırayla tekrarlayacak olursak : Internet üzerinden yaptığınız download’larla
bilgisayarınıza zararlı code’ler (kodlar) indirir böylece kendini çoğaltır.

=>> Sisteminizi yava$latır.

Yayılma seviyesi : Aktif - Normal

**kasirga098** · 28.08.09, 20:56

hım gzl bilgi saol

**crazyossie** · 28.08.09, 20:56

Virüsün ismi : W32/Forbot-E

Diğer ismi : WORM_SDBOT.SR Backdoor.Win32.Agent.cf

Yayılması : Network sistemler

Çalıştığı sistem : Windows

İlk görüldüğü zaman : 26 August 2004 05:32:11

Etkileri : =>> Internet’den download yaptığınız zaman bilgisayarınızda arka kapılar acar
böylelikle daha çabuk yayılır.

=>> Kendini registry’e kaydeder.

=>> Sisteminizin yava$lamasına neden olur.

=>> Sisteminizin güvenliğini azaltır.

Kaynak : Sophos

**crazyossie** · 28.08.09, 20:56

Virüs nedir ? Trojan (Truva ati) nedir ?)

Virüsler, kendi kodlarını başka programlara veya program niteliği olan dosyalara bulaştırabilme özelliği olan (kendi kodunu kopyalayabilen) bilgisayar programlarıdır. Bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar. Belli bir amaca yönelik olarak yazılmış, zarar vermeye yönelik olabilecekleri gibi eğlence amacıyla da yazılmış olabilirler.

Truva atları, virüslerden oldukça farklı bir yapıya sahiptir.Asla başka programlara bulaşmazlar. Belli olaylara bağlı olarak tetiklenen bir rutindirler. Kendilerini kopyalayamadıkları için bazı programların içine bilinçli olarak yerleştirilirler. Trojanlar, ilgi çeken, utility gibi programların içine yerleştirilirler. Trojan kodu, trojanın içine gizlendi?i programın yazarı tarafından yazılımı? olabilecegi gibi sonradan da programa eklenmemi ? olabilir.Trojanlar aslında kopya koruma amacıyla hazırlanırlar.

Virüsler çoğunlukla Assembly gibi düşük seviyeli bir programlama dili ile yazılırlar.Bunun asıl 2 sebebi vardır.

1- Assembli’in çok güçlü bir dil olması
2- Yazılan programların derlendikten sonraki dosya boylarının çok küçük olması

Bu özelliklerin her ikisi de virüs yazarlarının assembly dilini kullanması için yeterli ve gerekli sebeplerdir.

Virüsleri özelliklerine göre sınıflandırma pek mümkün olmasa da aşağıdaki şekildeki gibi bir sınıflandırma yapmak yanlış olmayacaktır.Ancak pek çok virüs, pek çok özelliği bünyesinde barındırabilir.Bağlanmama hızını arttırabilmek amacıyla yapılan bu durum sonucu virüs, boot sektörlere, mbr kayıtlarına, programlara bulaşabilir. şimdi de bu virüs türlerinin izleyişlerine bakalım

1 - Disk virüsleri : a- Boot b- MBR
2 - Dosya virüsleri : a- Program (TSR ve nonTSR) b- Makro virüsleri
3- FlashBIOS virüsleri

1 - DiSK ViRÜSLERI

Disk virüsleri, adından da anlaşılacağı üzere, disk ve/veya disketler üzerinde iletişim sistemi için özel anlamı olan bölgelere (boot sektör, MBR) yerle?en virüslerdir. Disk virüsleri, hakkında en çok yanlış bilginin olduğu virüs türüdür.Boot ve MBR virüsleri, aşağıda da göreceksiniz gibi işletim sisteminden önce hafızaya yüklenir.Bu yüzden işletim sistemini kolaylıkla atlatıp, Yukarıdaki şekilde de görüleceği gibi disk virüslerini boot ve MBR (partition) virüsleri olarak 2 gruba ayırtabiliriz .

BOOT Virüsleri

Boot virüslerinin ne olduğuna geçmeden önce boot sektör nedir, disk üzerinde nerede bulunur, önce bunlara bir bakalım; Boot sektör, bir diskin veya disketin işletim sistemini yüklemeye yarayan 1 sektör (512 byte) uzunlu?undaki bir programdır.Boot sektörler, disketlerde 0.cy iz, 0.cy kafa,1.ci sektör üzerinde bulunur. Hard disklerde ise boot sektörü 0.ci iz, 1.ci kafa ve 1.ci sektör üzerinde bulunur.Boot sektör, açılış için gerekli sistem dosyalarının yükleyen programdır.Aynı zamanda disk (veya disket) ile ilgili bilgileri saklar.DOS buradaki bilgileri kullanarak cılider hesaplarını yapar.

Normal koşullarda, bilgisayar başlatabilecek durumdaki bir sistem disketini (virüssüz) sürücüye takip bilgisayarı açtığımızda da, bilgisayar ilk olarak disket sürücüye bakar.E?er sürücüde bir disket var ise bu disketin boot sektörü hafızanın 0000:7C00 (hex) adresine okunur ve okunan boot sektör çalıştırılır.Boot sektör, işletim sistemini yükleyerek denetimi işletim sistemine bırakır.Eğer bilgisayarı boot edecek disket bir boot virüsü içeriyorsa o zaman durum değişir.Bilgisayar, boot sektörü yine 0000:7C00 adresine okur ve akışı bu adrese yönlendirir.Disketten okunan boot kaydı, yapı olarak değiştirildiğinden dolayı, 0000:7C00’daki kod virüsü hafıza içine yükleyip, hafızadaki konumunu garanti altına alacaktır.Virüs aktivitesi için gerekli interrupt servislerini de kontrol altına aldıktan sonra orjinal boot kaydını okuyarak işletim sisteminin yüklenmesini saklayacaktır.

MBR (Partition) Virüsleri

MBR virüsleri esas olarak, boot virüslerinden pek de farklı değildir.Ancak can alıcı bir nokta vardır ki, bu boot ve mbr virüsleri arasındaki en önemli noktadyr. Hard diskler kapasite olarak çok farklı ve büyük kapasitede olduklarından diskin DOS’a tanıtılması amacıyla MBR - Master Boot Record (Ana açılı kaydı) denilen özel bir açılış programı içerirler.Bu kod diskin 0.cy iz, 0.cy kafa ve 1.ci sektörü üzerinde bulunur.Yani disketlerde boot sektörün bulunduğu konum, hard diskler için MBR yeridir.Master boot record, hangi disk partitionundan bilgisayarın açılacağını gösterir.Bu yüzden çok önemlidir.E?er bilgisayar hard diskten boot ediliyorsa, o takdirde mbr ve partition table okunur.Aktif partitiona ait boot sektör okunur.Bundan sonrası boot sektör kısmındaki sistemin aynısıdır.

2 - DOSYA ViRÜSLERi

Dosya virüsleri açıkça anlaşılacağı gibi hedefi dosyalar olan virüslerdir.Dosya virüsleri çoğunlukla COM, EXE, SYS olmak üzere OVL, OVR, DOC, XLS, DXF gibi değişik tipte kütüklere bulaşabilirler.

Makro virüsleri

Makro virüsleri Word, Excel gibi programların makro dilleri ile (mesela VBA - Visual Basic for Applications) yazılırlar.Aktif olmaları bazı uygulamalara (word, excel vs) basit olduğundan program virüslerine oranla çok daha az etkilidirler.

Program virüsleri

Program virüsleri, DOS’un çalıştırılabilir dosya uzantıları olan COM ve EXE türü programlar başta olmak üzere SYS, OVL, DLL gibi değişik sürücü ve kütüphane dosyalarını kendilerine kurban olarak seçip bu dosyalara bulaşabilirler.Dosya virüsleri bellekte sürekli kalmayan (nonTSR) ve bellekte yerle?ik duran (TSR) olarak 2 tipte yazılırlar.

nonTSR (Bellekte sürekli kalmayan) virüsler

Bellekte sürekli olarak kalmazlar.Kodları oldukça basittir.Bellekte sürekli kalmayan virüsler sadece virüslü bir program çalıştırıldığında başka programlara bulaşabilirler.Virüslü program çalıştırıldığında programın başında program kontrolünü virüs koduna yönlendirecek bir takım komutlar bulunur.Virüs kontrolü bu şekilde ele aldıktan sonra virüs kendisine temiz olarak nitelendirilen virüssüz programlar aramaya koyulur.Bulduğu temiz programların sonuna kendi kodunu ekler ve programın başına da virüsün kontrolü ele alabilmesi için özel bir atlama komutu yerleştirir ve kendisine yeni kurban programlar arar.Virüs bulaşma i?ini bitirdikten sonra çalıştırmak istediğimiz program ile ilgili tüm ayarları düzenleyerek kontrolü konak programa devreder.

TSR (Bellekte sürekli kalan) virüsler

TSR virüsler yapı olarak TSR olmayan virüslerden çok farklıdır.TSR virüsler, 2 temel bölümden olu?urlar.1.ci bölüm; Virüsün çalışmasy için gerekli ayarlamaları yapar ve TSR olacak kodu aktifleştirir.2.bölüm TSR olan kodun kendisidir ve TSR virüslerin hayati önemdeki bölümüdür.Bu tip virüsler, çalışmak için sadece TSR olmakla kalmazlar.Aynı zamanda çeşitli Interruptlary (kesilmeleri) kontrol altına alırlar.Böylece DOS üzerinden yapılan işlemleri bile kontrol altına alabilirler.Örnek vermek gerekirse; TSR bir virüs DIR, COPY gibi DOS komutları ile yapılan -daha doğrusu yapılmak istenen- işlemleri kontrol altına alabilir.Kullanıcı DIR komutunu kullandığında dosya boylarının 0 olarak gösterilmesi, dosya boylarının eksik gösterilmesi gibi işlemler TSR bir virüs için çok kolaydır.

3 - FlashBIOS Virüsleri

FlashBIOS virüsleri tekrar yazılabilir özellikteki BIOS chiplerine bulaşırlar

Trojanın ismi : Troj/Agent-BX

Diğer(takma) ismi : BackDoor.Agent.bx

Çalıştığı sistem : Windows

İlk görüldüğü zaman : 26 August 2004 09:21:07

Etkileri :
=>> Bilgisayarınızda açıklar yaratır.
=>> Bilgisayarınızdaki verileri deği$tirir.
=>> Bilgisayarınızdaki bilgileri çalar.
=>> Bilgisayarınıza uyumsuz veriler ekler.
=>> Kendini registry’e kaydeder.
=>> Sisteminizin güvenliği azaltır.

Yayılma Seviyesi :Aktif - Normal

Kaynak : Sophos

**crazyossie** · 28.08.09, 20:57

Virüsün ismi : W32/Sdbot-OC

Diğer(takma) ismi : Worm.Win32.Donk.d WORM_SDBOT.SE

Yayıldığı sistem : Network

Çalıştığı sistem : Windows

İlk görüldüğü zaman : 26 Ağustos 2004 15:00:44

Etkileri :
=>> Bilgisayarınızdaki Anti-Virüs programının çalı$masını engeller,kapatır.

=>> Bilgisayarınızda kendini çoğaltır ve açık kapılar yaratır.

=>> Arama motorlarını kullanarak E-mail ile kendini çoğaltır.

=>> Internet’den download ederek bilgisayarınıza zararlı kod(code)’ler indirir.

=>> Kendini Registry’e kaydeder.

=>> Sisteminizin güvenliğini azaltır.

Risk seviyesi : Aktif - Normal

**crazyossie** · 28.08.09, 20:58

W32.Kwbot.G.Worm
Tip:solucan

Bulaştıgı boyut:250,500 bytes

Etkiledigi sistemler:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

Etkilemedigi sistemler:Windows 3.x, Macintosh, OS/2, UNIX, Linux

İlk görüldügü tarih:30 nisan 2003

genellikle exe uzantılı dosyalarda bulunmaktadır..

kaynak:sarc

Virüsün ismi : W32/MyDoom-V

Diğer(takma) ismi : .:: WORM_MYDOOM.GEN ::. I-Worm.Mydoom-t ::. W32/Mydoom.v@MM ::.

Yayıldığı sistem : E-mail

Çalıştığı sistem : Windows (2000/Xp)

İlk görüldüğü zaman : 9 Eylül 2004 saat : 21:29:50

Seviyesi : Aktif - Normal

Etkileri(kurdun):

=>> Internet’den bilgisayariniza zararlı kod(code)ler indirir. Böylece bilgisayarinizda
aciklar yaratır.

=>> E-mail’inizde ki$ilere E-mail atarak kendini cogaltır.

=>> Kendini registry’e kaydeder.

=>> E-mail’inizin düzgün cali$masini engeller.

Kaynak : Sophos

**crazyossie** · 28.08.09, 20:59

Virüsün ismi : W32/Lovgate-X

Diğer(Takma) ismi :
=>> I-Worm.LovGate.q
=>> Win32/Lovgate.X
=>> WORM_LOVGATE.Q

Çalıştığı ve etkilediği sistem : Windows(98/2000/XP)

İlk görüldüğü zaman : 25 Mart 2004 13:14:50 / 16 Eylül 2004 13:50:21

Seviyesi : Aktif - Yüksek Risk

Etkileri :

=>> E-mail ile ya da internet’den donwload ile bula$ıyor.

=>> Internet’den kendini yaymak için zararlı kod’(Code)ler indiriyor.

=>> E-mail’inizdeki ki$ilere Spam göndererek yayılıyor.

=>> Sistem güvenliğini tamamen azaltıyor.

=>> Exe. Dosyalarına bula$ıyor.

=>> Kendini Registry’e kaydediyor.

Kaynak: Sophos

yukarıdaki link sophos virusleri hakkında bilgi içerir

Trojan Nedir?

Trojan (Truva atı); iki kısımdan olusan ve bilgisayarları uzaktan kumanda etme amaçıyla yazılmış programlardır.Bu program sayesinde windows kullanmaya yeni baslayan bir insan bile bilgisayarınızda bir cok yetkiye sahip olabilir.(Bilgisayranızı formatlamak,accountunuzu calmak...vs ).Bu tip programlar genelde kendini hacker sanan insanlar tarafından kullanılıyor ancak gercek hacker olupta bu trojanları kullanan insanlarda var fakat bu noktada olayın boyutu biraz degisiyor ornegin hackerlar internetteki trojan bulasmıs tum bilgisayarları (online olan) kullanarak buyuk sitelere D.O.S attack yapıyorlar boylece bu sitelere erisimi uzun bir sure engelleyerek siteleri buyuk zarara sokuyorlar.

Bu programların birinci kısmı uzaktaki bilgisayarı kontrol etmeye yararken diger kısmı ise uzaktan yonetilecek bilgisayarla kontrol kısmı arasında bağlantı kurmasını saglayacak açıklık yaratır.Yani bizim problemimiz trojan programının bilgisayarımızda acık port bırakan kısmıyla ilgili olacak ve bunu nasıl egarte edecegimizi bu yazımızda isleyeceğiz.

Trojanların Bilgisayarımıza Bulasmasını Engellemek:

Oncelikle hiç bir trojan siz izin vermediginiz takdirde sizin bilgisayarınızda çalışmaz yani sizin tanımadıgınız kisilerden gelen hic bir dosyayı almayin boylece trojanlardan kurtulmus olursunuz.Fakat genelde trojan programları istenilen herhangi bir programın icerisine bulastırılabildigi icin siz farkında olmadan herhengi bir yerden yuklediginiz program icinde bilgisayarınıza trojan almış olabilirsiniz bunu engellemenin en iyi yolu antivirus programları kullanmaktan geciyor.Ornegin AVP programıyla bilgisayarınıza bulasan hem virusleri hemde trojanları engelleyebilirsiniz.

Ozet olarak tanımadıgınız kisilerden (genlde irc ortamında ) herhengi bir dosya almayarak (ozellikle sonu ve .ini ve .exe olarak biten dosyaları) vede kaliteli bir antivirus programı ve firewall programı kurarak trojan tehlikesini buyuk olcude atlasmıs olursunuz.
NOT:
Antivirus programları genelde yeni cıkan trojan ve virusleri tanımazlar.Bu yuzden kurdugunuz antivirus programını web sayfasına duzenli olarak ziyaret edip programınızı update etmeyi unutmayın.

Bilgisayarda Trojan olup olmadıgını nasıl anlarız:

Bunu anlamanın bir cok yolu var ornegin:

Bilgisayarmızda Kontrolumuz Dısında Calısmalar Oluyorsa: Internetteyken siz herhangi bir islem yapmamanıza ragmen bilgisayarınız bir seyler yuklemeye devam ediyor ,cd kapagınız acılıp kapanıyor , mouseunuzun isteginizin dısında hareket ediyor ,ekranınıza resim veya yazılar geliyorsa ..yani bilgisayrınızda sizin kontrolunuz dısında herhangi bir olay gerveklesiyorsa bilgisayranızda trojan vardır diyebiliriz ama yinede bu kesindir diye bir yargı verilemez

Anti Trojan Programı kullanmak:Bir anti trojan programıyla bilgisayarınızı scan ederek bilgisayarımızdaki trojanları bulabiliriz ancak genelde yeni cıkan trojanlar genelde bu tip programlarla bulunamıyor bu yuzden surekli olarak programı resmi web sayfasından update eytmekte yarar var.

Bilgisayarımızda baslat (start) tusundan programlar (programs) ordanda baslangıc (startup) tusuna bastıgımız zaman bilgisayarımızın acılısıyla birlikte calısan programları goruruz eger burda bizim kurmadıgımız herhangi ibr program varsa bu program bir trojan olabilir.

Diger ve en kesin yontemlerden birisi ise dos moduna dusup komut satırında ntstat -a yazmaktır bu komut sizin bilgisayarınız internette kimlerle hangi porta baglı oldugunu gosterir eger bu program bilgisayarınızda calısmıyorsa herhangi bir problem yok eger ornegin 0.0.0.0:12345 gibi bir sonuc veriyorsa bilgisayarınızda netbus isimli bir trojan vardır.Bunu nerden anladın diyorsanız trojanlar bilgisayarımıza baglanmak icin bilgisayarımızda ki portları kullanırlar trojanlar arasından netbus ise bilgisayraımıza baglanmak icin 12345 portunu kullanır.

Bilgisayara Bulasmıs Trojanı Temizlemek:

Bilgisayarımıza bulasmis trojanı ik farklı yontemle temizleyebilriz :

1. TrojanCleaner Programı kullanarak bir cok trojanu bilgisayarımızdan temizleyebiliriz.Programı kullanımı cok basit biraz karıstırmayla kolayca kullanabilirisiniz

2.Yontem ise trojanları elle silmek diye tabir edebilicegimiz bir yontem bu yontemde trojanın eger biz bilgisayraımızdaki ismini ve regeditteki yerini biliyorsak kolayca ortadan kaldırabiliriz.Simdi bunu nasıl yapacagımızı ve yaparken nelere dikkat edecegimizi adım adım gorelim:

Trojan temizliğine başlamadan önce, PC’nizdeki gizli ve sistem dosyalarınızın tümünü görünür hale getirin.Bunun için Windows Gezgini’nde Görünüm Klasör seçenekleri (View Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show All Filles) kutucuğunun işaretli olduğuna emin olun.Ayrıca altındaki "Bilinen Dosya Türlerinin Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız da yararınıza olacaktır.

Bazı trojan’ların açıklamalarında aynı ada ve farklı dizine sahip birden fazla dosyanın silinmesi gerektiği yazmaktadır.Eğer söz konusu dosya dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır.

Unutmayın ki, trojanların isimlerini ve diğer bilgilerini değiştirmek pek zor değildir.Burada verdiklerimiz, taşıdıkları orjinal özelliklerdir.Adı değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını inceleyebilirsiniz.

Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli olun.Özellikle Registry, Windows için hayati önem taşır.Yanlış bir şey silmeniz sisteminizde aksıklıklara yol açabilir.

TEMİZLİK ZAMANI

ACID SHIVERS

Port Numarası: 10520
Dosya Adı: "msgsvr16.exe"
Boyutu: 186 kb
Dizini: C:Windows
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "Explorer | msgsvr16.exe" kaydını sil.
2. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "Explorervmsgsvr16.exe" kaydını sil
3. PC’nizi MS-DOS kipinde başlatın.
4. C:Windowsmsgsvr16.exe" dosyasını silin.
5. PC’nizi yeniden başlatın.

BACK ORIFICE

Port Numarası: 31337
Dosya Adı: ".exe"
Boyutu: 126 kb
Dizini: C:Windowssystem
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices ".exe" kaydını silin
2. PC’nizi yeniden başlatın.
3. Windows Explorer’ı başlatın.Görünüm Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.
4. "C:WindowsSystem.exe" dosyasını silin.
5. PC’nizi yeniden başlatın.

BACKDOOR

Port Numarası: 1999
Dosya Adı: "icqnuke.exe"
Boyutu: 102 Kb
Dizini: C:Windows, C:Windowssystem
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "icqnuke.exe." kaydını silin
2. PC’nizi MS-DOS kipinde başlatın.
3. "C:Windowsicqnuke.exe" ve "C:WindowsSystemicqnuke.exe" dosyalarını silin.
4. PC’nizi yeniden başlatın.

BIG GLUCK

Port Numarası: 34324
Dosya Adı: "bg10.exe"
Boyutu: 100 Kb
Dizini: C:Windows, C:Windowssystem
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "bg10.exe." kaydını silin.
2. PC’nizi MS-DOS kipinde başlatın.
3. "C:Windowsg10.exe" ve "C:WindowsSystemg10.exe" dosyalarını silin.
4. PC’nizi yeniden başlatın.

BRADE RUNNER

Port Numarası: 21,5400,5401,5402
Dosya Adı: "server.exe"
Boyutu: 323 Kb
Dizini: C:Windows, C:Windowssystem
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "server.exe." kaydını silin.
2. PC’nizi MS-DOS kipinde başlatın.
3. "C:Windowsserver.exe" ve "C:WindowsSystemserver.exe" dosyalarını silin.
4. PC’nizi yeniden başlatın.

BUGS

Port Numarası: 2115
Dosya Adı: "bugs.exe"
Boyutu: 78 Kb
Dizini: C:Windows, C:Windowssystem
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "bugs.exe." kaydını silin.
2. PC’nizi MS-DOS kipinde başlatın.
3. "C:Windowsugs.exe" ve "C:WindowsSystemugs.exe" dosyalarını silin.
4. PC’nizi yeniden başlatın.

DEEP BACK ORIFICE

Port Numarası: 31338
Dosya Adı: ".exe"
Boyutu: 122 Kb
Dizini: C:Windowssystem
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices ".exe" kaydını silin
2. PC’nizi yeniden başlatın.
3. Windows Explorer’ı başlatın.Görünüm Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.
4. "C:WindowsSystem.exe" dosyasını silin.
5. PC’nizi yeniden başlatın.

DEEP THROAT

Port Numarası: 2140, 3150
Dosya Adı: "systempatch.exe"
Boyutu: 255 Kb
Dizini: ?
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun anahtarını açın. "systemDLL32 | systempatch.exe" kaydının işaret ettiği dizini bir kenara not aldıktan sonra söz konusu kaydı silin.
2. PC’nizi MS-DOS kipinde başlatın.
3. Not etmiş olduğunuz dizin altındaki "systempatch.exe" dosyasını silin.MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri kısaltılacağı için, "system~1.exe" veya benzeri ada sahip bir dosyayı aramalısınız.Eğer "system~" şeklinde başlayan birden fazla EXE dosyası varsa hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin.
4. PC’nizi yeniden başlatın.

GIRLFRIEND

Port Numarası: 21554
Dosya Adı: "windll.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "windll.exe" kaydını silin
2. PC’nizi yeniden başlatın.
3. "C:WindowsSystemwindll.exe" dosyasını silin.
4. PC’nizi yeniden başlatın.

HACK A TACK
Port Numarası: 31785, 31787
Dosya Adı: "expl32.exe"
Boyutu: 236 Kb
Dizini: C:Windows
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun"Explorer32.exe | C:Windowsexpl32.exe" kaydını silin.
2. PC’nizi MS-DOS kipinde başlatın.
3. "C:Windowsexpl32.exe" dosyasını silin.
4. PC’nizi yeniden başlatın.

INIKILLER

Port Numarası: 9989
Dosya Adı: "bad.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Explorer" kaydını silin.
2.PC’nizi yeniden başlatın.
3. "C:Windowsad.exe" dosyasını silin.
4. PC’nizi yeniden başlatın.

MASTERS PARADISE

Port Numarası: 3129, 40421, 40422,40423, 40426
Dosya Adı: "sysedit.exe", "keyhook.dll"
Boyutu: ?
Dizini: C:Windows
Port Numarası: 20034
Dosya Adı: "NBSvr.exe"
Boyutu: 599
Dizini: C:Windows, "C:WindowsSystem
1.PC’nizi yeniden başlatın.
2. "C:Windowssysedit.exe" ve "C:Windowskeyhook.dll" dosyalarını silin.
3. PC’nizi yeniden başlatın.
4. Gerçek "sysedit.exe" dosyasını Windows CD’nizden veya güvendiğiniz bir arkadaşınızdan tekrar yükleyin.

NETBUS PRO

Port Numarası: 20034
Dosya Adı: "NBSvr.exe"
Boyutu: 599
Dizini: C:Windows, "C:WindowsSystem
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "NetBus Server Pro | nbsvr.exe" kaydını silin.
2. Registry’nizdeki HKEY_CURRENT_USERNetBus Server anahtarını silin.
3. PC’nizi MS-DOS kipinde başlatın.
4. "C:WindowsNBHelp.exe" , "C:WindowsNBHelp.dll", "C:WindowsLog.txt" dosyalarını silin.(Aynı dosyalar "C:WindowsSystem dizininde de olabilir.)
5. PC’nizi yeniden başlatın.

NETBUS

Port Numarası: 12345, 12346
Dosya Adı: "patch.exe"
Boyutu: 470 Kb
Dizini: "C:WindowsSystem
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "patch.exe." kaydını arayın.Söz konusu kaydı bulamazsanız trojan’ın adı değiştirilmiş demektir.Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve "C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın.470 KB boyutunda olan dosya, adı değiştirilmiş NetBus trojanıdır.Registry kaydını silin.
2. Bir MS-DOS Komut İstemi penceresi açın ve "C:WindowsSystempatch.exe/remove" komutunu kullanın.(Trojanın adı değiştirilmişse, patch.exe yerine PC’nizdeki adını yazın.)
3. "C:WindowsSystempatch.exe" dosyasını silin.

NETSPHERE

Port Numarası: 30100, 30101, 30102
Dosya Adı: "nssx.exe"
Boyutu: 640 Kb
Dizini: "C:WindowsSystem
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "NSSX | "C:WindowsSystem ssx.exe" kaydını silin.
2. PC’nizi MS-DOS kipinde başlatın.
3. "C:Windows ssx.exe" dosyasını silin.
4. PC’nizi yeniden başlatın.

SUBSEVEN

Port Numarası: 1243, 1999,6711, 6776
Dosya Adı:
1. Dosya: "server.exe", "rundll16.exe", "systray.dl", "Task_bar.exe"
2. Dosya: "FAVPNMCFEE.dll", "MVOKH_32.dll", "nodll.exe", "watching.dll"
Boyutu: 328 Kb, 35 Kb
Dizini: C:Windows, C:WindowsSystem
1. C:WindowsSystemSysEdit.exe" dosyasını çalıştırın.SYSTEM.INI dosyasının [boot] bölümündeki "sheel=Explorer.exe" satırını inceleyin.Satırın sagına yukarıda adı gecen dosya adlarından biri eklenmisse,dosya adını bir kenara not edin ve satırı "shell=Explorer.exe" haline getirin.
2. Aynı penceredeki WIN.INI dosyasını [windows] bolumunde "run=" ve "load=" diye baslayan satırları inceleyin.Soz konusu satırlardan biri yukardaki adı geçen dosyalardan birini işaret ediyorsa, dosya adını ot edin ve silin.
3. Yapmıs oldugunuz degisiklikleri kaydetip "sysedit" penceresini acın.
4. Registiey’deki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun anahtarını inceleyin ve yukarıda adı gecen dosyalara isaret eden kayıtları silin.Herhangi bir kayıt bulamazsanız trojanın adı değiştirilmiş demektir.Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:Windows dizinindeki EXE dosyalarıyla karşılaştırın.328 Kb boyutunda olan dosya, adı değiştirilmiş SubSeven trojanıdır.Registry kaydını silin.
5. PC’nizi yeniden başlatın.
6. C:Windows dizinindeki trojan dosyasını silin.

WINCRASH

Port Numarası: 5742
Dosya Adı: "server.exe"
Boyutu: 290 Kb
Dizini: "C:WindowsSystem
1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "MsManager | SERVER.EXE" kaydını silin.
2. PC’nizi MS-DOS kipinde başlatın.
3. "C:WindowsSystemserver.exe" dosyasını silin.
4. PC’nizi yeniden başlatın.

**crazyossie** · 28.08.09, 21:00

Nisan Ayının Şampiyon (!) Virüsü: Netsky

MailWatch, Nisan 2004’te 7 milyonun üzerinde virüsü bloke etti. Nisan ayında en sık rastlanan virüs türü Netsky oldu. Dünya çapında kurumsal iletişim ağlarını istenmeyen mesajlara ve virüslere karşı koruyan MailWatch, Nisan 2004’te kurumsal müşterileri adına bloke ettiği virüsleri açıkladı. Nisan ayında 228 milyondan fazla e-posta tarandı.

Bu rakam, Mart ayına oranla % 16’lık bir artış olduğunu gösteriyor. MW ayrıca, yalnızca 24 saat içinde 8,24 milyon e-postayı tarayarak 8 milyon sınırını aşmayı başardı.

MailWatch, Nisan ayında toplam 7.213.484 virüsün kurumsal bilgisayarlara girmesini önledi. Mart ayında olduğu gibi, Nisan’da da en yaygın görülen virüs Netsky oldu. Nisan ayında durdurulan ilk 10 virüs şöyle:

Virüsün Adı Vaka Adedi

W32/Netsky.p@MM 2.332.885
W32/Netsky.d@MM 1.415.713
W32/Netsky.p@MM!zip 877.167
W32/Netsky.t@MM 749.967
W32/Netsky.s@MM (ED) 420.525
W32/Netsky.s@MM 405.848
W32/Netsky (ED) 276.101
W32/Netsky.q@MM 254.722
W32/Netsky.b@MM 241.941
W32/Netsky.c@MM 238.615

Toplam 7.213.484

EasyLink Ürün Pazarlama Başkan Yardımcısı Bill Fallon konuyla ilgili bir açıklama yaptı: "Nisan 2004, Netsky ve türevlerinin yoğun biçimde gözlendiği bir ay oldu. Halen İnternet’te 25 farklı Netsky versiyonu var. Tahminlerimize göre bu virüs yaz aylarında da etkisini koruyacak. Günümüzün İnternet’e dayalı iş uygulamalarında istenmeyen e-postalar ve virüsler büyük maliyetler yaratıyor. Fakat MailWatch çözümleri sayesinde bu maliyetlerde önemli düşüşler sağlanabiliyor.”

Merkezi New Jersey’de bulunan EasyLink, şirketlerin, ticari ilişkide bulundukları topluluklar ve müşterileri ile olan bilgi alışverişini güçlendiren hizmetler sunmaktadır. EasyLink ağı, global ekonomide para, mal, ürün ve insan hareketleri kapsamında gerçekleşen sigorta talepleri, ticaret ve seyahat onayları, satın alma siparişleri, faturalar, sevk ihbarları ve fon transferleri gibi birçok işlemin yapılmasını kolaylaştırmaktadır. EasyLink, şirketlere, işlerini güvenli, etkili ve esnek ortamlarda elektronik olarak yapma ve rekabet güçlerini artırma imkanı sunmaktadır.
kaynak:teknoloji merkezi

VIRUS:W32/Bagle.z@MM
Risk Seviyesi: Orta
Belirtileri: Makinede TCP port 2535’in açılması/dinlenmesi
Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi
Registry’de Run anahtarında drvsys.exe’nin varlığı
Diğer isimleri: WORM_BAGLE.X (Trend Micro)
Etkilediği sistemler: Windows 95, 98, ME, NT, 2000 ve XP

Bu toplu eposta atma solucanı (worm) aşağıdaki karakteristiklere sahip:
* Mesajları göndermede kendi SMTP motorunu kullanıyor
* Bulaştığı makinadan eposta adreslerini topluyor
* Sahte From: (Gönderen) adresi oluşturuyor
* Ek dosya şifreli bir zip dosyası olabiliyor (Şifre mesajın gövdesinde bulunuyor)
* Uzaktan erişim bileşeni içeriyor (Virüs yazarını otomatik haberdar ediyor)
* Kendi kopyalarını içinde shar kelimesi içeren klasörlere kopyalıyor (bazı genel peer-to-peer dosya paylaşım yazılımları bu tip klasörler kullanıyor. ör: KaZaa, Bearshare, Limewire)

Çözüm:
Virüsün sisteminize bulaştığından şüpheleniyorsanız ve sisteminizde bir antivirüs yazılımı yüklü değilse Network Associates’in color=#0000ff Stinger aracını indirirek sisteminizi tarayabilirsiniz. Veya Trend Micro’nun ücretsiz online antivirüs tarama/temizleme aracı HouseCall’u kullanabilirsiniz:

Antivirüs yazılımı kullananlar güncelleme yaptıktan sonra sistemlerini tarayabilirler.

VIRUS : W32.Sober.D@mm
Diğer İsimleri: Win32.Sober.D [Computer Associates], W32/Sober.d@MM [McAfee], WORM_SOBER.D [Trend]
Tip: Worm (Solucan)
Etkilenen Sistemler: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Etkilenmeyen SistemlerOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x

Visual Basic kullanılarak yazılmış olan W32/Sober.d@MM’nin karakteristik özellikleri aşağıda belirtilmiştir:
• Kendisine ait SMTP motoru
• Kaynak ve hedef eposta adresleri kurbanın bilgisayarından toplanmaktadır
• Mesaj Microsoft tarafindan gönderilmiş bir yama içerdigini iddia etmektedir (İngilizce ve Almanca)
• Eposta yayılması
Gönderilen epostalar İngilizce ve Almanca içerikli olabilir. Alıcının eposta adresinin bitiş uzantısı mesajın içeriğinin dilini tanımlamak için kullanılmaktadır. Alıcının adresi aşağıdaki uzantıları içeriyorsa eposta Almanca ulaşacaktır:
• .de
• .ch
• .at
• .li
• @gmx
Eposta Microsoft’un W32/Mydoom@MM virüsü için çıkardığı yamayı içerdigini iddia etmektedir. Aşagıda bazı örnekler belirtilmektedir:

Gönderen (From): (Gönderen)@microsoft.(ulke )
Gönderen aşağıdaki listelerden alınır:
• Info
• Center
• UpDate
• News
• Help
• Studio
• Alert
• Security

Ülke aşağıdaki listeden seçilir:
• de (for messages in German)
• at (for messages in German)
• com (for messages in English)
Konu (Subject): Değişkendir, Alman ve İngiliz alıcılar için cümle aşağıdaki gibi başlamaktadır.
• Microsoft Alarm: Bitte Lessen!
• Microsoft Alert: Please Read!
İçerik:
(Almanca)
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorg
Zudem installiert er auf infizierten Systemen einen gefahrlichen Trojaner! Fuhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.

Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Sch
+++
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

(İngilizce)
New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability. By default, the Trojan component listens on port 13468.

Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
+++
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19 com

Ek Dosya (Attachment): .EXE veya .ZIP uzantılı olabilir. İsimler aşağıdaki listeden seçilir.
• sys-patch
• MS-UD
• MS-Security
• Patch
• Update
• MS-Q

Kaynak: , , ,

Virüsün ismi : W32/Sasser-G

Diğer(takma) ismi : Worm.Win32.Sasser.g

Çalıştığı ve etkilediği sistem : Windows(98/2000/NT/XP)

İlk görüldüğü zaman : 20 Eylül 2004 Saat : 10:56:41

Seviyesi : Aktif - Normal

Bilgi : Bilinen Sasser virüslerinin son halkası.

Worm’un etkileri :

=>> Bilgisayarınızdaki yazılımları etkiliyor ya da deği$tiriyor.

=>> Internet’den kendini yaymak için zararlı kod’(Code)ler indiriyor.

=>> Sistem güvenliğini tamamen azaltıyor.

=>> Exe. Dosyalarına bula$ıyor.

=>> Kendini Registry’e kaydediyor.

=>> Bilgisayarınızdaki bilgileri siliyor yok ediyor.

=>> Bilgisayarınızdaki dosyaların isimlerini ve uzantılarını deği$tiriyor.

Kaynak : Sophos

**crazyossie** · 28.08.09, 21:01

Backdoor.Win32.Surila.k

Surila bir torjan olup, Visual C++ da yazılmıstır. Boyutu 244 kb ila 413 kb arasında değişmektedir.

Surila bir kez calıstırıldıgında kendini windows sistem klasorune dx32cxlp.exe olarak kopyalar. Ve asagıdaki registry anahtarılarını yaratır;

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
devsec = %System%dx32cxlp.exe

[HKLMSOFTWAREMicrosoftInternet Explorermutexname]

burdaki mutexname rastgele bir degerdir !

ilk registry anahtarı sayesinde trojan her tekrar baslatmada otomatik yuklenmeyi saglar. ikinci ahantar ise sisteme kendini tanımlatır.

Surila aynı zamanda baslangıc klasorune kendini kopyalar ve windows sistem dosayasında dx32cxconf.ini diye bir dosyada yaratır. Ve servis adı olarakta dx32cxel: %Systemdx32cxel.sys ni yaratır.

Ve bilgisayarın internet baglantısında tam yetki için kendini windows FirewallPolicy içinde kayıt ettirir. Bu sayede internetten faydalanan yasal ve zararsız bir program gibi gorunur.

Surila asagıdaki IRC serverları komut almak için dinler;

62.241.53.2:4242, 211.233.41.235:4661, 81.23.250.167:4242, 193.19.227.24:4661, 66.98.192.99:3306, 207.44.222.47:4661, 213.158.119.104:4661, 207.44.206.27:4661, 62.241.53.4:4242, 216.127.94.107:4661, 67.15.18.45:3306, 62.241.53.15:4242, 64.246.54.12:3306, 62.241.53.16:4242, 211.214.161.107:4661, 67.15.18.57:3306, 66.98.144.100:4242, 69.50.187.210:4661, 66.111.43.80:4242, 212.199.125.36:8080, 66.90.68.2:6565, 62.241.53.17:4242, 69.50.228.50:4646, 81.23.250.169:4242, 69.57.132.8:4661, 4.246.18.98:4661, 218.78.211.62:4661, 207.44.142.33:4242, 64.246.16.11:4661, 205.209.176.220:4661, 80.64.179.46:4242, 65.75.161.70:4661

Ve ayrıca Surila, AntiVirus programların guncelleme yapmaması için, guncelleme adreslerini[asagıda ki siteleri] 127.0.0.1 IP si ile degiştiriyor.

Virüsün ismi : W32/Forbot-Gen

Diğer(takma) ismi : W32/Forbot-Gen.

Çalıştığı ve etkilediği sistem : Windows(98/2000/NT/XP)

İlk görüldüğü zaman : 21 Eylül 2004 Saat : 11:00:25

Seviyesi : Aktif - Normal

Bilgi : Bilinen Forbot virüsünün son halkası. Anti’si aynı.

W32/Forbot-Gen detects members of the Forbot family of worms.
W32/Forbot-Gen worms typically attempt to spread to remote shares and open a backdoor on an infected computer.
W32/Forbot-Gen worms typically copy themselves to the Windows system folder and create registry entries under the following ................................s in order to run on system startup:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServi ces
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce

Kurdun (Worm’un) etkileri :

=>> Forbot virüslerinin en tipik özelliği IE bağlantısını kesiyor. Bilgisayariniz internete bağlanamıyor.

=>> Sistem güvenliğini tamamen azaltıyor.

=>> Kendini Registry’e kaydediyor.

Kaynak : Sophos

W32/Atak-E

tip: solucan

nasıl bulaşır: emaille

etkiledigi sistemler: windows

etkileri:

----kendini etkilenmiş bilgisayarda bulunan email adresine gönderir

----bilgisayardaki datayı değiştirir

----göndericinin email adresini hareketlendirir

----kendi email motorunu kullanır

----kendini registrye install eder

ilk görüldügü zaman:6 Aralık 2004 05:24:44 (GMT)

R34 [ trojan + şifre çalıcı ]

unsticky tarafından Visual Basic de yazılmıs, UPX ile sıkıstırılmıs olan bir trojan
aynı zamanda bir şifre calıcı olarak gecmekte. Boyutu yaklasık 15.5 kb tır.

Tam guncel haldeki AVP antivirus ile 12 aralık 2004 te yapılmıs olan taramada bulunamamıstır.

Bilinen özellikleri;

!! System32 klasorune ozel bir program ismi ile kendini kopyalamaktadır.

!! İlk server ını silip, kopyaladıgı server ile işine devam etmektedir.

!! Kendini baslangıca ekleyip, Olay goruntuleyicisinde gorunmemektedir.

!! Ad-Aware, Norton, ve McAfee antivirus uygulamalarını devre dışı bırakmaktadır.

!! ZoneAlarm, Kerio, ve Windows guvenlik duvarlarını devre dışı bırakmaktadır.

!! Olay goruntuleyicisi, MSConfig, RegEdit, sistem Geri donusunu, ve komut istemini devre dısı bırakmaktadır.

!! AIM MD5 Hashlarını ve TestBuddy şifrelerini toplamaktadır.

!! İç ve Dış iletişimde kullanılan tum IP leri toplamaktadır.

!! Ve diğer tum hashlerini, şifreleri, host adlarını ve IP lerini şifrelenmiş özel bir websitesine kaydetmektedir.

SistemSurucusu\WINDOWS\system32\msps.exe içine kendini koymakta olup, msps.exe in boyutu yaklasık 15.872 kb tır.

Baslangıc içinde

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows "load"
data: SistemSurucusu\WINDOWS\system32\msps.exe

Kayıtını regeditte olusturmaktadır.

Bu trojan ve özellikleri Windows XP işletim sisteminde denenmiştir

W32/Zafi.d@MM - Orta Risk
Zafi.d virüsü eposta veya P2P paylaşım programları ile yayılıyor. Virüsün bulaşabilmesi için kullanıcının epostadaki ek dosyayı veya P2P ile paylaşılan dosyayı çalıştırması gerekiyor.

Karakteristikleri:
* Eposta mesajlarını gönderebilmek için Kendi SMTP motorunu kullanıyor.
* From: adresini sahte olarak yaratıyor.
* Bulaştığı makinadan eposta adreslerini topluyor.
* Gönderdiği epostaların gövdesi ya Macarca ya da İngilizce oluyor.
* p2p ile yayılabiliyor.
* güvenlik servislerini kapatabiliyor.

Eposta ile yayılım:
Virüs kendisini ZIP, CMD, PIF, BAT veya COM uzantılarına sahip dosyalarda gönderiyor.
Aşağıdaki uzantılara sahip dosyalardan eposta adreslerini topluyor:
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb

Toplanan eposta adresleri System32 klasörü altında rastgele isimlere sahip DLL uzantılı 5 dosyada tutuluyor:
ör:
c:WINDOWSSYSTEMckolieqt.dll
c:WINDOWSSYSTEMfktnxowp.dll
c:WINDOWSSYSTEMgczomkgr.dll
c:WINDOWSSYSTEMhgtmrsvo.dll

Virüs kendisini aşağıdaki kelimeleri içeren eposta adreslerine göndermiyor:
yaho
google
win
use
info
help
admi
webm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper

Virüsün gönderdiği eposta Yılbaşı tebriği görüntüsünde oluyor. Virüslü mesajın içeriği daha önceki varyantları gibi alıcı adresinin alan adına göre çeşitli dillerde olabiliyor. Ör. alan adı .com ile biten bir alıcıya ingilizce, .de ile biten bir alıcıya almanca olarak gönderiyor.

P2P ile yayılım:
Virüs kendisini C: sürücüsünde aşağıdaki kelimeleri içeren klasörlerin içine kopyalıyor:
share
upload
music

Kendisini aşağıdaki isimlerde kopyalıyor:
winamp 5.7 new!.exe
ICQ 2005a new!.exe

Kendisinin manuel olarak temizlenmesini engellemek için aşağıdaki kelimeleri içeren işlemlerin çalışmasını engelliyor:
reged
msconfig
task

Ayrıca güvenlik duvarı ve Antivirus yazılımı gibi güvenlik servislerini kapatmaya çalışıyor.

:%windir%system32 klasörüne aşağıdaki dosyaları bırakıyor:
C:WINNTsystem32 .EXE - 11,745 bytes
C:WINNTsystem32
C:WINNTsystem32Norton Update.exe - 11,745 bytes
C:WINNTsystem32 .DLL - (kendisinin ziplenmiş hali)
C:s.cm - 20,552 bytes (winzip dll module)

Aşağıdaki registry anahtarı yaratılıyor:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWxp4

Etkilenen sistemde TCP 8181 portu açılıyor.

Çözüm:
Antivirüs yazılımlarınızı güncelleyerek sistemlerinizi taratın. Manuel temizleme bilgileri kaynak adresinden temin edilebilir

Konu Bilgileri
	Konu Başlığı Yeni Virusler: Bilgi & Tanim	Konudaki Cevap Sayısı 52
	Şuan Bu Konuyu Görüntüleyenler	Görüntülenme Sayısı 17793

Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)