Searching
..

Click anywhere to stop

BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.VBS.DragonBall

Sınıf Email-Worm
Platform VBS
Açıklama

Teknik detaylar

Bu Internet solucanı, MS Outlook ve IRC kullanarak e-posta mesajları aracılığıyla yayılır ve VBS'de yazılır. Solucan düzgün çalışmıyor, çünkü birkaç ölümcül hata içeriyor.

Komut dosyası çalıştırıldığında, sistem dizinlerinde kendi kendine kopyalar oluşturur:

C: WindowsWinsock.vbs
C: WindowsSysdir.vbs
C: WindowsSystemmillioner.vbs
C: WindowsSystemDragonBall.vbs
C: WindowsSystemDragonBall.cab

Ayrıca, IRC dizininde üç komut dosyası oluşturur:

C: mIRCmirc.ini
C: mIRCscript.ini
C: mIRCupdate.ini

IRC kodları, IRC kanalı üzerinden yayılmak için gereklidir. "C: Windows" ve "C: mIRC" adındaki dizinler solucanın gövdesine yazılırken, işletim sistemi ve IRC farklı dizinlerde kurulmuşsa bu işlemleri gerçekleştiremez.

Bundan sonra, solucan, sistem kayıt defterindeki ve WIN.INI dosyasındaki bazı anahtarları değiştirir. Bu kayıt defterinde iki anahtar oluşturur:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Winsock2.0" = "C: Windows winsock.vbs"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"Sysup" = "C: Windows sysdir.vbs"

ve WIN.INI dosyasındaki iki anahtarın değerini değiştirir:

[Pencereler]
Yük = C: WindowsSystemDragonBall.vbs
C = çalıştırın: WindowsSystemmillioner.vbs

Bu şekilde, çalışma sistemi başlatıldığında solucan her zaman çalışır. Buna ek olarak, solucan sistem kayıt defterindeki iki anahtar daha değiştirir

[HKLMSoftwareMicrosoftWindowsCurrentVersion]
"RegisteredOwner" = "YuP tarafından Dragon Ball Z"

[HKCUSoftwareMicrosoftInternet ExplorerAna]
"Başlangıç ​​Sayfası" = "http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg"

Daha sonra solucan, MS Outlook adres defterini açan ve her adres için aşağıdaki iletiyi oluşturan bir yayılma yordamını etkinleştirir:

Konu: Merhaba;]
Gövde: Merhaba, j oyununu sana gönderen bu oyuna bir göz at (net:]).
Eklenti: dragonball.vbs

Solucan hata içeriyor ve bu prosedür düzgün olarak çalışamıyor. Yani, solucan e-posta yoluyla yayılamıyor.

Sonuç olarak, solucan aşağıdaki diyalog kutusunu görüntüler:

YuP tarafından Dragon Ball Z Teşekkür ederim ve bye bye DragonWorld !!! [ TAMAM ]

Bir kullanıcı bu kutuyu kapattığında, solucan klavye ve fare işlevlerini kaldırır ve MediaPlayer'ı Internet'ten bir dosyayla çalıştırır:

http://bdball.metropoli2000.net/mmedia/videos/clips/dballz/gokuhss1.mpg

ve dizeleri ekleyerek AUTOEXEC.BAT değiştirir:

@ECHO ON
ECHO DraGon Topu [Z] YuP tarafından
ECHO Teşekkürler ve güle güle ejderha dünyası !!


Orijinaline link
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin