BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.VBS.Horillka

Sınıf Email-Worm
Platform VBS
Açıklama

Teknik detaylar

Bu zararlı solucan, Internet üzerinden virüslü mesajlara eklenmiş bir dosya biçiminde yayılır. 25562 baytlık kodlanmış bir VBS komut dosyasıdır.

Horilka indirildiğinde kendini çözer.

Kendisini Windows sistem dizinine WinSys32dll.vbs adıyla kopyalar ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarına kaydeder.

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinSys32dll. 

Virüs kütlesi, Microsoft Outlook adres defterinde bulunan tüm adresleri postalar.

Enfekte mesajların özellikleri:

Mesaj başlığı:

 ! 

Mesaj gövdesi:

 Bs ����� vbs ���������� ��� ������ ������� � ������ �� Windows !
 ��� �������� �������� � ��������, �������������� �� ����� .
 ������������ ������ ������� �� ������-�����, ��� ������� � ������������� 
vb � js ������, ������ ��� ��� ������ ������������� ��������� .
 ���������� ������� ���� � ��������� �� ���������� ������� �������� ����� 
 ����������� �������� � ������ ����������. 

Ek dosya:

bir VBS komut dosyası,

 WinSys32.dll.vbs 

Mesajlar gönderildikten sonra, virüs yazarına Windows dizininde bulunan tüm .pwl (şifre) dosyalarını içeren bir mesaj gönderir.

Her kullanıcının yapılandırması yüklendiğinde, mesajlar bir kez gönderilir.

Virüs, kendisini Folderdll.vbs adı altında tüm disklere ve tüm dizinlere kopyalar ve bu dosyaları gizli olarak işaretler.

Aşağıdaki uzantılara sahip dosyalar için Windows klasörünü arar:

 vbs
.jpg
.jpeg
.gif
.bmp
.htm
.html
.avc
.Txt
.doc
.mp3
.wav
.dbf 

Horilka, kendi koduyla .vbs dosyalarının üzerine yazar.

Virüsün içinde yer alan GIF biçimindeki bir grafikle .jpg, .jpeg, .gif ve .bmp dosyalarının yerini alır.

Aşağıdaki kodu .htm ve.html dosyalarına ekler:


.avc dosyaları şu ifadenin üzerine yazılmıştır:

 Vyatka buradaydı. 

.txt ve .doc dosyalarının üzerine şu metin yazılır:

 ��������� �������! ��� ������ ����� �� ����� - ������� ������.
   Sevgili arkadaşlar! Vyatka'nın virüsüyle saldırıya uğradın (Rusya'nın derin kıçına yerleştirilmiş)
   .. :: Xpi1oT :: .. 

.mp3 ve .wav dosyaları solucanın gövdesinde bulunan ses dosyaları ile değiştirilir.

Solucan, .dbf uzantılı bir dosya bulursa, bunları siler.

Virüs, duyuruyu görüntülemek için kodlanır:

 cooooooool 

Her yıl 11 Aralık'ta ve autoexec.bat dosyasının üzerine aşağıdaki metinle yazılır:

 @Windows, sisteminizi yükseltiyor ...
   @Lütfen bekle
   format c: / autotest / q / u
   @Lütfen bekle...
   format d: / autotest / q / u
   @Sisteminiz Vyatka'nın virüsüyle saldırıya uğradı (Rusya'nın derin kıçında yer alıyor) 

Bu gerçekleştikten sonra, sistem yeniden başlatılacak ve C: sabit diskin biçimlendirilmesiyle sonuçlanacaktır.


Orijinaline link