BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Bulunma tarihi | 01/11/2002 |
Sınıf | Email-Worm |
Platform | VBS |
Açıklama |
Teknik detaylarBu, sürümlerine bağlı olarak farklı enfeksiyon teknolojilerini kullanan bir İnternet solucanıdır. İki "temel" kurt vardır: "Lee.a" ve "Lee.b". Eski, IRC kanalları aracılığıyla yayılır ve ikincisi, virüslü e-posta göndermek için MS Outlook'u kullanır. Diğer solucan sürümleri, bu orijinallerin modifikasyonları ve / veya kombinasyonlarıdır. Tüm solucanlar Visual Basic Script dilinde (VBS) yazılmıştır. I-Worm.Lee.aBu basit bir solucudur. Virüs bulaşmış bilgisayar ile aynı kanala bağlı bilgisayarlara virüslü bir dosya göndererek IRC kanalları aracılığıyla yayılır. Solucan bir kullanıcı tarafından etkinleştirildiğinde, kendisini "McAffe.vbs" adıyla bir Windows sistem klasörüne kopyalar. Sonra solucan, mIRC istemcisinin kurulu olduğu bir dizini bulur ve mIRC istemcisi için komutlar içeren bu dizinde "SCRIPT.INI" dosyasını oluşturur. Solucan, bu dosyada, virüslü bilgisayarla aynı kanala bağlı her bilgisayara virüslü bir dosya göndermeyi emreder. Bir "SCRIPT.INI" dosyası oluşturduktan sonra, solucan sistem kayıt defterinde bir işareti oluşturur, bu nedenle, bu sefer solucan bir "SCRIPT.INI" dosyası oluşturmaz. Solucan yükü rutinine sahip değildir. I-Worm.Lee.bBu solucan, virüslü bilgisayarlardan virüslü mesajlar göndererek e-posta yoluyla yayılır. Yayılırken, solucan MS Outlook'u kullanır ve kendisini MS Outlook Adres Defterinde saklanan tüm adreslere gönderir. Sonuç olarak, virüs bulaşan bir bilgisayar, MS Outlook kişileri listesinde tutulan çok sayıda adrese aynı sayıda ileti gönderir. Virüs sadece, Windows Komut Dosyası Sunucusu'nun (WSH) yüklü olduğu bilgisayarlarda çalışır. Windwos 98 ve Windows 2000'de, WHS varsayılan olarak yüklenir. Kendini yaymak için, solucan MS Outlook'a erişir ve yalnızca Outlook 98 / 2000'de bulunan işlevlerini ve adres listelerini kullanır, böylece solucan sadece bu MS Oulook sürümlerinden birinin yüklü olduğu durumda yayılabilir. YaymaSolucan bir bilgisayara, solucanın kendisi olan bağlı bir VBS dosyasına sahip bir e-posta mesajı olarak gelir. Orijinal solucan versiyonundaki mesaj aşağıdakileri içerir:
Bir kullanıcı tarafından etkinleştirildikten sonra (ekli bir dosyaya çift tıklayarak), solucan MS Outlook'u açar, Adres Defterine erişim kazanır, oradan tüm adresleri alır ve bunlara ekli kopyaları ile mesajlar gönderir. İleti konusu, gövde ve ekli dosya adı yukarıdakiyle aynıdır. Çift iletilerin zaten virüslü bir bilgisayardan gönderilmesini önlemek için, solucan sistem kayıt defterinde bir işaret oluşturur. Bu işaret varsa solucan mesaj göndermez. Solucan yükü rutinine sahip değildir. I-Worm.Lee.cBu solucan varyantı "Lee.b" varyantına çok yakın. Kodunda birkaç değişiklik ve ek var: Enfekte bir mesaj şunları içerir:
Solucan etkinleştirildiğinde, kendisini "Picard.vbs" adıyla Windows dizinine kopyalar ve bu dosyayı otomatik başlatma bölümünde sistem kayıt defterine kaydeder:
Sonuç olarak, solucan her Windows başlangıcında etkinleşir. Kodun başına bir yorum dizesi eklenir:
I-Worm.Lee.dBu "Lee.a" ve "Lee.b" türevlerinin melezidir. Enfekte mesaj şunları içerir:
Sıcak, kodun sonunda yorum dizesi içeriyor:
I-Worm.Lee.e"Lee.d" ile aynıdır, ancak kendini otomatik başlatma bölümünde sistem kayıt defterine kaydeder:
Sonuç olarak, solucan her Windows başlangıcında etkinleşir. Enfekte mesaj şunları içerir:
I-Worm.Lee.fBu, "Lee.c" nin hafif polimorfik varyantıdır. Solucan kodunda değişken isimleri rastgele değiştiren bir rutini içerir. Enfekte mesaj şunları içerir:
|
Orijinaline link |
|