Ana sınıf: VirWare
Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.Sınıf: Email-Worm
Email-Worms e-posta yoluyla yayıldı. Solucan, kendisinin bir kopyasını bir e-posta mesajının eki olarak veya bir ağ kaynağındaki dosyasına bir bağlantı olarak gönderir (örn., Ele geçirilmiş bir web sitesindeki veya hacker'ın sahip olduğu bir web sitesinde virüslü bir dosyanın URL'si). İlk durumda, virüslü eklenti açıldığında (başlatıldığında) solucan kodu devreye girer. İkinci durumda, virüs bulaşan dosyaya bağlantı açıldığında kod etkinleştirilir. Her iki durumda da, sonuç aynıdır: solucan kodu etkinleştirildi. Email-Worms, virüslü e-posta göndermek için bir dizi yöntem kullanır. En yaygın olanları şunlardır: Windows MAPI işlevlerini kullanarak MS Outlook hizmetlerini kullanarak solucan koduna yerleşik e-posta dizini kullanarak bir SMTP sunucusuna doğrudan bağlantı kullanarak. E-posta solucanları, virüslü e-postaların gönderileceği e-posta adreslerini bulmak için bir dizi farklı kaynak kullanır: MS Outlook'taki adres defteri, sabit sürücüde saklanan bir WAB adres veritabanı .txt dosyaları: solucan, metin dosyalarındaki hangi dizeleri belirleyebilir e-posta adreslerini gelen kutunuzda e-postalar (bazı e-posta-solucanlar gelen kutucukta bulunan e-postalara bile "cevap verir") Birçok e-posta solucanı, yukarıda listelenen kaynaklardan daha fazlasını kullanır. Web tabanlı e-posta hizmetleriyle ilişkili adres defterleri gibi başka e-posta adresleri kaynakları da vardır.Platform: VBS
Visual Basic Scripting Edition (VBScript), Windows Komut Dosyası Sistemi tarafından yorumlanan bir komut dosyası dilidir. VBScript, Microsoft Windows işletim sistemlerinde komut dosyaları oluşturmak için yaygın olarak kullanılır.Açıklama
Teknik detaylar
Bu, sürümlerine bağlı olarak farklı enfeksiyon teknolojilerini kullanan bir İnternet solucanıdır. İki "temel" kurt vardır: "Lee.a" ve "Lee.b". Eski, IRC kanalları aracılığıyla yayılır ve ikincisi, virüslü e-posta göndermek için MS Outlook'u kullanır. Diğer solucan sürümleri, bu orijinallerin modifikasyonları ve / veya kombinasyonlarıdır. Tüm solucanlar Visual Basic Script dilinde (VBS) yazılmıştır.
I-Worm.Lee.a
Bu basit bir solucudur. Virüs bulaşmış bilgisayar ile aynı kanala bağlı bilgisayarlara virüslü bir dosya göndererek IRC kanalları aracılığıyla yayılır.
Solucan bir kullanıcı tarafından etkinleştirildiğinde, kendisini "McAffe.vbs" adıyla bir Windows sistem klasörüne kopyalar. Sonra solucan, mIRC istemcisinin kurulu olduğu bir dizini bulur ve mIRC istemcisi için komutlar içeren bu dizinde "SCRIPT.INI" dosyasını oluşturur. Solucan, bu dosyada, virüslü bilgisayarla aynı kanala bağlı her bilgisayara virüslü bir dosya göndermeyi emreder.
Bir "SCRIPT.INI" dosyası oluşturduktan sonra, solucan sistem kayıt defterinde bir işareti oluşturur, bu nedenle, bu sefer solucan bir "SCRIPT.INI" dosyası oluşturmaz.
Solucan yükü rutinine sahip değildir.
I-Worm.Lee.b
Bu solucan, virüslü bilgisayarlardan virüslü mesajlar göndererek e-posta yoluyla yayılır. Yayılırken, solucan MS Outlook'u kullanır ve kendisini MS Outlook Adres Defterinde saklanan tüm adreslere gönderir. Sonuç olarak, virüs bulaşan bir bilgisayar, MS Outlook kişileri listesinde tutulan çok sayıda adrese aynı sayıda ileti gönderir.
Virüs sadece, Windows Komut Dosyası Sunucusu'nun (WSH) yüklü olduğu bilgisayarlarda çalışır. Windwos 98 ve Windows 2000'de, WHS varsayılan olarak yüklenir. Kendini yaymak için, solucan MS Outlook'a erişir ve yalnızca Outlook 98 / 2000'de bulunan işlevlerini ve adres listelerini kullanır, böylece solucan sadece bu MS Oulook sürümlerinden birinin yüklü olduğu durumda yayılabilir.
Yayma
Solucan bir bilgisayara, solucanın kendisi olan bağlı bir VBS dosyasına sahip bir e-posta mesajı olarak gelir. Orijinal solucan versiyonundaki mesaj aşağıdakileri içerir:
Konu: Mail: Lee@Buxtehude.de
Vücut:Windows altındaki En İyi Güvenlik Duvarı ...> BlackIce.Ekli dosya adı: Independance Day.vbs
BUGFIX des Monatlar:
Windoof 2000.
Du Kannst Dich, Windoos 2000 Server als Gast einloggen auf jedem.
Und hast trotzdem vollen Zugriff auf hızlı alle gesperrten Tarihsel, auf die normale
Anwender keinen Zugriff haben d # rfen.
Wie zb. Boot.ini ... ts..ts..ts
LEBENSHILFE ......:
% 99 alerjik Pc Probleme befinden sich zwischen Tastatur und Stuhl.
Die, öl, tün. Die, nicht kennnen, simulieren.
Ein Hacker macht einen Fehler nur einmal versehentlich. Dann immer mit Absicht.
Wenn 2 sich 1 sind und nicht 8 geben, dann dizileri 9 Monaten 3'te.
Euer Lee tarafından
Bir kullanıcı tarafından etkinleştirildikten sonra (ekli bir dosyaya çift tıklayarak), solucan MS Outlook'u açar, Adres Defterine erişim kazanır, oradan tüm adresleri alır ve bunlara ekli kopyaları ile mesajlar gönderir. İleti konusu, gövde ve ekli dosya adı yukarıdakiyle aynıdır.
Çift iletilerin zaten virüslü bir bilgisayardan gönderilmesini önlemek için, solucan sistem kayıt defterinde bir işaret oluşturur. Bu işaret varsa solucan mesaj göndermez.
Solucan yükü rutinine sahip değildir.
I-Worm.Lee.c
Bu solucan varyantı "Lee.b" varyantına çok yakın. Kodunda birkaç değişiklik ve ek var:
Enfekte bir mesaj şunları içerir:
Konu: Ncc1701e
Vücut:Merhaba, bu Galaxy'daki tüm Borg'lara konuşan Ncc1701e! ..Ekli dosya adı: Picard.vbs
Öldürmelisin ... Terranien Guys'a asilasyon ...
Solucan etkinleştirildiğinde, kendisini "Picard.vbs" adıyla Windows dizinine kopyalar ve bu dosyayı otomatik başlatma bölümünde sistem kayıt defterine kaydeder:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunStartTrek = "wscript.exe Picard.vbs"
Sonuç olarak, solucan her Windows başlangıcında etkinleşir.
Kodun başına bir yorum dizesi eklenir:
'Almanya'dan Lee tarafından yaratılan solucan
I-Worm.Lee.d
Bu "Lee.a" ve "Lee.b" türevlerinin melezidir. Enfekte mesaj şunları içerir:
Konu: Mail: Osterhase@Ostern.de
Vücut:Merhaba..Ekli dosya adı: Osterhase.vbs
Şuna göz at!
Bu bizim ölümümüz ..
Benim adım Lee ..
Ben almanya'dan geliyorum ..
Ve Lucky2000'den nefret ediyorum.
benim görüş solucanım. Ben de DVL'den Duke’dan nefret ediyorum
Favori sayfam Coderz.Net..Thx: Evet to hostet
Sitem ... Har Har Har ..
Ein Geiler Trick von mir .....
Telnet ile.
Als erstes geht ihr aud ölür Startseite von Windoof, dort auf den Erkekler # punkt ausf # hren,
Dort gebt ihr> Telnet <ein und dr # ckt İade.
das Microschrott Terminal Telnet �ffnet sich in einem Fenster
. Ihr baut jetzt eure Verbindung auf und geht auf Verbinden,
Danz auf Netzwerk sistemi ve gebt zb ein:
mail.compuserve.com 25 (wenn ihr Compuserve verwendet,
entsprechendes yaldız f # r T-Çevrimiçi, Aol oder bei welchen Sağlayıcı ihr angemeldet seid.)
Der Sunucu meldet sich dann mit einem Connect bir.
Ihr, "helo" dan bahşiş ver. Das Helo'lu erstes stehen, danach kommt, ist egal idi.
Jetzt schreibt ihr: Mail from:
Bill_Gates@Microsoft.com (nur als Beispiel) Ihr dr # ckt dann Dönüş,
und schreibt den Em�f�nger: em�f�nger @ sein provider.de (exacte Eposta adresi).
Und wieder Geri Dönüş Tat ve dann kommt die
Nachricht: 250 em�f�nger @ sein provider.de ... alıcısı tamam.
Jetzt nur "veri" eintippen ve Euren Metin, den
e-posta haben soll und macht dann einen Punkt "." und haut noch ein mal auf die Geri dönüş tadı.
Und das savaş es dann schon, der Empf�nger wird sich wundern ...: -) .....
Euer Lee
Sıcak, kodun sonunda yorum dizesi içeriyor:
Lee'den'Osterhase@Ostern.de
I-Worm.Lee.e
"Lee.d" ile aynıdır, ancak kendini otomatik başlatma bölümünde sistem kayıt defterine kaydeder:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunLee = "wscript.exe Ds9.vbs"
Sonuç olarak, solucan her Windows başlangıcında etkinleşir.
Enfekte mesaj şunları içerir:
Konu: Merhaba, Bunu kontrol et ...
Gövde: Merhaba .. Oyun bitti. Lee'den Q
Ekli dosya adı: Ds9.vbs
I-Worm.Lee.f
Bu, "Lee.c" nin hafif polimorfik varyantıdır. Solucan kodunda değişken isimleri rastgele değiştiren bir rutini içerir.
Enfekte mesaj şunları içerir:
Konu: Yeni Outlook Güvenlik aracı
Vücut:Sevgili Kullanıcı !Ekli dosya adı: Update.vbs
İşte Yeni Güvenlik Outlook aracı.
Artık Vb-Virüs yok.
Içtenlikle: Lee@Microsoft.com
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com