Ana sınıf: VirWare
Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.Sınıf: Email-Worm
Email-Worms e-posta yoluyla yayıldı. Solucan, kendisinin bir kopyasını bir e-posta mesajının eki olarak veya bir ağ kaynağındaki dosyasına bir bağlantı olarak gönderir (örn., Ele geçirilmiş bir web sitesindeki veya hacker'ın sahip olduğu bir web sitesinde virüslü bir dosyanın URL'si). İlk durumda, virüslü eklenti açıldığında (başlatıldığında) solucan kodu devreye girer. İkinci durumda, virüs bulaşan dosyaya bağlantı açıldığında kod etkinleştirilir. Her iki durumda da, sonuç aynıdır: solucan kodu etkinleştirildi. Email-Worms, virüslü e-posta göndermek için bir dizi yöntem kullanır. En yaygın olanları şunlardır: Windows MAPI işlevlerini kullanarak MS Outlook hizmetlerini kullanarak solucan koduna yerleşik e-posta dizini kullanarak bir SMTP sunucusuna doğrudan bağlantı kullanarak. E-posta solucanları, virüslü e-postaların gönderileceği e-posta adreslerini bulmak için bir dizi farklı kaynak kullanır: MS Outlook'taki adres defteri, sabit sürücüde saklanan bir WAB adres veritabanı .txt dosyaları: solucan, metin dosyalarındaki hangi dizeleri belirleyebilir e-posta adreslerini gelen kutunuzda e-postalar (bazı e-posta-solucanlar gelen kutucukta bulunan e-postalara bile "cevap verir") Birçok e-posta solucanı, yukarıda listelenen kaynaklardan daha fazlasını kullanır. Web tabanlı e-posta hizmetleriyle ilişkili adres defterleri gibi başka e-posta adresleri kaynakları da vardır.Platform: VBS
Visual Basic Scripting Edition (VBScript), Windows Komut Dosyası Sistemi tarafından yorumlanan bir komut dosyası dilidir. VBScript, Microsoft Windows işletim sistemlerinde komut dosyaları oluşturmak için yaygın olarak kullanılır.Açıklama
Teknik detaylar
Bu, 2000 yılının Mayıs ayında küresel salgına neden olan internet solucanıdır. Solucan, etkilenen bilgisayarlardan virüslü iletileri göndererek e-posta yoluyla yayılır. Yayılırken, solucan MS Outlook'u kullanır ve kendisini MS Outlook Adres Defterinde saklanan tüm adreslere gönderir. Sonuç olarak, virüslü bir bilgisayar, MS Outlook kişileri listesinde tutulan çok sayıda adrese çok sayıda ileti gönderir.
Solucan komut dosyası "Visual Basic Script" (VBS) dilinde yazılmıştır. Yalnızca Windows Komut Dosyası Sunucusu'nun (WSH) kurulduğu bilgisayarlarda çalışır. Windows 98 ve Windows 2000'de, WHS varsayılan olarak yüklenir. Kendini yaymak için, solucan MS Outlook'a erişir ve sadece Outlook 98 / 2000'de bulunan işlevlerini ve adres listelerini kullanır, böylece solucan sadece bu MS Oulook sürümlerinden birinin yüklü olması durumunda yayılabilir.
Çalıştırıldığında, solucanlar kopyalarını e-posta ile gönderir, kendini sisteme yükler, yıkıcı eylemler yapar, bir Truva atı programı indirir ve kurar. Solucan ayrıca mIRC kanallarına yayılma özelliğine de sahiptir.
Solucan "telif hakkı" dizeleri içerir:
barok -loveletter (vbe) <okula gitmekten nefret ediyorum>
tarafından: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Filipinler
Yayma
Solucan bir bilgisayara, solucanın kendisi olan ekli bir VBS dosyasına sahip bir e-posta mesajı olarak gelir. Orijinal solucan versiyonundaki mesajlar:
Konu: ILOVEYOU
Mesaj gövdesi: benden gelen ekli LOVELETTER'i kontrol edin.
Ekli dosya adı: LOVE-LETTER-FOR-YOU.TXT.vbs
Bir kullanıcı tarafından etkinleştirildiğinde, (ekli bir dosyaya çift tıklayarak) solucan MS Outlook'u açar, Adres Defterine erişir, tüm adresleri oradan alır ve ekli kopyasına sahip mesajları gönderir. İleti konusu, gövde ve ekli dosya adı yukarıdakiyle aynıdır.
Solucan da kendini sisteme yükler. Windows dizinlerindeki kopyalarını isimleriyle oluşturur:
Windows dizininde: WIN32DLL.VBS Windows sistem dizininde: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
Bu dosyalar daha sonra sistem kayıt defterindeki Windows otomatik çalıştırma bölümünde kaydedilir:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS
Sonuç olarak, Windows her açılışında solucan yeniden başlatılır.
Solucan ayrıca, mIRC kanallarına yayılırken kullanmak için Windows sistem dizininde bir HTM damlası oluşturur (aşağıya bakın). Bu kopya aşağıdaki ada sahip:
AŞK-MEKTUP-FOR-YOU.TXT.HTM
Truva atı dosyası indiriliyor
Trojan programını sisteme yüklemek için solucan, Internet Explorer başlangıç sayfasının URL'sini değiştirir. Yeni URL bir Web sitesine işaret eder (dört değişkenden randonly olarak seçilir) ve Explorer'ı buradan bir EXE dosyası indirmeye zorlar. Bu dosya WIN-BUGSFIX.EXE adını ve Trojan programıdır. Solucan, bu dosyayı otomatik çalıştırma bölümünde sistem kayıt defterinde kaydeder:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe
Bir sonraki seferde, Internet Exlorer Truva atını indirir ve sistemdeki İndirme dizinine kaydeder. Bir sonraki Windows başlangıcında, Truva kontrolünü ele geçirir ve kendisini WINFAT32.EXE adıyla Windows sistem dizinine kopyalar.
Truva atı sisteme kurulduğunda, solucan Internet Explorer başlangıç sayfasını boş olarak ayarlar ("hakkında: boş").
İndirilen ve yüklenen dosya şifre çalan bir Truva atıdır. Yerel makine adı ve IP adresi, ağ giriş (ler) i ve şifre (ler), RAS bilgileri, vb. Alır ve bunları Truva hostuna gönderir. Analiz edilen örnekler "mailme@super.net.ph" adresine mesaj gönderir, mesaj konusu aşağıdaki gibi görünür:
Barok ... email.passwords.sender.trojan
IRC kanallarına yayılıyor
Solucan yerel sürücüleri tarar ve dosyaları arar:
MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP
Bu dosyalardan en az birinin bir alt dizininde bulunması durumunda, solucan yeni bir SCRIPT.INI dosyasını oraya bırakır. Bu dosya, virüslü IRC kanalına katılan tüm kullanıcılara bir solucan kopyası (LOVE-LETTER-FOR-YOU.TXT.HTM dosyası) gönderen mIRC komutlarını içerir.
SCRIPT.INI dosyası şu yorumları içerir:
mIRC Komut Dosyası
Lütfen bu betiği düzenlemeyin ... mIRC yapacaksa mIRC bozuk olacak
bozuk ... WINDOWS, doğru şekilde çalışmayacak ve çalışmayacak. Teşekkürler
Khaled Mardam-Bey
http://www.mirc.com
Bir IRC kullanıcısı bu virüs bulaşmış HTML'yi aldığında, bir IRC indirme dizinine kopyalanır. Daha sonra solucan, o dosyadan sadece kullanıcının tıklamasına izin verdiğinde aktive edilir. Tarayıcının güvenlik ayarları, komut dosyalarının disk dosyalarına erişmesine ve bir uyarı mesajı görüntülemesine izin vermediğinden, solucan bunu önlemek için bir numara kullanır. İlk olarak, kullanıcıyı kandırmak için bir mesaj görüntüler:
Bu HTML dosyasının ActiveX Denetimi'ne ihtiyacı var
Bu HTML dosyasını okumak için etkinleştir
- Lütfen ActiveX'i Etkinleştirmek için 'YES' düğmesine basın
Kullanıcının gerçekten 'EVET'i tıklaması durumunda, solucan disk dosyalarına erişir ve kendini sisteme yükler. VBS kodunu MSKERNEL32.VBS adıyla Windows sistem dizinine indirir ve sistem kayıt defterindeki Windows otomatik çalıştır bölümünde kaydeder:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
'NO' seçildiğinde, solucan fare hareketini ve tuşa basma olaylarını keser ve sonra kendini yeniden yükler. Sonuç olarak, kullanıcı 'YES' düğmesine basana kadar sonsuz bir döngüde bir uyarı mesajı alır.
Yıkıcı eylem
Solucan, mevcut tüm yerel ve haritalanmış sürücülerdeki alt dizin ağaçlarını tarar, orada bulunan tüm dosyaları listeler ve dosya adı uzantısına bağlı olarak eylemler gerçekleştirir:
- VBS, VBE: Solucan, VBS gövdesiyle bu dosyaların üzerine yazar. Sonuç olarak, sistemdeki tüm VBS ve VBE programlarının solucan koduyla üzerine yazılır.
- JS, JSE, CSS, WSH, SCT, HTA: solucan, orijinal bir dosya adı artı ".VBS" uzantılı yeni bir dosya oluşturur ve orijinal dosyayı siler; Yani, solucan bu dosyaları kodun üzerine yazar ve bunları VBS uzantısı ile yeniden adlandırır. Örneğin, "TEST.JS" becowes "TEST.VBS".
- JPG, JPEG: solucan yukarıdaki ile aynıdır, ancak tam dosya adına bir ".VBS" uzantısı ekler (".VBS" olarak yeniden adlandırılmaz). Örneğin, "PIC1.JPG", "PIC1.JPG.VBS" olur.
- MP2, MP3: solucan ".VBS" uzantılı yeni bir dosya oluşturur ("SONG.MP2" için, solucan "SONG.MP2.VBS" dosyasını oluşturur), kodunu oraya yazar ve dosya özniteliğini ayarlar " orijinal dosya için "gizli".
Diğer çeşitleri
Solucanın kendisi bir metin betik programıdır ve metin kaynağı biçiminde yayılır. Solucanın kodu, bilgisayar korsanları tarafından kolayca değiştirilebilir ve sonuç olarak, orijinal solucanın birçok çeşidi vardır. Çoğu sadece küçük remake ve orijinal solucan için ayrıntılar ayrıntılı olarak değişir - mesaj alanları metin değişti, farklı dosya isimleri, etkilenen disk dosyaları uzantıları farklı set (örneğin, .BAT ve .INI) vardır.
Konu, mesaj gövdesi ve farklı değişkenlerdeki ekli dosya adı aşağıda listelenmiştir (ilk blok orijinal solucan versiyonuna aittir):
Konu / beden / ek adı SENİ SEVİYORUM Lütfen bana gelen ekli LOVELETTER'i kontrol edin. AŞK-MEKTUP-FOR-YOU.TXT.vbs Anneler Günü Siparişi Onayı Kredi kartınızdan 326,92 $ tutarında bir ücret talep ettik. anneler günü için elmas özel. Detaylı bir ekledik bu e-postaya fatura. Lütfen eki yazdırın ve bir güvenli bir yer. Tekrar Teşekkürler ve Mutlu Anneler Günü Var! mothersday@subdimension.com mothersday.vbs fwd: Şaka- Mesajda mesaj gövdesi yok Çok Funny.vbs Susitikim shi vakara kavos puodukui ... Lütfen bana gelen ekli LOVELETTER'i kontrol edin. AŞK-MEKTUP-FOR-YOU.TXT.vbs Önemli! Dikkatlice oku !! Benden gelen ekli ÖNEMLİ'yi kontrol edin! IMPORTANT.TXT.vbs Tehlikeli Virüs Uyarısı Dolaşan tehlikeli bir virüs var. Görmek için lütfen ekli resmi tıklayın ve bundan kaçınmayı öğrenin. virus_warning.jpg.vbs IL0VEY0U hatasından kendinizi nasıl korursunuz? İşte aşk virüsünü düzeltmenin kolay yolu. Virüs Koruması-Instructions.vbs Arab Havayolları ile Uçtuğunuz İçin Teşekkür Ederiz Ekteki dosyayı açarak faturanın doğru olup olmadığını kontrol edin. ArabAir.TXT.vbs Bewerbung Kreolina Sehr geehrte Damen und Herren! BEWERBUNG.TXT.vbs BAK! hehe ... bunu kontrol et. LOOK.vbs Varyant Testi Bu vbs virüsünün bir çeşididir. IMPORTANT.TXT.vbs Evet, Evet, ÖLÜM için başka bir zaman ... Bu VBS.LOVE-LETTER.WORM için Killer. Vir-Killer.vbs Buna inanırım! Ben sadece bu nefret e-posta aldım inanıyorum inanıyorum .. Bir göz atın! KillEmAll.TXT.vbs LOVEBUG Güncelleme Anti-Virüs Yeni Varyasyon !! Artık yeni bir aşk hatası var. Anda serbest bırakıldı 8:37 Cumartesi Gecesi. Lütfen sürtünme bandını indirin. Virüsü izole etmeye çalışıyoruz. Teşekkürler Symantec. antivirusupdate.vbs ÖNEMLİ: Resmi virüs ve hata düzeltmesi Bu resmi bir virüs ve hata düzeltmesidir. Sistem yöneticimizden aldım. Sistem dosyalarını güncelledikten sonra kısa sürebilir. ek dosya. Hata ve virüs fix.vbs Son Virüs Saldırıları-Düzeltme Eklenmiş, efektin tersine çevrilecek bir komut dosyasının kopyasıdır. FW: JOKE ile birlikte AŞAĞIDAKİ LETTER-TO-YOU.TXT.vbs, Anneler günü ve Litvanyalı kardeşler. BAND-AID.DOC.vbs PresenteUOL O, çok iyi bir şeydir. Veja o arquivo em anexo. http://www.uol.com.br UOL.TXT.vbs BUG & VİRÜS FİKS Bunu sistem yöneticimizden aldım. Yakın zamanda nabzını tutmak için bunu çalıştırın veya gelecek böcek ve virüs saldırısı. Dosyalarınızı güncellerken küçük bir süre alabilir. MAJOR BUG & VIRUS FIX.vbsÜCRETSİZ SEXSITE PASSWORDS buna bir bak ; ÜCRETSİZ SEX SİTESİ ŞİFRELERİ. ÜCRETSİZ SEXSITE PASSWORDS.HTML.vbs 1.000.000 $ Kazanabilirsiniz! 1 Tıklayın Away Lütfen bana gelen ekli WIN'i kontrol edin. WIN.vbs Virüs Uyarılar! ÇOK ÖNEMLİ LÜTFEN BU METİNİ OKUYUN. METİN EKİPMANI. çok önemli-txt.vbs VİRÜSLER VAR benden gelen ekli VIRUS BİLGİLERİ kontrol edin. Bu şekilde herhangi bir virüse karşı bağışıklık kazanabilirsiniz. Gerçekten çok yardımcı olur! HOW_TO_BEAT_VIRUSES.TXT.vbsBunu okumalısın! Bu metni okudun mu? Yapmalısın! C: NOTES.TXT.exeYeni virüs keşfedildi! Yeni bir virüs keşfedildi! Adı @ - @ Alha ve Omega @ - @. Virüs yeteneklerinin tam listesi ekli dosyaya @ - @ info.txt @ - @ eklenmiştir. Son bilgi için McAfee'nin web sayfasına gidin. Lütfen bu meseleyi önemsediğiniz herkese iletin. info.txt.vbs Keşke burada Olsaydın! Keşke burada Olsaydın! Harika zaman geçiriyorum! Keşke burada olsaydın! .postcard.vbs
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com