BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.VBS.Lucky

Sınıf Email-Worm
Platform VBS
Açıklama

Teknik detaylar

Bu, virüslü bilgisayarlardan virüslü mesajlar göndererek e-posta yoluyla yayılan İnternet solucanıdır. Yayılırken, solucanlar MS Outlook'u kullanır ve kendilerini MS Outlook Adres Defterinde saklanan tüm adreslere gönderir. Sonuç olarak, virüslü bir bilgisayar, MS Outlook kişileri listesinde çok sayıda adrese kadar çok sayıda ileti gönderir.

Bilinen iki solucan varyantı vardır. Her ikisinde de kodları hatalıdır ve yayılamazlar, ancak bu hatalar bir bilgisayar korsanı tarafından kolayca düzeltilebilir.

Solucanlar, "Visual Basic Script" (VBS) komut dosyası dilinde yazılır ve yalnızca Windows Komut Dosyası Sunucusu'nun (WSH) yüklü olduğu bilgisayarlarda çalışır. Windwos 98 ve Windows 2000'de, WHS varsayılan olarak yüklenir. Yaymak için, solucanlar MS Outlook'a erişir ve işlevlerini ve adres listelerini kullanır. Bu yalnızca Outlook 98 / 2000'de kullanılabilir, bu nedenle solucanlar yalnızca bu MS Oulook sürümlerinden biri yüklendiğinde yayılabilir.

Yayma

Solucan bir bilgisayara, solucanın kendisi olan ekli bir VBS dosyasına sahip bir e-posta mesajı olarak gelir. Orijinal solucan versiyonundaki mesaj şunları içerir:

Konu: Prinz Charles Die
Mesaj gövdesi: Cool User's için en yeni Mesaj. Lucky2000
Ekli dosya adı: COOL_NOTEPAD_DEMO.TXT.vbs

Sistem ayarlarına bağlı olarak, bağlı bir dosyanın (".vbs") gerçek uzantısı gösterilmeyebilir. Bu durumda, ekli dosyanın dosya adı "COOL_NOTEPAD_DEMO.TXT" olarak görüntülenir.

Bir kullanıcı tarafından etkinleştirildikten sonra (ekli dosyaya çift tıklayarak), solucan aşağıdaki mesajı dikkate almaz:

maruz
eXposed yükleniyor

Ardından, masaüstünde Windows'tan çıkan bir PIF dosyasına bir kısayol oluşturur. Solucan mevcut olmayan bir dosyaya bir kısayol simgesi ayarlar, böylece kısayol standart bir simgeye sahiptir – beyaz arka planlı bir pencere bayrağı. Bundan sonra, solucan aşağıdaki mesajı görüntüler:

MAVİ ŞİŞE SİMGESİNİ MASAÜSTÜ ÜZERİNDE TIKLAYINIZ VEYA SABİT SÜRÜCÜNÜN KAYBEDİLMESİNİ KAZANIN!
EXposed BİR BİLGİSAYAR BİLGİSAYARINIZA ZARAR VEREBİLİR

Sonra solucan yayılmaya başlar – MS Outlook'u açar, Adres Defterine erişir, tüm adresleri oradan alır ve ekli kopyasına sahip mesajları gönderir. İleti konusu, gövde ve ekli dosya adı yukarıdakiyle aynıdır.

Solucan da kendini sisteme yükler. Kopyayı Windows dizininde "Prinz_Charles_Are_Die.TXT.vbs" adıyla oluşturur:

Bu dosya daha sonra sistem kayıt defterindeki Windows otomatik çalıştırma bölümünde kaydedilir:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunPrinz_Charles_Are_Die = Prinz_Charles.Are.Die.TXT.vbs

Sonuç olarak, Windows her açılışında kurtçuk yeniden başlatılır.

Diğer çeşitleri

Solucanın kendisi bir metin betik programıdır ve metin kaynağı biçiminde yayılır. Solucanın kodu, bilgisayar korsanları tarafından kolayca değiştirilebilir ve sonuç olarak, ortaya çıkmış olabilecek bir çok solucan varyantı vardır. Genellikle sadece küçük değişiklikler yapılır.

I-Worm.Lucky.b

Bu kurt varyantı ilkine çok yakın. Aktif hale getirildikten sonra başka mesajlar görüntüler:

Fiyat
Fiyat burada

ve:

MAVİ ŞİŞE SİMGESİNİ MASAÜSTÜ ÜZERİNDE TIKLAYIN VE BİR MİLYON DOLARINI KAZANDIN !!!

Enfekte mesaj şunları içerir:

Konu: Won_a_Price
Mesaj gövdesi: Sizin için bir milyon dolar. Lucky2000
Ekli dosya adı: Won_a_Price.TXT.vbs


Orijinaline link