BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.VBS.SSIWG

Sınıf Email-Worm
Platform VBS
Açıklama

Teknik detaylar

Bu, "LoveLetter" gibi, virüslü bilgisayarlardan virüslü mesajlar göndererek e-posta yoluyla yayılan Internet solucanıdır. Yayılırken, solucan MS Outlook'u kullanır ve kendisini MS Outlook Adres Defterinde saklanan tüm adreslere gönderir.

Bilinen solucan versiyonunun bir hatası vardır (bir komut yanlış yazılmıştır) ve solucan kopyalarını e-posta mesajları yoluyla yaymaz. Buna ek olarak, hata kolayca düzeltilebilir ve solucan yayılabilecektir.

Solucan yerel bir ağ üzerinden yayılabilir. Bunu yapmak için, solucan ağ kaynaklarını sıralar ve oraya kendini kopyalar. Solucan, uzak bir bilgisayarda kendini etkinleştiremez ve sadece solucan kopyasının bazen bir kullanıcı tarafından çalıştırılması durumunda onu enfekte eder.

Solucan kendisi bir VBS komut programıdır.

Solucan aşağıdakilerle birlikte bir e-posta mesajı olarak gelir:

Konu: U seni özlüyorum
Mesaj gövdesi: Beni hatırlayabilir misin?
Ek adı: Y072QWV.VBS

Bir kullanıcı tarafından etkinleştirildikten sonra, solucan kendisini aynı ada sahip Windows sistem dizinine kopyalar (Y072QWV.VBS) ve bu kopyasını sistem kayıt defterindeki otomatik çalıştırma bölümünde kaydeder:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Y072QWV" =% Windir% Y072QWV.VBS

Burada "Windir" Windows sistem dizininin adıdır.

Solucan, "Y072QWV.VBS" dosyasını, yazım için paylaşılan sürücülerdeki kök dizine kopyalayarak yerel bir ağ üzerinden yayılır.

Virüs bulaşmış mesajlar göndermek için, solucan MS Outlook'a bağlanır, tüm adresleri adres defterinden alır ve mesajlarını oraya gönderir (konu, gövde ve ek adı yukarıda listelenenlerle aynıdır).

Solucan kendini otomatik çalıştırılan kayıt defteri bölümünde kaydettiği için, her Windows açılışında aktif hale gelir, ancak her çalıştırıldığında e-posta mesajları ile yayılmaz. Solucan, Windows kayıt defterinde saklanan bir sayacı vardır:

HKEY_LOCAL_MACHINE "Y072QWV" = numara

Burada "sayı" başlangıç ​​sayısıdır (her başlangıçta, solucan bu sayacı arttırır). Sayaç 20'ye ulaştığında, solucan sıfırlanır ve ardından bir Outlook bulaşma yordamı çalıştırılır. Aksi halde, solucan onu atlar.

Sonuç olarak, solucan bulaşmış mesajları yalnızca ilk çalıştırma (virüs bulaşmış bir mesajdan aktive edilir) ve her 20 nci yeniden başlatma üzerine gönderir. Solucan her başlatıldığında yerel ağ yayma rutini etkinleştirilir.

Solucanın tespitini biraz daha zorlaştıran bir özelliği var. Solucan kodundaki tüm metin dizileri biraz şifrelenir ve ihtiyaç durumunda, solucan şifresini çözer ve kullanır.


Orijinaline link