Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, "LoveLetter" gibi, virüslü bilgisayarlardan virüslü mesajlar göndererek e-posta yoluyla yayılan Internet solucanıdır. Yayılırken, solucan MS Outlook'u kullanır ve kendisini MS Outlook Adres Defterinde saklanan tüm adreslere gönderir.

Bilinen solucan versiyonunun bir hatası vardır (bir komut yanlış yazılmıştır) ve solucan kopyalarını e-posta mesajları yoluyla yaymaz. Buna ek olarak, hata kolayca düzeltilebilir ve solucan yayılabilecektir.

Solucan yerel bir ağ üzerinden yayılabilir. Bunu yapmak için, solucan ağ kaynaklarını sıralar ve oraya kendini kopyalar. Solucan, uzak bir bilgisayarda kendini etkinleştiremez ve sadece solucan kopyasının bazen bir kullanıcı tarafından çalıştırılması durumunda onu enfekte eder.

Solucan kendisi bir VBS komut programıdır.

Solucan aşağıdakilerle birlikte bir e-posta mesajı olarak gelir:

Konu: U seni özlüyorum
Mesaj gövdesi: Beni hatırlayabilir misin?
Ek adı: Y072QWV.VBS

Bir kullanıcı tarafından etkinleştirildikten sonra, solucan kendisini aynı ada sahip Windows sistem dizinine kopyalar (Y072QWV.VBS) ve bu kopyasını sistem kayıt defterindeki otomatik çalıştırma bölümünde kaydeder:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Y072QWV" =% Windir% Y072QWV.VBS

Burada "Windir" Windows sistem dizininin adıdır.

Solucan, "Y072QWV.VBS" dosyasını, yazım için paylaşılan sürücülerdeki kök dizine kopyalayarak yerel bir ağ üzerinden yayılır.

Virüs bulaşmış mesajlar göndermek için, solucan MS Outlook'a bağlanır, tüm adresleri adres defterinden alır ve mesajlarını oraya gönderir (konu, gövde ve ek adı yukarıda listelenenlerle aynıdır).

Solucan kendini otomatik çalıştırılan kayıt defteri bölümünde kaydettiği için, her Windows açılışında aktif hale gelir, ancak her çalıştırıldığında e-posta mesajları ile yayılmaz. Solucan, Windows kayıt defterinde saklanan bir sayacı vardır:

HKEY_LOCAL_MACHINE "Y072QWV" = numara

Burada "sayı" başlangıç sayısıdır (her başlangıçta, solucan bu sayacı arttırır). Sayaç 20'ye ulaştığında, solucan sıfırlanır ve ardından bir Outlook bulaşma yordamı çalıştırılır. Aksi halde, solucan onu atlar.

Sonuç olarak, solucan bulaşmış mesajları yalnızca ilk çalıştırma (virüs bulaşmış bir mesajdan aktive edilir) ve her 20 nci yeniden başlatma üzerine gönderir. Solucan her başlatıldığında yerel ağ yayma rutini etkinleştirilir.

Solucanın tespitini biraz daha zorlaştıran bir özelliği var. Solucan kodundaki tüm metin dizileri biraz şifrelenir ve ihtiyaç durumunda, solucan şifresini çözer ve kullanır.

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Email-Worm
Platform	VBS
Açıklama	Teknik detaylar Bu, "LoveLetter" gibi, virüslü bilgisayarlardan virüslü mesajlar göndererek e-posta yoluyla yayılan Internet solucanıdır. Yayılırken, solucan MS Outlook'u kullanır ve kendisini MS Outlook Adres Defterinde saklanan tüm adreslere gönderir. Bilinen solucan versiyonunun bir hatası vardır (bir komut yanlış yazılmıştır) ve solucan kopyalarını e-posta mesajları yoluyla yaymaz. Buna ek olarak, hata kolayca düzeltilebilir ve solucan yayılabilecektir. Solucan yerel bir ağ üzerinden yayılabilir. Bunu yapmak için, solucan ağ kaynaklarını sıralar ve oraya kendini kopyalar. Solucan, uzak bir bilgisayarda kendini etkinleştiremez ve sadece solucan kopyasının bazen bir kullanıcı tarafından çalıştırılması durumunda onu enfekte eder. Solucan kendisi bir VBS komut programıdır. Solucan aşağıdakilerle birlikte bir e-posta mesajı olarak gelir: Konu: U seni özlüyorum Mesaj gövdesi: Beni hatırlayabilir misin? Ek adı: Y072QWV.VBS Bir kullanıcı tarafından etkinleştirildikten sonra, solucan kendisini aynı ada sahip Windows sistem dizinine kopyalar (Y072QWV.VBS) ve bu kopyasını sistem kayıt defterindeki otomatik çalıştırma bölümünde kaydeder: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Y072QWV" =% Windir% Y072QWV.VBS Burada "Windir" Windows sistem dizininin adıdır. Solucan, "Y072QWV.VBS" dosyasını, yazım için paylaşılan sürücülerdeki kök dizine kopyalayarak yerel bir ağ üzerinden yayılır. Virüs bulaşmış mesajlar göndermek için, solucan MS Outlook'a bağlanır, tüm adresleri adres defterinden alır ve mesajlarını oraya gönderir (konu, gövde ve ek adı yukarıda listelenenlerle aynıdır). Solucan kendini otomatik çalıştırılan kayıt defteri bölümünde kaydettiği için, her Windows açılışında aktif hale gelir, ancak her çalıştırıldığında e-posta mesajları ile yayılmaz. Solucan, Windows kayıt defterinde saklanan bir sayacı vardır: HKEY_LOCAL_MACHINE "Y072QWV" = numara Burada "sayı" başlangıç sayısıdır (her başlangıçta, solucan bu sayacı arttırır). Sayaç 20'ye ulaştığında, solucan sıfırlanır ve ardından bir Outlook bulaşma yordamı çalıştırılır. Aksi halde, solucan onu atlar. Sonuç olarak, solucan bulaşmış mesajları yalnızca ilk çalıştırma (virüs bulaşmış bir mesajdan aktive edilir) ve her 20 nci yeniden başlatma üzerine gönderir. Solucan her başlatıldığında yerel ağ yayma rutini etkinleştirilir. Solucanın tespitini biraz daha zorlaştıran bir özelliği var. Solucan kodundaki tüm metin dizileri biraz şifrelenir ve ihtiyaç durumunda, solucan şifresini çözer ve kullanır.
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Email-Worm.VBS.SSIWG

Teknik detaylar