BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Aliz

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, Internet üzerinden yayılan ve virüslü e-postalara bağlanan bir virüs solucanıdır. Solucanın kendisi yaklaşık 4Kb uzunluğunda bir Windows PE EXE dosyasıdır ve Assembler'de yazılmıştır. Ana solucan kodu, dahili bir aPLib veri sıkıştırma algoritması tarafından sıkıştırılır, böylece orijinal solucan kodu yaklaşık 6Kb'dir.

Virüs bulaşan mesajlar şunları içerir:

Konu : farklı (aşağıya bakınız)
Gövde : boş HTML mesajı
Eklenti : whatever.exe

Konu değişkenlerden rastgele oluşturulmuştur (str1 + str2 + … + str5):

 dizge1
 ----

 Fw:
 Fw: Re:

sonra:

 str2 str3 str4 str5
 ---- ---- ---- ----

 Kontrol etmek için harika bir web sitesi!      
 Senin için güzel bir site!       
 Sıcak resimler ben :-) buldum     
 Bazı urls görmek için?      
 Komik resimler hehe ;-)
 garip şeyler - kontrol et              
 funky mp3'ler                                
 büyük bok                                
 Ilginç müzik                               
 birçok bilgi                                

Virüs bulaşmış bir iletiden çalıştırmak için, solucan bir güvenlik ihlali kullanır ( "Nimda" solucanının kullandığı benzere benzer bir IFRAME açığı). Böylelikle solucan, sadece mesajın okunması veya ön izlenmesi üzerine virüslü e-postadan aktif hale getirilebilir.

Virüs bulaşmış bir dosya çalıştırıldığında, paket açma yordamı kontrolü alır, ana solucan kodunu bellekten çıkartır ve ona atlar. Ana kod daha sonra virüslü iletileri WAB (Windows Adres Defteri) içinde bulunan e-posta adreslerine gönderir. E-posta göndermek için solucan SMTP sunucusunu varsayılan olarak bağlar.

Solucan kendini sisteme yüklemez ve artık aktif değildir (kullanıcının ekli bir e-postayı tekrar tıklatması durumları hariç).

Solucan yükü rutinine sahip değildir ve hiçbir şekilde kendini göstermez.

E-posta yayma yordamı zayıf hatalar içeriyor ve solucan birçok e-posta istemci-sunucu yapılandırması altında yayılamıyor gibi görünüyor.

Solucanla ilgili en ilginç şey, aktive edici ve yayıcı rutinin (bu ana rutindir), yaklaşık 3K'lık yürütülebilir kodla dolu olmasıdır.

Solucan aşağıdaki metni içerir:

::: iworm.alizee.by.mar00n! Ikx2oo1 :::
Bu yazıyı yazarken bu metin birçok av açıklama sitelerine eklendiğini fark ettim, çünkü bu aptal solucan kolayca bir aldatmaca olabilir. merak ediyorum ki, '[companyname]' in hangi riskli saldırılardan kurtulabileceğine dair yüksek riskli solucanı durdurdu! ya da böyle boktan. heh, ya da bu yazı yüzünden virüsümü boykot ediyorlar. iyi, yoksul avın bu solucanı eklemesi için yeterince kolaydır; sadece kodlayıcı # 2 olarak kaynaklandığı için … btw, loveletter * 2 win32asm gücü ve sadece 4k exe dosyası. heh, vbs kiddies, phear win32asm. 🙂 thx için: bumblebee! 29a, asmodeus! ikx. selamlar: starzer0! ikx, t-2000! ir, ultras! mtx ve tatlı gigabyte … btw, burgemeester van sneek: ik zoek nog een baantje … (alignmentfillingtext)


Orijinaline link