BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Android

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, Internet kanalları aracılığıyla ULTRA.EXE Windows yürütülebilir dosyası olarak e-posta iletilerine eklenmiş bir virüs solucanıdır. Bu solucan I-Worm_Suppl ile ilgilidir .

Solucan çok tehlikeli bir yüke sahiptir: bilgisayar enfeksiyonunu takip eden bir hafta içinde, solucan aşağıdaki yerel ve uzak sürücülerdeki uzantıları siler: ICO, DOC, TXT, HTM, JPG, GIF, ZIP, RAR. Silme yöntemi, I-Worm_ZippedFiles solucanı tarafından kullanılanla aynıdır ve bozuk dosyalar kurtarılamaz.

Herhangi bir ayın 5'inde, solucan ANDROID.BMP dosyasını içinde "ANDROID" metniyle bırakır ve sistemde duvar kağıdı olarak kaydeder.

yükleme

Bir ULTRA.EXE dosyası bir kullanıcı tarafından aktive edildiğinde, virüs kendisini kazanır ve kendini sisteme yükler; kendisini ANDROID.DLL adıyla Windows sistem dizinine kopyalar; sonra DLL dosyasını (EXE dosyasında saklanır) ULTRA.DLL adıyla aynı dizine bırakır.

Solucan daha sonra WININIT.INI dosyasına yeniden adlandırma yönergeleri ekler. Bu yönergeler WSOCK32.DLL WSOCK33.DLL adıyla yeniden adlandırın ve WSOCK32.DLL yerine solucanın ULTRA.DLL kitaplığı ile değiştirin. Bu hile, Windows'un bir sonraki Windows yeniden başlatıldığında bir solucan kopyasıyla WSOCK32.DLL dosyasını değiştirmesine neden olur.

DLL'lerini başlattıktan sonra, Windows orijinalleri yerine virüslü (solucan'ın) DLL'lerini yükler ve sonuç olarak solucan ağ işlevlerine erişir.

Yayma

Bir sonraki Windows yeniden başlatıldığında, bulaşan WSOCK32.DLL sistem belleğine yüklenir ve denetim kazanır. Bu anda solucan erişir ve orijinal WSOCK32 kütüphanesinin yaptığı tüm gerekli kütüphane fonksiyonlarını yakalar. Her ikisi hariç, solucan sadece işlevlerin orijinalini taleplerini iletir ve bu amaçla solucan da WSOCK33.DLL dosyasını (orijinal kitaplığı) Windows belleğine yükler.

İki işlev virüs tarafından işlenir: isimleri "gönder" ve "bağlanır". Bu işlevleri kullanarak, solucan e-postalar yolladı ve kopyalarını bu e-postalara ULTRA.EXE dosyası olarak ekler.


Orijinaline link