BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Atirus

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, kurbanın Outlook Adres defterindeki alıcılara e-posta yoluyla kendisini göndererek yayılan bir Win32 solucanıdır.

'Temiz' bir PC'de başlatıldığında, solucan kendisini% SYSTEM% Setup30.exe'ye kopyalar. Solucan ayrıca bir otomatik başlangıç ​​anahtarı yazar, böylece Windows başladığında her zaman başlayacaktır:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Çekirdek Kurulum =% SYSTEM% Setup30.exe

Daha sonra, solucan 5 dakika askıda kalıyor, ardından sistem zamanına bağlı olarak yüklerinden birini başlatıyor:

Pazartesi: I-Worm.Badtrans'ı bulur ve kaldırır.

Salı: Win.ini'de varsayılan değerleri geri yükler:
[Pencereler]
Run =
Yük =

ve aşağıdaki kayıt defteri anahtarı değerini ayarlar:

HKCRexefileshellopencommand
Varsayılan değer = "% 1"% *

Çarşamba: I-Worm.PrettyPark'ı bulur ve kaldırır.

Perşembe: Varsa, aşağıdaki dosyaları siler:

c: mircmirc.ini
c: mircscript.ini
c: mirc32mirc.ini
c: mirc32script.ini
c: ircmirc.ini
c: ircscript.ini
c: chatmirc.ini
c: chatscript.ini
C: PROGRA ~ 1mircmirc.ini
C: PROGRA ~ 1mircscript.ini
C: PROGRA ~ 1mirc32mirc.ini
C: PROGRA ~ 1mirc32script.ini
C: PROGRA ~ 1ircmirc.ini
C: PROGRA ~ 1ircscript.ini

Cuma: I-Worm.Sircam.c'yi bulur ve kaldırır.

Cumartesi: System.ini'deki varsayılan değerleri geri yükler:
[çizme]
Kabuk = Explorer.exe

Pazar:% WINDOWS% ve% SYSTEM% klasörlerinde ".vbs" uzantılı tüm dosyaları bulur ve siler.

16 Eylül'de, aşağıdaki iletiyi görüntüler:

antivirüs 
I-Worm.Antivirus tarafından korunan sistem
Telif Hakkı (c) 2001 by aLL3gRo

Yükü çalıştırdıktan sonra, solucan aşağıdaki kayıt defteri değerinin olup olmadığını kontrol eder:

HKLMSoftwareMicrosoftWindowsCurrentVersion Yükleme = 1

Değer mevcut değilse, solucan kendisini MAPI varsayılan istemcilerinin klasörlerinde bulunan iletilerin gönderenlerine göndermeye çalışır.

Gönderilen iletinin konusu "Yeni antivirüs aracı" dır ve iletide virüsün kendisinde bulunan "Antivirus.exe" eki de bulunur ve ayrıca gövdede bulunur:

Hey, sisteminizi virüslere karşı kontrol eden bu yeni virüsten koruma aracını kullanıma sunun.


Orijinaline link