BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Burnox

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Burnox , Internet üzerinden virüs bulaşan e-postalara ek olarak yayılan ve Kazaa dosya paylaşım ağına yayılan bir solucan virüsüdür. Solucan ayrıca bir Web sitesinden indirir ve sisteme bir arka kapı trojan kurar.

Solucanın kendisi 4 KB boyutunda bir Windows PE EXE dosyasıdır (FSG tarafından sıkıştırıldığında, sıkıştırılmış boyut yaklaşık 20 KB'dir) ve VisualBasic'te yazılmıştır.

yükleme

Solucanı kurarken, kendisini "MicrosoftUpdate.com" adıyla Windows sistem dizinine kopyalar ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarına kaydeder:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =% SystemDir% MicrosoftUpdate.com

% SystemDir%, Windows Sistem dizin yoludur.

Solucan aynı zamanda tezgahını sakladığı bir sistem kayıt defteri anahtarı oluşturur:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersion Başlangıç ​​=% sayaç%

% sayacı% '1' olarak ayarlanır ve her solucan başlangıcı ile artırılır. Bu sayaca bağlı olarak solucan yayılma rutinlerini harekete geçirir.

Yayılma: EMail

Virüs bulaşan mesajlar göndermek için solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir. Eğer iletilen mesajlar aşağıdaki alan metnine sahiptir:

 Konu: Önemli: Xp, 2k, ME, 98,95 için Microsoft Windows Düzeltme Eki.

 Vücut:      

   Microsoft, bu düzeltme ekini Microsoft Windows'un tüm sürümleri için serbest bırakır.
   Bu güncelleme, son güvenlik açıklarının çoğunu yayar!
   İşletim sisteminizi şimdi yamanız önerilir. Gerçi gerekli değil.

   * Lütfen Not * Bu, gerçek Microsoft yaması değildir. Ekli program Microsoft Update

 Ekleme: MicrosoftUpdate.com

Solucan, yalnızca bir kullanıcının ekli dosyayı tıklatması durumunda virüslü e-postalardan etkilenir. Solucan kendini sisteme yükler ve yayılma rutinlerini çalıştırır.

Yayılma: KaZaa

Solucan, Windows sistem dizinindeki "system16" ismiyle bir alt dizin oluşturur ve kendini isimle birlikte kopyalar:

   kmd.exe Game Trainer.exe Hacker.exe                         
   icq2003a.exe Game.exe Hacks.exe                          
   icq2003b.exe App.exe xbox Hacker.exe                    
   icq2003Final.exe Uygulama Crack.exe Ps2 Bios Emulation.exe             
   icq2002a.exe Cracker.exe xbox Bios Hack.exe                 
   icq2003a.exe Games.exe Bir Tek CD-R.exe için ps2 Oyunları Burn
   icq crack.exe Oyunlar trainer.exe Burn ps2.exe                       
   aim crack.exe Trainer.exe xbox.exe'yi yakmak                      
   icq lite.exe Cheat.exe burnu dreamcast.exe                 
   imeshv2.exe Oyun Hack.exe   

"System16" dizini Kazaa dosya paylaşım kaynağı olarak kaydedilir.

Backdoor Truva atını yükleme

Solucan, http://www.wawater.com Web sitesinden "Backdoor.Slackbot" dosyasını indirir, "c: unxrt.exe" dosyasına kaydeder ve çalıştırır.


Orijinaline link