BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Calposa

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Calposa , Internet üzerinden virüs bulaşan e-postaların yanı sıra Kazaa dosya paylaşım ağı aracılığıyla yayılan bir solucan virüsüdür. Solucan kendisi yaklaşık 57KB uzunluğunda bir Windows PE EXE dosyası ve Visual Basic'te yazılmıştır.

Virüs bulaşan e-posta mesajları aşağıdaki özelliklere sahiptir:

Konu: Anti-Virüs Programları Yazılımınızı bozuyor!

Vücut:

Neden istenmeyen postalar aldığını bilmek ister misin? Peki Burada AV'lerin programlarınızı bozduğunu ve Özel bilgilerinizi Web Şirketine sattığını kanıtlıyoruz! Neden orada çok fazla virüs olduğunu düşünüyorsun? iyi bu Şirket'in onları yaymak ve daha sonra onları silmek için orada ürün satmak! şimdi kontrol et … (ps attatched)

Eklenti: ActiveX.exe veya Telnet.exe veya MSWord.exe

Solucan, yalnızca bir kullanıcı ekli dosyayı tıkladığında virüs bulaşmış bir e-postadan etkinleşir. Solucan kendini sisteme yükler ve yayılma rutinini ve yükünü çalıştırır.

yükleme
Solucanı kurarken aşağıdaki isimler altında kendini sisteme kopyalar:

C: WindowsActiveX.exe
C: WindowsSCR.exe
C: WindowsExplorer.exe
C: WindowsTelnet.exe
C: WindowsMSWord.exe
C: WindowsFUCK_AVs.exe
C: Windowsregedit.exe
C: WindowsMixer.exe
C: WINDOWSSystemExplorer.exe

Solucan bu dosyalardan hiçbirini sistem kayıt defteri otomatik çalıştırma anahtarında veya başka herhangi bir "otomatik çalıştırma" anahtarında veya komutunda kaydetmez.

Yayılma: E-posta
Virüs bulaşan mesajlar göndermek için solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir.

Yayılma: Kazaa
Solucan kendini aşağıdaki isimlerle "C: Program FilesKaZaaMy Paylaşımlı Klasör" dizinine kopyalar:

norton_crack.exe
UT3_full_crack.exe
Windows_Hack.exe
Sims_Patch.exe

Bu dizin bir Kazaa dosya paylaşım dizini ise, solucan Kazaa ağına yayılacaktır.

Taşıma kapasitesi
Solucan mesajı görüntüler:

UH OH WORM!
… Endüstri @ ANVXgroup tarafından Calposa …

Solucan, aşağıdaki verileri "c: WindowsSystem.ini" dosyasına yazar:

[Hakkında]
Yazar = Endüstri
VXgroup = ANVXgroup (Auxnet)
Virüs = ANVX (WIN32.calposa@mm)
= Indovirus, mANiAC89, Retro, Iwing ve her biri için bağırır.
Kahretsin = Bütün AV'leri sikiyoruz, sizi bir işte tutuyoruz, bu yüzden bize biraz rahat verin!
Geri kalanına = ANVX bir ve sadece!

1 Nisan'da solucan, aşağıdaki dizinlerdeki tüm dosyaları siler:

 C: Windows C: WindowsSystem32 C: WindowsSystem C: Windowsinf C: Program DosyalarıKazaa 

sonra dosyayı siler:

 C: AUTOEXEC.BAT

ve mesajı görüntüler:

Sanayi … ping mi? pong! …

16 Şubat'ta solucan, üzerinde "ANVX by industry" yazan bir metinle kırmızı renkli bir resim sergiliyor .

2 Nisan'da solucan mesajı görüntüler:

UH OH WORM! … Sanayiden İkinci Yayın …


Orijinaline link