BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Cholera

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, İnternet ve yerel ağ üzerinden yayılan bir virüs solucanıdır. "Tamam …" konusuna sahip olan ve ileti gövdesi sadece bir "gülümseme" içeren bir e-posta iletisine eklenmiş bir "SETUP.EXE" dosyası olarak görünür:


🙂

Bu ekli dosyanın kendisi yaklaşık 40 KB'lik bir Microsoft C ++ yürütülebilir dosyasıdır. Dosya kodunun çoğunluğu C ++ çalışma zamanı kitaplıkları ve verileri tarafından doldurulur ve kodunun yaklaşık 7Kb'si "saf" solucan kodudur.

Solucan, kodundaki metin dizesi nedeniyle adını aldı:


CH0LERA – GriYo / 29A tarafından Bakteri BioCoded

Bu ip, solucanın verilerinin yanı sıra, solucanın vücudunda şifrelenir.

Sisteme yükleme

Solucan ilk kez çalıştırıldığında (virüslü bir eklentiden çalıştırıldığında), modül adını alır ve kendisini RPCSRV.EXE adıyla Windows dizinine yükler. Windows'un bir sonraki yeniden başlatma üzerine bu dosyayı çalıştırmaya zorlamak için solucan, Windows dizinindeki (Win9x altında) WIN.INI dosyasına ek olarak "Çalıştır =" komutu yazabilir veya sistem kayıt defterinde (WinNT altında) karşılık gelen anahtarı değiştirir. .

Windows dizinini bulmak için, solucan ilgili Windows işlevlerini çağırmaz, ancak kullanılabilir tüm yerel sürücüleri tarar, alt dizin adları arar: WINDOWS, WIN95, WIN98, WIN, WINNT ve sonra dizinde bir WIN.INI dosyası arar. Böyle bir dosya varsa, solucan kendini dizine yükler.

Sonuç olarak, solucan aynı bilgisayardaki kopyalarının birçoğunu oluşturabilir ve üzerindeki tüm Windows kurulumlarına bulaşabilir. Bir çoklu ön yükleyici yüklendiğinde ve birkaç farklı Windows sürümü yüklendiğinde, bu numara virüsün herhangi bir Windows kopya başlatıldığında etkinleştirilmesini sağlar.

Aktivitesini gizlemek için solucan sahte mesajı görüntüler:

Kurulum Dosya açılamıyor: geçerli bir arşiv gibi görünmüyor. Bu dosyayı indirdiyseniz, dosyayı tekrar indirmeyi deneyin. [ TAMAM ]

Daha fazla yayılma

Bir sonraki Windows başlatıldığında, solucan kopyası WIN.INI dosyasındaki Çalıştır komutuyla etkinleştirilir. Denetimi alır, Windows belleğinde kendisini, bir kullanıcı oturumu kapatıldığında solucanın etkin kalmasını sağlayan gizli bir uygulama (görünmez hizmet) olarak kaydeder. Solucan daha sonra kurulumun bire bir daha iki rutinini çalıştırır. Bu yeni rutinlerden ilki, solucanı yerel ağ üzerinden yayıyor, ikincisi ise virüslü e-posta mesajları gönderiyor. Yükleme yordamı da aktiftir ve solucan bilgisayarda görüntüleniyorsa yeni bir Windows kopyasına bulaşabilir. Tüm rutinler ana işlem iplikleri olarak çalıştırılır, bu yüzden işlerini paralel olarak yaparlar.

Yeni rutinlerin ilki, solucan kopyasını ağ üzerinden yayıyor. Tüm ağ sürücüleri numaralandırır, Windows dizinleri için onları tarar, solucanın RPCSRV.EXE dosyasını oraya kopyalar ve aynı uzak dizinde WIN.INI dosyasında kaydeder. Sonuç olarak, bir sonraki bilgisayarın yeniden başlatılması üzerine, uzak bir bilgisayardaki solucan aktif hale getirilecek ve kendini daha da genişletecektir.

İkinci rutin, virüslü mesajları İnternet adreslerine gönderir. Kopyasını göndermek için, solucan SMTP protokolünü kullanır ve doğrudan bağlantı ile gönderir ve sonuç olarak, solucan yayma sistemde kullanılan e-posta uygulamasının türüne bağlı değildir.

Altı saniyede bir kez, bu rutin tüm aktif program pencerelerini sıralar ve İnternet uygulamaları arar: Outlook, Cuteftp, Internet Explo, Telnet, Mirc. Bu uygulamalardan herhangi biri aktifse, bilgisayarın internete bağlı olduğu anlamına gelir (bu, solucan tarafından kullanılan doğrudan SMTP bağlantısı nedeniyle gereklidir).

Solucan daha sonra sistem kayıt defteri anahtarlarından SMTP sunucu adresini ve kullanıcı e-posta adreslerini alır, yeni bir mesaj oluşturur, kopyasını SETUP.EXE adıyla ekler ve gönderir.

Solucanın kopyalarını gönderdiği internet adresleri, Windows dizinindeki ve alt dizinlerindeki disk dosyalarından toplanır. Solucan buradaki tüm dosyaları tarar, .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX uzantılı dosyaları arar ve daha sonra bu dosyaları tarar ve buradan e-posta adresi benzeri dizeler alır. Her gönderimde, solucan kendisini ondan fazla adrese göndermez.


Orijinaline link