Ana sınıf: VirWare
Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.Sınıf: Email-Worm
Email-Worms e-posta yoluyla yayıldı. Solucan, kendisinin bir kopyasını bir e-posta mesajının eki olarak veya bir ağ kaynağındaki dosyasına bir bağlantı olarak gönderir (örn., Ele geçirilmiş bir web sitesindeki veya hacker'ın sahip olduğu bir web sitesinde virüslü bir dosyanın URL'si). İlk durumda, virüslü eklenti açıldığında (başlatıldığında) solucan kodu devreye girer. İkinci durumda, virüs bulaşan dosyaya bağlantı açıldığında kod etkinleştirilir. Her iki durumda da, sonuç aynıdır: solucan kodu etkinleştirildi. Email-Worms, virüslü e-posta göndermek için bir dizi yöntem kullanır. En yaygın olanları şunlardır: Windows MAPI işlevlerini kullanarak MS Outlook hizmetlerini kullanarak solucan koduna yerleşik e-posta dizini kullanarak bir SMTP sunucusuna doğrudan bağlantı kullanarak. E-posta solucanları, virüslü e-postaların gönderileceği e-posta adreslerini bulmak için bir dizi farklı kaynak kullanır: MS Outlook'taki adres defteri, sabit sürücüde saklanan bir WAB adres veritabanı .txt dosyaları: solucan, metin dosyalarındaki hangi dizeleri belirleyebilir e-posta adreslerini gelen kutunuzda e-postalar (bazı e-posta-solucanlar gelen kutucukta bulunan e-postalara bile "cevap verir") Birçok e-posta solucanı, yukarıda listelenen kaynaklardan daha fazlasını kullanır. Web tabanlı e-posta hizmetleriyle ilişkili adres defterleri gibi başka e-posta adresleri kaynakları da vardır.Platform: Win32
Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.Açıklama
Teknik detaylar
Ganda , internet üzerinden bir e-posta eki olarak yayılan bir solucan virüsüdür. Bileşeni, yürütülebilir Win32 PE EXE dosyalarına ekler ve anti-virüs programlarına karşı kendini korur.Solucan kendisi, boyutu 45056 bayt olan bir Windows PE EXE dosyasıdır. Assembler programlama dilinde yazılmıştır ve aşağıdaki şifreli dizeleri içerir:
[WORM.SWEDENSUX] H�rn�sand, İsveç, 03.03 de Amca Roger tarafından kodlandı. İsveçli okul sistemi tarafından ayrımcılıyorum. Bu bir cevaptır sekiz yıl boyunca ayrımcılığa. Dünya çapında hayvan kurtarıcıları destekliyorum.
Solucandaki mesajlar metin dizelerini içerir (ikincil dizeler E-posta programları tarafından göz ardı edilebilir):
--Bölüm 1 İçerik türü: çok parçalı / alternatif; Sınır = "part2" --Bölüm 2 İçerik türü: metin / düz; karakter kümesi = "ISO-8859-1" İçerik Aktarımı Kodlama: basılabilir çıktı Myzli! --Bölüm 2 İçerik türü: metin / html; karakter kümesi = "ISO-8859-1" İçerik Aktarımı Kodlama: basılabilir çıktı Masaj vücut --Bölüm 2-- --Bölüm 1 İçerik türü: uygulama / sekizli akışı İçerik Aktarımı Kodlama: base64 İçerik-Atma: ek; filename = "xx.scr"
Bir başlık ve bir mesaj gövdesi, İngilizce ve İsveççe aşağıdaki varyantlardan seçilir. Seçilen dil bilgisayarın dil ayarlarına bağlıdır.
İsveççe mesaj varyantları:
1. değişken:
Başlık: =? Iso-8859-1? Q? Olaglig_sk = E4rmsl = E4ckare = 3F? = Mesaj gövdesi: Hej! Min oğlu visade mig denna sk = E4rmsl = E4ckare som jag yanlış = E4nker kan = bryta mot lagen om fil motruprupp. Eftersom du = E4r verksam som = jurist, s = E5 vore jag tacksam f = F6r en fackmans sözdizimi p = E5 saken. Tack = p = E5 f = F6rhand.
2. Varyant:
Başlık: Rashets eller inte? Mesaj gövdesi: Hejsan! Min datal = E4rare gjorde mig uppm = E4rksam p = E5 att denna = sk = E4rmsl = E4ckare m = F6jligen kan t = E4nkas vara değil verk av rasister. Nu = vet jag varken ut eller, eftersom jag hade t = E4nkt anv = E4nda den p = E5 = min skoldator. B = F6r jag att timler = E4tta att anv = E4nda den? Svara helst = snarast. Tack p = E5 f = F6rhand.
Varyant 3:
Başlık: Hakkors. Mesaj gövdesi: Hej! Min klassf = F6rest = E5ndare gick i taket n = E4r hon fick se = sk = E4rmsl = E4ckaren som jag har anv = TV altında E4nt = E5 termineri. Hon = anklagade mig f = F6r antisemitizm eftersom den ibland visar ett hakkorsors. =' Tycker du att jag b = F6r acceptera detta fr = E5n henne? Vore tacksam f = F6r = ett utl = E5tande fr = E5n kaz. Svara helst s = E5 snart det g = E5r.
Varyant 4:
Başlık: Suspekta semaforer. Mesaj gövdesi: Hejsan! Ben CD çalmadım ve bir tane daha cavurdum. = E4rmsl = E4ckare sk. En l = E4rare som r = E5kade kasta ett = F6ga p = E5 den = avf = E4rdade dess inneh = E5ll ve ren rasistisk propagandası. Sj = E4lv yazıcı = jag inte att det = E4r n = E5got att orda om Vore tacksam f = F6r din uppfattning. Tack p = E5 f = F6rhand.
Varyant 5:
Başlık: =? Iso-8859-1? Q? Avskyv = E4rd_reklam.? = Mesaj gövdesi: Hej! Min minder = E5rige son fick denna sk = E4rmsl = E4ckare p = E5 en CD skiva üzerinden = massutskick av reklam. Jag uppr = F6rs = F6ver det s = E4tt p = E5 vilket = rasistiska och nazistiska propagandister kadar = E5ts f = F6rmedla sin = avskyv = E4rda ideologitill ahırı. Jag = F6verv = E4ger nu att polisanm = E4la detta tilltag s = E5 = snart du, i egenskap av juridisk fackman, delgett mig din = E5sikt. Tack = p = E5 f = F6rhand.
Varyant 6:
Başlık: =? Iso-8859-1? Q? = D6verviktiga_f = F6rnedras. Mesaj gövdesi: Hejsan! Jag = F6verv = E4ger att polisanm = E4la denna sk = E4rmsl = E4ckare. Jag anser = att den har en nedl = E5tande attityd gentemot = F6verviktiga kişisi. Jag = skulle bli ytterst tacksam om du kunde bidra med din sd p = E5 saken. Tack p = E5 f = F6rhand.
Varyant 7:
Başlık: ack ack ack git .... Mesaj gövdesi: Hej igen! Den h = E4r sk = E4rmsl = E4ckaren verkar vara en amerikansk parodi p = E5 = n = E5got som svenskarna g = F6r p = E5 midsommar. Skratta inte ihj = E4l dig = bara. :-)
Varyant 8:
Başlık: =? Iso-8859-1? Q? = C4r_USA_ett_UFO = 3F? = Mesaj gövdesi: Hej igen! H = E4r = E4r sk = E4rmsl = E4ckare sayılama 4. Kolla in den och tala sedan om = f = F6r mig inci George W. Bush INTE = E4r en rymdvarelse. ;-)
Varyant 9:
Başlık: Korkad başkanı. Mesaj gövdesi: Hej igen! H = E4r = E4r sk = E4rmsl = E4ckaren som jag snackade om. George W. Bush verkar = inte vara allf = F6r parlak bir adam ska tro brittiska komik. ':-)
Değişken 10:
Başlık: Katt, hund, kanin. Mesaj gövdesi: Hej igen! Om du gillar djur s = E5 m = E5ste denna sk = E4rmsl = E4ckare vara n = E5'tf = F6r = kazmak. Mjau, Voff, Arf Arf .... ;-)
İngilizce mesaj varyantları:
1. değişken:
Başlık: Ekran koruyucu tavsiyesi. Mesaj gövdesi: Bu ekran koruyucusunun yasa dışı kabul edilebileceğini düşünüyor musunuz? Isterim Siz veya arkadaşlarınızdan herhangi birinin kontrol edip etmediğini takdir edin = en kısa sürede cevap ver insanca mümkün. Thanx!
2. Varyant:
Başlık: Casus resimler. Mesaj gövdesi: İşte sana bahsettiğim ekran koruyucusu. Tarafından çekilen resimleri içerir = ABD casus uydularından biri de Irak’taki görevlerinden biri. Eğer = Bu resimlerden daha fazlasını istiyorsan beni nerede bulabileceğini biliyorsun. Hoşçakal!
Varyant 3:
Başlık: GO ABD !!!! Mesaj gövdesi: Bu ekran koruyucu yıldız spangled afişi canlandırır. Lütfen destekleyin = ABD yönetimi terörle mücadelede. Çok teşekkürler!
Varyant 4:
Başlık: GW Bush animasyonu. Mesaj gövdesi: İşte FBI'ın durdurmak istediği animasyon. Federaller gibi görünüyor = ABD’ye ne düşündüklerini söylemek için halklara bir son vermeye çalışmak = yönetim. İyi eğlenceler!
Varyant 5:
Başlık: ABD bir UFO mu? Mesaj gövdesi: Bu ekran koruyucusuna bir göz atın ve sonra bana George W. Bush'un = olduğunu söyle uzaylı değil. ;-)
Varyant 6:
Başlık: ABD her zaman bir numara mı? Mesaj gövdesi: Bazı yanlış yönlendirilmiş insanlar aslında bir Amerikan yaşamının bir = diğer milletlerden daha büyük değer. Sadece bir göz atın = Bu acıklı ekran koruyucu ve sonra ne hakkında konuştuğumu bileceksiniz. = Herşey gönlünce olsun.
Varyant 7:
Başlık: LINUX. Mesaj gövdesi: Linux ortamını merak eden bir windows kullanıcısı mısınız? Bu = ekran koruyucu KDE ve GNOME masaüstü bir önizleme verir. Nedir = daha fazla, LINUX herkesin indirebileceği anlamına gelen ücretsiz bir sistemdir.
Varyant 8:
Başlık: Nazi propagandası? Mesaj gövdesi: Bu ekran koruyucu Almanya'da yasaklandı. Bir dizi = içerir nazi kültürü ile ilgili olabilecek canlandırılmış semboller. Ne yapıyorsun düşün, meşru bir yasak mı, değil mi? Lütfen en kısa zamanda cevap verin. Thanx!
Varyant 9:
Başlık: Catlover. Mesaj gövdesi: Kedileri seviyorsanız bu ekran koruyucuyu seveceksiniz. Dört animasyonlu = ekranda çalışan kedi yavruları. Daha fazla clipart için bana ulaşın. Var = eğlence! ;-)
Değişken 10:
Başlık: İğrenç propaganda. Mesaj gövdesi: Merhaba! 12 yaşındaki kızım bu ekran koruyucusunu bir CDROM'da aldı = ona reklam yoluyla gönderildi. Rahatsız edici buluyorum çocuklar = Artık nazi örgütlerinin hedefleri. Duymak için minnettarım = Bu konuda sizden en kısa zamanda. Teşekkür ederim.
Ek dosyasının adı, adın bulunduğu bir sistemi takip eder:
xx.scr ('XX', 'a' ile 'z' arasında değişen iki rastgele harftir)
Solucan, yalnızca bir kullanıcı virüslü ekli dosyayı tıklatırsa etkinleştirir. Solucan kendini sisteme yükler ve yayılma rutinini ve yükünü çalıştırır.
yükleme
Solucanı kurarken kendisini SCANDISK.exe adı altında Windows dizinine kopyalar ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarına kaydeder.
HKLMSoftwareMicrosoftWindowsCurrentVersionRun ScanDisk'in =ScanDisk.exe
Solucan aynı zamanda kendini rastgele bir isimle ('a' dan 'z' + ".exe" e kadar uzanan harflerle 8 karakter uzunluğunda) Windows dizinine kopyalar.
Yayma
Virüs bulaşmış mesaj göndermek için solucan SMTP sunucusunu kullanır. WAB veritabanını tarar ve dosyaları maske ile arar: "* .eml", "*. * Htm *", "* .dbx" ve bu dosyaların içindeki e-posta adreslerini tarar.
Solucan, bileşenini aşağıdaki yürütülebilir dosya türlerine ekler: Win32 PE EXE
Solucan, tüm .EXE dosyaları ve .SCR dosyaları için yerel diski arar ve özel komutları arar. Bu tür komutlar bulunursa, bileşenini PE dosyalarının son bölümüne ekler. Solucan ayrıca PE dosyalarının içine JMP komutunu ekler. Takılan bileşen, ana solucan gövdesini windows dizininden yürütür. Bileşen kodu aşağıdaki dizeleri içerir:
KERNEL32.DLL CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA CreateProcessA hvjxlzna.EXE
Ganda solucanı, anti-virüs programlarına karşı kendini savunur. Solucan, aşağıdaki metin dizelerini içerdiği tespit edilen koddaki aktif işlemleri sonlandırır:
virüs güvenlik duvarı f-secure symantec mcafee pc-cillin trend mikro kaspersky sophos norton
Ganda, sistem kayıt ağacındaki dosyaların içinde tarar:
HKLMSystemCurrentControlSetServicesVxD
ve anti-virüs dizeleri olan dosyalar için girdileri siler. Solucan ayrıca, kayıt defteri anahtarlarının işaret ettiği iç dosyaları da tarar:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Ganda solucanı, RET komutunu anti-virüs dizeleri bulunan dosyaların Giriş Noktasına ekler.
Bu yükler
Solucan, bir makine her bulaştığında bir e-posta mesajı gönderir, mesaj aşağıdaki özellikleri içerir:
Gönderen: skrattahaha@hotmail.comKime: red@fna.se debatt@svt.se susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se
Mesaj başlığı veya konu:
DISKRIMINERAD !!!!
Mesaj gövdesi İsveç dilinde yazılmış metni içerir.
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com