BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Sınıf | Email-Worm |
Platform | Win32 |
Açıklama |
Teknik detaylarBu, Internet üzerinden virüslü e-postalara iliştirilmiş bir virüs solucanıdır ve kendisini internet çağrı cihazı ICQ aracılığıyla gönderir. Bir IRC kanalına saldırır, bir Trojan betiğini kullanır ve kendini anti-virüs programlarından korur. Solucanın kendisi yaklaşık 38 KB uzunluğunda ve Visual Basic'te yazılmış bir Windows PE EXE dosyasıdır. UPX programı tarafından paketlenmiştir. Paketini açtıktan sonra, boyutu 148 KB'dir. Enfekte bir mesaj şunları içerir: Solucan, bir kullanıcı ekli bir dosyayı tıkladığında, virüslü bir e-postadan etkinleştirir. Daha sonra kendini sisteme yükler ve yayılma rutinini ve yükünü çalıştırır. Aşağıdaki metin ile animasyonlu pencereler görüntüler: Ardından aşağıdaki mesaj diyaloğunu görüntüler: Kurulum Yüklerken, solucan GONE.SCR adıyla Windows sistem dizinine kopyalar ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarına kaydeder.
Bunu takiben solucan ana penceresini gizler ve yayılmaya devam eder. E-posta ile yayılıyor Virüs bulaşmış mesajlar göndermek için, solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir.
ICQ ile yayılıyor Solucan ICQ istemcisi üzerinden yayılır. Solucanın C: PROGRAM FILESICQ dizini Windows sistem dizinine kopyaladığı ICQMAPI.DLL kütüphanesini kullanır. İstemci programına karşılık verir ve listeden diyalog pencerelerini arar ve istekleri cevaplar. Pencere listeleri aşağıdaki gibidir:
Solucan periyodik olarak pencereleri arar ve kapatır. Pencerelerin başlıkları şöyledir:
Bir IRC kanalına saldırmak Solucan, MIRC.INI dosyası için yerel disk dizinlerini tarar ve bu dizinde REMOTE32.INI adlı yeni bir dosya oluşturur ve MIRC.INI dosyasına ekler. Bu betik periyodik olarak rasgele bir isimle bir kullanıcıyı twisted.ma.us.dal.net sunucusundaki #pentagonex IRC kanalına katmaktadır. Anti-Virüs Programlarından Koruma Bilgisayar sisteminde yükleme yaparken, solucan, çalışan işlemleri aşağıdaki adresten kontrol ederek çalışan işlemleri tarar:
Solucan bu işlemi bellekte sonlandırır ve dosyayı diskten siler. Sonra, alt dizinlerdeki dosyalar ile süreç dizinindeki tüm dosyaları siler. Solucan kalan dosyaları arar ve bilgisayarı yeniden başlattıktan sonra kaldırılmasını ayarlar. WININIT.INI dosyasına silme komutları ekler.
|
Orijinaline link |
|
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin |