BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Sınıf | Email-Worm |
Platform | Win32 |
Açıklama |
Teknik detaylarBu e-postalar bir EXE dosyası olarak eklenerek yayılan bir İnternet solucanıdır. Solucan kendisi, VisualBasic ile yazılmış, uzunluğu 12Kb olan bir Win32 yürütülebilir dosyasıdır. Solucan kodu bir UPX Win32 EXE dosyaları sıkıştırma programı ile sıkıştırılmış ve paketini açtığınızda, boyutu yaklaşık 26Kb olur. Solucan başladığında (bir kullanıcı ekli EXE dosyasına tıkladığında), solucan kendisini MSSERV.EXE adıyla Windows dizinine kopyalar ve bu dosyayı Windows kayıt defteri otomatik çalıştırma anahtarlarında kaydeder:
Tüm bu "Run =" tuşları daha sonra her Windows başlatıldığında solucan kopyasını çalıştıran dize değerine sahiptir:
% WinDir%, Windows ana dizinidir. YaymaSolucan, Windows belleğinde gizli bir uygulama (servis) olarak kalır, MS Outlook'a bağlanır ve kendisini MS Outlook "NewMail" ve "ItemSend" olay işleyicisi olarak kaydeder (yani, solucan kendisini MS Outlook olaylarına ekler). "NewMail" de (yeni bir mail geldi), solucan başka bir virüslü makineden kendi mesajı gibi görünüyor ve sonra siler. Solucan, mesajı açar, EXE ekini arar ve EXE ekinin solucanın EXE dosyasıyla aynı uzunluğa sahip olması durumunda bu mesajı siler. "ItemSend" (bir mesaj gönderiliyor) durumunda, solucan zaten eklenmiş dosyaları arar, ilkini alır, kendi kopyasıyla değiştirir, eki .EXE olarak yeniden adlandırır ve gönderir. Mesajın eki yoksa, solucan sekiz bitlik bir rastgele isim ve .EXE extenstion ile kendini bağlar. 13 Ağustos Cuma günü saat 13:00 ile 14:00 arasında solucan da mesaj gövdesinin başına bir metin ekler:
KorumaSolucan kendini saklamak ve dosyayı ve bulaşmış kayıt defteri "Run =" tuşlarını kaldırmaktan kaçınmak için çeşitli eylemler gerçekleştirir. Solucan, Windows sistem dizinindeki MSCONFIG.EXE dosyasını siler, aktif uygulamaları arar ve onları öldürür (bu işlemleri sonlandırır):
Sonuç olarak, solucan çeşitli anti-virüs koruma türlerini devre dışı bırakır ve aynı zamanda Registry editörlerini başlatmalarına derhal kapatır. Solucan ayrıca Kaspersky Anti-Virus (eski AVP) anti-virüs veritabanlarını da öldürür. SETI Dağıtılmış Ağı ÜyesiSolucan, enfekte bir bilgisayarda SETI (Dünyadışı Zeka Arayışı) yazılımını kurar ve etkinleştirir (http://setiathome.berkeley.edu adresindeki SETI hakkında daha fazla bilgi edinin). SETI yazılımı solucan tarafından aşağıdaki FTP sitelerinden MSSETI.EXE adıyla Windows dizinine indirilir:
Solucan ayrıca Windows dizininde aşağıdaki dosyaları oluşturur:
kayıt defteri otomatik çalıştırma anahtarlarında RUN_MSSETI.VBS dosyasını kaydeder:
USER_INFO.SAH dosya SETI kullanıcı hakkında kullanıcıya özel bilgiler içerir, solucanlar aşağıdaki ID'leri takip eder:
|
Orijinaline link |
|