BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Happy

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu "vahşi doğada" keşfedilen ilk modern İnternet Solucanıdır. Bu bilgisayar solucanı, kopyalarını dağıtırken, disk dosyalarını ana hedef olarak etkilemeyen, ancak kopyalarını e-posta iletilerinde ek olarak Internet üzerinden göndererek kopyalayan bir tür virüs programıdır. Solucan birileri tarafından (belki de solucan yazarı tarafından) Ocak 1999'da birkaç haber sunucusuna gönderildi ve birkaç gün içinde Avrupa'da “vahşi” olarak keşfedildi ve yayılmaya devam edildi.

Solucan bir e-postada bir HAPPY99.EXE dosyası olarak ek olarak gelir. Enfekte bir eklenti yürütüldüğünde ve kontrolü ele geçirdiğinde, solucan kötü niyetli doğasını gizlemek için programın penceresinde komik bir havai fişek gösterir. Bu sayede kendini sisteme yükler, internete gönderir, bağlantı kodunu eke dönüştürür ve mesajlara ekler. Sonuç olarak, sisteme kurulduğunda solucan, kopyalarını mesajların gönderildiği tüm adreslere dağıtabilmektedir.

Yüklerken, solucan sadece Windows sistem dizinindeki dosyaları etkiler. Orada SKA.EXE ve SKA.DLL dosyaları oluşturur, yeni oluşturulan WSOCK32.SKA WSOCK32.DLL kopyalar ve çağrı gönderen e-posta kancaya özgün WSOCK32.DLL dosyasını yamalar.

Kaldırma ve koruma

Solucan sisteminizde algılanırsa, sistemdeki Windows dizinindeki SKA.EXE ve SKA.DLL dosyalarını silerek kolayca kurtulabilirsiniz. Ayrıca WSOCK32.DLL dosyasını silmeli ve WSOCK32.SKA özgün dosyayla değiştirmelisiniz. Orijinal HAPPY99.EXE dosyası da bulunmalı ve silinmelidir.

Bilgisayarınızı yeniden bulaşmadan korumak için, yalnızca WSOCK32.DLL dosyası için "Salt Okunur" özniteliğini ayarlamanız gerekir. Solucan Salt Okunur moduna dikkat etmez ve dosyayı yamalamaz. Bu hile, Peter Szor tarafından DataFellows'da (http://www.datafellows.com) bulunmuştur.

Lütfen hatırla

Güvenilmeyen veya bilinmeyen bir kaynaktan alırsanız, herhangi bir iletide ek olarak aldığınız HAPPY99.EXE dosyasını açmayın ve çalıştırmayın. Ayrıca, Internet'ten eriştiğiniz dosyaların, bilgisayarınıza bulaşabilecek, verileri yok edebilecek, gizli dosyaları Internet üzerinden gönderebilecek veya casus programlar oluşturarak bilgisayarınızı bir ana bilgisayardan izleyebilecek zararlı kodlar içerdiğini de unutmamalısınız.

MS Office dosyalarını engelli VirusProtection ile açma ve güvenilir olmayan yürütülebilir dosyaları çalıştırma son derece risklidir. Gelen mesaja eklediğiniz her defasında bunu göz önünde bulundurmalısınız.

Teknik detaylar

Solucan tam olarak 10.000 baytlık bir yürütülebilir HAPPY99.EXE dosyası olarak geliyor. Bu dosyanın Win32 Portable Executable (PE) iç yapısı vardır. Solucan kendisini Win95 / 98 sistemlerine yükler ve sorunsuz bir şekilde yaymaya devam eder. WinNT altında, hata nedeniyle yayılamıyor.

Solucan metin dizeleri içerir, bunlardan bazıları şifrelenir:


Bu bir virüs, solucan, bir trojan mı? MOUT-MOUT Hibrit (c) Spanska 1999.
Mutlu Yıllar 1999!
644 Happy99.exe sona başlar
Ska.exe liste.ska
wsock32.dll Ska.dll Ska.exe

HAPPY99.EXE dosyası yürütüldüğünde, solucan kendini SKA.EXE adı ile Windows sistem dizinine kopyalar ve aynı dizinde ek SKA.DLL dosyasını bırakır. SKA.DLL, ana EXE dosyasında (HAPPY99.EXE) şifrelenmiş ve lite-dolu bir biçimde saklanır.

Solucan daha sonra WSOCK32.DLL WSOCK32.SKA adına kopyalar (bir "yedekleme" yapar) ve WSOCK32.DLL dosyasını yamalar. WSOCK32.DLL kullanımda ise ve yazma için açılamıyor, solucan sonraki kayıt sırasında damlalıklarını çalıştırmak için sistem kayıt defterinde yeni bir anahtar oluşturur:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce = SKA.EXE

WSOCK32.DLL düzeltme eki, bir başlangıç ​​başlatma yordamından ve iki yönlendirilmiş dışa aktarma işleminden oluşur. Başlatma rutini sadece küçük bir solucan kodudur – sadece 202 bayt. WSOCK32.DLL kod bölümünün sonuna (".text" bölümü) kaydedilir. WSOCK32.DLL bunun için yeterli alana sahiptir ve WSOCK32.DLL boyutu, bulaşma sırasında artmaz. Sonra solucan WSOCK32.DLL ihracat tabloları yayar, böylece iki işlev ("connect" ve "send"), WSOCK32.DLL kod bölümünün sonunda solucan başlatma yordamına işaret eder.

Bir kullanıcı Internet'e bağlandığında, WSOCK32.DLL etkinleştirilir ve solucan iki olaydan oluşur: bağlantı ve veri gönderme. Solucan e-posta ve haber bağlantı noktalarını izler (25 ve 119 – smtp ve nntp). Bu bağlantı noktalarından birinde bir bağlantı algıladığında, iki ihracata sahip olan SKA.DLL kitaplığını yükler: "posta" ve "haberler". Bağlantı noktası numarasına bağlı olarak, solucan bu yordamlardan birini çağırır, ancak her ikisi de yeni bir ileti oluşturur, UUencoded solucan HAPPY99.EXE damlalık içine yerleştirin ve bir Internet adresine gönderin. Solucan da "enfekte" mesajların kludge başlığına damgasını ekler:


X-Spanska: Evet

Virüs bulaşmış ekleri gönderirken, solucan alıcıların adreslerini Windows sistem dizinindeki LISTE.SKA dosyasına kaydeder. Bu "günlük" dosyası 5K'ya kadar veri içerir ve virüslü mesajların gönderildiği yaklaşık 200 adres içerebilir.


Virüsün etkilerinin gösterimleri:

happy.gif


Orijinaline link