..
Click anywhere to stop
Click anywhere to stop
BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Sınıf | Email-Worm |
Platform | Win32 |
Açıklama |
Teknik detaylarBu bir Win32 e-posta solucanıdır. Solucanın iki bileşeni var: Ana solucan bileşeni, 16 farklı ada sahip olabilecek bir EXE dosyası olarak e-postalara eklenen diğer makinelere kendini gönderir (aşağıya bakınız). Yayılırken, bir e-postaya bağlanmak için MAPI kullanır. Ana bileşen ayrıca yerel bir diske ek bir VBS komut dosyası yardımcı programını (yerel ağ solucanı) düşürür ve onu genişletir. Ana bileşenVirüs bulaşmış bir dosya başlatıldığında (virüs bulaşmış bir iletiden veya başka bir kaynaktan gelen bir kullanıcı tarafından etkinleştirildiğinde), solucan kendisini "PCpower.exe" ile Windows dizinine ve "MyLinong.exe" adıyla Windows sistem dizinine kopyalar. . Solucan daha sonra Windows sistem dizinine "MyLinong.VBS" dosyasını (VBS yardımcı) bırakır. Bu dosyalar daha sonra sistem kayıt defteri otomatik çalıştırma anahtarlarına kaydedilir:
EXE dosyaları iki solucan kopyadır ve her yeniden başlatıldığında Windows tarafından etkinleştirilecektir. VBS dosyası bir VisualBasic komut programıdır (aşağıya bakın). YaymaYaymak için, solucan 50 ilk mesaj için Inbox'ı tarar, en az bir eklenmiş dosya içeren mesajlar alır ve virüslü bir mesajla cevap verir. Enfekte mesajın 16 varyanttan rastgele seçilen bir Konu, Gövde ve Eklenmiş dosyası vardır: Ekli dosya adları:
denekler:
Mesaj organları:
Taşıma kapasitesiSolucan aşağıdaki dizinleri oluşturur:
% n, 0 ile 500 arasında bir sayıdır (bazı durumlarda, solucan dizin oluşturmaz, bu nedenle dizin numarasının üst sınırı 500'den az olabilir). Solucan aşağıdaki mesajları görüntüler:
VBS YardımcısıBu, VBS e-posta solucanının "I-Worm.Linong" un bir modifikasyonu ve ana EXE bileşenine yardımcı olarak çalışıyor. Windows tarafından çalıştırıldığında (kayıt defteri Run = anahtarında kayıtlı olduğu için), yerel makinenin IP adresini alır ve alt ağı tarar (örneğin, yerel makinenin IP adresi 10.10.10.1 ise, Solucan tüm makinelere bağlanmaya çalışacak 10.10.10.n adreslerini kullanarak 'n' 1 ile 254 arasında bir sayıdır. Bu tür adreslere sahip makineler söz konusu olduğunda, solucan C: sürücülerine erişim sağlamaya çalışır ve kendisini aşağıdaki dizinlere kopyalamaya çalışır:
(Bu rutinde bir hata vardır ve solucan bunu gerçekleştiremez). Solucan, daha sonra aşağıdakileri içeren mesajlar ile, EXE bileşenini virüslü makinelerden göndermeyi dener:
(Bu rutinin de bir yanı vardır ve solucan kendini yaymaz). Solucan, "I-Worm.Linong" un yanı sıra, aşağıdakileri gerçekleştirir:
Solucan bir HTA dosyası oluşturur ve onu açar ve sonuç olarak metni görüntüler:
|
Orijinaline link |
|
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin |