BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.MTX

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, Win32 sistemleri altında yayılan bir virüs solucanıdır. Virüs, Win32 çalıştırılabilir dosyalarına bulaşır, virüs bulaşmış dosyalar ile e-posta iletileri göndermeyi ve ayrıca etkilenen bir sistemde "eklentileri" indirip oluşturmak için bir arka kapı bileşeni yükler. Solucan, Eylül – Ekim 2000 arası küresel bir salgın hastalığa neden oldu.

Virüsün sıra dışı bir yapısı vardır. Bağımsız programlar (Virüs, e-posta Worm ve Backdoor) olarak çalıştırılan üç farklı bileşenden oluşur. Virüs ana bileşendir ve solucan ve arka kapı programlarını kodunda sıkıştırılmış halde tutar. Sistemi enfekte ederken, virüs onları ayıklar ve çoğaltır:

Virüs yapısı

=============== -
 Virus Virüs> -> sisteme Worm ve Backdoor yükler,
  � yükleme � sonra Win32 yürütülebilir dosyaları bulur ve bulaşır
  � ve enfeksiyon � 
  � rutinleri � 
 ---------------
  � Solucan kodu � -> dosyaya ayıklanır ve bağımsız program olarak çalıştırılır
 Comp (sıkıştırılmış) � 
 ---------------
 Door Backdoor kodu � -> dosyaya ayıklanır ve bağımsız program olarak çalıştırılır
 Compress (sıkıştırır) � 
 L =============== -

Enfekte EXE dosyası

 =============== -
  � Dosya kodu � 
  � ve veri � 
  � � 
 ===============
  � Virüs kodu: � 
 ---------------
  �� Kurulum�� 
  �� ve enfeksiyon
 + ------------- +
  �� Solucan �� 
 + ------------- +
 Door Arka kapı �� 
 L --------------
 L =============== -

Solucan kodu, sisteme virüs bulaşmış bir e-posta iletisine eklenmiş olarak gönderilmek üzere gerekli tüm yordamları içermez (aşağıya bakın). Solucan virüs bileşeninden "yardım" a ihtiyaç duyar ve virüs tarafından enfekte olarak gönderilir (solucan dosyası virüs tarafından sıradan bir dosya olarak bulaşır ve sonra gönderilir). Böyle bir yöntemin nedeni belirsizdir, fakat muhtemelen bileşenler farklı insanlar tarafından yazılmıştır.

Virüs bileşeninde metin dizeleri bulunur:

SABI�.b ViRuS
[MATRİX] VX TeAm tarafından sağlanan yazılım: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: Bize yardım için #virus ve Vecna'daki tüm VX'li adam
Bizi ziyaret edin:
http://www.coderz.net/matrix

Solucan bileşeni metin dizelerini içerir:

[MATRiX] VX ekibi tarafından sağlanan yazılım:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Selamlamak:
# Virus kanalı ve Vecna'daki tüm VX kullanıcıları
Bizi ziyaret edin: www.coderz.net/matrix

Arka Kapı metni içerir:

[MATRiX] ekibi tarafından sağlanan yazılım:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Selamlamak:
Vecna ​​4 kaynak kodları ve fikirleri

Virüs Bileşeni

Virüs bir dosyaya bulaşırken "Giriş Noktası Gözlemleme" teknolojisini kullanır. Bu, virüsün dosyayı giriş kodunda etkilemediği anlamına gelir, ancak algılama ve dezenfeksiyon prosedürlerini daha karmaşık hale getirmek için dosya kodu bölümünün ortasında bir yere "Jump Virus" komutu yerleştirir. Sonuç olarak, virüs sadece ilgili etkilenen programın şubesinin kontrolünü ele geçirmesi durumunda aktif hale gelir.

Virüs de şifrelenir, bu yüzden her şeyden önce, kodu kontrol edince kendini deşifre eder. Virüs, daha sonra Win32 çekirdeğini tarayarak gerekli Win32 API işlevlerini arar. Bunu yapmak için, virüs Win9x, WinNT ve Win2000 adreslerini dener.

Virüs daha sonra sistemde aktif olan antivirüs programlarını arar ve herhangi birinin algılanması durumunda çıkar. Virüsün virüsten korunma programlarının listesi aşağıdaki gibi gözüküyor:

AntiViral Toolkit Pro
AVP Monitörü
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Merkez McAfee VirusScan'ı kullanıyor

Ardından, virüs bileşenlerini sisteme yükler. Windows dizinine sıkıştırılmışlar ve sonra yeniden doğuyorlar. Oluşturulan üç dosya vardır ve gizli bir özellik kümesine ve aşağıdaki adlara sahiptir:

IE_PACK.EXE – saf solucan kodu
WIN32.DLL – Virüs tarafından enfekte Worm kodu (yukarıda "Enfekte Dosya" olarak)
MTX_.EXE – arka kapı kodu

Virüs sonra Win32, yürütülebilir PE EXE dosyalarını geçerli, geçici ve Windows dizinleri ve sonra çıkarır.

solucan

Virüs bulaşmış mesajlar göndermek için, solucan, ilk kez "Happy" İnternet solucanında (aka Happy99, aka SKA) bulunan teknolojiyi kullanır.

Solucan, Windows sistem dizinindeki WSOCK32.DLL dosyasını, dosyanın bir bileşenini dosyanın sonuna ekleyerek ve "gönder" WSOCK32.DLL yordamını takarak etkiler. Sonuç olarak, solucan etkilenen bilgisayardan Internet'e gönderilen tüm verileri izler.

Genellikle solucan başladığında WSOCK32.DLL dosyası kullanımda ve yazma için kilitli. Bunu önlemek için, solucan standart bir yöntem kullanır: bir WSOCK32.MTX adıyla özgün WSOCK32.DLL kopyasını oluşturur ve bu kopyayı etkiler ve sonra da "özgün dosyayı virüslü ile değiştir" yazısını WININIT.INI dosyasına yazar:

NULL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX

Burada "C: WINDOWSSYSTEM" Windows sistem dizininin adıdır ve kurulu Windows dizininin ismine bağlı olarak değişebilir.

Bir sonraki yeniden başlatma üzerine, virüslü WSOCK32 orijinali değiştirir ve solucan etkilenen makineden gönderilen verilere erişir. Solucan, bilgisayardan gönderilen e-posta mesajlarının yanı sıra ziyaret edilen İnternet sitelerine (Web, ftp) de önem veriyor.

Virüsün çok görünür davranışı, çeşitli internet sitelerini ziyaret etme yeteneğini engellemesinin yanı sıra, aynı etki alanlarına (anti-virüs etki alanı adları) mesaj göndermeyi de devre dışı bırakmasıdır. Virüs, bunları aşağıdaki gibi görünen dört harfli kombinasyonlarla algılar:

nii.
nai.
AVP.
F-se
MAPL
pand
ikinci sınıf öğrencisi
ndmi
Afee
YENN
lywa
tbav
İman

Solucan ayrıca e-posta mesajlarının bu alanlara gönderilmesine de izin vermez:

wildlist.o *
il.esafe.c *
perfectsup *
* complex.is
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
earthlink. *
inexar.com *
comkom.co. *
Meditrade. *
mabex.com *
cellco.com *
symantec.c *
başarılı*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
TrendMicro *
sophos.com *
maple.com. *
netsales.n *
f-secure.c *

Solucan, aynı adrese ("Mutlu" solucanın yaptığı gibi) aynı adrese virüslü bir ek içeren bir çift ileti göndermeye çalışan e-posta iletilerini de durdurur. Sonuç olarak, bir mağdur adresi iki mesaj almalıdır: Birincisi, gönderen tarafından yazılmış orijinal mesajdır; ikincisi, boş bir konu ve metin ve geçerli tarihe bağlı olarak solucan tarafından seçilen adlardan birine sahip ekli bir dosya ile bir mesaj gelir:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH! .TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
Seicho-NO-IE.EXE
YOU_are_FAT! .TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Ekli bir dosya olarak, solucan, virüs bileşeni tarafından düşürülmüş olan WIN32.DLL dosyasını kullanır.

Not: solucan WIN32.DLL dosyasını düşürmez, ancak gönderilen iletilere eklemek için bu dosyayı kullanır. Yani "saf solucan" bir kereden fazla yayılamıyor: kurban bir makinede çalıştırılmak, solucan WSOCK32.DLL bulaşacaktır, ancak kopyalarını daha fazla gönderemeyecektir. "Bu sorunu gidermek için", solucan bulaşmış kopyasını gönderir (WIN32.DLL bir virüs bileşeninden etkilenen bir solucan bileşenidir, yukarıya bakın).

Bilinen solucan modifikasyonunun yayılma rutinde ve e-posta sunucusunda bir hata vardır ve birçok durumda etkilenen makineden etkilenen mesajları almaz. Buna rağmen, sistem Çevirmeli bağlantıya sahipse veya posta sunucusu yeterince hızlıysa, solucan kopyalarını sorunsuz olarak gönderir.

Arka kapı

Çalıştırıldığında, bir Backdoor bileşeni, makinenin zaten virüslü olduğunu gösteren sistem kayıt defterinde yeni bir anahtar oluşturur:

HKLMSoftware [MATRİS]

Bu anahtarın mevcut olması durumunda, Backdoor yükleme prosedürünü atlar. Aksi takdirde, otomatik çalıştırma bölümünde kendini kaydeder:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% mtx_.exe

% WinDir% Windows dizinidir.

Backdoor, Windows'da gizli bir uygulama (hizmet) olarak etkin kalır ve bazı Internet sunucularına bağlanan, oradan dosyaları alıp sistemde açan bir rutini çalıştırır. Dolayısıyla, Backdoor sistemi diğer virüslerle enfekte edebilir veya Trojan programlarını veya daha işlevsel arka kapıları kurabilir.

Bilinen virüs sürümündeki bu bileşen, bir arka kapı bir İnternet sitesine erişmeye çalıştığında, uygulamadaki bir hata hakkında standart bir Windows mesajına neden olan bir hataya da sahiptir.


Orijinaline link