Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, Win32 sistemleri altında yayılan bir virüs solucanıdır. Virüs, Win32 çalıştırılabilir dosyalarına bulaşır, virüs bulaşmış dosyalar ile e-posta iletileri göndermeyi ve ayrıca etkilenen bir sistemde "eklentileri" indirip oluşturmak için bir arka kapı bileşeni yükler. Solucan, Eylül – Ekim 2000 arası küresel bir salgın hastalığa neden oldu.

Virüsün sıra dışı bir yapısı vardır. Bağımsız programlar (Virüs, e-posta Worm ve Backdoor) olarak çalıştırılan üç farklı bileşenden oluşur. Virüs ana bileşendir ve solucan ve arka kapı programlarını kodunda sıkıştırılmış halde tutar. Sistemi enfekte ederken, virüs onları ayıklar ve çoğaltır:

Virüs yapısı

=============== -
 Virus Virüs> -> sisteme Worm ve Backdoor yükler,
  � yükleme � sonra Win32 yürütülebilir dosyaları bulur ve bulaşır
  � ve enfeksiyon � 
  � rutinleri � 
 ---------------
  � Solucan kodu � -> dosyaya ayıklanır ve bağımsız program olarak çalıştırılır
 Comp (sıkıştırılmış) � 
 ---------------
 Door Backdoor kodu � -> dosyaya ayıklanır ve bağımsız program olarak çalıştırılır
 Compress (sıkıştırır) � 
 L =============== -

Enfekte EXE dosyası

 =============== -
  � Dosya kodu � 
  � ve veri � 
  � � 
 ===============
  � Virüs kodu: � 
 ---------------
  �� Kurulum�� 
  �� ve enfeksiyon
 + ------------- +
  �� Solucan �� 
 + ------------- +
 Door Arka kapı �� 
 L --------------
 L =============== -

Solucan kodu, sisteme virüs bulaşmış bir e-posta iletisine eklenmiş olarak gönderilmek üzere gerekli tüm yordamları içermez (aşağıya bakın). Solucan virüs bileşeninden "yardım" a ihtiyaç duyar ve virüs tarafından enfekte olarak gönderilir (solucan dosyası virüs tarafından sıradan bir dosya olarak bulaşır ve sonra gönderilir). Böyle bir yöntemin nedeni belirsizdir, fakat muhtemelen bileşenler farklı insanlar tarafından yazılmıştır.

Virüs bileşeninde metin dizeleri bulunur:

SABI�.b ViRuS
[MATRİX] VX TeAm tarafından sağlanan yazılım: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: Bize yardım için #virus ve Vecna'daki tüm VX'li adam
Bizi ziyaret edin:
http://www.coderz.net/matrix

Solucan bileşeni metin dizelerini içerir:

[MATRiX] VX ekibi tarafından sağlanan yazılım:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Selamlamak:
# Virus kanalı ve Vecna'daki tüm VX kullanıcıları
Bizi ziyaret edin: www.coderz.net/matrix

Arka Kapı metni içerir:

[MATRiX] ekibi tarafından sağlanan yazılım:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Selamlamak:
Vecna 4 kaynak kodları ve fikirleri

Virüs Bileşeni

Virüs bir dosyaya bulaşırken "Giriş Noktası Gözlemleme" teknolojisini kullanır. Bu, virüsün dosyayı giriş kodunda etkilemediği anlamına gelir, ancak algılama ve dezenfeksiyon prosedürlerini daha karmaşık hale getirmek için dosya kodu bölümünün ortasında bir yere "Jump Virus" komutu yerleştirir. Sonuç olarak, virüs sadece ilgili etkilenen programın şubesinin kontrolünü ele geçirmesi durumunda aktif hale gelir.

Virüs de şifrelenir, bu yüzden her şeyden önce, kodu kontrol edince kendini deşifre eder. Virüs, daha sonra Win32 çekirdeğini tarayarak gerekli Win32 API işlevlerini arar. Bunu yapmak için, virüs Win9x, WinNT ve Win2000 adreslerini dener.

Virüs daha sonra sistemde aktif olan antivirüs programlarını arar ve herhangi birinin algılanması durumunda çıkar. Virüsün virüsten korunma programlarının listesi aşağıdaki gibi gözüküyor:

AntiViral Toolkit Pro
AVP Monitörü
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Merkez McAfee VirusScan'ı kullanıyor

Ardından, virüs bileşenlerini sisteme yükler. Windows dizinine sıkıştırılmışlar ve sonra yeniden doğuyorlar. Oluşturulan üç dosya vardır ve gizli bir özellik kümesine ve aşağıdaki adlara sahiptir:

IE_PACK.EXE – saf solucan kodu
WIN32.DLL – Virüs tarafından enfekte Worm kodu (yukarıda "Enfekte Dosya" olarak)
MTX_.EXE – arka kapı kodu

Virüs sonra Win32, yürütülebilir PE EXE dosyalarını geçerli, geçici ve Windows dizinleri ve sonra çıkarır.

solucan

Virüs bulaşmış mesajlar göndermek için, solucan, ilk kez "Happy" İnternet solucanında (aka Happy99, aka SKA) bulunan teknolojiyi kullanır.

Solucan, Windows sistem dizinindeki WSOCK32.DLL dosyasını, dosyanın bir bileşenini dosyanın sonuna ekleyerek ve "gönder" WSOCK32.DLL yordamını takarak etkiler. Sonuç olarak, solucan etkilenen bilgisayardan Internet'e gönderilen tüm verileri izler.

Genellikle solucan başladığında WSOCK32.DLL dosyası kullanımda ve yazma için kilitli. Bunu önlemek için, solucan standart bir yöntem kullanır: bir WSOCK32.MTX adıyla özgün WSOCK32.DLL kopyasını oluşturur ve bu kopyayı etkiler ve sonra da "özgün dosyayı virüslü ile değiştir" yazısını WININIT.INI dosyasına yazar:

NULL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX

Burada "C: WINDOWSSYSTEM" Windows sistem dizininin adıdır ve kurulu Windows dizininin ismine bağlı olarak değişebilir.

Bir sonraki yeniden başlatma üzerine, virüslü WSOCK32 orijinali değiştirir ve solucan etkilenen makineden gönderilen verilere erişir. Solucan, bilgisayardan gönderilen e-posta mesajlarının yanı sıra ziyaret edilen İnternet sitelerine (Web, ftp) de önem veriyor.

Virüsün çok görünür davranışı, çeşitli internet sitelerini ziyaret etme yeteneğini engellemesinin yanı sıra, aynı etki alanlarına (anti-virüs etki alanı adları) mesaj göndermeyi de devre dışı bırakmasıdır. Virüs, bunları aşağıdaki gibi görünen dört harfli kombinasyonlarla algılar:

nii.
nai.
AVP.
F-se
MAPL
pand
ikinci sınıf öğrencisi
ndmi
Afee
YENN
lywa
tbav
İman

Solucan ayrıca e-posta mesajlarının bu alanlara gönderilmesine de izin vermez:

wildlist.o *
il.esafe.c *
perfectsup *
* complex.is
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
earthlink. *
inexar.com *
comkom.co. *
Meditrade. *
mabex.com *
cellco.com *
symantec.c *
başarılı*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
TrendMicro *
sophos.com *
maple.com. *
netsales.n *
f-secure.c *

Solucan, aynı adrese ("Mutlu" solucanın yaptığı gibi) aynı adrese virüslü bir ek içeren bir çift ileti göndermeye çalışan e-posta iletilerini de durdurur. Sonuç olarak, bir mağdur adresi iki mesaj almalıdır: Birincisi, gönderen tarafından yazılmış orijinal mesajdır; ikincisi, boş bir konu ve metin ve geçerli tarihe bağlı olarak solucan tarafından seçilen adlardan birine sahip ekli bir dosya ile bir mesaj gelir:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH! .TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
Seicho-NO-IE.EXE
YOU_are_FAT! .TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Ekli bir dosya olarak, solucan, virüs bileşeni tarafından düşürülmüş olan WIN32.DLL dosyasını kullanır.

Not: solucan WIN32.DLL dosyasını düşürmez, ancak gönderilen iletilere eklemek için bu dosyayı kullanır. Yani "saf solucan" bir kereden fazla yayılamıyor: kurban bir makinede çalıştırılmak, solucan WSOCK32.DLL bulaşacaktır, ancak kopyalarını daha fazla gönderemeyecektir. "Bu sorunu gidermek için", solucan bulaşmış kopyasını gönderir (WIN32.DLL bir virüs bileşeninden etkilenen bir solucan bileşenidir, yukarıya bakın).

Bilinen solucan modifikasyonunun yayılma rutinde ve e-posta sunucusunda bir hata vardır ve birçok durumda etkilenen makineden etkilenen mesajları almaz. Buna rağmen, sistem Çevirmeli bağlantıya sahipse veya posta sunucusu yeterince hızlıysa, solucan kopyalarını sorunsuz olarak gönderir.

Arka kapı

Çalıştırıldığında, bir Backdoor bileşeni, makinenin zaten virüslü olduğunu gösteren sistem kayıt defterinde yeni bir anahtar oluşturur:

HKLMSoftware [MATRİS]

Bu anahtarın mevcut olması durumunda, Backdoor yükleme prosedürünü atlar. Aksi takdirde, otomatik çalıştırma bölümünde kendini kaydeder:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% mtx_.exe

% WinDir% Windows dizinidir.

Backdoor, Windows'da gizli bir uygulama (hizmet) olarak etkin kalır ve bazı Internet sunucularına bağlanan, oradan dosyaları alıp sistemde açan bir rutini çalıştırır. Dolayısıyla, Backdoor sistemi diğer virüslerle enfekte edebilir veya Trojan programlarını veya daha işlevsel arka kapıları kurabilir.

Bilinen virüs sürümündeki bu bileşen, bir arka kapı bir İnternet sitesine erişmeye çalıştığında, uygulamadaki bir hata hakkında standart bir Windows mesajına neden olan bir hataya da sahiptir.

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu, Win32 sistemleri altında yayılan bir virüs solucanıdır. Virüs, Win32 çalıştırılabilir dosyalarına bulaşır, virüs bulaşmış dosyalar ile e-posta iletileri göndermeyi ve ayrıca etkilenen bir sistemde "eklentileri" indirip oluşturmak için bir arka kapı bileşeni yükler. Solucan, Eylül – Ekim 2000 arası küresel bir salgın hastalığa neden oldu. Virüsün sıra dışı bir yapısı vardır. Bağımsız programlar (Virüs, e-posta Worm ve Backdoor) olarak çalıştırılan üç farklı bileşenden oluşur. Virüs ana bileşendir ve solucan ve arka kapı programlarını kodunda sıkıştırılmış halde tutar. Sistemi enfekte ederken, virüs onları ayıklar ve çoğaltır: Virüs yapısı =============== - Virus Virüs> -> sisteme Worm ve Backdoor yükler, � yükleme � sonra Win32 yürütülebilir dosyaları bulur ve bulaşır � ve enfeksiyon � � rutinleri � --------------- � Solucan kodu � -> dosyaya ayıklanır ve bağımsız program olarak çalıştırılır Comp (sıkıştırılmış) � --------------- Door Backdoor kodu � -> dosyaya ayıklanır ve bağımsız program olarak çalıştırılır Compress (sıkıştırır) � L =============== - Enfekte EXE dosyası =============== - � Dosya kodu � � ve veri � � � =============== � Virüs kodu: � --------------- �� Kurulum�� ve enfeksiyon + ------------- + �� Solucan �� + ------------- + Door Arka kapı �� L -------------- L =============== - Solucan kodu, sisteme virüs bulaşmış bir e-posta iletisine eklenmiş olarak gönderilmek üzere gerekli tüm yordamları içermez (aşağıya bakın). Solucan virüs bileşeninden "yardım" a ihtiyaç duyar ve virüs tarafından enfekte olarak gönderilir (solucan dosyası virüs tarafından sıradan bir dosya olarak bulaşır ve sonra gönderilir). Böyle bir yöntemin nedeni belirsizdir, fakat muhtemelen bileşenler farklı insanlar tarafından yazılmıştır. Virüs bileşeninde metin dizeleri bulunur: SABI�.b ViRuS [MATRİX] VX TeAm tarafından sağlanan yazılım: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: Bize yardım için #virus ve Vecna'daki tüm VX'li adam Bizi ziyaret edin: http://www.coderz.net/matrix Solucan bileşeni metin dizelerini içerir: [MATRiX] VX ekibi tarafından sağlanan yazılım: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Selamlamak: # Virus kanalı ve Vecna'daki tüm VX kullanıcıları Bizi ziyaret edin: www.coderz.net/matrix Arka Kapı metni içerir: [MATRiX] ekibi tarafından sağlanan yazılım: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Selamlamak: Vecna 4 kaynak kodları ve fikirleri Virüs Bileşeni Virüs bir dosyaya bulaşırken "Giriş Noktası Gözlemleme" teknolojisini kullanır. Bu, virüsün dosyayı giriş kodunda etkilemediği anlamına gelir, ancak algılama ve dezenfeksiyon prosedürlerini daha karmaşık hale getirmek için dosya kodu bölümünün ortasında bir yere "Jump Virus" komutu yerleştirir. Sonuç olarak, virüs sadece ilgili etkilenen programın şubesinin kontrolünü ele geçirmesi durumunda aktif hale gelir. Virüs de şifrelenir, bu yüzden her şeyden önce, kodu kontrol edince kendini deşifre eder. Virüs, daha sonra Win32 çekirdeğini tarayarak gerekli Win32 API işlevlerini arar. Bunu yapmak için, virüs Win9x, WinNT ve Win2000 adreslerini dener. Virüs daha sonra sistemde aktif olan antivirüs programlarını arar ve herhangi birinin algılanması durumunda çıkar. Virüsün virüsten korunma programlarının listesi aşağıdaki gibi gözüküyor: AntiViral Toolkit Pro AVP Monitörü Vsstat Webscanx Avconsol McAfee VirusScan Vshwin32 Merkez McAfee VirusScan'ı kullanıyor Ardından, virüs bileşenlerini sisteme yükler. Windows dizinine sıkıştırılmışlar ve sonra yeniden doğuyorlar. Oluşturulan üç dosya vardır ve gizli bir özellik kümesine ve aşağıdaki adlara sahiptir: IE_PACK.EXE – saf solucan kodu WIN32.DLL – Virüs tarafından enfekte Worm kodu (yukarıda "Enfekte Dosya" olarak) MTX_.EXE – arka kapı kodu Virüs sonra Win32, yürütülebilir PE EXE dosyalarını geçerli, geçici ve Windows dizinleri ve sonra çıkarır. solucan Virüs bulaşmış mesajlar göndermek için, solucan, ilk kez "Happy" İnternet solucanında (aka Happy99, aka SKA) bulunan teknolojiyi kullanır. Solucan, Windows sistem dizinindeki WSOCK32.DLL dosyasını, dosyanın bir bileşenini dosyanın sonuna ekleyerek ve "gönder" WSOCK32.DLL yordamını takarak etkiler. Sonuç olarak, solucan etkilenen bilgisayardan Internet'e gönderilen tüm verileri izler. Genellikle solucan başladığında WSOCK32.DLL dosyası kullanımda ve yazma için kilitli. Bunu önlemek için, solucan standart bir yöntem kullanır: bir WSOCK32.MTX adıyla özgün WSOCK32.DLL kopyasını oluşturur ve bu kopyayı etkiler ve sonra da "özgün dosyayı virüslü ile değiştir" yazısını WININIT.INI dosyasına yazar: NULL = C: WINDOWSSYSTEMWSOCK32.DLL C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX Burada "C: WINDOWSSYSTEM" Windows sistem dizininin adıdır ve kurulu Windows dizininin ismine bağlı olarak değişebilir. Bir sonraki yeniden başlatma üzerine, virüslü WSOCK32 orijinali değiştirir ve solucan etkilenen makineden gönderilen verilere erişir. Solucan, bilgisayardan gönderilen e-posta mesajlarının yanı sıra ziyaret edilen İnternet sitelerine (Web, ftp) de önem veriyor. Virüsün çok görünür davranışı, çeşitli internet sitelerini ziyaret etme yeteneğini engellemesinin yanı sıra, aynı etki alanlarına (anti-virüs etki alanı adları) mesaj göndermeyi de devre dışı bırakmasıdır. Virüs, bunları aşağıdaki gibi görünen dört harfli kombinasyonlarla algılar: nii. nai. AVP. F-se MAPL pand ikinci sınıf öğrencisi ndmi Afee YENN lywa tbav İman Solucan ayrıca e-posta mesajlarının bu alanlara gönderilmesine de izin vermez: wildlist.o * il.esafe.c * perfectsup * * complex.is HiServ.com * hiserv.com * metro.ch * beyond.com * mcafee.com * pandasoftw * earthlink. * inexar.com * comkom.co. * Meditrade. * mabex.com * cellco.com * symantec.c * başarılı* inforamp.n * newell.com * singnet.co * bmcd.com.a * bca.com.nz * TrendMicro * sophos.com * maple.com. * netsales.n * f-secure.c * Solucan, aynı adrese ("Mutlu" solucanın yaptığı gibi) aynı adrese virüslü bir ek içeren bir çift ileti göndermeye çalışan e-posta iletilerini de durdurur. Sonuç olarak, bir mağdur adresi iki mesaj almalıdır: Birincisi, gönderen tarafından yazılmış orijinal mesajdır; ikincisi, boş bir konu ve metin ve geçerli tarihe bağlı olarak solucan tarafından seçilen adlardan birine sahip ekli bir dosya ile bir mesaj gelir: README.TXT.pif I_wanna_see_YOU.TXT.pif MATRiX_Screen_Saver.SCR LOVE_LETTER_FOR_YOU.TXT.pif NEW_playboy_Screen_saver.SCR BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif FEITICEIRA_NUA.JPG.pif Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif METALLICA_SONG.MP3.pif ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif ALANIS_Screen_Saver.SCR READER_DIGEST_LETTER.TXT.pif WIN_ $ 100_NOW.DOC.pif IS_LINUX_GOOD_ENOUGH! .TXT.pif QI_TEST.EXE AVP_Updates.EXE Seicho-NO-IE.EXE YOU_are_FAT! .TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif Me_nude.AVI.pif Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif HANSON.SCR FUCKING_WITH_DOGS.SCR MATRiX_2_is_OUT.SCR zipped_files.EXE BLINK_182.MP3.pif Ekli bir dosya olarak, solucan, virüs bileşeni tarafından düşürülmüş olan WIN32.DLL dosyasını kullanır. Not: solucan WIN32.DLL dosyasını düşürmez, ancak gönderilen iletilere eklemek için bu dosyayı kullanır. Yani "saf solucan" bir kereden fazla yayılamıyor: kurban bir makinede çalıştırılmak, solucan WSOCK32.DLL bulaşacaktır, ancak kopyalarını daha fazla gönderemeyecektir. "Bu sorunu gidermek için", solucan bulaşmış kopyasını gönderir (WIN32.DLL bir virüs bileşeninden etkilenen bir solucan bileşenidir, yukarıya bakın). Bilinen solucan modifikasyonunun yayılma rutinde ve e-posta sunucusunda bir hata vardır ve birçok durumda etkilenen makineden etkilenen mesajları almaz. Buna rağmen, sistem Çevirmeli bağlantıya sahipse veya posta sunucusu yeterince hızlıysa, solucan kopyalarını sorunsuz olarak gönderir. Arka kapı Çalıştırıldığında, bir Backdoor bileşeni, makinenin zaten virüslü olduğunu gösteren sistem kayıt defterinde yeni bir anahtar oluşturur: HKLMSoftware [MATRİS] Bu anahtarın mevcut olması durumunda, Backdoor yükleme prosedürünü atlar. Aksi takdirde, otomatik çalıştırma bölümünde kendini kaydeder: HKLMSoftwareMicrosoftWindowsCurrentVersionRun SystemBackup =% WinDir% mtx_.exe % WinDir% Windows dizinidir. Backdoor, Windows'da gizli bir uygulama (hizmet) olarak etkin kalır ve bazı Internet sunucularına bağlanan, oradan dosyaları alıp sistemde açan bir rutini çalıştırır. Dolayısıyla, Backdoor sistemi diğer virüslerle enfekte edebilir veya Trojan programlarını veya daha işlevsel arka kapıları kurabilir. Bilinen virüs sürümündeki bu bileşen, bir arka kapı bir İnternet sitesine erişmeye çalıştığında, uygulamadaki bir hata hakkında standart bir Windows mesajına neden olan bir hataya da sahiptir.
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Email-Worm.Win32.MTX