BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Petik

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, e-posta iletilerine eklenmiş bir 8Kb MADCOW.EXE dosyası olarak yayılan bir Internet solucanıdır. Virüs bulaşmış mesajları göndermek için solucan MS Outlook'u kullanır. Solucan ayrıca bir mIRC istemcisini enfekte ederek kopyalarını IRC kanallarına gönderebiliyor.

Ilk koş

Solucan ilk kez başlatıldığında (bir kullanıcı iletiye EXE ekini tıklatırsa veya bir IRC yüklemesini kabul ederse), solucan kendini iki dosyaya kopyalar:

  • Wininet32.exe adıyla Windows sistem dizini
  • MadCow.exe adı ile Windows dizini

ve otomatik çalıştırma bölümünde bir MadCow.exe dosyasını kaydeder:

  • WIN.INI dosyasında, [windows] bölümü, "run =" tuşu – Win9x altında
  • "Run =" anahtarındaki sistem kayıt defterinde – WinNT altında

Solucan bir C: WIN32 dizini oluşturur ve burada iki dosya oluşturur (DOS toplu iş dosyası ve VBS komut programı):

ENVOIE.BAT – sadece bir ENVOIE.VBS dosyasını (sonraki dosya) oluşturur
ENVOIE.VBS – bu betik solucanı virüslü mesajlarla yayar

Yayılırken, komut dosyası MS Outlook'a bağlanır ve etkilenen e-posta iletilerini MS Outlook Adres Defterindeki tüm adreslere gönderir. Mesajlar şunları içerir:

Konu: Pourquoi les vaches sont-elles folles?
Gövde: Voila un rapport expliquant la folie des vaches
Ek: MadCow.exe

Ikinci koş

Bir sonraki başlangıçta (sonraki Windows yeniden başlatıldığında), solucan C: WIN32 dizinindeki MadCow.exe adıyla kopyasını oluşturur ve ardından aşağıdaki dizinlerde bir mIRC istemcisine bulaşır:

C: MIRC
C: MIRC32
C: Program DosyalarıMIRC
C: Program DosyalarıMIRC32

Virüs bulaşmış mIRC istemcisi, enfekte kanalı birleştiren tüm kullanıcılara bir solucan kopyası (MadCow.exe dosyası) gönderir.

Diğer

Solucan, kayıt defteri anahtarını oluşturur: HKLMSoftware [Atchoum]

Sistemde bulunan mIRC istemcisi yoksa, solucan Windows sistem dizinindeki MSLS.ICO dosyasını oluşturur, orada bir imp (devil) görüntüsü yazar ve EXE dosyaları için standart bir simge olarak kaydeder.

Solucan ayrıca vücudunda aşağıdaki metin sokmalarını içerir:

IWorm.MadCow par PetiK (c) 2000
Seni Seviyorum Maya / Je t'aime


Orijinaline link