BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.PrettyPark

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, Internet üzerinden yayılan bir virüs solucanı. Bir e-postaya eklenmiş bir PrettyPark programı olarak görünür. Yürütüldüğünde, sisteme kendini yükler, sonra da Windows Adres Defterinde listelenen adreslere virüslü iletiler (ekli kopyasıyla birlikte) gönderir, sistem ayarlarını ve parolaları hakkında bazı IRC kanallarını bilgilendirir ve ayrıca Backdoor olarak kullanılabilir.

Solucanın kendisi yaklaşık 37Kb uzunluğunda Windows PE yürütülebilir dosyadır. Bu dosya WWPack32 yardımcı programı tarafından sıkıştırılmıştır. Açılış, Delphi yazılmış bir 58Kb EXE dosyası gibi görünüyor, dosyadaki "saf" kod sadece yaklaşık 45Kb kaplar. Bir Delphi uygulaması için bu kısa boyuta rağmen, solucan çok tehlikeli ve hızlı yayılan bir program haline getiren birçok özelliğe sahiptir.

Solucan sistemde ilk defa çalıştırıldığında, sistem belleğine önceden yüklenmiş olan kopyasını arar. Solucan, "# 32770" pencere başlığına sahip bir uygulama arayarak bunu yapar. Böyle bir pencere yoksa, virüs kendisini gizli bir uygulama olarak kaydeder (görev listesinde görünmez) ve kurulum rutinini çalıştırır.

Sisteme yüklenirken, solucan, dosyayı FILES32.VXD dosya adıyla Windows sistem dizinine kopyalar ve her seferinde başka bir uygulama başladığında çalıştırılmak üzere sistem kayıt defterine kaydeder. Virüs, HKEY_CLASSES_ROOT içinde yeni bir anahtar oluşturarak, anahtar adı exefileshellopencommand olur ve Windows sistem klasöründe oluşturulan FILES32.VXD dosyasıyla solucan kopyasıyla ilişkilendirilir. Bu dosya bir .VXD uzantısına sahiptir, ancak bir VxD Win95 / 98 sürücüsü değil, bir "gerçek" Windows yürütülebilir.

Yüklerken hata durumunda, solucan SSPIPES.SCR ekran koruyucusunu etkinleştirir (aktivitesini gizlemek için?). Böyle bir dosya bulunamazsa, solucan Canalisation3D.SCR ekran koruyucusunu etkinleştirmeye çalışır.

Solucan daha sonra bir soket (Internet) bağlantısı başlatır ve aktif hale getirilen rutinlerini çalıştırır: ilk kez 30 saniyede bir, diğeri 30 dakikada bir.

Bu rutinlerden birincisi, her aktive edildiğinde, birtakım IRC sohbetlerini (aşağıdaki listeye bakınız) kanala bağlamaya çalışır ve özel istekler yoluyla, bu kanallardaki bir kullanıcıya mesaj gönderir. Bu şekilde, solucan yazarı, onları izlemek için etkilenen istasyonları yakalamak gibi görünüyor. Solucanın bağlanmaya çalıştığı IRC sunucularının listesi aşağıdaki gibidir:


irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk

Ev sahibi (virüs yazarı) tarafından tanınan, solucan bir Backdoor Truva atı olarak manipüle edilebilir. Bir dizi komutla, bir sistem konfigürasyonu, bir disk listesi, dizin bilgileri ve uzak ana bilgisayara gizli bilgi gönderir: Internet erişim şifreleri ve telefon numaraları, Uzaktan Erişim Hizmeti giriş adları ve şifreleri, ICQ numaraları, vb. backdoor ayrıca dizinleri oluşturabilir / kaldırabilir, dosyaları alabilir / alabilir, silebilir ve çalıştırabilir, vb.

30 dakikada bir etkinleştirilen ikinci rutin, Windows Adres Defteri dosyasını açar, buradan İnternet adreslerini okur ve onlara bir mesaj gönderir. Mesaj sadece özel e-posta adreslerine değil, aynı zamanda sadece Adres Defteri içeriğine bağlı olarak Internet konferanslarına da gönderilebilir. Konu alanı, metni içerir:


C: CoolProgsPretty Park.exe

Mesajın kendisi, solucanın ekli bir kopyası dışında hiçbir şey içermiyor.


Orijinaline link