BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Suppl

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, e-posta iletilerine eklenmiş Internet kanalları aracılığıyla SUPPL.DOC MS Word97 belgesi olarak yayılan bir virüs solucanıdır. Eylül 1999'da çeşitli haber gruplarına gönderildi. Bu belge, Rus MS Word97 baskısı kullanılarak oluşturuldu; bu, solucanın Rusça veya xUSSR menşei olduğu anlamına geliyor.

Kendini sisteme yüklemek için, solucan WinNT altında çalışmayan bir yöntem kullanır ve sonuç olarak, solucan kendisini sadece Win9x sistemlerinden enfekte edebilir ve yayabilir.

Solucanın çok tehlikeli bir yükü var: Bilgisayarı etkiledikten bir hafta sonra, solucan, yerel ve uzak sürücülerdeki dosyaları aşağıdaki uzantılarla siler:


DOC XLS TXT RTF DBF ZIP ARJ RAR

Silme yöntemi "ZippedFiles" solucanı tarafından kullanılanla aynıdır ve hasar görmüş dosyalar kurtarılamaz.

yükleme

Virüslü belgede, MS Word belgeyi açtığında otomatik olarak çalıştırılan bir makro Document_Open vardır. Bu makro, belgeyi ANTHRAX.INI adıyla Windows sistem dizinine kopyalar ve DLL bileşenini (virüslü belgede saklanır) DLL.TMP adıyla aynı dizine bırakır. Bu DLL bileşeni, sıkıştırılmış bir geçici DLL.LZH dosyası aracılığıyla bırakılır.

Solucan daha sonra WININIT.INI dosyasına yeniden adlandırma yönergeleri ekler. Bu yönergeler WSOCK32.DLL WSOCK33.DLL adıyla yeniden adlandırın ve WSOCK32.DLL yerine solucanın DLL.TMP kitaplığı ile değiştirin. Bu hile, Windows'un bir sonraki Windows yeniden başlatıldığında bir solucan kopyasıyla WSOCK32.DLL dosyasını değiştirmesine neden olur.

DLL'lerinin başlatılmasında Windows, orijinal yerine virüslü (solucan'ın) DLL'lerini yükler ve sonuç olarak, solucan ağ işlevlerine erişir.

Yayma

Bir sonraki Windows yeniden başlatıldığında, virüslü WSOCK32.DLL sistem belleğine yüklenir ve denetimi alır. Bu anda solucan erişir ve orijinal WSOCK32 kütüphanesinin yaptığı tüm gerekli kütüphane işlevlerini durdurur. Bunların ikisi hariç, solucan sadece orijinal işlevlere istekleri iletir ve bu amaçla solucan da WSOCK33.DLL dosyasını (orijinal kitaplığı) Windows belleğine yükler.

İki işlev virüs tarafından işlenir: isimleri "gönder" ve "bağlanır". Bu işlevleri kullanarak, solucan, virüslü bilgisayardan gönderilen e-postaları keser ve kopyasını bu e-postalara SUPPL.DOC dosyası olarak ekler.


Orijinaline link