BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Sınıf
Email-Worm
Platform
Win32

Ana sınıf: VirWare

Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında ​​gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.

Sınıf: Email-Worm

Email-Worms e-posta yoluyla yayıldı. Solucan, kendisinin bir kopyasını bir e-posta mesajının eki olarak veya bir ağ kaynağındaki dosyasına bir bağlantı olarak gönderir (örn., Ele geçirilmiş bir web sitesindeki veya hacker'ın sahip olduğu bir web sitesinde virüslü bir dosyanın URL'si). İlk durumda, virüslü eklenti açıldığında (başlatıldığında) solucan kodu devreye girer. İkinci durumda, virüs bulaşan dosyaya bağlantı açıldığında kod etkinleştirilir. Her iki durumda da, sonuç aynıdır: solucan kodu etkinleştirildi. Email-Worms, virüslü e-posta göndermek için bir dizi yöntem kullanır. En yaygın olanları şunlardır: Windows MAPI işlevlerini kullanarak MS Outlook hizmetlerini kullanarak solucan koduna yerleşik e-posta dizini kullanarak bir SMTP sunucusuna doğrudan bağlantı kullanarak. E-posta solucanları, virüslü e-postaların gönderileceği e-posta adreslerini bulmak için bir dizi farklı kaynak kullanır: MS Outlook'taki adres defteri, sabit sürücüde saklanan bir WAB adres veritabanı .txt dosyaları: solucan, metin dosyalarındaki hangi dizeleri belirleyebilir e-posta adreslerini gelen kutunuzda e-postalar (bazı e-posta-solucanlar gelen kutucukta bulunan e-postalara bile "cevap verir") Birçok e-posta solucanı, yukarıda listelenen kaynaklardan daha fazlasını kullanır. Web tabanlı e-posta hizmetleriyle ilişkili adres defterleri gibi başka e-posta adresleri kaynakları da vardır.

Platform: Win32

Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.

Açıklama

Teknik detaylar

Swen , e-posta yoluyla (virüs bulaşmış dosya eki biçiminde), Kazaa dosya paylaşım ağı, IRC kanalları ve açık ağ kaynakları aracılığıyla Internet üzerinden yayılan çok tehlikeli bir solucan virüsüdür.

Swen , Microsoft Visual C ++ ile yazılmıştır ve boyutu 105 KB'dir (106496 bayt).

Mağdur virüslü dosya (dosya eki üzerine çift tıklayarak) veya bir kurban makinenin e-posta uygulaması (aynı zamanda internet solucanlar tarafından sömürülen IFrame.FileDownload güvenlik açığına karşı savunmasız olduğu başlattığında solucan aktive Klez ve Tanatos ). Bir kez koştuğunda, Swen kendini sisteme yükler ve kendi prova rutinini başlatır.

IFrame güvenlik açığı için Mart 2001'de yayımlanan düzeltme ekini karşıdan yükleyebilirsiniz: Microsoft Güvenlik Bülteni MS01-20 .

Solucan birçok anti-virüs programını ve güvenlik duvarını engeller. Kullanılan programlama dili farklı olmasına rağmen, kod metninin algoritması ve parçaları I-Worm.Gibe adı verilen başka bir İnternet solucanıyla neredeyse aynıdır.


Kurulum

İlk başlatıldığında, solucan "Microsoft Internet Update Pack" ileti kutusunu görüntüleyebilir. Daha sonra yama yüklemesini taklit eder:

Solucan, daha sonra aşağıdaki adlardan birisinin altına Windows dizinine kopyalar. İsim birkaç bölümden oluşabilir.

İlk olasılık:

  1. Kazaa Lite
    KaZaA medya masaüstü
    KaZaA
    Winrar
    WinZip
    Winamp
    Mirc
    Hızlandırıcıyı İndir
    GetRight FTP
    Windows Media Player

  2. Anahtar üreteci
    Kesmek
    hacked
    warez
    Yükleme
    Yükleyici
    Yükleme
    Yükleyici

İkinci olasılık:

  1. umacı
    Yaha
    dokundurmak
    Sircam
    Çok büyük
    Klez

  2. Temizleyici
    RemovalTool
    temizleyici
    FixTool

Üçüncü olasılık:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 Seri
Jenna Jameson
hardporn
Seks
Xbox Emulator
Emulator Ps2
Xp Güncellemesi
Xxx Videosu
Hasta Şaka
Xxx Resimleri
Çıplak Kız Kardeşim
Halüsinojenik Ekran Koruyucu
Esrarla Yemek
Büyüyen Sihirli Mantarlar
Virüs Jeneratörü

Yeni dosya Windows sistem kayıt defteri otomatik çalıştırma anahtarında kayıtlı:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun  rasgele dizi =% windir% dosya adı autorun 

Solucanların konfigürasyon ayarlarını içeren bir tanımlama anahtarı oluşturulur:

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer  rastgele sıra 

Solucan, Windows klasöründe bir BAT uzantılı virüslü ana bilgisayar makinesinden sonra adlandırılmış bir dosya oluşturur. Dosya şu komutları içerir:

@EKO KAPALI
"% 1" DEĞİLSE == "" .exe% 1

Daha sonra solucan, HKLMSoftwareClasses'daki anahtar değerlerini, BAT, COM, EXE, PIF, REG ve SCR dosya türleri her başlatıldığında yürütmeye bağlanacak şekilde değiştirir.

 HKCRbatfileshellopencommand  Varsayılan =% windir%  "% 1"% *HKCRcomfileshellopencommand  Varsayılan =% windir%  "% 1"% *   HKEY_CLASSES_ROOTexefileshellopencommand  Varsayılan =% windir%  "% 1"% *HKCRpiffileshellopencommand  Varsayılan =% windir%  "% 1"% *HKCRregfileshellopencommand  Varsayılan =% windir%  showerrorHKCRscrfileshellconfigcommand  Varsayılan =% windir%  "% 1"  HKCRscrfileshellopencommand  Varsayılan =% windir%  "% 1" / S 

Sistem kayıt defterini düzenlemek için kullanıcı özelliğini devre dışı bırakır:

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem  DisableRegistryTools = 01 00 00 00 

İlk başlatıldığında, solucan şu uzak web sitesine erişir:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Bu sayaç, virüslü bilgisayarların sayısını gösterir.

Enfekte olan makinede solucanın yeni bir kopyasını yürütmeye çalışırken solucan şu mesajı görüntüler:

Solucan, tüm diskleri DBX, MDX, EML, WAB uzantılı dosyalar için ve uzantıda HT veya ASP içeren dosyaları tarar. Swem daha sonra bulabileceği ve germs0.dbv adlı bir dosyada kaydettiği tüm e-posta adreslerini çıkarır .

Solucan, virüslü e-postalar göndermek için swen1.dat dosyasında belirtilen 350 sunucunun birine bağlanmayı dener. Bağlantı imkansızsa, solucan bir MAPI 32 Özel Durum hakkında aşağıdaki hata iletisini görüntüler:

ve doğru bir e-posta adresini ve doğru bir SMTP sunucusunu ister.


E-posta yoluyla yayılım

Solucan bir SMTP sunucusuna doğrudan bağlantı kullanarak tüm mevcut adreslere gönderir. Virüslü e-postalar HTML biçimindedir ve bir ek içerir (gerçek solucan).

Gönderenin adı (birkaç bölümden oluşur):

  1. Microsoft,
    MS

  2. (kullanılamaz)
    şirket

  3. (kullanılamaz)
    program
    Internet

  4. (her zaman bölüm 3 ile birlikte verilir)
    Güvenlik

  5. (kullanılamaz)
    Bölünme
    Bölüm
    Bölüm
    merkez

  6. (kullanılamaz)
    halka açık
    Teknik
    Müşteri

  7. (kullanılamaz)
    bülten
    Hizmetler
    Yardım
    Destek

Örneğin:

Microsoft İnternet Güvenliği Bölümü
MS Teknik Yardım

Gönderen adresi (2 bölümden oluşur):

  • "@" dan önce: rasgele sekans (örnek: tuevprkpevcg-gxwi @, dwffa @);
  • "@" dan sonra: 2 bölümden oluşur (sadece bir tanesi kullanılabilir):

    1. haber
      bülten
      bülten
      güven
      danışman
      güncellemeler
      technet
      destek

    2. msdn
      microsoft
      MS
      msn

    Örneğin: "newsletter.microsoft" veya sadece "destek". İki parça kullanılıyorsa, "." Veya "_" ile ayrılırlar.

    Sonra "." etki alanı "com" veya "net" dir.

Konu (çeşitli bölümlerden oluşur):

  1. son
    Yeni
    Son
    en yeni
    şimdiki



  2. Microsoft,
    Internet

  3. Güvenlik
    kritik

  4. Yükselt
    paket
    Güncelleştirme
    Yama

Vücut:

MS Müşteri (Tüketici, Ortak, Kullanıcı - rastgele seçilmiş)
Bu, güvenlik güncellemesinin en son sürümüdür.
"Eylül 2003, Toplu Düzeltme Eki" güncelleştirmesi
etkileyen tüm bilinen güvenlik açıkları
MS Internet Explorer, MS Outlook ve MS Outlook Express.
Bilgisayarınızı korumak için şimdi yükleyin
Bu güvenlik açıklarından en ciddi olanı
Bir saldırganın sisteminizde kod çalıştırmasına izin verin.
Bu güncelleme işlevi içerir =
önceden yayımlanmış tüm yamalar.

Sistem gereksinimleri: Windows 95/98 / Me / 2000 / NT / XP
Bu güncelleme aşağıdakiler için geçerlidir:
- MS Internet Explorer, 4.01 ve sonraki sürümleri
- MS Outlook, sürüm 8.00 ve üstü
- MS Outlook Express, 4.01 ve sonraki sürümleri

Öneri: Müşteriler yamayı yüklemelidir =
en yakın fırsatta.
Nasıl kurulur: Ekli dosyayı çalıştırın. Görüntülenen iletişim kutusunda Evet'i seçin.
Nasıl kullanılır: Bu öğeyi yükledikten sonra bir şey yapmanıza gerek yoktur.

İmza:

Microsoft Ürün Destek Hizmetleri ve Bilgi Bankası makaleleri =
Microsoft Teknik Destek web sitesinde bulunabilir.
http://support.microsoft.com/

Microsoft ürünleri hakkında güvenlikle ilgili bilgiler için lütfen =
Microsoft Güvenlik Danışmanı web sitesini ziyaret edin
http://www.microsoft.com/security/

Microsoft ürünlerini kullandığınız için teşekkür ederiz.

Lütfen bu mesaja cevap vermeyin.
Takip edilmeyen bir e-posta adresinden gönderildi ve biz olamaz =
herhangi bir cevaplara cevap vermek.

----------------------------------------------
Söz konusu şirketlerin ve ürünlerin adları =
işte kendi sahiplerinin ticari markalarıdır.

Ek adı:

yama [rasgele sayı] .exe
[rastgele sayı] .exe dosyasını yükleyin
q [rastgele sayı] .exe
[rastgele sayı] .exe dosyasını güncelle

Vücudun gerçek içeriği, çeşitli koşullara bağlı olarak daha az karmaşık olabilir.

  • Konu şunları içerebilir:

    mektup
    Öğüt vermek
    Mesaj
    duyuru
    Rapor
    ihbar
    böcek
    Hata
    iptal etmek
    Başarısız oldu
    Bilinmeyen kullanıcı

  • Vücut içerebilir:

    Merhaba!
    Bu qmail programı
    [Rastgele değer] 'den gelen mesaj
    üzgünüm
    Bunu bilgilendirdiğim için üzgünüm.
    korkarım
    Korkarım mesajınızı aşağıdaki adreslere teslim edemedim
    aşağıda geri gönderilen ileti teslim edilemedi
    Mesajını teslim edemedim
    bir veya daha fazla hedefe

Bazı durumlarda solucan, kopyalarını arşivlenmiş formda (ZIP veya RAR) gönderebilir.


Kazaa üzerinden yayılım

Swen, Kazaa'nın dosya paylaşım dizininde, Kazaa Lite'daki dosya değişim dizininde rastgele isimler altında kopyalayarak yayılır. Ayrıca, Windows Temp klasöründe, rastgele isimlerle birlikte, kendisinin de birkaç kopyasını rastgele isimler içeren bir alt dizin oluşturur.

Bu klasör Windows sistem kayıt defterinde Kazaa dosya paylaşım sistemi için Yerel İçerik olarak tanımlanmıştır.

 HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% klasör adı 

Sonuç olarak, Swen tarafından oluşturulan yeni dosyalar diğer Kazaa ağ kullanıcılarına açıktır.


IRC kanalları üzerinden yayılım

Solucan yüklü mIRC istemcisi için tarar. Swen tespit edilirse, yayma prosedürlerini ekleyerek script.ini dosyasını değiştirir. Bunun üzerine, scrip.ini dosyası, virüslü dosyayı Windows dizininden, şimdi enfekte olmuş IRC kanalına bağlanan tüm kullanıcılara gönderir.


LAN üzerinden yayılım

Solucan tüm mevcut sürücüleri tarar. Bir ağ sürücüsü bulursa, kendisini aşağıdaki klasörlerde rastgele bir ad altında kopyalar:

windowsall usersstart menuprogramstartup
windowsstart menuprogramstartup
winmeall usersstart menuprogramstartup
winmestart menuprogramstartup
win95all kullanicilari menuprogramsstartup
win95start menuprogramstartup
win98all kullanicilari menuprogramsstartup
win98start menuprogramstartup
document ve settingsall kullanıcılar start menuprogramsstartup
document ve settingsdefault kullanıcıları menuprogramsstartup'ı başlatır
document ve settingsadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup


Diğer

Solucan çeşitli anti-virüs yazılımı ve güvenlik duvarlarının başlatılmasını ve çalışmasını engellemeye çalışır:

 _avpackwin32Anti-Truvaaplica32apvxdwinautodownavconsolave32avgcc32avgctrlavgwavkservavntAVPavsched32avwin95avwupd32blackdKara buzBootWarnccappccshtdwncfiadmincfiauditcfindcfinetclaw95dv95ecengineefinet32eSafeespwatchf agnt95findvirufprotF-Protfprot95f prot95fp-kazanFRWf Stopwdokundurmakiamappiamservibmasnibmavspicload95icloadnticmonicmoonicssuppnticsuppifaceiomon98jedi 
 kpfw32lockdown2000bakluallmoolivempftraymsconfignai_vs_statnavapw32navlu32navntnavschednavwnisumnmainnormistnupdatenupgradenvc95ileri karakolpadminpavclpavschedpavwpcciomonpccmainpccwin98pcfwalliconpersfwpop3trapPViewravregeditkurtarmakSafeWebserv95sfenkssüpürmetcatds2vcleanervcontrolvet32vet95vet98vettrayvscanvsecomrvshwin32vsstatwebtrapwfindv32zaproBölge alarmı 
Bunlar başlatıldığında Swen aşağıdaki sahte hata meselesini görüntüler:



Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Confirm changes?
Your message has been sent successfully.