BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Sınıf | Email-Worm | ||
Platform | Win32 | ||
Açıklama |
Teknik detaylarSwen , e-posta yoluyla (virüs bulaşmış dosya eki biçiminde), Kazaa dosya paylaşım ağı, IRC kanalları ve açık ağ kaynakları aracılığıyla Internet üzerinden yayılan çok tehlikeli bir solucan virüsüdür. Swen , Microsoft Visual C ++ ile yazılmıştır ve boyutu 105 KB'dir (106496 bayt). Mağdur virüslü dosya (dosya eki üzerine çift tıklayarak) veya bir kurban makinenin e-posta uygulaması (aynı zamanda internet solucanlar tarafından sömürülen IFrame.FileDownload güvenlik açığına karşı savunmasız olduğu başlattığında solucan aktive Klez ve Tanatos ). Bir kez koştuğunda, Swen kendini sisteme yükler ve kendi prova rutinini başlatır. IFrame güvenlik açığı için Mart 2001'de yayımlanan düzeltme ekini karşıdan yükleyebilirsiniz: Microsoft Güvenlik Bülteni MS01-20 . Solucan birçok anti-virüs programını ve güvenlik duvarını engeller. Kullanılan programlama dili farklı olmasına rağmen, kod metninin algoritması ve parçaları I-Worm.Gibe adı verilen başka bir İnternet solucanıyla neredeyse aynıdır. Kurulum İlk başlatıldığında, solucan "Microsoft Internet Update Pack" ileti kutusunu görüntüleyebilir. Daha sonra yama yüklemesini taklit eder: ![]() ![]() ![]() Solucan, daha sonra aşağıdaki adlardan birisinin altına Windows dizinine kopyalar. İsim birkaç bölümden oluşabilir. İlk olasılık:
İkinci olasılık:
Üçüncü olasılık:
Yeni dosya Windows sistem kayıt defteri otomatik çalıştırma anahtarında kayıtlı: HKLMSoftwareMicrosoftWindowsCurrentVersionRun rasgele dizi =% windir% dosya adı autorun Solucanların konfigürasyon ayarlarını içeren bir tanımlama anahtarı oluşturulur: HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer rastgele sıra Solucan, Windows klasöründe bir BAT uzantılı virüslü ana bilgisayar makinesinden sonra adlandırılmış bir dosya oluşturur. Dosya şu komutları içerir:
Daha sonra solucan, HKLMSoftwareClasses'daki anahtar değerlerini, BAT, COM, EXE, PIF, REG ve SCR dosya türleri her başlatıldığında yürütmeye bağlanacak şekilde değiştirir. HKCRbatfileshellopencommand Varsayılan =% windir% Sistem kayıt defterini düzenlemek için kullanıcı özelliğini devre dışı bırakır: HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools = 01 00 00 00 İlk başlatıldığında, solucan şu uzak web sitesine erişir:
Bu sayaç, virüslü bilgisayarların sayısını gösterir. Enfekte olan makinede solucanın yeni bir kopyasını yürütmeye çalışırken solucan şu mesajı görüntüler: ![]() Solucan, tüm diskleri DBX, MDX, EML, WAB uzantılı dosyalar için ve uzantıda HT veya ASP içeren dosyaları tarar. Swem daha sonra bulabileceği ve germs0.dbv adlı bir dosyada kaydettiği tüm e-posta adreslerini çıkarır . Solucan, virüslü e-postalar göndermek için swen1.dat dosyasında belirtilen 350 sunucunun birine bağlanmayı dener. Bağlantı imkansızsa, solucan bir MAPI 32 Özel Durum hakkında aşağıdaki hata iletisini görüntüler: ![]() ve doğru bir e-posta adresini ve doğru bir SMTP sunucusunu ister. E-posta yoluyla yayılım Solucan bir SMTP sunucusuna doğrudan bağlantı kullanarak tüm mevcut adreslere gönderir. Virüslü e-postalar HTML biçimindedir ve bir ek içerir (gerçek solucan). ![]() Gönderenin adı (birkaç bölümden oluşur):
Örneğin:
Gönderen adresi (2 bölümden oluşur):
Konu (çeşitli bölümlerden oluşur):
Vücut:
İmza:
Ek adı:
Vücudun gerçek içeriği, çeşitli koşullara bağlı olarak daha az karmaşık olabilir.
Bazı durumlarda solucan, kopyalarını arşivlenmiş formda (ZIP veya RAR) gönderebilir. Kazaa üzerinden yayılım Swen, Kazaa'nın dosya paylaşım dizininde, Kazaa Lite'daki dosya değişim dizininde rastgele isimler altında kopyalayarak yayılır. Ayrıca, Windows Temp klasöründe, rastgele isimlerle birlikte, kendisinin de birkaç kopyasını rastgele isimler içeren bir alt dizin oluşturur. Bu klasör Windows sistem kayıt defterinde Kazaa dosya paylaşım sistemi için Yerel İçerik olarak tanımlanmıştır. HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% klasör adı Sonuç olarak, Swen tarafından oluşturulan yeni dosyalar diğer Kazaa ağ kullanıcılarına açıktır. IRC kanalları üzerinden yayılım Solucan yüklü mIRC istemcisi için tarar. Swen tespit edilirse, yayma prosedürlerini ekleyerek script.ini dosyasını değiştirir. Bunun üzerine, scrip.ini dosyası, virüslü dosyayı Windows dizininden, şimdi enfekte olmuş IRC kanalına bağlanan tüm kullanıcılara gönderir. LAN üzerinden yayılım Solucan tüm mevcut sürücüleri tarar. Bir ağ sürücüsü bulursa, kendisini aşağıdaki klasörlerde rastgele bir ad altında kopyalar:
Diğer Solucan çeşitli anti-virüs yazılımı ve güvenlik duvarlarının başlatılmasını ve çalışmasını engellemeye çalışır:
Bunlar başlatıldığında Swen aşağıdaki sahte hata meselesini görüntüler: ![]() |
||
Orijinaline link |
|||
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin |