Searching
..

Click anywhere to stop

BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Swen

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Swen , e-posta yoluyla (virüs bulaşmış dosya eki biçiminde), Kazaa dosya paylaşım ağı, IRC kanalları ve açık ağ kaynakları aracılığıyla Internet üzerinden yayılan çok tehlikeli bir solucan virüsüdür.

Swen , Microsoft Visual C ++ ile yazılmıştır ve boyutu 105 KB'dir (106496 bayt).

Mağdur virüslü dosya (dosya eki üzerine çift tıklayarak) veya bir kurban makinenin e-posta uygulaması (aynı zamanda internet solucanlar tarafından sömürülen IFrame.FileDownload güvenlik açığına karşı savunmasız olduğu başlattığında solucan aktive Klez ve Tanatos ). Bir kez koştuğunda, Swen kendini sisteme yükler ve kendi prova rutinini başlatır.

IFrame güvenlik açığı için Mart 2001'de yayımlanan düzeltme ekini karşıdan yükleyebilirsiniz: Microsoft Güvenlik Bülteni MS01-20 .

Solucan birçok anti-virüs programını ve güvenlik duvarını engeller. Kullanılan programlama dili farklı olmasına rağmen, kod metninin algoritması ve parçaları I-Worm.Gibe adı verilen başka bir İnternet solucanıyla neredeyse aynıdır.

Kurulum

İlk başlatıldığında, solucan "Microsoft Internet Update Pack" ileti kutusunu görüntüleyebilir. Daha sonra yama yüklemesini taklit eder:

Solucan, daha sonra aşağıdaki adlardan birisinin altına Windows dizinine kopyalar. İsim birkaç bölümden oluşabilir.

İlk olasılık:

  1. Kazaa Lite
    KaZaA medya masaüstü
    KaZaA
    Winrar
    WinZip
    Winamp
    Mirc
    Hızlandırıcıyı İndir
    GetRight FTP
    Windows Media Player
  2. Anahtar üreteci
    Kesmek
    hacked
    warez
    Yükleme
    Yükleyici
    Yükleme
    Yükleyici

İkinci olasılık:

  1. umacı
    Yaha
    dokundurmak
    Sircam
    Çok büyük
    Klez
  2. Temizleyici
    RemovalTool
    temizleyici
    FixTool

Üçüncü olasılık:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 Seri
Jenna Jameson
hardporn
Seks
Xbox Emulator
Emulator Ps2
Xp Güncellemesi
Xxx Videosu
Hasta Şaka
Xxx Resimleri
Çıplak Kız Kardeşim
Halüsinojenik Ekran Koruyucu
Esrarla Yemek
Büyüyen Sihirli Mantarlar
Virüs Jeneratörü

Yeni dosya Windows sistem kayıt defteri otomatik çalıştırma anahtarında kayıtlı:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun  rasgele dizi =% windir% dosya adı autorun 

Solucanların konfigürasyon ayarlarını içeren bir tanımlama anahtarı oluşturulur:

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer  rastgele sıra 

Solucan, Windows klasöründe bir BAT uzantılı virüslü ana bilgisayar makinesinden sonra adlandırılmış bir dosya oluşturur. Dosya şu komutları içerir:

@EKO KAPALI
"% 1" DEĞİLSE == "" .exe% 1

Daha sonra solucan, HKLMSoftwareClasses'daki anahtar değerlerini, BAT, COM, EXE, PIF, REG ve SCR dosya türleri her başlatıldığında yürütmeye bağlanacak şekilde değiştirir.

 HKCRbatfileshellopencommand  Varsayılan =% windir%  "% 1"% *HKCRcomfileshellopencommand  Varsayılan =% windir%  "% 1"% *   HKEY_CLASSES_ROOTexefileshellopencommand  Varsayılan =% windir%  "% 1"% *HKCRpiffileshellopencommand  Varsayılan =% windir%  "% 1"% *HKCRregfileshellopencommand  Varsayılan =% windir%  showerrorHKCRscrfileshellconfigcommand  Varsayılan =% windir%  "% 1"  HKCRscrfileshellopencommand  Varsayılan =% windir%  "% 1" / S 

Sistem kayıt defterini düzenlemek için kullanıcı özelliğini devre dışı bırakır:

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem  DisableRegistryTools = 01 00 00 00 

İlk başlatıldığında, solucan şu uzak web sitesine erişir:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Bu sayaç, virüslü bilgisayarların sayısını gösterir.

Enfekte olan makinede solucanın yeni bir kopyasını yürütmeye çalışırken solucan şu mesajı görüntüler:

Solucan, tüm diskleri DBX, MDX, EML, WAB uzantılı dosyalar için ve uzantıda HT veya ASP içeren dosyaları tarar. Swem daha sonra bulabileceği ve germs0.dbv adlı bir dosyada kaydettiği tüm e-posta adreslerini çıkarır .

Solucan, virüslü e-postalar göndermek için swen1.dat dosyasında belirtilen 350 sunucunun birine bağlanmayı dener. Bağlantı imkansızsa, solucan bir MAPI 32 Özel Durum hakkında aşağıdaki hata iletisini görüntüler:

ve doğru bir e-posta adresini ve doğru bir SMTP sunucusunu ister.

E-posta yoluyla yayılım

Solucan bir SMTP sunucusuna doğrudan bağlantı kullanarak tüm mevcut adreslere gönderir. Virüslü e-postalar HTML biçimindedir ve bir ek içerir (gerçek solucan).

Gönderenin adı (birkaç bölümden oluşur):

  1. Microsoft,
    MS
  2. (kullanılamaz)
    şirket
  3. (kullanılamaz)
    program
    Internet
  4. (her zaman bölüm 3 ile birlikte verilir)
    Güvenlik
  5. (kullanılamaz)
    Bölünme
    Bölüm
    Bölüm
    merkez
  6. (kullanılamaz)
    halka açık
    Teknik
    Müşteri
  7. (kullanılamaz)
    bülten
    Hizmetler
    Yardım
    Destek

Örneğin:

Microsoft İnternet Güvenliği Bölümü
MS Teknik Yardım

Gönderen adresi (2 bölümden oluşur):

  • "@" dan önce: rasgele sekans (örnek: tuevprkpevcg-gxwi @, dwffa @);
  • "@" dan sonra: 2 bölümden oluşur (sadece bir tanesi kullanılabilir):
    1. haber
      bülten
      bülten
      güven
      danışman
      güncellemeler
      technet
      destek
    2. msdn
      microsoft
      MS
      msn

    Örneğin: "newsletter.microsoft" veya sadece "destek". İki parça kullanılıyorsa, "." Veya "_" ile ayrılırlar.

    Sonra "." etki alanı "com" veya "net" dir.

Konu (çeşitli bölümlerden oluşur):

  1. son
    Yeni
    Son
    en yeni
    şimdiki


  2. Microsoft,
    Internet
  3. Güvenlik
    kritik
  4. Yükselt
    paket
    Güncelleştirme
    Yama

Vücut:

MS Müşteri (Tüketici, Ortak, Kullanıcı – rastgele seçilmiş)
Bu, güvenlik güncellemesinin en son sürümüdür.
"Eylül 2003, Toplu Düzeltme Eki" güncelleştirmesi
etkileyen tüm bilinen güvenlik açıkları
MS Internet Explorer, MS Outlook ve MS Outlook Express.
Bilgisayarınızı korumak için şimdi yükleyin
Bu güvenlik açıklarından en ciddi olanı
Bir saldırganın sisteminizde kod çalıştırmasına izin verin.
Bu güncelleme işlevi içerir =
önceden yayımlanmış tüm yamalar.

Sistem gereksinimleri: Windows 95/98 / Me / 2000 / NT / XP
Bu güncelleme aşağıdakiler için geçerlidir:
– MS Internet Explorer, 4.01 ve sonraki sürümleri
– MS Outlook, sürüm 8.00 ve üstü
– MS Outlook Express, 4.01 ve sonraki sürümleri

Öneri: Müşteriler yamayı yüklemelidir =
en yakın fırsatta.
Nasıl kurulur: Ekli dosyayı çalıştırın. Görüntülenen iletişim kutusunda Evet'i seçin.
Nasıl kullanılır: Bu öğeyi yükledikten sonra bir şey yapmanıza gerek yoktur.

İmza:

Microsoft Ürün Destek Hizmetleri ve Bilgi Bankası makaleleri =
Microsoft Teknik Destek web sitesinde bulunabilir.
http://support.microsoft.com/

Microsoft ürünleri hakkında güvenlikle ilgili bilgiler için lütfen =
Microsoft Güvenlik Danışmanı web sitesini ziyaret edin
http://www.microsoft.com/security/

Microsoft ürünlerini kullandığınız için teşekkür ederiz.

Lütfen bu mesaja cevap vermeyin.
Takip edilmeyen bir e-posta adresinden gönderildi ve biz olamaz =
herhangi bir cevaplara cevap vermek.

———————————————-
Söz konusu şirketlerin ve ürünlerin adları =
işte kendi sahiplerinin ticari markalarıdır.

Ek adı:

yama [rasgele sayı] .exe
[rastgele sayı] .exe dosyasını yükleyin
q [rastgele sayı] .exe
[rastgele sayı] .exe dosyasını güncelle

Vücudun gerçek içeriği, çeşitli koşullara bağlı olarak daha az karmaşık olabilir.

  • Konu şunları içerebilir:

    mektup
    Öğüt vermek
    Mesaj
    duyuru
    Rapor
    ihbar
    böcek
    Hata
    iptal etmek
    Başarısız oldu
    Bilinmeyen kullanıcı

  • Vücut içerebilir:

    Merhaba!
    Bu qmail programı
    [Rastgele değer] 'den gelen mesaj
    üzgünüm
    Bunu bilgilendirdiğim için üzgünüm.
    korkarım
    Korkarım mesajınızı aşağıdaki adreslere teslim edemedim
    aşağıda geri gönderilen ileti teslim edilemedi
    Mesajını teslim edemedim
    bir veya daha fazla hedefe

Bazı durumlarda solucan, kopyalarını arşivlenmiş formda (ZIP veya RAR) gönderebilir.

Kazaa üzerinden yayılım

Swen, Kazaa'nın dosya paylaşım dizininde, Kazaa Lite'daki dosya değişim dizininde rastgele isimler altında kopyalayarak yayılır. Ayrıca, Windows Temp klasöründe, rastgele isimlerle birlikte, kendisinin de birkaç kopyasını rastgele isimler içeren bir alt dizin oluşturur.

Bu klasör Windows sistem kayıt defterinde Kazaa dosya paylaşım sistemi için Yerel İçerik olarak tanımlanmıştır.

 HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% klasör adı 

Sonuç olarak, Swen tarafından oluşturulan yeni dosyalar diğer Kazaa ağ kullanıcılarına açıktır.

IRC kanalları üzerinden yayılım

Solucan yüklü mIRC istemcisi için tarar. Swen tespit edilirse, yayma prosedürlerini ekleyerek script.ini dosyasını değiştirir. Bunun üzerine, scrip.ini dosyası, virüslü dosyayı Windows dizininden, şimdi enfekte olmuş IRC kanalına bağlanan tüm kullanıcılara gönderir.

LAN üzerinden yayılım

Solucan tüm mevcut sürücüleri tarar. Bir ağ sürücüsü bulursa, kendisini aşağıdaki klasörlerde rastgele bir ad altında kopyalar:

windowsall usersstart menuprogramstartup
windowsstart menuprogramstartup
winmeall usersstart menuprogramstartup
winmestart menuprogramstartup
win95all kullanicilari menuprogramsstartup
win95start menuprogramstartup
win98all kullanicilari menuprogramsstartup
win98start menuprogramstartup
document ve settingsall kullanıcılar start menuprogramsstartup
document ve settingsdefault kullanıcıları menuprogramsstartup'ı başlatır
document ve settingsadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

Diğer

Solucan çeşitli anti-virüs yazılımı ve güvenlik duvarlarının başlatılmasını ve çalışmasını engellemeye çalışır:

 _avpackwin32Anti-Truvaaplica32apvxdwinautodownavconsolave32avgcc32avgctrlavgwavkservavntAVPavsched32avwin95avwupd32blackdKara buzBootWarnccappccshtdwncfiadmincfiauditcfindcfinetclaw95dv95ecengineefinet32eSafeespwatchf agnt95findvirufprotF-Protfprot95f prot95fp-kazanFRWf Stopwdokundurmakiamappiamservibmasnibmavspicload95icloadnticmonicmoonicssuppnticsuppifaceiomon98jedi 
 kpfw32lockdown2000bakluallmoolivempftraymsconfignai_vs_statnavapw32navlu32navntnavschednavwnisumnmainnormistnupdatenupgradenvc95ileri karakolpadminpavclpavschedpavwpcciomonpccmainpccwin98pcfwalliconpersfwpop3trapPViewravregeditkurtarmakSafeWebserv95sfenkssüpürmetcatds2vcleanervcontrolvet32vet95vet98vettrayvscanvsecomrvshwin32vsstatwebtrapwfindv32zaproBölge alarmı 

Bunlar başlatıldığında Swen aşağıdaki sahte hata meselesini görüntüler:


Orijinaline link
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin