BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Swen

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Swen , e-posta yoluyla (virüs bulaşmış dosya eki biçiminde), Kazaa dosya paylaşım ağı, IRC kanalları ve açık ağ kaynakları aracılığıyla Internet üzerinden yayılan çok tehlikeli bir solucan virüsüdür.

Swen , Microsoft Visual C ++ ile yazılmıştır ve boyutu 105 KB'dir (106496 bayt).

Mağdur virüslü dosya (dosya eki üzerine çift tıklayarak) veya bir kurban makinenin e-posta uygulaması (aynı zamanda internet solucanlar tarafından sömürülen IFrame.FileDownload güvenlik açığına karşı savunmasız olduğu başlattığında solucan aktive Klez ve Tanatos ). Bir kez koştuğunda, Swen kendini sisteme yükler ve kendi prova rutinini başlatır.

IFrame güvenlik açığı için Mart 2001'de yayımlanan düzeltme ekini karşıdan yükleyebilirsiniz: Microsoft Güvenlik Bülteni MS01-20 .

Solucan birçok anti-virüs programını ve güvenlik duvarını engeller. Kullanılan programlama dili farklı olmasına rağmen, kod metninin algoritması ve parçaları I-Worm.Gibe adı verilen başka bir İnternet solucanıyla neredeyse aynıdır.

Kurulum

İlk başlatıldığında, solucan "Microsoft Internet Update Pack" ileti kutusunu görüntüleyebilir. Daha sonra yama yüklemesini taklit eder:

Solucan, daha sonra aşağıdaki adlardan birisinin altına Windows dizinine kopyalar. İsim birkaç bölümden oluşabilir.

İlk olasılık:

  1. Kazaa Lite
    KaZaA medya masaüstü
    KaZaA
    Winrar
    WinZip
    Winamp
    Mirc
    Hızlandırıcıyı İndir
    GetRight FTP
    Windows Media Player
  2. Anahtar üreteci
    Kesmek
    hacked
    warez
    Yükleme
    Yükleyici
    Yükleme
    Yükleyici

İkinci olasılık:

  1. umacı
    Yaha
    dokundurmak
    Sircam
    Çok büyük
    Klez
  2. Temizleyici
    RemovalTool
    temizleyici
    FixTool

Üçüncü olasılık:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 Seri
Jenna Jameson
hardporn
Seks
Xbox Emulator
Emulator Ps2
Xp Güncellemesi
Xxx Videosu
Hasta Şaka
Xxx Resimleri
Çıplak Kız Kardeşim
Halüsinojenik Ekran Koruyucu
Esrarla Yemek
Büyüyen Sihirli Mantarlar
Virüs Jeneratörü

Yeni dosya Windows sistem kayıt defteri otomatik çalıştırma anahtarında kayıtlı:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  rasgele dizi =% windir% dosya adı autorun 

Solucanların konfigürasyon ayarlarını içeren bir tanımlama anahtarı oluşturulur:

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer
  rastgele sıra 

Solucan, Windows klasöründe bir BAT uzantılı virüslü ana bilgisayar makinesinden sonra adlandırılmış bir dosya oluşturur. Dosya şu komutları içerir:

@EKO KAPALI
"% 1" DEĞİLSE == "" .exe% 1

Daha sonra solucan, HKLMSoftwareClasses'daki anahtar değerlerini, BAT, COM, EXE, PIF, REG ve SCR dosya türleri her başlatıldığında yürütmeye bağlanacak şekilde değiştirir.

 HKCRbatfileshellopencommand
  Varsayılan =% windir%  "% 1"% *

HKCRcomfileshellopencommand
  Varsayılan =% windir%  "% 1"% *
   
HKEY_CLASSES_ROOTexefileshellopencommand
  Varsayılan =% windir%  "% 1"% *

HKCRpiffileshellopencommand
  Varsayılan =% windir%  "% 1"% *

HKCRregfileshellopencommand
  Varsayılan =% windir%  showerror

HKCRscrfileshellconfigcommand
  Varsayılan =% windir%  "% 1"
  
HKCRscrfileshellopencommand
  Varsayılan =% windir%  "% 1" / S 

Sistem kayıt defterini düzenlemek için kullanıcı özelliğini devre dışı bırakır:

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
  DisableRegistryTools = 01 00 00 00 

İlk başlatıldığında, solucan şu uzak web sitesine erişir:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Bu sayaç, virüslü bilgisayarların sayısını gösterir.

Enfekte olan makinede solucanın yeni bir kopyasını yürütmeye çalışırken solucan şu mesajı görüntüler:

Solucan, tüm diskleri DBX, MDX, EML, WAB uzantılı dosyalar için ve uzantıda HT veya ASP içeren dosyaları tarar. Swem daha sonra bulabileceği ve germs0.dbv adlı bir dosyada kaydettiği tüm e-posta adreslerini çıkarır .

Solucan, virüslü e-postalar göndermek için swen1.dat dosyasında belirtilen 350 sunucunun birine bağlanmayı dener. Bağlantı imkansızsa, solucan bir MAPI 32 Özel Durum hakkında aşağıdaki hata iletisini görüntüler:

ve doğru bir e-posta adresini ve doğru bir SMTP sunucusunu ister.

E-posta yoluyla yayılım

Solucan bir SMTP sunucusuna doğrudan bağlantı kullanarak tüm mevcut adreslere gönderir. Virüslü e-postalar HTML biçimindedir ve bir ek içerir (gerçek solucan).

Gönderenin adı (birkaç bölümden oluşur):

  1. Microsoft,
    MS
  2. (kullanılamaz)
    şirket
  3. (kullanılamaz)
    program
    Internet
  4. (her zaman bölüm 3 ile birlikte verilir)
    Güvenlik
  5. (kullanılamaz)
    Bölünme
    Bölüm
    Bölüm
    merkez
  6. (kullanılamaz)
    halka açık
    Teknik
    Müşteri
  7. (kullanılamaz)
    bülten
    Hizmetler
    Yardım
    Destek

Örneğin:

Microsoft İnternet Güvenliği Bölümü
MS Teknik Yardım

Gönderen adresi (2 bölümden oluşur):

  • "@" dan önce: rasgele sekans (örnek: tuevprkpevcg-gxwi @, dwffa @);
  • "@" dan sonra: 2 bölümden oluşur (sadece bir tanesi kullanılabilir):
    1. haber
      bülten
      bülten
      güven
      danışman
      güncellemeler
      technet
      destek
    2. msdn
      microsoft
      MS
      msn

    Örneğin: "newsletter.microsoft" veya sadece "destek". İki parça kullanılıyorsa, "." Veya "_" ile ayrılırlar.

    Sonra "." etki alanı "com" veya "net" dir.

Konu (çeşitli bölümlerden oluşur):

  1. son
    Yeni
    Son
    en yeni
    şimdiki


  2. Microsoft,
    Internet
  3. Güvenlik
    kritik
  4. Yükselt
    paket
    Güncelleştirme
    Yama

Vücut:

MS Müşteri (Tüketici, Ortak, Kullanıcı – rastgele seçilmiş)
Bu, güvenlik güncellemesinin en son sürümüdür.
"Eylül 2003, Toplu Düzeltme Eki" güncelleştirmesi
etkileyen tüm bilinen güvenlik açıkları
MS Internet Explorer, MS Outlook ve MS Outlook Express.
Bilgisayarınızı korumak için şimdi yükleyin
Bu güvenlik açıklarından en ciddi olanı
Bir saldırganın sisteminizde kod çalıştırmasına izin verin.
Bu güncelleme işlevi içerir =
önceden yayımlanmış tüm yamalar.

Sistem gereksinimleri: Windows 95/98 / Me / 2000 / NT / XP
Bu güncelleme aşağıdakiler için geçerlidir:
– MS Internet Explorer, 4.01 ve sonraki sürümleri
– MS Outlook, sürüm 8.00 ve üstü
– MS Outlook Express, 4.01 ve sonraki sürümleri

Öneri: Müşteriler yamayı yüklemelidir =
en yakın fırsatta.
Nasıl kurulur: Ekli dosyayı çalıştırın. Görüntülenen iletişim kutusunda Evet'i seçin.
Nasıl kullanılır: Bu öğeyi yükledikten sonra bir şey yapmanıza gerek yoktur.

İmza:

Microsoft Ürün Destek Hizmetleri ve Bilgi Bankası makaleleri =
Microsoft Teknik Destek web sitesinde bulunabilir.
http://support.microsoft.com/

Microsoft ürünleri hakkında güvenlikle ilgili bilgiler için lütfen =
Microsoft Güvenlik Danışmanı web sitesini ziyaret edin
http://www.microsoft.com/security/

Microsoft ürünlerini kullandığınız için teşekkür ederiz.

Lütfen bu mesaja cevap vermeyin.
Takip edilmeyen bir e-posta adresinden gönderildi ve biz olamaz =
herhangi bir cevaplara cevap vermek.

———————————————-
Söz konusu şirketlerin ve ürünlerin adları =
işte kendi sahiplerinin ticari markalarıdır.

Ek adı:

yama [rasgele sayı] .exe
[rastgele sayı] .exe dosyasını yükleyin
q [rastgele sayı] .exe
[rastgele sayı] .exe dosyasını güncelle

Vücudun gerçek içeriği, çeşitli koşullara bağlı olarak daha az karmaşık olabilir.

  • Konu şunları içerebilir:

    mektup
    Öğüt vermek
    Mesaj
    duyuru
    Rapor
    ihbar
    böcek
    Hata
    iptal etmek
    Başarısız oldu
    Bilinmeyen kullanıcı

  • Vücut içerebilir:

    Merhaba!
    Bu qmail programı
    [Rastgele değer] 'den gelen mesaj
    üzgünüm
    Bunu bilgilendirdiğim için üzgünüm.
    korkarım
    Korkarım mesajınızı aşağıdaki adreslere teslim edemedim
    aşağıda geri gönderilen ileti teslim edilemedi
    Mesajını teslim edemedim
    bir veya daha fazla hedefe

Bazı durumlarda solucan, kopyalarını arşivlenmiş formda (ZIP veya RAR) gönderebilir.

Kazaa üzerinden yayılım

Swen, Kazaa'nın dosya paylaşım dizininde, Kazaa Lite'daki dosya değişim dizininde rastgele isimler altında kopyalayarak yayılır. Ayrıca, Windows Temp klasöründe, rastgele isimlerle birlikte, kendisinin de birkaç kopyasını rastgele isimler içeren bir alt dizin oluşturur.

Bu klasör Windows sistem kayıt defterinde Kazaa dosya paylaşım sistemi için Yerel İçerik olarak tanımlanmıştır.

 HKCUSoftwareKazaaLocalContent
 dir99 = 012345:% Windir %% temp% klasör adı 

Sonuç olarak, Swen tarafından oluşturulan yeni dosyalar diğer Kazaa ağ kullanıcılarına açıktır.

IRC kanalları üzerinden yayılım

Solucan yüklü mIRC istemcisi için tarar. Swen tespit edilirse, yayma prosedürlerini ekleyerek script.ini dosyasını değiştirir. Bunun üzerine, scrip.ini dosyası, virüslü dosyayı Windows dizininden, şimdi enfekte olmuş IRC kanalına bağlanan tüm kullanıcılara gönderir.

LAN üzerinden yayılım

Solucan tüm mevcut sürücüleri tarar. Bir ağ sürücüsü bulursa, kendisini aşağıdaki klasörlerde rastgele bir ad altında kopyalar:

windowsall usersstart menuprogramstartup
windowsstart menuprogramstartup
winmeall usersstart menuprogramstartup
winmestart menuprogramstartup
win95all kullanicilari menuprogramsstartup
win95start menuprogramstartup
win98all kullanicilari menuprogramsstartup
win98start menuprogramstartup
document ve settingsall kullanıcılar start menuprogramsstartup
document ve settingsdefault kullanıcıları menuprogramsstartup'ı başlatır
document ve settingsadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

Diğer

Solucan çeşitli anti-virüs yazılımı ve güvenlik duvarlarının başlatılmasını ve çalışmasını engellemeye çalışır:

 _avp
ackwin32
Anti-Truva
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
AVP
avsched32
avwin95
avwupd32
blackd
Kara buz
BootWarn
ccapp
ccshtdwn
cfiadmin
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
eSafe
espwatch
f agnt95
findviru
fprot
F-Prot
fprot95
f prot95
fp-kazan
FRW
f Stopw
dokundurmak
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
iface
iomon98
jedi 
 kpfw32
lockdown2000
bak
luall
moolive
mpftray
msconfig
nai_vs_stat
navapw32
navlu32
navnt
navsched
navw
nisum
nmain
normist
nupdate
nupgrade
nvc95
ileri karakol
padmin
pavcl
pavsched
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
PView
rav
regedit
kurtarmak
SafeWeb
serv95
sfenks
süpürme
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
Bölge alarmı 

Bunlar başlatıldığında Swen aşağıdaki sahte hata meselesini görüntüler:


Orijinaline link