Ana sınıf: VirWare
Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.Sınıf: Email-Worm
Email-Worms e-posta yoluyla yayıldı. Solucan, kendisinin bir kopyasını bir e-posta mesajının eki olarak veya bir ağ kaynağındaki dosyasına bir bağlantı olarak gönderir (örn., Ele geçirilmiş bir web sitesindeki veya hacker'ın sahip olduğu bir web sitesinde virüslü bir dosyanın URL'si). İlk durumda, virüslü eklenti açıldığında (başlatıldığında) solucan kodu devreye girer. İkinci durumda, virüs bulaşan dosyaya bağlantı açıldığında kod etkinleştirilir. Her iki durumda da, sonuç aynıdır: solucan kodu etkinleştirildi. Email-Worms, virüslü e-posta göndermek için bir dizi yöntem kullanır. En yaygın olanları şunlardır: Windows MAPI işlevlerini kullanarak MS Outlook hizmetlerini kullanarak solucan koduna yerleşik e-posta dizini kullanarak bir SMTP sunucusuna doğrudan bağlantı kullanarak. E-posta solucanları, virüslü e-postaların gönderileceği e-posta adreslerini bulmak için bir dizi farklı kaynak kullanır: MS Outlook'taki adres defteri, sabit sürücüde saklanan bir WAB adres veritabanı .txt dosyaları: solucan, metin dosyalarındaki hangi dizeleri belirleyebilir e-posta adreslerini gelen kutunuzda e-postalar (bazı e-posta-solucanlar gelen kutucukta bulunan e-postalara bile "cevap verir") Birçok e-posta solucanı, yukarıda listelenen kaynaklardan daha fazlasını kullanır. Web tabanlı e-posta hizmetleriyle ilişkili adres defterleri gibi başka e-posta adresleri kaynakları da vardır.Platform: Win32
Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.Açıklama
Teknik detaylar
Bu virüs bulaşmış e-postaya eklenmiş Internet üzerinden yayılan ve yerel bilgisayarlarda ve ağ kaynaklarında Win32 uygulamalarına bulaşan bir virüs solucanıdır. Dosyaları bulaşmak için {"Win32.InvictusDLL": Win32_InvictusDLL} kütüphanesini kullanır.
Virüslü dosyaların yapısı aşağıdaki gibi görünür:
===================== � enfekte � Host dosya sunucusu � � � -------------------- Ympolimorfik kod �� �� INVICTUS �� �� �� + ------------------- + INbody INVICTUS.DLL �� + ------------------- + Vücut solucanı �� L -------------------- L ===================== -
Virüs bulaşmış bir dosya başlatıldığında, kontrol akışı INVICTUS kütüphanesi polimorfik koduna geçirilir - bu, programın giriş noktasının doğrudan virüs koduna işaret etmesi veya hostun yapısına bağlı olması durumunda hemen yapılır, "Giriş Noktası Engelleniyorsa " kullanıldı. Bu kod, bir diskte, bir% SYSTEM% klasöründeki INVICTUS.DLL kitaplığını ve rastgele bir dosya adıyla% TEMP% klasöründe solucan kodunu çözer ve oluşturur ve sonra solucanı başlatır.
Solucanın dosyası yaklaşık 8 Kb uzunluğunda bir Windows uygulaması (PE EXE dosyası) ve assembler'da yazılmıştır.
Kurulum
Solucan başlatıldığında, sisteme kendini yükler ve daha sonra e-posta iletilerini gönderme ve Win32 dosyalarını ve taşıma yordamını bulaşma rutinini etkinleştirir.
Yüklerken, solucan kendisini bir arandom dosya ismiyle Windows direğine kopyalar ve aşağıdaki değerleri SYSTEM.INI dosyasına yazar:[boot] shell = Explorer.exe% solucan adı% Bu, solucanın Windows başlangıcında başlatılmaması için yapıldı (yalnızca Windows 9x / ME'de).
Yayma
Solucan, e-posta adreslerini bulmak için "ICQ Beyaz sayfalar" arama motorunu kullanır. Motora bir arama sorgusu gönderir ve ardından arama sonuçlarından (arama sonuçlarını içeren bir HTML sayfasından) e-posta adresleri çıkarır. Arama sorgusu için kelimeler aşağıdaki listeden seçilir:
MPB
seks
Tarihçe
mp3
Arkadaş
uçak
ferrari
orgazm
dostluk
Kahretsin
Aşk
Spor Dalları
Parti
kedi
Amerika Birleşik Devletleri
ses
Solucan, bulunan tüm e-postalara virüslü mesajlar gönderir. Solucan, solucan tarafından seçilen bir SMTP sunucusuna doğrudan bağlantı kullanır.
Etkilenen iletiler boş bir gövde içerir ve konusu aşağıdaki listeden seçilir:
Bin Ladin toillete kağıt!
Sadam hussein & BinLaden IN LOVE
Bush Bin Ladin'i zorlukla sikiyor <: P
Usame Bin Ladin BAD-SEVDİ Mİ?
ABD Cenevre Sözleşmesi'ne karşı mı?
Şarbon posta doğrudur (şaka değil)
Biyolojik silahlar: Önleme!
İslamabad'da bir molla lanet olsun
O papel higienico Bin Ladin!
Sadam e BinLaden apaixonados
Bush fudendo Bin Ladin <: P
Osama � mal-amado?
EUA conven�ao de genova agride?
Antraz pelo correio (verdade)
Armas biologicas: Previna-se!
Fudendo um mul� em İslamabad
Bin Landen Toalettpapper
Sadam hussein & BinLaden �rf�r�lsk
ade Bush knullar Bin Ladin h�rt <: P
Osr Usame Bin Ladin inte �lskad?
Emotr ABD duygu Geneve �verenskom melsen?
Anthrax brevet existerar (sk�mt'yi değiştir)
Biologiska vapen: F�rhindra!
Knulla en müslüman i İslamabad
papier toillette Bin Ladin
Sadam & BinLaden EN AMOUR
Bush nique � donf Bin Ladin <: P
Usame Bin Ladin Mal Aim�?
Usa contre de Geneve?
Le Courrier Anthrax existe vraiment
Arme Biologique: Önlemler!
Baiser un molla � İslamabad
Xarti toualetas Bin Landen !!
Hüseyin & Bin Ladin, ERASTES
O Bush gamaei agria ton Bin Ladin
Einai Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H epistoles beni Antraka, einai gegonos
Biologika wpla: Prostasia!
Gamontas ena Moula İslamabad'ı
Ek adı : BINLADEN_BRASIL.EXE
Solucan, mesajlarında Microsoft Internet Explorer'da bir IFRAME güvenlik ihlali kullanır; bu nedenle, virüslü bir mesaj görüntülendiğinde otomatik olarak başlatılabilir.
Yerel disklerdeki dosyaları bulaştırarak
Solucan, Windows dizinindeki aşağıdaki dosyalara bulaşır:
Hh.exe
Netstat.exe
CALC.EXE
Ayrıca, solucan Windows applog'daki tüm programları bulur (bilgisayarda başlatılan çoğu uygulama burada kaydedilir) ve onları enfekte eder. Sonra, solucan EXPLORER.EXE başlatılan bir kopyasını bulur, kapatır ve dosyaya bulaşır.
Ağ kaynaklarındaki dosyaları etkileme
Solucan ağ kaynaklarını (uzak diskleri ve dizinleri) numaralandırır ve bunlara bağlanır. Kendisini ağ kaynaklarına rastgele bir dosya adıyla aşağıdaki dizinlere kopyalamaya çalışır:
WIN
WIN2000
WIN2K
wınnt
WINDOWS
WINXP
ve Windows ile otomatik olarak başlatmak için uzak bir sistemde kendini kaydeder (sadece Windows 9x / ME).
Yük rutini
Rasgele sayaca bağlı olarak, solucan aşağıdaki diziyi rastgele bir renkle rastgele bir sayıya çeker:
ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU TANRı SHIVA TUPA DIOS DEUS
ve bir mesaj kutusu görüntüler:
Sonra solucan 10 saniye "uyur" ve ekranın içeriğini bozar.
Diğer
Solucan aşağıdaki pencereleri bulmaya ve kapatmaya çalışır:
Antiviral Toolkit Pro
AVP Monitörü
Norton virüs koruyucu
Bölge alarmı
özgürlük
Avconsol
McAfee VirusScan
Vshwin32
Solucan aşağıdaki kayıt defteri anahtarını oluşturur:
HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBinLaden
ve değerlerini, yerel bir ağdan C: sürücüsüne tam erişime izin verecek şekilde ayarlar.
Solucan aşağıdaki kayıt defteri anahtarını siler:
HKLMSystemCurrentControlSetServicesVxDNAVAP
ve aşağıdaki kayıt defteri değeri:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Otomatik Koruma
Solucan, önbelleğe alınmış tüm ağ şifrelerini% WINDOWS% BinLaden.ini dosyasına yazar.
Solucan aşağıdaki metni içerir:
Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, #vxers içinde tüm ppl
Ve tabi ki, Usame Bin Ladin. İyi işi Antrhax ile sakla, adamım!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
NBK tarafından kodlanmış [MATRiX]
Her Brezilya HATES ABD ... Sadece ABD'DEN ABDDaha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com
Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!