BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Sınıf | Email-Worm |
Platform | Win32 |
Açıklama |
Teknik detaylarBu virüs bulaşmış e-postaya eklenmiş Internet üzerinden yayılan ve yerel bilgisayarlarda ve ağ kaynaklarında Win32 uygulamalarına bulaşan bir virüs solucanıdır. Dosyaları bulaşmak için {"Win32.InvictusDLL": Win32_InvictusDLL} kütüphanesini kullanır. Virüslü dosyaların yapısı aşağıdaki gibi görünür: ===================== � enfekte � Host dosya sunucusu � � � -------------------- Ympolimorfik kod �� �� INVICTUS �� �� �� + ------------------- + INbody INVICTUS.DLL �� + ------------------- + Vücut solucanı �� L -------------------- L ===================== - Virüs bulaşmış bir dosya başlatıldığında, kontrol akışı INVICTUS kütüphanesi polimorfik koduna geçirilir – bu, programın giriş noktasının doğrudan virüs koduna işaret etmesi veya hostun yapısına bağlı olması durumunda hemen yapılır, "Giriş Noktası Engelleniyorsa " kullanıldı. Bu kod, bir diskte, bir% SYSTEM% klasöründeki INVICTUS.DLL kitaplığını ve rastgele bir dosya adıyla% TEMP% klasöründe solucan kodunu çözer ve oluşturur ve sonra solucanı başlatır. Solucanın dosyası yaklaşık 8 Kb uzunluğunda bir Windows uygulaması (PE EXE dosyası) ve assembler'da yazılmıştır. Kurulum Solucan başlatıldığında, sisteme kendini yükler ve daha sonra e-posta iletilerini gönderme ve Win32 dosyalarını ve taşıma yordamını bulaşma rutinini etkinleştirir. Yüklerken, solucan kendisini bir arandom dosya ismiyle Windows direğine kopyalar ve aşağıdaki değerleri SYSTEM.INI dosyasına yazar: [boot] shell = Explorer.exe% solucan adı% Bu, solucanın Windows başlangıcında başlatılmaması için yapıldı (yalnızca Windows 9x / ME'de). Yayma Solucan, e-posta adreslerini bulmak için "ICQ Beyaz sayfalar" arama motorunu kullanır. Motora bir arama sorgusu gönderir ve ardından arama sonuçlarından (arama sonuçlarını içeren bir HTML sayfasından) e-posta adresleri çıkarır. Arama sorgusu için kelimeler aşağıdaki listeden seçilir:
Solucan, bulunan tüm e-postalara virüslü mesajlar gönderir. Solucan, solucan tarafından seçilen bir SMTP sunucusuna doğrudan bağlantı kullanır. Etkilenen iletiler boş bir gövde içerir ve konusu aşağıdaki listeden seçilir:
Ek adı : BINLADEN_BRASIL.EXE Solucan, mesajlarında Microsoft Internet Explorer'da bir IFRAME güvenlik ihlali kullanır; bu nedenle, virüslü bir mesaj görüntülendiğinde otomatik olarak başlatılabilir. Yerel disklerdeki dosyaları bulaştırarak Solucan, Windows dizinindeki aşağıdaki dosyalara bulaşır:
Ayrıca, solucan Windows applog'daki tüm programları bulur (bilgisayarda başlatılan çoğu uygulama burada kaydedilir) ve onları enfekte eder. Sonra, solucan EXPLORER.EXE başlatılan bir kopyasını bulur, kapatır ve dosyaya bulaşır. Ağ kaynaklarındaki dosyaları etkileme Solucan ağ kaynaklarını (uzak diskleri ve dizinleri) numaralandırır ve bunlara bağlanır. Kendisini ağ kaynaklarına rastgele bir dosya adıyla aşağıdaki dizinlere kopyalamaya çalışır:
ve Windows ile otomatik olarak başlatmak için uzak bir sistemde kendini kaydeder (sadece Windows 9x / ME). Yük rutini Rasgele sayaca bağlı olarak, solucan aşağıdaki diziyi rastgele bir renkle rastgele bir sayıya çeker:
ve bir mesaj kutusu görüntüler: Sonra solucan 10 saniye "uyur" ve ekranın içeriğini bozar. Diğer Solucan aşağıdaki pencereleri bulmaya ve kapatmaya çalışır:
Solucan aşağıdaki kayıt defteri anahtarını oluşturur:
ve değerlerini, yerel bir ağdan C: sürücüsüne tam erişime izin verecek şekilde ayarlar. Solucan aşağıdaki kayıt defteri anahtarını siler:
ve aşağıdaki kayıt defteri değeri:
Solucan, önbelleğe alınmış tüm ağ şifrelerini% WINDOWS% BinLaden.ini dosyasına yazar. Solucan aşağıdaki metni içerir:
|
Orijinaline link |
|