BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Vybab

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu solucan, Internet üzerinden virüslü mesajlara ek olarak yayılır. Ayrıca EXE dosyalarını da bulaştırabilir.

Borland Delphi'de yazılmış bir PE EXE dosyasıdır ve yaklaşık olarak 140 KB boyutundadır.

Kurulum

Kendini sisteme yüklerken, solucan Windows dizininde 123.txt adlı bir dosya oluşturur. Bu dosya aşağıdaki metin dizesini içerir:

 babyv; Ran yapılan 

Ayrıca kök dizinde ve Windows dizininde dosyalar oluşturur. Bu dosyaların adları üç rastgele karakterden ve aşağıdaki uzantılardan oluşturulur:

 yarasa
exe
htm
rar
doktor
xls 

Bu dosyalar solucanın gövdesini içermez.

Solucan kendisini C: kök dizininde seeyou.rar adında geçici bir dosyaya kopyalar.

Ayrıca Windows geçici dizininde echo.vbs adlı bir dosya oluşturur. Bu dosya, solucanın e-posta yoluyla yayılmasını sağlayan komut dosyasını içerir.

E-posta yoluyla yayılma

Solucan veya virüslü dosyalardan biri her başlatıldığında, solucan kendisini MS Outlook adres defterindeki tüm adreslere gönderir. Enfekte e-postalar aşağıdaki karakteristiklere sahiptir:

Mesaj başlığı:

 Microsoft Pack3, o) 

Mesaj metni:

 Merhaba:
Bu Microsoft istemci sunucu merkezi
Şuna göz at! 

EXE dosyaları bulaşıyor

Solucan ilk kez başlatıldığında, Program Files dizininde ve solucanın başlatıldığı dizinde yer alan EXE dosyalarını bozar. Kendisini bu dosyaların başına yazar.

Bundan sonra solucan, tüm dizinleri tüm erişilebilir sürücüler üzerinde arar ve bulunan tüm EXE dosyalarını bozar.

Virüs bulaşmış bir dosya başlatıldığında, virüs kendisini mevcut her sürücünün kök dizinine kopyalar ve kendini e-postayla gönderir. Orijinal bulaşmamış dosya Windows geçici dizinine kaydedilir ve solucan enfeksiyon işlemini tamamladığında kontrolü yeniden oluşturur.


Orijinaline link