BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Winevar

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, virüs yoluyla bulaşan e-postalara eklenmiş Internet üzerinden yayılan solucan virüsüdür. Solucan Kasım 2002'nin sonunda Kore'de vahşi bulundu.

Solucan kendisi Microsoft Visual C ++ ile yazılmış 91Kb uzunluğunda bir Windows PE EXE dosyasıdır. Solucan gövdesindeki metin dizilerinin çoğu şifrelenir.

yükleme

Solucanı kurarken rasgele seçilen isimle Windows sistem dizinine kendini kopyalar:

WIN% rnd% .pıf

% rnd% rasgele sayıdır ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarında kaydeder:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Tüm bu tuşlara yazılan iki değer vardır:

.default =% solucan dosya adı%
% solucan adı% =% solucan dosya adı%

% solucan adının%, dosya adı olmadan solucan dosya adı olduğu,% solucan dosya adı% dosyasının tam dosya adı olduğu yer:

.default = "C: TEMP WIND2C2.pif"
"WINA2B3" = "C: WINDOWS SYSTEM WINA2B3.pif"

Solucan kodundaki bir hata nedeniyle ".default" kopyası kayıt anahtarına yazılır.

Daha sonra solucan, kendisini masaüstüne EXPLORER.PIF adıyla kopyalar.

Yayma

Kurban e-postaları almak için solucan * .HTM ve * .DBX dosyalarını arar ve e-postaları "@microsoft" olan e-postalar dışında çıkarır. e-posta adresindeki bölüm. Virüs bulaşmış mesajları göndermek için solucan varsayılan SMTP sunucusuna doğrudan bağlantı kullanır.

Kendisini solucan gönderirken aşağıdaki bilgileri de kopyaya ekler:

– ülke bölge kimliği (örneğin: [KOR], [RUS] – Kore ve Rusya için)
– geçerli tarih ve saat
– kullanıcı adı ve şirket adı (kayıt bilgisinde saklandığı gibi)

Belirli bir solucan kopyası "göç" sürecini izlemek mümkün olan bu verileri kullanarak.

Virüs bulaşan mesajların e-posta alanlarında farklı verileri vardır. % RegisteredOwner% ve% RegisteredOrganization% altında

Konu, değişkenlerden seçilen rastgele (solucan "nesline" bağlı olarak):

Re: AVAR (Anti-Virüs Asya Araştırmaları Derneği)
N'4% KayıtlıOrganizasyon%
N'4 Trand Microsoft Inc.

Sistem kaydında "RegistreredOrganization" anahtarının olmaması durumunda son (üçüncü) varyant seçilir. "N" 4 kombinasyonu "Re:" dizesinin şifresi çözülmez, solucan yazarı bu diziyi karşılık gelen rutinde çözmeyi unutmuş gibi görünüyor.

Mesaj gövdesi de solucan nesline bağlı olarak seçilir:

% RegisteredOwner% -% RegisteredOrganization%

veya:

AVAR (Anti-Virüs Asya Araştırmacıları Derneği) – Rapor.
Her zaman, Anti-Virüs Programı çok aptalca.

Ekli dosya adları farklı olabilir, örneğin:

MUSIC_1.HTM, MUSIC_2.CEO
WIN40B1.TXT, WIN40B1.GIF

"WIN" adlarının sonunda rastgele bir sayı olduğu durumlarda (bu durumda – "40B1"). Aynı zamanda e-posta istemcisine bağlı olarak, bu eklenmiş dosyaların virüslü mesajdaki görünümü farklı olabilir.

Virüs bulaşmış mesajdan çalıştırmak için solucan iki güvenlik ihlali kullanır:

Microsoft VM ActiveX Bileşeni
Yanlış MIME Üstbilgisi, E-posta Ekini Çalıştırmak İçin IE'ye Neden Olabilir

Taşıma kapasitesi

Solucan, virüsten korunma programlarını, güvenlik duvarlarını ve hata ayıklayıcılarını arar ve dosyalarını durdurmanın yanı sıra bunları sonlandırmaya çalışır. Bazı durumlarda (her halükarda?) Bir anti-virüs bulunursa, solucan tüm sürücülerdeki tüm dosyaları siler, muhtemelen kodundaki bir hata yüzünden siler.

Solucan, Windows sistem dizini "WIN% Rnd% .TMP" dosyasına düşer, "Win32.Funlove" virüsünü buraya yazar ve bu dosyayı çalıştırır. Böylece solucan, makineyi "Win32.Funlove" virüsü ile enfekte eder.

Solucan mesajı görüntüler:

Kendini aptal yerine koy
Ne yaptın aptalca bir şey!

Sonsuz bir döngüde solucan http://www.symantec.com Web sitesini açar (solucan bu sunucuda DoS saldırısını çalıştırmaya çalışır).

Solucan ayrıca şifrelenmiş metin dizelerini de içerir:

~ ~ StarCraft Drone ~~
http://www.sex.com/


Orijinaline link