BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Sınıf | Email-Worm |
Platform | Win32 |
Açıklama |
Teknik detaylarBu, virüs yoluyla bulaşan e-postalara eklenmiş Internet üzerinden yayılan solucan virüsüdür. Solucan Kasım 2002'nin sonunda Kore'de vahşi bulundu. Solucan kendisi Microsoft Visual C ++ ile yazılmış 91Kb uzunluğunda bir Windows PE EXE dosyasıdır. Solucan gövdesindeki metin dizilerinin çoğu şifrelenir. yüklemeSolucanı kurarken rasgele seçilen isimle Windows sistem dizinine kendini kopyalar:
% rnd% rasgele sayıdır ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarında kaydeder:
Tüm bu tuşlara yazılan iki değer vardır:
% solucan adının%, dosya adı olmadan solucan dosya adı olduğu,% solucan dosya adı% dosyasının tam dosya adı olduğu yer:
Solucan kodundaki bir hata nedeniyle ".default" kopyası kayıt anahtarına yazılır. Daha sonra solucan, kendisini masaüstüne EXPLORER.PIF adıyla kopyalar. YaymaKurban e-postaları almak için solucan * .HTM ve * .DBX dosyalarını arar ve e-postaları "@microsoft" olan e-postalar dışında çıkarır. e-posta adresindeki bölüm. Virüs bulaşmış mesajları göndermek için solucan varsayılan SMTP sunucusuna doğrudan bağlantı kullanır. Kendisini solucan gönderirken aşağıdaki bilgileri de kopyaya ekler:
Belirli bir solucan kopyası "göç" sürecini izlemek mümkün olan bu verileri kullanarak. Virüs bulaşan mesajların e-posta alanlarında farklı verileri vardır. % RegisteredOwner% ve% RegisteredOrganization% altında Konu, değişkenlerden seçilen rastgele (solucan "nesline" bağlı olarak):
Sistem kaydında "RegistreredOrganization" anahtarının olmaması durumunda son (üçüncü) varyant seçilir. "N" 4 kombinasyonu "Re:" dizesinin şifresi çözülmez, solucan yazarı bu diziyi karşılık gelen rutinde çözmeyi unutmuş gibi görünüyor. Mesaj gövdesi de solucan nesline bağlı olarak seçilir:
veya:
Ekli dosya adları farklı olabilir, örneğin:
"WIN" adlarının sonunda rastgele bir sayı olduğu durumlarda (bu durumda – "40B1"). Aynı zamanda e-posta istemcisine bağlı olarak, bu eklenmiş dosyaların virüslü mesajdaki görünümü farklı olabilir. Virüs bulaşmış mesajdan çalıştırmak için solucan iki güvenlik ihlali kullanır:
Taşıma kapasitesiSolucan, virüsten korunma programlarını, güvenlik duvarlarını ve hata ayıklayıcılarını arar ve dosyalarını durdurmanın yanı sıra bunları sonlandırmaya çalışır. Bazı durumlarda (her halükarda?) Bir anti-virüs bulunursa, solucan tüm sürücülerdeki tüm dosyaları siler, muhtemelen kodundaki bir hata yüzünden siler. Solucan, Windows sistem dizini "WIN% Rnd% .TMP" dosyasına düşer, "Win32.Funlove" virüsünü buraya yazar ve bu dosyayı çalıştırır. Böylece solucan, makineyi "Win32.Funlove" virüsü ile enfekte eder. Solucan mesajı görüntüler:
Sonsuz bir döngüde solucan http://www.symantec.com Web sitesini açar (solucan bu sunucuda DoS saldırısını çalıştırmaya çalışır). Solucan ayrıca şifrelenmiş metin dizelerini de içerir:
|
Orijinaline link |
|
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin |