BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Sınıf | Email-Worm |
Platform | Win32 |
Açıklama |
Teknik detaylarBu, 2001 yılının Mart ayı ortasında vahşi doğada bulunan bir internet solucanıdır. Solucan, etkilenen bilgisayarlardan virüslü iletileri IRC kanalları aracılığıyla buraya göndererek e-posta yoluyla yayılır. Solucan ayrıca Windows dizinindeki EXE dosyalarını da bozar. Solucan kendisi Microsoft Visual C ++ dilinde yazılmış bir Win32 uygulaması (PE EXE dosyası) 'dir. Solucan boyutu yaklaşık 60K uzunluğundadır, ancak sıkıştırılmış formda bulunmuştur: Solucan kodu, yaklaşık 34K uzunluğa sahip olan ASPack yardımcı programı tarafından sıkıştırılmıştır. Solucan başladığında, kendisini Windows sistem dizinine iki ad ile kopyalar: XANAX.EXE ve XANSTART.EXE. Kayıt defteri otomatik çalıştırma anahtarında XANSTART.EXE dosyası kaydedilir:
Burada% winsystem% Windows sistem dizininin adıdır. Sonuç olarak, her Windows başlatıldığında solucan çalışır. Enfekte E-postaSolucan daha sonra e-posta yayma rutini başlatır. Bunu yapmak için, solucan geçici bir XANAX.VBS dosyası (Visual Basic betiği) oluşturur, orada bir VBS programı yazar ve WSCRIPT.EXE yardımıyla başlatır. VBS programı, Outlook adres defterine erişim kazanır ve her adres listesinden ilk 1000 adrese ileti gönderir.
EXE dosyaları bulaşıyorSolucan, Windows dizinindeki EXE dosyalarını arar ve onları enfekte eder. Enfeksiyon bulaşırken kurbağası bir kurban dosyasını aşağıya taşır ve kendisini dosya başlangıcına yazar. Solucan, E, P, R, S, T, W ile başlayan isimlere bulaşmaz. IRC kanallarıDaha sonra, solucan takılıysa mIRC istemcisini enfekte eder. Solucan, mIRC istemcisini aşağıdaki dizinlerde arar:
C :, D :, E: ve F: sürücülerinde. MIRC istemcisi varsa, solucan, bulaşmış kanalı birleştiren herkese solucanın kopyasını gönderen bir programla SCRIPT.INI mIRC komut dosyasının üzerine yazar. Diğer yorumlarSolucan, bir dosya isminde (xxxRx.EXE) sonuncusu olarak 'R' harfi olan bir dosyadan çalıştırıldığında, aşağıdaki iletiyi görüntüler: Bu tam adı, sistem Kayıt Defteri otomatik çalıştırma anahtarında kayıtlı olan solucanın XANSTART.EXE dosyasını içerir. Yani, solucan her Windows açılışında bu mesajı görüntüler. Solucan ayrıca sistemde daha fazla dosya oluşturur:
HOSTFILE.EXE, virüs bulaşmış bir ana bilgisayar dosyasını çalıştırdıktan sonra kalır ve bu dosya, son virüslü dosya çalıştırmanın (virüs bulaşmamış) bir gövdesini içerir. XANAX.SYS dosyası metni içerir:
WINSTART.BAT dosyası, iletiyi görüntüleyen komutlar içerir:
|
Orijinaline link |
|
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin |