Kaspersky Threats

Bulunma tarihi

04/13/2011

Sınıf

Platform

Açıklama

Solucanın tüm yükü, "EXPLORER.EXE" işleminin adres alanına enjekte edilen bir kod aracılığıyla yürütülür. Aşağıdaki koşullardan herhangi biri yerine getirildiğinde, yük yüklenmez:

Aşağıdaki şube sistem kayıt defterinden eksik:
```
 [HKCUControl PanelPowerCfgPowerPolicies] 
```

Mevcut kullanıcının hesap adı:

 KULLANICI ADI



kullanıcı



BİLGİSAYAR ADI



Şu anki kullanıcı

Solucanın adres alanına aşağıdaki kütüphaneler yüklenir:

 SbieDll.dll



dbghelp.dll



api_log.dll



dir_watch.dll



pstorec.dll

Solucanın orijinal dosyası sisteme şöyle kaydedildi:
```
c: file.exe 
```
"EXPLORER.EXE" işlemiyle kötü amaçlı kodu enjekte ettikten sonra, aşağıdaki eylemler gerçekleştirilir:
Sürecin sistem içinde benzersiz olmasını sağlamak için, adlı bir tanımlayıcı oluşturulur:
Virüslü sisteme erişim sağlamak için, aşağıdaki adlandırılmış boru oluşturulur:
```
 .piperrreokdirjiurururr 
```
Kötü niyetli kullanıcının sunucusuna bir bağlantı kurulur:
```
di *** ind.cn



karınca *** tition.com



fre *** unge.com
```
Kötü niyetli kullanıcının bir komutunun ardından solucan, virüs bulaşan bilgisayarda aşağıdaki eylemleri gerçekleştirebilir:
- Belirtilen sunucularda bir DoS saldırısı düzenleyin.
- Dosyalara gönderilen bağlantılardan indirin. İndirilen dosyalar, rastgele adlar kullanarak mevcut kullanıcının geçici dosya dizini "% Temp%" dizinine kaydedilir.
- Solucanın güncellenmiş sürümünü kötü niyetli kullanıcının sunucusundan indirin.
- Bu tarayıcıların ayar dosyalarını analiz edin:
```
Mozilla Firefox



Internet Explorer



Google Chrome



Opera
```
  Onlarda kayıtlı şifreleri çalmak amacıyla.
- Tarayıcı çerezlerini çalın ve değiştirin. Bunu yapmak için, solucan tarayıcı Mozilla Firefox yerleşik "sqlite" modülü kullanır.
- "Kurulum" ve "Yayılım" bölümlerinde açıklanan eylemler. Solucan, kötü niyetli kullanıcının sunucusuyla aşağıdaki türden iletiler aracılığıyla alışveriş yapar:
```
Tarama durduruldu



Tarama çalışır



Tarama başladı



KB verileri gönderildi: <sayı>



SYN paketleri gönderildi: <sayı>



Taşkın çalışan



sel durdu: <string>



sel: <string>



Virüs bulaşmış sürücü: <string>



USB yayıcı çalışıyor



P2P Kopyala: <string>



MSN yayıcı çalışıyor



MSN yayımı başladı, bağlantı: <string> MSN bağlantısı gönderildi
```
- Kötü niyetli kullanıcının komutuna göre, "hosts" dosyasını değiştirmek de mümkündür:
```
 % Sistem% driversetchosts 
```
  Yazma sırasında, kötü niyetli kullanıcının sunucusu yanıt vermiyordu.

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Bulunma tarihi	04/13/2011
Sınıf	Net-Worm
Platform	Win32
Açıklama	Solucanın tüm yükü, "EXPLORER.EXE" işleminin adres alanına enjekte edilen bir kod aracılığıyla yürütülür. Aşağıdaki koşullardan herhangi biri yerine getirildiğinde, yük yüklenmez: Aşağıdaki şube sistem kayıt defterinden eksik: [HKCUControl PanelPowerCfgPowerPolicies] Mevcut kullanıcının hesap adı: KULLANICI ADI kullanıcı BİLGİSAYAR ADI Şu anki kullanıcı Solucanın adres alanına aşağıdaki kütüphaneler yüklenir: SbieDll.dll dbghelp.dll api_log.dll dir_watch.dll pstorec.dll Solucanın orijinal dosyası sisteme şöyle kaydedildi: c: file.exe "EXPLORER.EXE" işlemiyle kötü amaçlı kodu enjekte ettikten sonra, aşağıdaki eylemler gerçekleştirilir: Sürecin sistem içinde benzersiz olmasını sağlamak için, adlı bir tanımlayıcı oluşturulur: Virüslü sisteme erişim sağlamak için, aşağıdaki adlandırılmış boru oluşturulur: .piperrreokdirjiurururr Kötü niyetli kullanıcının sunucusuna bir bağlantı kurulur: di * ind.cn karınca * tition.com fre *** unge.com Kötü niyetli kullanıcının bir komutunun ardından solucan, virüs bulaşan bilgisayarda aşağıdaki eylemleri gerçekleştirebilir: Belirtilen sunucularda bir DoS saldırısı düzenleyin. Dosyalara gönderilen bağlantılardan indirin. İndirilen dosyalar, rastgele adlar kullanarak mevcut kullanıcının geçici dosya dizini "% Temp%" dizinine kaydedilir. Solucanın güncellenmiş sürümünü kötü niyetli kullanıcının sunucusundan indirin. Bu tarayıcıların ayar dosyalarını analiz edin: Mozilla Firefox Internet Explorer Google Chrome Opera Onlarda kayıtlı şifreleri çalmak amacıyla. Tarayıcı çerezlerini çalın ve değiştirin. Bunu yapmak için, solucan tarayıcı Mozilla Firefox yerleşik "sqlite" modülü kullanır. "Kurulum" ve "Yayılım" bölümlerinde açıklanan eylemler. Solucan, kötü niyetli kullanıcının sunucusuyla aşağıdaki türden iletiler aracılığıyla alışveriş yapar: Tarama durduruldu Tarama çalışır Tarama başladı KB verileri gönderildi: <sayı> SYN paketleri gönderildi: <sayı> Taşkın çalışan sel durdu: <string> sel: <string> Virüs bulaşmış sürücü: <string> USB yayıcı çalışıyor P2P Kopyala: <string> MSN yayıcı çalışıyor MSN yayımı başladı, bağlantı: <string> MSN bağlantısı gönderildi Kötü niyetli kullanıcının komutuna göre, "hosts" dosyasını değiştirmek de mümkündür: % Sistem% driversetchosts Yazma sırasında, kötü niyetli kullanıcının sunucusu yanıt vermiyordu.
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Net-Worm.Win32.Kolab