BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Bulunma tarihi | 01/17/2008 |
Sınıf | Net-Worm |
Platform | Win32 |
Açıklama |
Lovesan, Microsoft Windows MS Güvenlik Görev Bülteni MS03-026'da açıklanan DCOM RPC güvenlik açığından yararlanan bir İnternet Solucanıdır. Lovesan, LCC derleyicisini kullanarak C dilinde yazılmıştır. Solucan bir Windows PE EXE dosyası hakkında 6KB (sıkıştırıldığında UPX – 11KB ile sıkıştırılmış) dosyasıdır. Lovesan indirir ve msblast.exe adında bir dosyayı çalıştırmaya çalışır. Metin şu şekildedir:
Enfeksiyon belirtileri:
Solucan Nasıl Yayılır Lovesan, bilgisayar yeniden başlatıldığında ve bilgisayar her seferinde yeniden başlatıldığında kendini yeniden başlattığında kendini otomatik olarak kaydeder: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun windows otomatik güncelleme = "msblast.exe" Solucan, daha sonra 20 rastgele IP adresine bağlanmaya ve herhangi bir savunmasız makineye bulaşmaya çalışan IP adreslerini tarar. Lovesan 1,8 saniye uyur ve sonraki 20 IP adresini tarar. Lovesan, aşağıdaki kalıplardan birini izleyerek IP adreslerini tarar:
Solucan, TCP bağlantı noktası 135 üzerinden hassas makineler için bir arabellek taşma isteği gönderir. Yeni virüslü makine, 4444 numaralı TCP bağlantı noktasında komut kabuğunu başlatır. Lovesan, bağlantıyı 4444 numaralı bağlantı noktasında açan iş parçacığını çalıştırır ve kurbanın makinesinden FTP 'alma' isteğini bekler. Solucan, kurban makinesini 'FTP get' talebini göndermeye zorlar. Böylece kurban makine, solucanı virüs bulaşmış makineden indirir ve çalıştırır. Kurban makinesi de artık enfekte. Diğer bilgiler Bir bilgisayar virüs bulaştığında, sistem RPC hizmeti hatası ile ilgili bir hata mesajı gönderir ve makineyi yeniden başlatır. 16 Ağustos 2003 itibariyle Lovesan, Windowsupdate.com sunucusunda DDoS saldırılarını başlatacak. |
Orijinaline link |
|
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin |