Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu bir Worm virüsüdür. Eşler arası ağ Kazaa ile yayılır. Ayrıca, bazı casusluk işlevleri gerçekleştirir, etkilenen PC'de yüklü bazı oyunlarda veri toplar. Bu solucan bir Windows uygulamasıdır (PE EXE dosyası). Visual C ile yazılmıştır ve boyutu 196 608 bayttır.

Kurulum

Kurulum sırasında solucan, arşiv çıkarımı ile ilgili aşağıdaki yanlış hata mesajını üretir:

WinZip Self-Extractor, WinZip Self-Extractor başlık bozuk. Olası neden: bozuk disk veya dosya aktarımı hatası.

Daha sonra kendini aşağıdaki ad altında Windows dizinine yazar:

mrowyekdc.exe

Solucanın bu yüklemesi, sistem kayıt defterindeki otomatik çalıştırma anahtarına kaydedilir:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  SVCHOST =% WindowsDir% mrowyekdc.exe

Yayma

Solucan, Windows dizininde "Kullanıcı Dosyaları" adlı bir klasör oluşturur ve kendini aşağıdaki isimler altında yazar:

Starcraft + Broodwar 1.10 harita hack.exe
Starcraft + Broodwar 1.10 no-cd hack.exe dosyası nedir?
Diablo 2 harita hack.exe
Diablo 2 no-cd hack.exe
Jamella'nın Diablo 2 hero editor.exe
Warcraft 3 harita hack.exe
Warcraft 3 stat hack.exe
Warcraft 3 no-cd hack.exe
Warcraft 3 Frozen Throne Haritası hack.exe
Warcraft 3 Frozen Throne cd-cd hack.exe
Frozen Throne Haritası hack.exe
Counterstrike hacks.exe
Counterstrike amacı hack.exe

Bu klasör daha sonra Windows sistem kayıt defterinde Kazaa dosya değişimi ağı için Yerel İçerik olarak belirtilir:

 HKCUSoftwareKazaaLocalContent
  dir0 = 012345:% Windir% Kullanıcı Dosyaları
  DisableSharing = "0

Sonuç olarak, bu klasörde bulunan dosyalar P2P ağlarının diğer kullanıcılarına indirilebiliyor.

Casus işlevi

Solucan, popüler bilgisayar oyunları (Counter Strike, Diablo, Warcraft, Starcraft) ile ilgili anahtarlar için sistem kayıtlarını kontrol eder ve bir SMTP sunucu bağlantısı kullanarak solucanın "sahibine" toplanan verileri gönderir.

Çeşitli

Solucan sistemin tarih ve saatini kontrol eder. Solucanın aktivasyonu ayı Ağustos ayından daha erken ise, işlevlerini yerine getirmeyi durdurur ve tüm kayıtlarını sistem kayıt defterinde siler.

Orijinaline link

Sınıf	P2P-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu bir Worm virüsüdür. Eşler arası ağ Kazaa ile yayılır. Ayrıca, bazı casusluk işlevleri gerçekleştirir, etkilenen PC'de yüklü bazı oyunlarda veri toplar. Bu solucan bir Windows uygulamasıdır (PE EXE dosyası). Visual C ile yazılmıştır ve boyutu 196 608 bayttır. *Kurulum* Kurulum sırasında solucan, arşiv çıkarımı ile ilgili aşağıdaki yanlış hata mesajını üretir: Daha sonra kendini aşağıdaki ad altında Windows dizinine yazar: mrowyekdc.exe Solucanın bu yüklemesi, sistem kayıt defterindeki otomatik çalıştırma anahtarına kaydedilir: HKLMSoftwareMicrosoftWindowsCurrentVersionRun SVCHOST =% WindowsDir% mrowyekdc.exe *Yayma* Solucan, Windows dizininde "Kullanıcı Dosyaları" adlı bir klasör oluşturur ve kendini aşağıdaki isimler altında yazar: Starcraft + Broodwar 1.10 harita hack.exe Starcraft + Broodwar 1.10 no-cd hack.exe dosyası nedir? Diablo 2 harita hack.exe Diablo 2 no-cd hack.exe Jamella'nın Diablo 2 hero editor.exe Warcraft 3 harita hack.exe Warcraft 3 stat hack.exe Warcraft 3 no-cd hack.exe Warcraft 3 Frozen Throne Haritası hack.exe Warcraft 3 Frozen Throne cd-cd hack.exe Frozen Throne Haritası hack.exe Counterstrike hacks.exe Counterstrike amacı hack.exe Bu klasör daha sonra Windows sistem kayıt defterinde Kazaa dosya değişimi ağı için Yerel İçerik olarak belirtilir: HKCUSoftwareKazaaLocalContent dir0 = 012345:% Windir% Kullanıcı Dosyaları DisableSharing = "0 Sonuç olarak, bu klasörde bulunan dosyalar P2P ağlarının diğer kullanıcılarına indirilebiliyor. *Casus işlevi* Solucan, popüler bilgisayar oyunları (Counter Strike, Diablo, Warcraft, Starcraft) ile ilgili anahtarlar için sistem kayıtlarını kontrol eder ve bir SMTP sunucu bağlantısı kullanarak solucanın "sahibine" toplanan verileri gönderir. *Çeşitli* Solucan sistemin tarih ve saatini kontrol eder. Solucanın aktivasyonu ayı Ağustos ayından daha erken ise, işlevlerini yerine getirmeyi durdurur ve tüm kayıtlarını sistem kayıt defterinde siler.
	Orijinaline link

P2P-Worm.Win32.Gotorm

Teknik detaylar