BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

P2P-Worm.Win32.Scranor

Sınıf P2P-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu solucan Kazaa ve iMesh dosya paylaşım ağları ve ayrıca IRC aracılığıyla yayılır.

Solucan kendisi, yaklaşık 12KB boyutunda bir Windows PE EXE dosyasıdır.

Kurulum

Bir kez başlatıldığında, solucan Program Files dizininde "Sys32i" adlı bir klasör oluşturur ve kendisini "Scran.exe" olarak bu dosyaya kopyalar.

Bu dosya, otomatik çalıştırmayı etkinleştirmek için sistem kayıt defterinde bir anahtar olarak kaydedilir:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  W32.Scran =% ProgramDir% sys32iScran.exe 

Bu sistem her yeniden başlatıldığında solucanın başlatılmasını sağlar.

Solucan, aşağıdaki isimlerin altında daha fazla kopyasını yaratır:

 Age of Empires crack.exe 
Empires.exe yaş
CD Key.exe 
Counter Strike 6.exe
Counter Strike.exe
Grand Theft Auto 3 CD2 ISO.exe
Yarım Life.exe
Hotmail hesabı cracker.exe
Hotmail Hack.exe
KeyGen.exe
Microsoft Office.exe
Norton Anti Virus 2004.exe
Norton Anti Virus 2005.exe
Norton Anti Virus Crack.exe
Norton Firewall.exe 
Norton Internet Security 2004.exe
Bölüm Magic 8.exe
Playstation 2.exe
Resident Evil.exe
Scran.cpl
Tomb Raider.exe
Trojan Remover.exe
Windows XP Home.exe
Yahoo Hack.exe
ZoneAlarm Firewall Pro.exe 

Bu klasör, Kazaa ve iMesh için Yerel İçerik olarak sistem kaydında gösterilecektir:

 [HKCUSoftwareKazaaLocalContent]
[HKCUSoftwareKazaaTransfer]
  "dir0" = "012345:% ProgramDir% sys32i"
[HKCUSoftwareiMeshClientLocalContent]
  "dir0" = "012345:% ProgramDir% sys32i" 

Bu dosyalar P2P ağlarının diğer kullanıcıları tarafından erişilebilir olacaktır.

Solucan, sistemdeki varlığını işaretlemek için bir "W32.Scran-Worm" tanımlayıcısı yaratır.

IRC ile yayılım

Solucan, kurban makinesini bir IRC istemcisi için arar. Birini algılarsa, "script.ini" dosyasının içeriğini değiştirir, böylece solucan, enfekte makinenin kullandığı IRC kanallarına giren tüm kullanıcılara iletilir.

Diğer

Solucan, http://www.freewebs.com adresinden "botnet.jpg" isimli bir dosyayı indirecek. Bu dosya C: root dizininde "botnet.exe" olarak kaydedilecektir. Bu dosya Backdoor.Win32.Rbot.gen'in en son sürümünü içerir.

1 Ocak'ta, solucan ekranda görüntülenecek aşağıdaki metni içeren bir diyalog kutusuna neden olacaktır:

 Ha?
Mutlu Yıllar W32.Scran !! 

Orijinaline link