BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Trojan-DDoS.Win32.Kozog

Sınıf Trojan-DDoS
Platform Win32
Açıklama

Teknik detaylar

Bu, Kasım 2000'de bir bilgisayar korsanı (veya bilgisayar korsanı grubu) tarafından dağıtılan bir Win32 DDoS (Dağıtılmış Hizmet Reddi saldırısı) Truva atıdır. Trojan, ekli bir dosyayla birlikte bir e-posta iletisi olarak gönderilmiştir.

Mesaj metni ve başlığı aşağıdaki gibi görünür:

————————————————– ——

Gönderen: World Travel Agency Ltd. [office4@worldtravel.com]
Gönderme Tarihi: 21 Kasım 2000 5:31]
Kime: Tüm turistler ve tatilciler]
Konu: Yeni Milenyum'u Kutlayın!]

Dünya Seyahat Acentesi Ltd.
359 BTC Sürücü
PO Box 134108
Seattle, WA 98108-23
Amerika Birleşik Devletleri

Sevgili Beyefendi / Hanımefendi

Yeni Milenyum'u kutlayın! Cenneti keşfedin!

Gördüğünüz Yeni Milenyum kutlamaları için en çekici paketi sunuyoruz.
Saf doğa, modern mimari ve yüksek teknolojiler mükemmel bir tesis yaratmak için kaynaşmıştır.
Makul prisler, doğruluk, kaliteli hizmetler.
Teklifimizi görmek için aşağıdaki zip dosyasına tıklayın!
Komşularınızı kıskanıyorum!

Saygılarımla,

————————————————– ——

Ekli dosya ZIP arşivi olarak görüntülenmeyi amaçlamaktadır, ancak aşağıdaki adla bir Windows EXE dosyasıdır:

"OFFER2001.ZIP [çok alan] .XE"

Bu, eğer çalıştırıyorsa bilgisayarı etkileyecek Trojan "kurucusudur". Bir "boşluk" hilesi nedeniyle, bir kullanıcının bir dosyayı açmak için aldatıcı olabilecek bir durumda bir .ZIP dosyası olarak görüntülenecektir.

Kurulum

EXE dosyası (Trojan yükleyici) çalıştırıldığında, iki daha çalıştırılabilir dosyayı ayıklar ve bunları Windows sistem yöneticisine aşağıdaki adlara kopyalar:

MRE.DLL
SOUNDV.EXE

Win9x ve WinNT altında, bu dosyalar otomatik olarak çalıştırılan bölümlerde farklı yollarla kaydedilir: WinNT altında, Trojan sistem kayıt defterinde bir SOUNDV.EXE dosyasını kaydeder:

SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe

Win9x altında, DLL dosyası aşağıdaki [boot] bölümünde SYSTEM.INI dosyasına kaydedilir:

sürücüler = mre.dll

Trojan daha sonra aşağıdaki sahte hata mesajını görüntüler:

Hata
Requred bir DLL mevcut değil.

Yeniden bir DLL mevcut değil

(dilbilgisi hatası, Trojan kodunda olduğu gibi kalır).

SOUNDV.EXE DoS Trojan kendisi. MRE.DLL, her çalıştırıldığında sadece SOUNDV.EXE yürüten küçük bir programdır. Sonuç olarak, hem Win9x hem de WinNT altında SOUNDV.EXE bileşeni etkinleştirilir.

DOS saldırısı

Bu dosya çalıştırıldığında (bir sonraki Windows yeniden başlatıldığında), gizli bir uygulama (hizmet) olarak etkin kalacaktır, daha sonra İnternet ayarlarında otomatik arama seçeneğini etkinleştirir, ardından sunucuda bir DoS saldırısı gerçekleştirir "kozirog.netissat .ağ".


Orijinaline link