Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, Kasım 2000'de bir bilgisayar korsanı (veya bilgisayar korsanı grubu) tarafından dağıtılan bir Win32 DDoS (Dağıtılmış Hizmet Reddi saldırısı) Truva atıdır. Trojan, ekli bir dosyayla birlikte bir e-posta iletisi olarak gönderilmiştir.

Mesaj metni ve başlığı aşağıdaki gibi görünür:

————————————————– ——

Gönderen: World Travel Agency Ltd. [office4@worldtravel.com]
Gönderme Tarihi: 21 Kasım 2000 5:31]
Kime: Tüm turistler ve tatilciler]
Konu: Yeni Milenyum'u Kutlayın!]

Dünya Seyahat Acentesi Ltd.
359 BTC Sürücü
PO Box 134108
Seattle, WA 98108-23
Amerika Birleşik Devletleri

Sevgili Beyefendi / Hanımefendi

Yeni Milenyum'u kutlayın! Cenneti keşfedin!

Gördüğünüz Yeni Milenyum kutlamaları için en çekici paketi sunuyoruz.
Saf doğa, modern mimari ve yüksek teknolojiler mükemmel bir tesis yaratmak için kaynaşmıştır.
Makul prisler, doğruluk, kaliteli hizmetler.
Teklifimizi görmek için aşağıdaki zip dosyasına tıklayın!
Komşularınızı kıskanıyorum!

Saygılarımla,

————————————————– ——

Ekli dosya ZIP arşivi olarak görüntülenmeyi amaçlamaktadır, ancak aşağıdaki adla bir Windows EXE dosyasıdır:

"OFFER2001.ZIP [çok alan] .XE"

Bu, eğer çalıştırıyorsa bilgisayarı etkileyecek Trojan "kurucusudur". Bir "boşluk" hilesi nedeniyle, bir kullanıcının bir dosyayı açmak için aldatıcı olabilecek bir durumda bir .ZIP dosyası olarak görüntülenecektir.

Kurulum

EXE dosyası (Trojan yükleyici) çalıştırıldığında, iki daha çalıştırılabilir dosyayı ayıklar ve bunları Windows sistem yöneticisine aşağıdaki adlara kopyalar:

MRE.DLL
SOUNDV.EXE

Win9x ve WinNT altında, bu dosyalar otomatik olarak çalıştırılan bölümlerde farklı yollarla kaydedilir: WinNT altında, Trojan sistem kayıt defterinde bir SOUNDV.EXE dosyasını kaydeder:

SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe

Win9x altında, DLL dosyası aşağıdaki [boot] bölümünde SYSTEM.INI dosyasına kaydedilir:

sürücüler = mre.dll

Trojan daha sonra aşağıdaki sahte hata mesajını görüntüler:

Hata
Requred bir DLL mevcut değil.

Yeniden bir DLL mevcut değil

(dilbilgisi hatası, Trojan kodunda olduğu gibi kalır).

SOUNDV.EXE DoS Trojan kendisi. MRE.DLL, her çalıştırıldığında sadece SOUNDV.EXE yürüten küçük bir programdır. Sonuç olarak, hem Win9x hem de WinNT altında SOUNDV.EXE bileşeni etkinleştirilir.

DOS saldırısı

Bu dosya çalıştırıldığında (bir sonraki Windows yeniden başlatıldığında), gizli bir uygulama (hizmet) olarak etkin kalacaktır, daha sonra İnternet ayarlarında otomatik arama seçeneğini etkinleştirir, ardından sunucuda bir DoS saldırısı gerçekleştirir "kozirog.netissat .ağ".

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Trojan-DDoS
Platform	Win32
Açıklama	Teknik detaylar Bu, Kasım 2000'de bir bilgisayar korsanı (veya bilgisayar korsanı grubu) tarafından dağıtılan bir Win32 DDoS (Dağıtılmış Hizmet Reddi saldırısı) Truva atıdır. Trojan, ekli bir dosyayla birlikte bir e-posta iletisi olarak gönderilmiştir. Mesaj metni ve başlığı aşağıdaki gibi görünür: ————————————————– —— Gönderen: World Travel Agency Ltd. [office4@worldtravel.com] Gönderme Tarihi: 21 Kasım 2000 5:31] Kime: Tüm turistler ve tatilciler] Konu: Yeni Milenyum'u Kutlayın!] Dünya Seyahat Acentesi Ltd. 359 BTC Sürücü PO Box 134108 Seattle, WA 98108-23 Amerika Birleşik Devletleri Sevgili Beyefendi / Hanımefendi Yeni Milenyum'u kutlayın! Cenneti keşfedin! Gördüğünüz Yeni Milenyum kutlamaları için en çekici paketi sunuyoruz. Saf doğa, modern mimari ve yüksek teknolojiler mükemmel bir tesis yaratmak için kaynaşmıştır. Makul prisler, doğruluk, kaliteli hizmetler. Teklifimizi görmek için aşağıdaki zip dosyasına tıklayın! Komşularınızı kıskanıyorum! Saygılarımla, ————————————————– —— Ekli dosya ZIP arşivi olarak görüntülenmeyi amaçlamaktadır, ancak aşağıdaki adla bir Windows EXE dosyasıdır: "OFFER2001.ZIP [çok alan] .XE" Bu, eğer çalıştırıyorsa bilgisayarı etkileyecek Trojan "kurucusudur". Bir "boşluk" hilesi nedeniyle, bir kullanıcının bir dosyayı açmak için aldatıcı olabilecek bir durumda bir .ZIP dosyası olarak görüntülenecektir. Kurulum EXE dosyası (Trojan yükleyici) çalıştırıldığında, iki daha çalıştırılabilir dosyayı ayıklar ve bunları Windows sistem yöneticisine aşağıdaki adlara kopyalar: MRE.DLL SOUNDV.EXE Win9x ve WinNT altında, bu dosyalar otomatik olarak çalıştırılan bölümlerde farklı yollarla kaydedilir: WinNT altında, Trojan sistem kayıt defterinde bir SOUNDV.EXE dosyasını kaydeder: SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe Win9x altında, DLL dosyası aşağıdaki [boot] bölümünde SYSTEM.INI dosyasına kaydedilir: sürücüler = mre.dll Trojan daha sonra aşağıdaki sahte hata mesajını görüntüler: Hata Requred bir DLL mevcut değil. (dilbilgisi hatası, Trojan kodunda olduğu gibi kalır). SOUNDV.EXE DoS Trojan kendisi. MRE.DLL, her çalıştırıldığında sadece SOUNDV.EXE yürüten küçük bir programdır. Sonuç olarak, hem Win9x hem de WinNT altında SOUNDV.EXE bileşeni etkinleştirilir. DOS saldırısı Bu dosya çalıştırıldığında (bir sonraki Windows yeniden başlatıldığında), gizli bir uygulama (hizmet) olarak etkin kalacaktır, daha sonra İnternet ayarlarında otomatik arama seçeneğini etkinleştirir, ardından sunucuda bir DoS saldırısı gerçekleştirir "kozirog.netissat .ağ".
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Trojan-DDoS.Win32.Kozog

Teknik detaylar

Kurulum

DOS saldırısı