BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Win32.Parvo

Sınıf Virus
Platform Win32
Açıklama

Teknik detaylar

Bu virüs Win32 (Win95 / 98 ve WinNT) altında yayılır ve PE EXE dosyalarını (Portable Executable) bozar. Virüs, Assembler'de yazılmış bir program için oldukça büyük bir boyuta sahiptir – yaklaşık 15Kb. Polimorfik virüsdür.

Bu virüsün en ilginç özelliği virüs bulaşmış EXE dosyalarını standart E-posta protokollerini kullanarak Internet'e gönderme kabiliyetidir (ayrıca bkz. E-posta yoluyla virüslü mesajlar gönderen diğer virüslere de bakınız: "Win.RedTeam" , "Macro.Word97.Antimarc" , " Macro.Word.Innuendo " , " Macro.Word.ShareFun " ).

Rastgele kontrole bağlı olarak, virüs ikinci İnternet erişim rutini çağırır. Bu sefer virüs kopyalarını yaymaz, sadece DialUp veritabanını arar ve virüsün yazarına gönderir.

Virüs kodunda yazarın "telif hakları" bulunur:


– GriYo / 29A tarafından Parvo BioCoded – Jacky Qwerty / 29A tarafından Win32 Teknik Destek
– Fikirleri ve stratejileri için Darkman / 29A ve b0z0 / Ikx'e teşekkürler
– Parvo bir araştırma ürünüdür, dağıtmayın
– c1999 29A Labs … Hayat yaratıyoruz –

Birçok virüs rutinleri (enfeksiyon, polimorfik) "Win95.Marburg" virüsünün sahip olduğu özelliklere sahiptir. Virüs kendisini son dosya bölümünün sonuna yazar; PE giriş adresini değiştirmez, fakat JMP_Virus komutunu kullanarak orijinal programın giriş kodunu ya da kontrolün virüs koduna geçmesini sağlayan bir önemsiz kod bloğu ile yamalar; vb

Virüs kontrol altına alındığında, polimorfik şifre çözme döngüsü ve ilave lite şifre çözme rutini, virüs kodunu geri yükler ve kontrolü ana virüs rutinine geçirir.

Virüs, CRC yöntemini kullanarak kodunu korur. CRC doğru değilse, kodunun CRC'sini hesaplar ve çıkar. Virüs için bu özellik, virüs bulaşmış dosyaları Internet üzerinden gönderdiğinden, CRC denetimi bozuk kopyaların yürütülmesini önlediği için gerekli görünmektedir.

Virüs daha sonra Windows çekirdeğini tarar ve virüs tarafından kullanılan dosya erişimi, arama ve diğer API işlevlerini arar. API işlevlerini ararken virüs, adlarını değil, sağlama toplamlarını kullanmaz. Windows çekirdeğinde gerekli dizeyi bulmak için virüs sadece CRC'lerini tek tek hesaplar ve sonuçları virüs kodunda kaydedilmiş önceden hesaplanmış değerler tablosuyla karşılaştırır.

Diskteki dosyaları etkilemek için virüs, geçerli Windows ve Windows sistem dizinlerinde bunları arar. Virüs ayrıca, yüklenen İnternet tarayıcısını ve E-posta okuyucusunu içeren dizinlerdeki dosyaları da etkiler. Virüs, bu dizin adlarını Sistem Kayıt Defterinden alır.

Virüs bulunan tüm dosyaları, ancak sadece belirli isimleri olan dosyaları bulaşmaz: IEXPLORE.EXE, INSTALL.EXE, NETSCAPE.EXE, NOTEPAD.EXE, SETUP.EXE, WINZIP32.EXE ve diğer bazı. Dosya adlarını karşılaştırmak için virüs, API işlevlerini ararken olduğu gibi sağlama yöntemi de kullanır.

Denetimi ana programa döndürmek için virüs kopyasını seçili bir adla oluşturur, dezenfekte eder ve çalıştırır. Virüs daha sonra ana bilgisayar dosyasının çıkmasını bekler, böylece virüs kodu ana bilgisayar programının sona erdiği andaki bellekte kalır. Virüs kodu hafızada uzun süre kalabilir, ancak virüs hafızaya alınmaz. Herhangi bir sistem olayını kancalamaz ve onları açmak için dosya açma / yürütme işlemini engellemez.

Virüs bulaşan dosyaları Internet'e göndermek için, virüs standart Windows işlevlerini kullanarak Internet'e bağlanır, rastgele seçilmiş bir E-posta adresi alır, ona bir aldatmaca mesaj gönderir ve virüs bulaşmış EXE damlalık mesajına iliştirir (aşağıdaki mesajların metnine bakınız). Bir kurbanın e-posta adresini almak için virüs birkaç haber grubuna gider, rastgele seçilmiş mesajı okur ve orada Dize dizesini arar. Bu kimlik metni bulunduğunda, virüs bulaşan mesajı göndermek için takip edilen adresi kullanır.

Virüslü dosya adı üç olası değişkenden seçilir: MSEFIXI.EXE, LSERIAL.EXE veya HOTEENS.EXE. Mesajlar (başlıklar dahil) ayrıca üç varyanttan seçilir:

Mesaj 1 ———————————————— ————-

mail from: support@microsoft.com from: support@microsoft.com rcpt to: rastgele seçilmiş adres: rasgele seçilmiş adres Konu: Microsoft Internet Explorer ve Outlook Express kullanarak mevcut güvenlik riski

Yeni ve tehlikeli bir virüs internete çarptı.

AÇIKLAMA:

E-posta istemcisi çok uzun bir dosya adına sahip bir ek içeren kötü amaçlı bir posta veya haber iletisi aldığında, e-postanın istemci iş istasyonunda otomatik olarak rasgele kod yürütmesine ve böylece makineye bulaşmasına neden olabilir.

Microsoft, bu sorunun en başından beri farkındaydı ve burada, kullandığı ürünlerimizin ikisi için bir yama sunuyor.

Windows 98, Windows 98 ve Microsoft Windows NT Outlook 4.0 Outlook 98, Windows 95, Windows 98 ve Windows NT 4.0 Netscape posta istemcileri üzerinde 4.0 Outlook Express 4.0, 4.01 (4.01 Service Pack 1 dahil)

ÇÖZÜM:

Bu ürünleri Windows 95, Windows 98 veya Windows NT 4.0 için kullanan müşteriler eklenmiş yamayu çalıştırmalı veya aşağıdakilerden güncellenmiş bir yama indirmelidir:

http://www.microsoft.com/outlook/enhancements/outptch2.asp

Lütfen en kısa sürede bilgisayarlarınızı yamaları ve bu tehdide karşı İnternet'le mücadele etmemize yardımcı olun.

Zaman ayırdığın için teşekkürler.

Microsoft Desteği

Mesaj 2 ———————————————— ————-

mail şu kişiden geldi: dan: rcpt to: rastgele seçilmiş adres: rasgele seçilmiş adres Konu: Yeni ve daha büyük seri numarası şimdi listeleniyor!

Merhaba

Kayıtsız bir program için seri numarasına ihtiyacınız var mı?

Her yerde aradığınızı hissediyor musunuz?

Phrozen Crews Oscar'ın en yeni versiyonunda bile mi?

Yukarıdaki soruların bazılarına -yes- cevabını verebilirseniz ve hala bir seri numarası arıyorsanız, bu sizin beklediğiniz program olabilir.

Uzun yıllar seri numaralar topladık ve şimdi 15.000'den fazla seri numarası içeren seri numaramızın ilk versiyonunu yayınlamaktan gurur duyuyoruz.

Bu mesaja eklediğimizde seri numarası koleksiyonumuzun ilk versiyonu.

Sizin, Seri numarası toplayıcıları

Mesaj 3 ———————————————— ————-

mail şu kişiden geldi: dan: Rastgele seçilen adres: rasgele seçilen adres Konu: Yeni ve% 100 ücretsiz XXX site

Sevgili potansiyel müşteri,

10.000.JPG'den fazla ve 1.000'den fazla .MPG / .VIV / .AVI / .MOV / etc ile yeni bir erotik site açtık.

Size bir ömür boyu fırsat sunuyoruz, sizin görüşünüz karşılığında yeni sitemize ücret ödemeden aylık erişim veriyoruz.

Tek yapmanız gereken, kişisel Kullanıcı Kimliğinizi oluşturacak ekli reklamı yürütmektir, kişisel kredi kartı numaranız gibi bilgileri bile vermeniz gerekmez.

Sitemizi beğendiyseniz, lütfen tüm arkadaşlarınıza bizden bahsedin.

http://www.hoteens.com/

HoTeens.com


Orijinaline link