BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Worm.Win32.QAZ

Sınıf Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, arka kapı yetenekleri ile Win32 sistemleri altında yayılan bir ağ solucanıdır. Bu solucan, Temmuz – Ağustos 2000'de "vahşi" olarak rapor edildi. Solucan, MS Visual C ++ ile yazılmış, uzunluğu 120K olan bir Win32 yürütülebilir dosyasında.

Virüs bulaşmış bir dosya yürütüldüğünde, solucan otomatik başlangıç ​​bölümünde Windows kayıt defterinde kendisini kaydeder:

HRLMSOFTWAREMicrosoftWindowsCurrentVersionRun startIE = "filename qazwsx.hsq"

Burada "dosya adı" solucan dosyasının adıdır (genellikle – "Notepad.exe", aşağıya bakın). Sonuç olarak, Windows başladığında solucan etkinleşecektir.

Solucan daha sonra sistem hafızasında bir uygulama olarak kalır (görev listesinde görünür) ve iki süreç çalışır: yayılma ve arka kapı.

Yayma işlemi, solucan kopyasını yerel ağ üzerinden okuma / yazma için paylaşılan sürücülere yayar. Solucan ağ kaynaklarını sıralar ve isimlerinde bir "WIN" dizesi arar. Böyle bir dize adında (yani, uzak bilgisayardaki Windows dizini) varsa, solucan orada NOTEPAD.EXE arar, NOT.COM ile yeniden adlandırır ve kopyayı NOTEPAD.EXE adıyla yazar.

Sonuç olarak, etkilenen makinede, orijinal NOTEPAD.EXE NOT.COM adıyla (solucan rutinlerini tamamladığında orijinal Not Defterini çalıştırmak için solucan tarafından kullanılır) ve solucan kodunun içinde bulunur. NOTEPAD.EXE dosyası. Solucan, bir kullanıcının etkilenen makinede Not Defteri'ni çalıştırdığı anda etkinleştirilecektir.

Arka kapı rutini oldukça basit. Sadece birkaç komutu destekler: Çalıştır (belirtilen dosyayı çalıştırmak için), Yükle (etkilenen makinede bir dosya oluşturmak için) ve Çık (solucan rutinlerini sonlandır). Sadece üç komut var, ancak makineye başka (daha güçlü) arka kapı veya başka bir Trojan / virüs yüklemek için yeterlidir.

Solucan ayrıca "host" a (solucan yazarı?) Bir bildirim gönderir. Bu, Çin'de bir adrese gönderilen bir e-posta mesajdır. Mesaj, virüs bulaşmış makinenin IP adresini (adreslerini) içerir.


Orijinaline link