BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Worm.Win32.Shorm

Sınıf Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, yerel ve küresel ağlara yayılan bir ağ solucanıdır. Yaymak için, solucan uzaktaki bilgisayarlara bağlanır ve disk tam erişim için paylaşılırsa, solucan kendisini orada Windows başlangıç ​​dizinine (varsa) kopyalar.

Solucan da şifre çalma yeteneğine sahiptir. RAS bilgilerini (kullanıcı mame, telefon numaraları, parolalar) ve önbelleğe alınan parolaları alır ve bunları iki e-posta adresine krenx@mail.ru ve winam@mail.ru adreslerine gönderir.

Solucan kendisi Delphi yazılmış ve ASpach PE EXE sıkıştırma programı ile sıkıştırılmış bir Win32 uygulaması (PE EXE dosyası) 'dir. Solucan gövdesi aşağıdaki metni içerir:

SharedWorm v1.2

Solucan çalıştırıldığında, üç ad kullanarak Windows sistem dizinine kendisini kopyalar: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE ve aşağıdaki kayıt defteri otomatik çalıştırma anahtarlarında bu dosyaları kaydeder:

HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices

Yani, Windows yeniden başlatıldığında solucan çalışır.

Solucan daha sonra "http://krenx.newmail.ru/ip.txt" Web sayfasına bağlanır ve içeriğini okur. Bu sayfa, alt ağ IP adreslerinin bir listesini içerir. Adreste dört IP adresi numarası yerine üç numara vardır, örneğin:

194.135.175.
213.24.179.
195.209.191.
213.59.57.

Solucan daha sonra bu alt ağ "maskelerinden" birini rastgele seçer ve alt ağdaki her makineye bağlanmaya çalışır. Bağlantı başarılı olursa, solucan bu sabit disk sürücü dosyalarına erişmeye çalışır, daha sonra bu bilgisayardaki Windows dizininin adını bulur ve kendisini aşağıdaki adla kendisine kopyalar:

MenuProgramsStartUpAVPMonitor.exe'yi başlat

Böylece, solucan kopya Windows auti-start dizinine yerleştirilir ve bir sonraki Windows yeniden başlatıldığında aktive edilir.

Solucan da kendini bir internet sitesinden güncelleyebilmektedir. "Http://krenx.newmail.ru/win.exe" internet dosyasını alır, yerel makineye kopyalar ve çalıştırır.


Orijinaline link