A?a??da virüsler hakk?nda bilgiler verilmi?tir:
W32/Lovgate
W32/Slammer
W32/Sobig
W32/Lirva.A
W32/Yah****
W32/Korvar
W32/Braid
W32/Insane
W32/Bugbear
W95/Opaserv
W95/Scrup
Linux/Slapper
VBS/Neiber.A
W32/Manymize
W32/Yaha.E
W32/Frethem.f@MM
JS/SQLSpida
W32/Klez
W32/Fbound.C
W32/Gibe.A
W32/MyParty.a@MM
W32/Maldal.d@MM
W32/Zoher@MM
W32/Goner.A@mm
W32/BadTrans.B-mm
TROJ_VOTE.A
W32/Nimda@MM
W32/Magistr.b@MM
W32/SirCam@MM
K?z?l Kod Virüsü
W32/Lovgate@mm
Kendi SMTP motorunu kurarak toplu e-posta gönderen Internet solucan? ayn? zamanda yerel a?dak? aç?k payla??mlar? kullanarak da bilgisayarlar? etkilemeyeyi deniyor.
Metin (Body):
Gelen kutusundaki e-postalara cevap niteli?inde e-postan? metninde;
'll try to reply as soon as possible.
Take a look at the attachment and send me your opinion!
A? payla??mlar?n? tar?yor ve payla?t?r?lmi? dosyalarda "Administrator" kullanicisi için a?a??daki parolalar? deniyerek payla??mlara ula?may? deniyor:
bo? parola
123
321
123456
654321
guest
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123
Payla??mlara ula?t???nda a?a??daki dosyalari kopyal?yor.
pics.exe
images.exe
joke.exe
pspgame.exe
news_doc.exe
hamster.exe
tamagotxi.exe
searchurl.exe
setup.exe
card.exe
billgt.exe
midsong.exe
s3msong.exe
docs.exe
humor.exe
fun.exe
Teknik Özellikler:
E-posta eklentisi ya da a?dan kopyalanan virüs içerikli dosyalar çal??t?r?ld???nda sistem dizinine;
WinRpcsrv.exe
syshelp.exe
winrpc.exe
WinGate.exe
rpcsrv.exe
dosyalarin kopyal?yor.
Windows 9x/ME i?letim sistemlerinde Win.ini dosyas?na
run=rpcsrv.exe
de?erini yaz?yor.
Turuva ati bile?eni için kendisini a?a?idak? dosylara kopyal?yor:
ily.dll
task.dll
reg.dll
1.dll
Sistem her aç?ld???nda otomatik çali?t?r?lmak için a?a??daki de?erleri belirtilen kay?t dosyas?(registry file) konumuna yaz?yor.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "syshelp" = C:WINDOWSSYSTEMsyshelp.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "WinGate initialize" = C:WINDOWSSYSTEMWinGate.exe -remoteshell
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg
Text dosyalar? çal??t?r?ld???nda winrpc.exe dosyas?n? otomatik çal??t?rmak için a?a??daki kay?t dosyas? de?i?ikli?ini yap?yor.
HKEY_CLASSES_ROOT xtfileshellopencommand (Default) = "winrpc.exe %1"
Belirtiler:
Kay?t dosyas?nda belirtilen de?i?ikliklerin olmas?
Belirtilen dosyalarin varl???
10168 nolu portun aç?k olmas?
Etkileme Yöntemi:
E-postan?n eklentisinin ya da a? payla??mlar? sonucu kopyalanmi? virüslü dosyalar?n çal??t?r?lmas? ile bilgisayar? etkiliyor.
W32/SQLSlammer.worm
Yamas? yap?lmam?? a?a??da belirtilen sistemler için büyük risk ta??maktad?r:
Microsoft SQL Server 2000
Microsoft Desktop Engine (MSDE) 2000
Yamas? yapl?mam?? SQL sunucularda "Server Resolution" servisinin tampon ta?mas? aç???ndan yararlan?yor (MS02-39).
Yanl?? yap?land?r?lm?? paket sadece 384 bytes (tüm solucan bu kadar) ve içinde a?a??daki sat?rlar? ta??yor.
"h.dllhel32hkernQhounthickChGetTf",
"hws2",
"Qhsockf"
"toQhsend"
Temizleme Yöntemi:
UDP 1434 portuna gelen tüm trafi?i durudurun.
Bilgisayar? tekrar ba?lat?n.
Service Pack 3'ü indirip çal??t?r?n. Bilgisayar? tekrar ba?kat?n.
W32/Sobig
Toplu e-posta atan virus, a? ba?lant?lar? ve e-posta ile bilgisayarlar? etkilemektedir.
Kimden(From):
big@boss.com
Konu(Subject):
Re: Movies
Re: Sample
Re: ********
Re: Here is that sample
Belirtiler:
WINMGM32.EXE dosyas?n? varl???
SNTMLS.DAT dosyas?n? varl???
DWN.DAT dosyas?n? varl???
Eklenti(Attachment) :
Movie_0074.mpeg.pif
********003.pif
Untitled1.pif
Sample.pif
Etkileme Yöntemi:
E-posta eklentisinin çal??t?r?l?mas? ya da aç?k payla??mlar yolu ile bilgisayar? etkilemektedir.
Teknik Özellikler:
Virüs çal??t?r?ld???nda:
Kendisini %Windir%Winmgm32.exe olarak kopyal?yor.
%Windir%Winmgm32.exe isminde bir i?lem ba?lat?yor.Winmgm32.exe a?a??dakileri yap?yor:
Ad? Worm.X olan bir Mutex olu?turuyor.
Belirli bir websitesine dwn.dat dosyas?n? indirmek için ba?lan?yor. ?ndirdi?inde içeri?ini çal??t?r?yor.
Aç?k payla??mlar? arayor ve buldu?unda kendisi a?a??daki konumlardan birisine kopyal?yor.
WindowsAll UsersStart MenuProgramsStartUp
********s and SettingsAll UsersStart MenuProgramsStartup
A?a??daki uzant?l? virüs içerikli dosylar? e-posta ile göndermek için olu?turuyor.
.txt
.eml
.html
.htm
.dbx
.wab
Windows tekrar ba?lat?ld???nda çal??t?r?lma için kay?t dosyas?nda a?a??daki de?i?iklikleri yap?yor:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun anahtar? içine WindowsMGM %Windir%Winmgm32.exe de?erini yaz?yor.
W32/Lirva.A
Toplu e-posta atan Internet solucan? ay?n? zamanda ICQ, IRC, KaZaa ile de yay?lmaya çal???yor. B?lgisayara bir ?ifre çal?c? program da yüklüyor. Ayn? zamanda güvenlik programlar?n?n çal??mas?n? da durduruyor.
Konu (Subject):
Fw: Prohibited customers... ?
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header Are you a Soccer Fan
Metin (Body):
Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
Ek (Attachment):
Resume.exe
Download.exe
CERT-Vuln-Info.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Sophos.exe
Cogito_Ergo_Sum.exe
Sk8erBoi.exe
Beautifull.scr
Teknik Özellikler:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIND.EXE
CLAW95.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
ECENGINE.EXE
EFINET32.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
IFACE.EXE
IOMON98.EXE
JED.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
Internet solucan? ba?l?klar?nda a?a??daki isimler yazan tüm pencereleri kapat?yor:
anti
Anti
AVP
McAfee
Norton
virus
Virus
Sistemde de?i?iklikler yap?yor:
Internet solucan? kendisini de?i?ken isimlerle %WINDIR%SYSTEM32 dizini alt?na kopyal?yor.
Sistem her yeniden ba?lad???nda çal??mas? için kay?t dosyas?na yeni bir anahtar yaz?yor:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Avril Lavigne - Muse" = C:WINDOWSSYSTEMA33AAAAgbab.EXE
Ba?ka bir anahtar da sistemin virüs taraf?dan etkilendi?ini belirtmek için yart?l?yor:
HKEY_LOCAL_MACHINESoftwareHKLMSoftwareOvGAvril Lavigne
Yukarda e-posta eklentileri k?sm?nda belirtilen isimlerinden birisi olarak a?a??daki dizinlere kopyal?yor.
C:
%WINDIR%TEMP
Kendisini a?a??daki dizinlere kopyal?yor.
%Temporary%
%Temporary%*.tft
%System%*.exe
%All Drives%Recycled*.exe
%Kazaa Downloads%*.exe
avril-ii.inf adl? virüs yazar?ndan bir notu da %WINDIR%TEMP dizinine kopyal?yor.
Internet ba?lant?s?n kontrol ediyor ve ba?lant? yoksa varsay?lan çevirmeli a? ba?lant?s?n? kurmay? deniyor.
W?ndows Address Book ve uzant?lar? .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch ve .idx olan dosyalardaki e-posta adreslerine e-posta göndermeyi deniyor.
Yamas? yap?lmam?? Outlook Expressler gelen e-postan?n eklentisini otomatik çal??t?r?yor. Gerekli yama ve hakk?ndaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp
ICQ program?n? durudurak, Icqmapi.dll dosyas?n? ar?yor. Buldu?unda, bu dosyay? WindowsSystem dizinine kopyal?yor ve kendisini tüm ICQ ba?lant?lar?na gönderiyor.
mIRC program dizinine Script.ini dosyas? yarat?yor. Bu dosya #avrillavigne kanal?na ba?lant?y? sa?l?yor ve kullan?c?n üye oldu?u tüm kanallardaki kullan?c?lara kendisini gönderiyor.
Tüm a? kaynaklar?n? kullanarak C payla??m? ar?yor. Buldu?unda kendisini RECYcLED dizini alt?en de?i?ken isimle kaydediyor ve Autoexe.bat dosyas?n? sistem her aç?ld???nda virüs aktif hale gelebilmesi için a?a??daki gibi de?i?tiriyor.
@win .exe
Kendisini RECYcLED dizini alt?na de?i?ken isimle kaydediyor ve Autoexe.bat dosyas?n? sistem her aç?ld???nda virüs aktif hale gelebilmesi için belirtilen ?ekilde de?i?tiriyor.
Kendisini KaZaa dizinine de?isken isimlerle kopyal?yor.
E?er ay?n 7si,11i ya da 24 ise, www.arvil-lavigne.com adresine ba?lan?p grafik animasyonlar gösteriyor.
Belirtiler :
Yukar?da belirtilen Kay?t anahtarlar?n?n varl???
Yukar?da belirtilen dosyalar?n varl???
E-posta trafi?i
IRC trafi?i
ICQ trafi?i
SMTP sunucusuna a? trafi?i (62.118.249.10 Port 25 TCP).
Etkileme Yöntemi:
Yamas? yap?lmam?? Outlook Expressler gelen e-postan?n eklentisini otomatik çal??t?r?yor. Gerekli yama ve hakk?ndaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp
ICQ program?n? durudurak, Icqmapi.dll dosyas?n? ar?yor. Buldu?unda, bu dosyay? WindowsSystem dizinine kopyal?yor ve kendisini tüm ICQ ba?lant?lar?na gönderiyor.
mIRC prgram dizinine Script.ini dosyas? yarat?yor. Bu dosya #avrillavigne kanal?na ba?lant?y? sa?l?yor ve kullan?c?n üye oldu?u tüm kanallardaki kullan?c?lara kendisini gönderiyor.
Tüm a? kaynaklar?n? kullanarak C payla??m? ar?yor. Buldu?unda kendisini RECYcLED dizini alt?en de?i?ken isimle kaydediyor ve Autoexe.bat dosyas?n? sistem her aç?ld???nda virüs aktif hale gelebilmesi için a?a??daki gibi de?i?tiriyor.
@win .exe
W32/Yah****
Internet solucan? kendi SMTP motorunu kullanarak Windows Address Defteri, MSN Messenger, .NET Messen ger, Yahoo Pager ve HT harfleirini içeren uzant?ya sahip dosyalar içindeki adreslere e-posta ile göndererek da??lmaktad?r. Antivirüs ya da güvenlik programlar?n? çal??mas?n? durdurmaktad?r ve içinde uzataki makinaya DoS sald?rs? yapmas?n? sa?layacak kod bar?nd?rmaktad?r.
Konu (Subject):
DEVAMI GELECEK
W32/Lovgate
W32/Slammer
W32/Sobig
W32/Lirva.A
W32/Yah****
W32/Korvar
W32/Braid
W32/Insane
W32/Bugbear
W95/Opaserv
W95/Scrup
Linux/Slapper
VBS/Neiber.A
W32/Manymize
W32/Yaha.E
W32/Frethem.f@MM
JS/SQLSpida
W32/Klez
W32/Fbound.C
W32/Gibe.A
W32/MyParty.a@MM
W32/Maldal.d@MM
W32/Zoher@MM
W32/Goner.A@mm
W32/BadTrans.B-mm
TROJ_VOTE.A
W32/Nimda@MM
W32/Magistr.b@MM
W32/SirCam@MM
K?z?l Kod Virüsü
W32/Lovgate@mm
Kendi SMTP motorunu kurarak toplu e-posta gönderen Internet solucan? ayn? zamanda yerel a?dak? aç?k payla??mlar? kullanarak da bilgisayarlar? etkilemeyeyi deniyor.
Metin (Body):
Gelen kutusundaki e-postalara cevap niteli?inde e-postan? metninde;
'll try to reply as soon as possible.
Take a look at the attachment and send me your opinion!
A? payla??mlar?n? tar?yor ve payla?t?r?lmi? dosyalarda "Administrator" kullanicisi için a?a??daki parolalar? deniyerek payla??mlara ula?may? deniyor:
bo? parola
123
321
123456
654321
guest
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123
Payla??mlara ula?t???nda a?a??daki dosyalari kopyal?yor.
pics.exe
images.exe
joke.exe
pspgame.exe
news_doc.exe
hamster.exe
tamagotxi.exe
searchurl.exe
setup.exe
card.exe
billgt.exe
midsong.exe
s3msong.exe
docs.exe
humor.exe
fun.exe
Teknik Özellikler:
E-posta eklentisi ya da a?dan kopyalanan virüs içerikli dosyalar çal??t?r?ld???nda sistem dizinine;
WinRpcsrv.exe
syshelp.exe
winrpc.exe
WinGate.exe
rpcsrv.exe
dosyalarin kopyal?yor.
Windows 9x/ME i?letim sistemlerinde Win.ini dosyas?na
run=rpcsrv.exe
de?erini yaz?yor.
Turuva ati bile?eni için kendisini a?a?idak? dosylara kopyal?yor:
ily.dll
task.dll
reg.dll
1.dll
Sistem her aç?ld???nda otomatik çali?t?r?lmak için a?a??daki de?erleri belirtilen kay?t dosyas?(registry file) konumuna yaz?yor.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "syshelp" = C:WINDOWSSYSTEMsyshelp.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "WinGate initialize" = C:WINDOWSSYSTEMWinGate.exe -remoteshell
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg
Text dosyalar? çal??t?r?ld???nda winrpc.exe dosyas?n? otomatik çal??t?rmak için a?a??daki kay?t dosyas? de?i?ikli?ini yap?yor.
HKEY_CLASSES_ROOT xtfileshellopencommand (Default) = "winrpc.exe %1"
Belirtiler:
Kay?t dosyas?nda belirtilen de?i?ikliklerin olmas?
Belirtilen dosyalarin varl???
10168 nolu portun aç?k olmas?
Etkileme Yöntemi:
E-postan?n eklentisinin ya da a? payla??mlar? sonucu kopyalanmi? virüslü dosyalar?n çal??t?r?lmas? ile bilgisayar? etkiliyor.
W32/SQLSlammer.worm
Yamas? yap?lmam?? a?a??da belirtilen sistemler için büyük risk ta??maktad?r:
Microsoft SQL Server 2000
Microsoft Desktop Engine (MSDE) 2000
Yamas? yapl?mam?? SQL sunucularda "Server Resolution" servisinin tampon ta?mas? aç???ndan yararlan?yor (MS02-39).
Yanl?? yap?land?r?lm?? paket sadece 384 bytes (tüm solucan bu kadar) ve içinde a?a??daki sat?rlar? ta??yor.
"h.dllhel32hkernQhounthickChGetTf",
"hws2",
"Qhsockf"
"toQhsend"
Temizleme Yöntemi:
UDP 1434 portuna gelen tüm trafi?i durudurun.
Bilgisayar? tekrar ba?lat?n.
Service Pack 3'ü indirip çal??t?r?n. Bilgisayar? tekrar ba?kat?n.
W32/Sobig
Toplu e-posta atan virus, a? ba?lant?lar? ve e-posta ile bilgisayarlar? etkilemektedir.
Kimden(From):
big@boss.com
Konu(Subject):
Re: Movies
Re: Sample
Re: ********
Re: Here is that sample
Belirtiler:
WINMGM32.EXE dosyas?n? varl???
SNTMLS.DAT dosyas?n? varl???
DWN.DAT dosyas?n? varl???
Eklenti(Attachment) :
Movie_0074.mpeg.pif
********003.pif
Untitled1.pif
Sample.pif
Etkileme Yöntemi:
E-posta eklentisinin çal??t?r?l?mas? ya da aç?k payla??mlar yolu ile bilgisayar? etkilemektedir.
Teknik Özellikler:
Virüs çal??t?r?ld???nda:
Kendisini %Windir%Winmgm32.exe olarak kopyal?yor.
%Windir%Winmgm32.exe isminde bir i?lem ba?lat?yor.Winmgm32.exe a?a??dakileri yap?yor:
Ad? Worm.X olan bir Mutex olu?turuyor.
Belirli bir websitesine dwn.dat dosyas?n? indirmek için ba?lan?yor. ?ndirdi?inde içeri?ini çal??t?r?yor.
Aç?k payla??mlar? arayor ve buldu?unda kendisi a?a??daki konumlardan birisine kopyal?yor.
WindowsAll UsersStart MenuProgramsStartUp
********s and SettingsAll UsersStart MenuProgramsStartup
A?a??daki uzant?l? virüs içerikli dosylar? e-posta ile göndermek için olu?turuyor.
.txt
.eml
.html
.htm
.dbx
.wab
Windows tekrar ba?lat?ld???nda çal??t?r?lma için kay?t dosyas?nda a?a??daki de?i?iklikleri yap?yor:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun anahtar? içine WindowsMGM %Windir%Winmgm32.exe de?erini yaz?yor.
W32/Lirva.A
Toplu e-posta atan Internet solucan? ay?n? zamanda ICQ, IRC, KaZaa ile de yay?lmaya çal???yor. B?lgisayara bir ?ifre çal?c? program da yüklüyor. Ayn? zamanda güvenlik programlar?n?n çal??mas?n? da durduruyor.
Konu (Subject):
Fw: Prohibited customers... ?
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header Are you a Soccer Fan
Metin (Body):
Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
Ek (Attachment):
Resume.exe
Download.exe
CERT-Vuln-Info.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Sophos.exe
Cogito_Ergo_Sum.exe
Sk8erBoi.exe
Beautifull.scr
Teknik Özellikler:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIND.EXE
CLAW95.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
ECENGINE.EXE
EFINET32.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
IFACE.EXE
IOMON98.EXE
JED.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
Internet solucan? ba?l?klar?nda a?a??daki isimler yazan tüm pencereleri kapat?yor:
anti
Anti
AVP
McAfee
Norton
virus
Virus
Sistemde de?i?iklikler yap?yor:
Internet solucan? kendisini de?i?ken isimlerle %WINDIR%SYSTEM32 dizini alt?na kopyal?yor.
Sistem her yeniden ba?lad???nda çal??mas? için kay?t dosyas?na yeni bir anahtar yaz?yor:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Avril Lavigne - Muse" = C:WINDOWSSYSTEMA33AAAAgbab.EXE
Ba?ka bir anahtar da sistemin virüs taraf?dan etkilendi?ini belirtmek için yart?l?yor:
HKEY_LOCAL_MACHINESoftwareHKLMSoftwareOvGAvril Lavigne
Yukarda e-posta eklentileri k?sm?nda belirtilen isimlerinden birisi olarak a?a??daki dizinlere kopyal?yor.
C:
%WINDIR%TEMP
Kendisini a?a??daki dizinlere kopyal?yor.
%Temporary%
%Temporary%*.tft
%System%*.exe
%All Drives%Recycled*.exe
%Kazaa Downloads%*.exe
avril-ii.inf adl? virüs yazar?ndan bir notu da %WINDIR%TEMP dizinine kopyal?yor.
Internet ba?lant?s?n kontrol ediyor ve ba?lant? yoksa varsay?lan çevirmeli a? ba?lant?s?n? kurmay? deniyor.
W?ndows Address Book ve uzant?lar? .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch ve .idx olan dosyalardaki e-posta adreslerine e-posta göndermeyi deniyor.
Yamas? yap?lmam?? Outlook Expressler gelen e-postan?n eklentisini otomatik çal??t?r?yor. Gerekli yama ve hakk?ndaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp
ICQ program?n? durudurak, Icqmapi.dll dosyas?n? ar?yor. Buldu?unda, bu dosyay? WindowsSystem dizinine kopyal?yor ve kendisini tüm ICQ ba?lant?lar?na gönderiyor.
mIRC program dizinine Script.ini dosyas? yarat?yor. Bu dosya #avrillavigne kanal?na ba?lant?y? sa?l?yor ve kullan?c?n üye oldu?u tüm kanallardaki kullan?c?lara kendisini gönderiyor.
Tüm a? kaynaklar?n? kullanarak C payla??m? ar?yor. Buldu?unda kendisini RECYcLED dizini alt?en de?i?ken isimle kaydediyor ve Autoexe.bat dosyas?n? sistem her aç?ld???nda virüs aktif hale gelebilmesi için a?a??daki gibi de?i?tiriyor.
@win .exe
Kendisini RECYcLED dizini alt?na de?i?ken isimle kaydediyor ve Autoexe.bat dosyas?n? sistem her aç?ld???nda virüs aktif hale gelebilmesi için belirtilen ?ekilde de?i?tiriyor.
Kendisini KaZaa dizinine de?isken isimlerle kopyal?yor.
E?er ay?n 7si,11i ya da 24 ise, www.arvil-lavigne.com adresine ba?lan?p grafik animasyonlar gösteriyor.
Belirtiler :
Yukar?da belirtilen Kay?t anahtarlar?n?n varl???
Yukar?da belirtilen dosyalar?n varl???
E-posta trafi?i
IRC trafi?i
ICQ trafi?i
SMTP sunucusuna a? trafi?i (62.118.249.10 Port 25 TCP).
Etkileme Yöntemi:
Yamas? yap?lmam?? Outlook Expressler gelen e-postan?n eklentisini otomatik çal??t?r?yor. Gerekli yama ve hakk?ndaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp
ICQ program?n? durudurak, Icqmapi.dll dosyas?n? ar?yor. Buldu?unda, bu dosyay? WindowsSystem dizinine kopyal?yor ve kendisini tüm ICQ ba?lant?lar?na gönderiyor.
mIRC prgram dizinine Script.ini dosyas? yarat?yor. Bu dosya #avrillavigne kanal?na ba?lant?y? sa?l?yor ve kullan?c?n üye oldu?u tüm kanallardaki kullan?c?lara kendisini gönderiyor.
Tüm a? kaynaklar?n? kullanarak C payla??m? ar?yor. Buldu?unda kendisini RECYcLED dizini alt?en de?i?ken isimle kaydediyor ve Autoexe.bat dosyas?n? sistem her aç?ld???nda virüs aktif hale gelebilmesi için a?a??daki gibi de?i?tiriyor.
@win .exe
W32/Yah****
Internet solucan? kendi SMTP motorunu kullanarak Windows Address Defteri, MSN Messenger, .NET Messen ger, Yahoo Pager ve HT harfleirini içeren uzant?ya sahip dosyalar içindeki adreslere e-posta ile göndererek da??lmaktad?r. Antivirüs ya da güvenlik programlar?n? çal??mas?n? durdurmaktad?r ve içinde uzataki makinaya DoS sald?rs? yapmas?n? sa?layacak kod bar?nd?rmaktad?r.
Konu (Subject):
DEVAMI GELECEK