URL: http://www.olympos.org/article/articleprint/1425/-1/8/virus_w32_serflog_a
|
Ana sayfa
Haberler
Virüs Haberleri
Virüs
Tür: Solucan.
Yayılma ortamları: Dosya paylaşım uygulamaları ve Msn Messenger.
Dosya boyutu: 17 KB.
Diğer isimleri: Bropia.U / Sumom.A / Crog.worm / WORM_FATSO.A
Etkilediği sistemler: Windows işletim sistemleri.
Belirtileri: MSN Messenger uygulamasının iletişim listesindeki kişilere kendini göndermesi, Antivirüs türü uygulamaları devre dışı bırakması(örneğin; Antivirüs uygulamanızı güncellerken güncelleme işleminiz iptal edilmiştir.� gibi bir mesaj alırsınız), Regedit ve görev yönetici uygulamasının çalışmaması yada çalıştıktan sonra aniden kapanması.
Buna benzer bir çok uygulamanın kendi kendini kapatması(örneğin; dosya analiz programlarından olan w32dasm/PEiD/winhex/reshacker/ollydbg gibi uygulamaları devre dışı bırakması).
HOSTS dosyasına bazı adreslerin eklenmesi.
Crazy-Frog.Html ve Message to n00b LARISSA.txt isimli dosyaların çalıştırılması.
7 Mart 2005 tarihinde birçok kişi bu solucandan etkilenmiştir. Solucanın bu kadar etkili olmasının temel sebebi MSN Messenger isimli iletişim programıdır. Solucan, etkilediği sistemde kendisini MSN Messenger iletişim listesindeki kişilere yolladığından yayılma oranı büyük oranda artmıştır.
Bu solucan bulaştığı sistemde bir dizi aktiviteler meydana getirir. İlk olarak kendisini belirli dosya adlarıyla ana bölüme(C:\) ve Windows ve sistem dizinlerine kopyalar.
Solucan, sistemin bir sonraki açılışında aktif hale gelmek için Registryde bazı anahtarlar;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
|
|
ve "Documents and Settings\KULLANICI\Local Settings\Application Data\Microsoft\CD Burning" dizinine autorun.exe / autorun.inf isimli dosyalar oluşturur.
Registryde oluşturduğu anahtar isimleri; [serpe] , [ltwob] , [avnort] bunlara karşılık olarak oluşturulan dosya isimleri [formatsys.exe] , [serbw.exe] , [msmbw.exe].
Bu şekildeki yapı sayesinde sistem yeniden başlatılsa(reboot) dahi solucan aktif hale gelecektir.
Ayrıca solucan sisteminizin ismini "frog" olarak değiştirmektedir.
Sisteminizde eMule isimli paylaşım programı varsa solucan eMule içerisinde yer alan Incoming
ve My Shared Folder, Shared gibi dizinlere;
Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe
adları altında dosyalar kopyalayacaktır. Bu şekilde MSN Messenger haricinde paylaşım ortamlarında da
kendini göstermeye çalışacak. Bu dosyaların boyutu 17 KB dir.
Aktif hale geldiğinde ana bölüme(C:\) kopyaladığı dosya isimleri;
Annoying crazy frog getting killed.pif
British National Party.jpg
Crazy frog gets killed by train!.pif
Crazy-Frog.Html
Fat Elvis! lol.pif
How a Blonde Eats a Banana...pif
Jennifer Lopez.scr
LOL that ur pic!.pif
Me on holiday!.pif
Message to n00b LARISSA.txt
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
lspt.exe
![[VIRUS] W32.Serflog.A](/ezimagecatalogue/catalogue/att14EF.tmp.gif)
|
|
Solucan hosts dosyasına etki ederek kullanıcın birçok antivirüs firmasının web sitesine ulaşmasını engelliyor.
|
Bu dosyalar ana bölüme(C:\) kopyalanır(gizli olarak). Sisteminiz, gizli dosyaları gösterecek durumunda iken solucan aktif hale geçtiğinde registryde işlem yaparak gizli formatındaki dosyaları görmenizi engeller ve kopyalanan bu dosyaları göremezsiniz.
Solucanın diğer bir özelliği �sistem geri yükleme� durumunu iptal etmesidir.
Hosts dosyasında yaptığı değişiklik sayesinde kullanıcının birçok Antivirüs web sitesine girmesini engeller.
Hosts dosyasına eklediği adres listesi:
64.233.167.104 www.symantec.com
64.233.167.104 www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.avp.com
64.233.167.104 www.kaspersky.com
64.233.167.104 www.networkassociates.com
64.233.167.104 www.ca.com
64.233.167.104 www.my-etrust.com
64.233.167.104 www.nai.com
64.233.167.104 www.trendmicro.com
64.233.167.104 www.grisoft.com
64.233.167.104 securityresponse.symantec.com
64.233.167.104 symantec.com
64.233.167.104 sophos.com
64.233.167.104 mcafee.com
64.233.167.104 liveupdate.symantecliveupdate.com
64.233.167.104 viruslist.com
64.233.167.104 f-secure.com
64.233.167.104 kaspersky.com
64.233.167.104 kaspersky-labs.com
64.233.167.104 avp.com
64.233.167.104 networkassociates.com
64.233.167.104 ca.com
64.233.167.104 mast.mcafee.com
64.233.167.104 my-etrust.com
64.233.167.104 download.mcafee.com
64.233.167.104 dispatch.mcafee.com
64.233.167.104 secure.nai.com
64.233.167.104 nai.com
64.233.167.104 update.symantec.com
64.233.167.104 updates.symantec.com
64.233.167.104 us.mcafee.com
64.233.167.104 liveupdate.symantec.com
64.233.167.104 customer.symantec.com
64.233.167.104 rads.mcafee.com
64.233.167.104 trendmicro.com
64.233.167.104 grisoft.com
64.233.167.104 sandbox.norman.no
64.233.167.104 www.pandasoftware.com
64.233.167.104 uk.trendmicro-europe.com
![[VIRUS] W32.Serflog.A](/ezimagecatalogue/catalogue/att14EC.tmp.gif)
|
|
Solucan yayılmak için dosya paylaşım programlarınıda kullanıyor.
|
TEMİZLEME
- Sisteminizi GÜVENLİ modda açın [F8].
- Klasör seçeneklerinden "Gizli dosya ve klasörleri göster" seçeneğini aktif yapın.
![[VIRUS] W32.Serflog.A](/ezimagecatalogue/catalogue/att14F0.tmp.gif)
|
|
Klasör seçenekleri.
|
- Ana bölümdeki (C:\);
Annoying crazy frog getting killed.pif
British National Party.jpg
Crazy frog gets killed by train!.pif
Crazy-Frog.Html
Fat Elvis! lol.pif
How a Blonde Eats a Banana...pif
Jennifer Lopez.scr
LOL that ur pic!.pif
Me on holiday!.pif
Message to n00b LARISSA.txt
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
lspt.exe
isimli dosyaları silin.
![[VIRUS] W32.Serflog.A](/ezimagecatalogue/catalogue/att14F2.tmp.gif)
|
|
W32.Serflog.A solucanına ait C:\ deki dosyalar.
|
- Hosts dosyasının içeriğini temizleyin. Kaydedin.
- [\WINDOWS], [\WINDOWS\SYSTEM] , [\WINDOWS\SYSTEM32] dizinlerinde
formatsys.exe , serbw.exe , msmbw.exe isimli dosyaları silin.
- "Documents and Settings\KULLANICI\Local Settings\Application Data\Microsoft\CD Burning" dizini altında bulunan autorun.exe ve autorun.inf isimli dosyaları silin.
![[VIRUS] W32.Serflog.A](/ezimagecatalogue/catalogue/att14F3.tmp.gif)
|
|
Solucan kendini çeşitli bölümlere kopyalıyor.
|
- Başlat - Çalıştır - Regedit
yazarak Kayıt Defteri Düzenleyiciyi çalıştırın.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Değerleri altında bulunan [serpe] , [ltwob] , [avnort] değerlerinden hangisi varsa onu silin.
![[VIRUS] W32.Serflog.A](/ezimagecatalogue/catalogue/att14F1.tmp.gif)
|
|
Solucan Registryde işlemler yapıyor.
|
- Sisteminizin ismini değiştirin.
[HKEY_LOCAL_MACHINE System\CurrentControlSet\Control\ComputerName\ComputerName] "ComputerName"="frog" <-- değişecek
- eMule/Incoming , My Shared Folder, Shared türü dizinleri kontrol edin.
Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe
adı altında bulunan dosyaları silin.
![[VIRUS] W32.Serflog.A](/ezimagecatalogue/catalogue/att14EE.tmp.gif)
|
|
Solucan kendini eMule altına kopyalıyor.
|
- Sistem Özellikleri --> "Sistem Geri Yükleme�" bölümündeki Sistem Geri Yükleme'yi kapat seçeneğini isterseniz aktif yapın.
![[VIRUS] W32.Serflog.A](/ezimagecatalogue/catalogue/att14ED.tmp.gif)
|
|
Sistem Geri Yükleme
|
- Sisteminizi yeniden başlatın. Antivirüs uygulamanızı güncelleyin. Sisteminizi taratın.
Tacettin Karadeniz
tacettin [@] olympos.org