|
|
[VIRUS] W32/Mimail.MM
|
|
|
Ana sayfa
Haberler
Virüs Haberleri
|
|
|
Yazar: Ertan Kurt
|
Yayınlanma tarihi: 04.08.2003 14:40
|
|
W32/Mimail.MM eposta ile yayılan bir solucan. Ekte bir zip dosyası ile geliyor. Zip dosyasının içinde, gömülü (embed) bir çalıştırılabilir dosya ve betik (script) ile geliyor. Kullanıcılar zip'i açtığında, dosyalar IE tarafından korunan "Temporary Internet Files" klasörüne açılıyor. Fakat kullanıcılar zip içerisindeki HTML'e çift tıkladığında dosyalar kullanıcının "temp" klasörüne yerleştiriliyor. Burdaki dosyalar "Temporary Internet Files" klasöründen farklı olarak "Local Computer Zone" alanında çalışıyor.
|
Virüs Karakteristikleri:
Diğer isimleri:
Mimail (F-Secure)
W32.Mimail.A@mm (Symantec)
WORM_MIMAIL.A (Trend)
Virüs eposta ile aşağıdaki özellikler ile geliyor:
From: Admin (ADMIN@domain_isminiz)
Subject: your account %user%
Importance: High
Hello there,
I would like to inform you about important information
regarding your email address. This email address will be
expiring. Please read attachment for details.
--- Best regards, Administrator
Attachment: message.zip
|
Ekteki .zip dosyası MESSAGE.HTM isminde bir dosya içeriyor. Bu dosya foo.exe dosyasını otomatik olarak yaratmakiçin MS02-015 ve MS03-014'de duyurulan açıkları kullanıyor.
Not: Otomatik çalıştırmanın engellenmesi için MS03-014 yamasının geçilmesi gerekiyor.
Aşağıdaki dosyalar WINDOWS (%WinDir%) klasöründe yaratılıyor:
* videodrv.exe (19,824 byte)
* exe.tmp (20,445 byte)
* zip.tmp (20,567 byte)
Aşağıdaki Registry anahtarı solucanın açılışta otomatik olarak başlaması için ekleniyor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "VideoDriver" = C:\WINNT\videodrv.exe
Virüs ilk olarak makinenin Internet'e bağlı olup olmadığını google.com'a bağlanmaya çalışarak deniyor. Eğer bağlantı varsa virüs yerel sistemdeki eposta adreslerini topluyor. Aşağıdaki uzantılar hariç tüm dosyalardan eposta adresi toplamaya çalışıyor:
* avi
* bmp
* cab
* com
* dll
* exe
* gif
* jpg
* mp3
* mpg
* ocx
* pdf
* psd
* rar
* tif
* vxd
* wav
* zip
Bulunan adresler WINDOWS klasöründe eml.tmp dosyasında depolanıyor.
Semptomlar:
WINDOWS klasöründe aşağıdaki dosyaların varlığı:
* videodrv.exe
* eml.tmp
* exe.tmp
* zip.tmp
Çözüm:
Microsoft yamaları:
MS02-015
MS03-014
Stinger:
http://vil.nai.com/vil/stinger/
Manuel Temizleme İşlemleri:
1) Win9x/ME - Sistemi Güvenli Kip'te (Safe Mode) açın (Starting Windows yazısı çıktığında F8'e basıp Safe Mode'u seçin).
WinNT/2K/XP - videodrv.exe işlemini sonlandırın.
2) WINDOWS klasöründen (genelde c:\windows veya c:\winnt) aşağıdaki dosyaları silin:
* videodrv.exe
* eml.tmp
* exe.tmp
* zip.tmp
3) Registry'de aşağıdaki değişiklikleri yapın:
* VideoDriver değerini aşağıdaki kayıtlardan silin:
1. "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
2. "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
* "{11111111-1111-1111-1111-111111111111}" değerini aşağıdaki kayıttan silin:
1. "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution units"
4) Sistemi tekrar başlatın (reboot)
Kaynak: http://vil.nai.com/vil/content/v_100523.htm |
|
|
|
