|
|
[VIRUS] Mydoom virüsü hızla yayılıyor (W32/Mydoom@MM)
|
|
|
Ana sayfa
Haberler
Virüs Haberleri
|
|
|
Yazar: Ertan Kurt
|
Yayınlanma tarihi: 27.01.2004 21:57
|
Virüs
Tipi: Virüs
Alt tipi: E-posta
Boyutu: 22,528 byte
Diğer isimleri:
Novarg (F-Secure)
W32.Novarg.A@mm (Symantec)
Win32.Mydoom.A (CA)
Win32/Shimg (CA)
WORM_MIMAIL.R (Trend)
Semptomları: Virüs çalıştığında Notepad açılıyor ve anlamsız karakterler görülüyor.
|
![[VIRUS] Mydoom virüsü hızla yayılıyor (W32/Mydoom@MM)](/ezimagecatalogue/catalogue/phpB09.tmp.gif)
|
|
W32/Mydoom@MM
|
Virüs karakteristikleri:
Bu toplu-mesaj-atma ve peer-to-peer dosya paylaşımı solucanı aşağıdaki karakteristiklere sahip:
* Oluşturduğu eposta mesajlarını gönderebilmek için kendi SMTP motorunu kullanıyor
* Bir arkakapı (backdoor) bileşeni (component) içeriyor
* Servis Kullanımı Engeleme (DoS) saldırısı gerçekleştirme özelliği var
Virüs aşağıdaki özelliklere sahip bir eposta mesajı ile geliyor:
Gönderen/From: (Sahte gönderen adresi oluşturuyor)
Konu/Subject: (Değişiyor, örneğin aşağıdakilerden biri olabilir)
* Error
* Status
* Server Report
* Mail Transaction Failed
* Mail Delivery System
* hello
* hi
Mesajın Gövdesi/Body: (Değişiyor, örneğin aşağıdakilerden biri olabilir)
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Ek Dosya/Attachment: (Değişiyor, [.bat, .exe, .pif, .cmd, .scr] - genelde zip uzantısıyla geliyor - 22,528 byte)
örneğin:
doc.bat
document.zip
message.zip
readme.zip
text.pif
hello.cmd
body.scr
test.htm.pif
data.txt.exe
file.scr
İki uzantılı dosyalarda uzantılar arasında çok sayıda boşluk olabiliyor. ör:
document.htm (çok sayıda boşluk) .pif
Ek dosyayı text dosyası gibi göstermek için bir ikon kullanılıyor:
Dosya çalıştırıldığında virüs kendisini WINDOWS SYSTEM klasörüne taskmon.exe olarak kopyalıyor:
* %SysDir%\taskmon.exe (%SysDir% Windows sistem klasörüne karşılık geliyor, örneğin C:\WINDOWS\SYSTEM)
Windows tekrar başladığında otomatik olarak tekrar çalışması için aşağıdaki registry anahtarını ekliyor:
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
Virüs Windows System klasöründe yarattığı bir dll dosyasını kullanıyor:
* %SysDir%\shimgapi.dll (4,096 bytes)
Bu dll dosyası EXPLORER.EXE'ye aşağıdaki registry anahtarı ile gömülüyor:
* HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
Virüs 12 şubat ve sonrasında kendisini yaymayacak şekilde hazırlanmış (fakat DLL kurulu halde kalıyor)
Peer to Peer dosya paylaşımı ile yayılma özelliği:
Virüs kendisini aşağıdaki isimlerden biri ile KaZaa programının paylaşım klasörüne kopyalıyor:
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp
Uzaktan erişim bileşeni
Bu özellik DLL dosyasında bulunuyor. Virüs TCP bağlantısı kurmak için port 3127'yi açıyor (eğer başarısızlığa uğrarsa bir sonraki kullanılabilir portu deniyor - port 3198'e kadar).
Servis Kullanımı Engelleme saldırısı özelliği
1 Şubat veya sonrasında sistem ilk açılışında, virüs toplu mesaj atma davranışını bırakarak sco.com alan adına servis kullanımı engelleme saldırı gerçekleştirmeye başlıyor. Bu saldırı 12 şubat veya sonrasında sistem açılışında son buluyor ve virüsün tek davranışı TCP port 3127'yi dinlemek oluyor.
Yayılma Metodu
Virüs eposta yoluyla ve KaZaa istemcisi kullanılıyorsa paylaşım klasörüne kendisini kopyalayarak yayılmaya çalışıyor.
Mesaj atma bileşeni adresleri yerel sistemden topluyor. Aşağıdaki uzantılara sahip dosyalar taranıyor:
wab
adb
tbb
dbx
asp
php
sht
htm
txt
pl
Ek olarak, virüs rastgele eposta adresleri yaratabilmek için hazır isimler içeriyor. Bu isimler yerel sistemden toplanan alan adlarının önüne eklenerek eposta adresleri yaratılıyor:
sandra
linda
julie
jimmy
jerry
helen
debby
claudia
brenda
anna
alice
brent
adam
ted
fred
jack
bill
stan
smith
steve
matt
dave
dan
joe
jane
bob
robert
peter
tom
ray
mary
serg
brian
jim
maria
leo
jose
andrew
sam
george
david
kevin
mike
james
michael
john
alex
Ve son olarak virüs kendisini SMTP ile gönderiyor. Virüs alıcının eposta sunucusunu, alan adına aşağıdaki isimleri ekleyerek tahmin ediyor:
mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns.
Korunma
Antivirüs yazılımınızı güncelleyerek sisteminizi taratın.
Kaynak: Network Associates Inc. |
|
|
|
