|
|
[VIRUS] W32/Swen@MM , W32/Gibe.E@MM (Yüksek Risk)
|
|
|
Ana sayfa
Haberler
Virüs Haberleri
|
|
|
Yazar: Ertan Kurt
|
Yayınlanma tarihi: 19.09.2003 20:10
|
Keşif tarihi: 18 Eylül 2003
Boyutu: 106,496 byte
Belirtileri: Diyalog kutularının gösterilmesi, Antivirüs/güvenlik ürününün beklenmedik şekilde kapanması, RegEdit'in çalıştırılamaması
|
Teknik Detay:
Solucan aşağıdaki yöntemleri kullanarak yayılıyor:
* Kurban makinada bulduğu espota adreslerine kendisini göndererek
* Ağ paylaşımlarına kendisini kopyalayarak
* KaZaa P2P ağında kendisini paylaşıma ekleyerek
* Kendisini IRC'den göndererek
Visual C'de yazılmış olan solucan çeşitli güvenlik ve antivirüs ürünlerini kapatıyor.
Eposta ile yayılma:
Virüsün mesajları göndermede kullanmak için kendi SMTP motoru var. Yarattığı bazı espotalar Microsoft Güvenlik Bülteni MS01-020'de duyurulan Internet Explorer açığından yararlanarak mesajın görüntülendiği anda kendisinin çalıştırılmasını sağlıyor.
Bazı eposta mesajları da Microsoft'tan geliyormuş gibi görünüyor:
Ağ Paylaşımı ile yayılma:
Solucan kendisini ağda bulduğu startup klasörlerine kopyalıyor. Dosya ismi rastgele yaratılıyor.
Ağ paylaşımlarında aşağıdaki klasörler hedefleniyor:
windows\all users\start menu\programs\startup
windows\start menu\programs\startup
winme\all users\start menu\programs\startup
winme\start menu\programs\startup
win95\all users\start menu\programs\startup
win95\start menu\programs\startup
win98\all users\start menu\programs\startup
win98\start menu\programs\startup
document and settings\all users\start menu\programs\startup
document and settings\default user\start menu\programs\startup
document and settings\administrator\start menu\programs\startup
winnt\profiles\all users\start menu\programs\startup
winnt\profiles\default user\start menu\programs\startup
winnt\profiles\administrator\start menu\programs\startup
IRC üzerinden yayılma:
Solucan mIRC programının bulunduğu klasöre bir SCRIPT.INI (123 byte) dosyası bırakıyor ve dcc send kullanarak IRC üzerinden yayılmaya çalışıyor.
P2P üzerinden yayılma:
Solucan temp klasörü içinde isminin rastgele yaratıldığı bir klasöre kendi kopyalarını yerleştiriyor. Örnek dosya isimleri:
SIRCAM CLEANER.EXE
YAHOO HACKER.EXE
HALLUCINOGENIC SCREENSAVER.EXE
Dosyaları KaZaaA P2P ağında paylaşıma açmak için aşağıdaki registry anahtarını yaratıyor:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir99" = 012345:C:\WINDOWS\TEMP\(yaratılan klasör)
Bulaşma Metodu:
Makinede çalıştırıldığında aşağıdaki sahte mesaj kutuları gösteriliyor:
Solucan kendisini (rastgele bir dosya ismi kullanarak) Windows klasörüne (%WinDir%) kopyalıyor. Ör:
C:\WINDOWS\ZNFUL.EXE
Windows açıldığında otomatik olarak çalışması için aşağıdaki registry anahtarını yaratıyor:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "(ranstgele karakterler)" = ZNFUL.EXE autorun
Çeşitli registry anahtarları aşağıdaki dosya tiplerinin çalıştırılmasına müdahele için yaratılıyor:
BAT
COM
EXE
PIF
REG
SCR
Yaratılan registry anahtarları:
HKEY_CLASSES_ROOT\batfile\shell\open\command
"(Default)" = %dosyaismi% "%1" %*
HKEY_CLASSES_ROOT\comfile\shell\open\command
"(Default)" = %dosyaismi% "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\open\command
"(Default)" = %dosyaismi% "%1" %*
HKEY_CLASSES_ROOT\piffile\shell\open\command
"(Default)" = %dosyaismi% "%1" %*
HKEY_CLASSES_ROOT\regfile\shell\open\command
"(Default)" = %dosyaismi% showerror
HKEY_CLASSES_ROOT\scrfile\shell\config\command
"(Default)" = %dosyaismi% "%1"
HKEY_CLASSES_ROOT\scrfile\shell\open\command
"(Default)" = %dosyaismi% "%1" /S
(%dosyaismi% değişkeni rastgele bir isimle yaratılan solucan kopyalarına karşılık geliyor)
Aşağıdaki dosyalarda Windows klasörüne bırakılıyor:
GERMS0.DBV (Kurban makinadan toplanan eposta adresleri)
SWEN1.DAT (uzaktaki sunucuların listesi)
RegEdit'in kurban makinada kullanımını engellemek için aşağıdaki registry anahtarı ayarlanıyor:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System "DisableRegistryTools" = 01 00 00 00
İşlem sonlandırma:
Solucan aşağıdaki isimlere sahip işlemleri sonlandırıyor:
_avp
ackwin32
amserv
anti-troj
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
blackd
blackice
bootwarn
ccapp
ccshtdwn
cfiadmi
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
esafe
espwatch
f-agnt95
f-prot
f-prot95
f-stopw
findviru
fp-win
fprot
fprot95
frw
gibe
iamapp
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
iface
iomon98
jedi
kpfw32
lockdown2000
lookout
lu32
luall
moolive
mpftray
msconfig
nai_vs_stat
nav
navapw32
navnt
navsched
navw
nisum
nmain
normist
nupdate
nupgrade
nvc95
outpost
padmin
pavcl
pavsched
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
rav
regedit
rescue
safeweb
serv95
sphinx
sweep
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
view
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
zonealarm
Çözüm:
Antivirüs yazılımına sahip kullanıcılar güncelleme yaptıktan sonra sistemlerini virüs taramasından geçirebilirler.
Antivirüs yazılımı olmayan kullanıcılar http://housecall.antivirus.com adresindeki ücretsiz tarama aracını kullanabilirler.
Kaynak: http://vil.nai.com/vil/content/v_100662.htm |
Ekli dosyalar
|
undo.reg
|
|
|
Bu dosyayı kullanarak solucanın registry'de yaptığı değişiklikleri eski haline getirebilirsiniz
|
| Yazıcı-uyumlu sayfa
| Bu makaleyi arkadaşına gönder |
©2007 Olympos Security Güvenlik Portalı - Bilgi Güvenliği Rehberiniz
Yorum listesi
| Konu: |
Yazar: |
Zaman: |
|
|
serkan güder
|
30.08.2005 11:18
|
|
selam bu solucanı nasıl download yapabilriim çok aradım ama bulamadım bir cvp yazarsan iyi olur bys
|
|
|
serkan güder
|
29.08.2005 23:21
|
|
herkese selam öncelikle şunu sölemek isterimki hepiniz birer şahesersiniz hepinizi kutlarım internette solucan ararken bu iste geldim ve sonra okudum okudum hayran kaldım nedendir bilmem ama bilgisayarları çok seviyorum bilgisayar benim herşeyim onun için elinizde hack programları varsa göndermenizi rica ederim email adresim serkanfull@gmail.com gönderen ve göndermeye arkadaşlara çok tşk ederim see you
|
|
|
|
![[VIRUS] W32/Swen@MM , W32/Gibe.E@MM (Yüksek Risk)](/ezimagecatalogue/catalogue/variations/380-300x300.gif)
![[VIRUS] W32/Swen@MM , W32/Gibe.E@MM (Yüksek Risk)](/ezimagecatalogue/catalogue/variations/381-300x300.gif)
![[VIRUS] W32/Swen@MM , W32/Gibe.E@MM (Yüksek Risk)](/ezimagecatalogue/catalogue/variations/382-300x300.gif)
![[VIRUS] W32/Swen@MM , W32/Gibe.E@MM (Yüksek Risk)](/ezimagecatalogue/catalogue/variations/383-300x300.gif)
