Kemal
1.kademe üye
Mesaj Sayısı : 148
Kayıt tarihi : 03/08/09
Nerden : Antalya
 |  Konu: Yeni Virusler: Bilgi & Tanim  Çarş. Ağus. 05, 2009 8:34 pm | |
| Tanim
Moodown.B (Diger Adi: NetSky.B) solucani ilke kez 18 Subat 2004\'de görüldü. Bu virus Emaillerle birlikte Zip dosyasi olarak gelmekte, ve kendini sistemde ki tum paylasima açik dizin ve sürücülere kopyalamaktadir. Silme Yöntemi ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.exeftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.exeNasil silinecigi hakkinda bilgi: ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.txt Yaygin olarak kullanilan Anti-Virüs Programlari:
Norton Anti-virüs
McAfee Antivirüs
AVP
Panda Anti-virüs Titanium
F-prot
Anti-virüs programlari hakkinda bilgi edinebileceginiz siteler:
http://www.symantec.com/avcenter/http://www.virus.comhttp://www.securityfocus.com/http://www.microsoft.com/technet/security/virus.asp Troj/Prorat-D
Tanim
Troj/Prorat-D trojani sisteminize uzaktan erisim saglanmasina neden olur.
Troj/Prorat-D trojani kendi kopyalarini Windows System veya System32 dizinlerine FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE ve WSERVICE.EXE isimlerinden biri seklinde kaydeder.
Troj/Prorat-D Kendisini çalistirmak için se registry de ekte belirtilen yerlere kendini yerlestirir :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Windows Reg Services = C:\\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
Windows Reg Services = C:\\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = Explorer.exe C:\\
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run\
Windows Reg Services = C:\\
DirectX for Microsoft Windows = C:\\
HKLM\Software\Microsoft\Active Setup\Installed Components\
[A75aed00-d7bf-11d1-9947-00c0Cf98bbc9]\
StubPath = C:\\
HKLM\Software\Microsoft\Active Setup\Installed Components\
[5Y99AE78-58TT-11dW-BE53-Y67078979Y]\
StubPath = C:\\
Ayni zamanda
http://members.lycos.co.uk/kabloboy/...e%20v1.5.3.exedosyasinida bilgisayariniza indirir. Bu dosyada kendinisi Windows dizininde WINLOGON.EXE olarak degistirir ve WINKEY.DLL dosyasini kontrolu altina alarak registryde
HKCU\Software\Microsoft DirectX\WinSettings\Troj/Prorat-C is embedded within WINKEY.DLL satirini ekler.
Bununlada yetinmeyerek SYSTEM.INI ve WIN.INI dosyalarinda [boot] ve [windows] bolumlerinde dosya yoluna ait düzenlemeler yapar
Örnek:
Dosya : SYSTEM.INI
Bölüm : boot
Parametre : shell
(Yeni) Deger : EXPLORER.EXE C:\\
Dosya : WIN.INI
Bölüm : windows
Parametre : run
(Yeni) Deger : C:\\
Bunlar gibi bizim bilmedigimiz baska zararlarida olabilir. Korunmak için Virus programlarini update edebilirsiniz.
Witty virüsü ISS ürünlerindeki ICQ parse açığını kullanıyor.
Virüs kendisini UDP port 4000 kaynak portundan rastgele bir hedef porta gidecek şekilde IP adreslerine gönderiyor.
Virüs sadece hafızada duruyor, etkilenen bilgisayarda dosyalar yaratmıyor fakat sabit disklerde rastgele sektörlerin üzerine yazıyor. Bunun sonucunda da sistem düzgün çalışamıyor ve reboot işleminde mavi ekran\'a (BSoD) yol açabiliyor.
Kaynakça: http://securityresponse.symantec.com...itty.worm.htmlEtkilenen Sistemler
Etkilenenler:
BlackICE Agent for Server 3.6 ebz, ecd, ece, ecf
BlackICE PC Protection 3.6 cbz, ccd, ccf
BlackICE Server Protection 3.6 cbz, ccd, ccf
RealSecure Network 7.0, XPU 22.4 ve 22.10
RealSecure Server Sensor 7.0 XPU 22.4 ve 22.10
RealSecure Desktop 7.0 ebf, ebj, ebk, ebl
RealSecure Desktop 3.6 ebz, ecd, ece, ecf
RealSecure Guard 3.6 ebz, ecd, ece, ecf
RealSecure Sentry 3.6 ebz, ecd, ece, ecf
I-Worm.Cult
Bu worm bulaşmış olduğu mail adreslerini ve kazaa nın dosya paylaşım ağını kullanıyor ve üstüne üstlük backdoor bileşenleri içeriyor. Worm .exe uzantılı olup 13kb civarında
Worm kendi çoğaltıp ismini winupdate.exe diye değiştiriyor ve regedit ayarlarını ona gore düzenliyor.
örnek:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
Microsoft auto update = winupdate.exe
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Microsoft auto update = winupdate.exe
Bunun yanında kendi için registry key oluşturup bunu içinde saklıyor.
örnek:
HKLMSOFTWAREMicrosoftWDXDriver
stv1=
stv2=
stv3=
stv4=
xdvd=
Gösterdiği sahte uyarı mesajı ise;
Application
Error
The instruction at |0x776456de| referenced memory at |0x623525dg3|. The memory
could not be |read|
Click on OK to terminate the application
Mail dağılımındaki mesaj örneği:
Konu: Hi, I sent you an eCard from BlueMountain.com
Mesaj:
To view your eCard, open the attachment
If you have any comments or questions, please visit
http://www.bluemountain.com/customer/index.pdThanks for using BlueMountain.com.
Eklenmiş dosya:
BlueMountaineCard.pif
Worm sadece eklenmiş dosya açılırsa bulaşıyor ve kendini sisteme yayıyor.
Kazaa daki dağılma örneği:
Worm kendini windows a Kazaa adlı bir alt klasör diye tanımlayıp kendini kopyalıyor.
Kopyalarının örnek isimler:
"SMS_sender.exe"
"DivX 5.03 Codecs.exe"
"Download accelarator.exe"
"PaintShop Pro 7 Crack_By_Force.exe"
"ZoneAlarm Pro KeyGen.exe"
Bu sahte Kazaa klasörü, Kazaa dosya paylaşımı için açılıyor ve su sayede diğer KAzaa kullanıcılarına
yayılıyor
Backdoor uygulaması
IRC kanalına bağlanıp sahibinden gönderilen bazı komutları dinliyor
örnek komutlar:
- sistem bilgileri hakkında ayrıntılı rapor
- URL den dosya yüklenmesi
- dosya çalıştırma
- gibi ...
Yeni Posta Kurdu: Netsky.V
Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor.
Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor. Bunun için de üreticinin geçtiğimiz Ekim ayında yayınladığı bir yama ile kapattığı Microsoft browserındaki bir güvenlik açığını kullanıyor. Kurt, yayılmak için bulaştığı bilgisayardaki posta adreslerini arıyor ve posta göndermek için de kendi SMTP motorunu kullanıyor. Sophos’un açıklamalarına göre virüslü e-postalar “Converting message. Please wait” veya “Please wait while loading failed message” gibi metinler içeriyor. Ayrıca bu zararlı, bulaştığı bilgisayarları kullanarak 22 ile 29 Nisan tarihleri arasında çeşitli paylaşım aracı istemcisi sunucularına saldırı yapacak. Özellikle www.kazaa.com, www.emule.de ve www.freemule.net adresleri, çok sayıda sorgu gönderilerek yani “distributed Denial of Service” saldırısı ile çökertilmeye çalışılacak.
| |
|
