Kemal 1.kademe üye
Mesaj Sayısı : 148 Kayıt tarihi : 03/08/09 Nerden : Antalya
| Konu: Yeni Virusler: Bilgi & Tanim Çarş. Ağus. 05, 2009 8:34 pm | |
| Tanim
Moodown.B (Diger Adi: NetSky.B) solucani ilke kez 18 Subat 2004\'de görüldü. Bu virus Emaillerle birlikte Zip dosyasi olarak gelmekte, ve kendini sistemde ki tum paylasima açik dizin ve sürücülere kopyalamaktadir. Silme Yöntemi ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.exeftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.exeNasil silinecigi hakkinda bilgi: ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.txt Yaygin olarak kullanilan Anti-Virüs Programlari: Norton Anti-virüs McAfee Antivirüs AVP Panda Anti-virüs Titanium F-prot
Anti-virüs programlari hakkinda bilgi edinebileceginiz siteler: http://www.symantec.com/avcenter/http://www.virus.comhttp://www.securityfocus.com/http://www.microsoft.com/technet/security/virus.asp Troj/Prorat-D
Tanim Troj/Prorat-D trojani sisteminize uzaktan erisim saglanmasina neden olur.
Troj/Prorat-D trojani kendi kopyalarini Windows System veya System32 dizinlerine FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE ve WSERVICE.EXE isimlerinden biri seklinde kaydeder. Troj/Prorat-D Kendisini çalistirmak için se registry de ekte belirtilen yerlere kendini yerlestirir :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ Windows Reg Services = C:\\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \ Windows Reg Services = C:\\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell = Explorer.exe C:\\
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run\ Windows Reg Services = C:\\ DirectX for Microsoft Windows = C:\\
HKLM\Software\Microsoft\Active Setup\Installed Components\ [A75aed00-d7bf-11d1-9947-00c0Cf98bbc9]\ StubPath = C:\\
HKLM\Software\Microsoft\Active Setup\Installed Components\ [5Y99AE78-58TT-11dW-BE53-Y67078979Y]\ StubPath = C:\\
Ayni zamanda
http://members.lycos.co.uk/kabloboy/...e%20v1.5.3.exedosyasinida bilgisayariniza indirir. Bu dosyada kendinisi Windows dizininde WINLOGON.EXE olarak degistirir ve WINKEY.DLL dosyasini kontrolu altina alarak registryde
HKCU\Software\Microsoft DirectX\WinSettings\Troj/Prorat-C is embedded within WINKEY.DLL satirini ekler.
Bununlada yetinmeyerek SYSTEM.INI ve WIN.INI dosyalarinda [boot] ve [windows] bolumlerinde dosya yoluna ait düzenlemeler yapar Örnek:
Dosya : SYSTEM.INI Bölüm : boot Parametre : shell (Yeni) Deger : EXPLORER.EXE C:\\
Dosya : WIN.INI Bölüm : windows Parametre : run (Yeni) Deger : C:\\
Bunlar gibi bizim bilmedigimiz baska zararlarida olabilir. Korunmak için Virus programlarini update edebilirsiniz.
Witty virüsü ISS ürünlerindeki ICQ parse açığını kullanıyor.
Virüs kendisini UDP port 4000 kaynak portundan rastgele bir hedef porta gidecek şekilde IP adreslerine gönderiyor.
Virüs sadece hafızada duruyor, etkilenen bilgisayarda dosyalar yaratmıyor fakat sabit disklerde rastgele sektörlerin üzerine yazıyor. Bunun sonucunda da sistem düzgün çalışamıyor ve reboot işleminde mavi ekran\'a (BSoD) yol açabiliyor.
Kaynakça: http://securityresponse.symantec.com...itty.worm.htmlEtkilenen Sistemler Etkilenenler:
BlackICE Agent for Server 3.6 ebz, ecd, ece, ecf BlackICE PC Protection 3.6 cbz, ccd, ccf BlackICE Server Protection 3.6 cbz, ccd, ccf RealSecure Network 7.0, XPU 22.4 ve 22.10 RealSecure Server Sensor 7.0 XPU 22.4 ve 22.10 RealSecure Desktop 7.0 ebf, ebj, ebk, ebl RealSecure Desktop 3.6 ebz, ecd, ece, ecf RealSecure Guard 3.6 ebz, ecd, ece, ecf RealSecure Sentry 3.6 ebz, ecd, ece, ecf
I-Worm.Cult
Bu worm bulaşmış olduğu mail adreslerini ve kazaa nın dosya paylaşım ağını kullanıyor ve üstüne üstlük backdoor bileşenleri içeriyor. Worm .exe uzantılı olup 13kb civarında
Worm kendi çoğaltıp ismini winupdate.exe diye değiştiriyor ve regedit ayarlarını ona gore düzenliyor.
örnek:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce Microsoft auto update = winupdate.exe
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Microsoft auto update = winupdate.exe
Bunun yanında kendi için registry key oluşturup bunu içinde saklıyor.
örnek:
HKLMSOFTWAREMicrosoftWDXDriver stv1= stv2= stv3= stv4= xdvd=
Gösterdiği sahte uyarı mesajı ise; Application Error
The instruction at |0x776456de| referenced memory at |0x623525dg3|. The memory could not be |read| Click on OK to terminate the application
Mail dağılımındaki mesaj örneği:
Konu: Hi, I sent you an eCard from BlueMountain.com
Mesaj:
To view your eCard, open the attachment If you have any comments or questions, please visit http://www.bluemountain.com/customer/index.pdThanks for using BlueMountain.com.
Eklenmiş dosya:
BlueMountaineCard.pif
Worm sadece eklenmiş dosya açılırsa bulaşıyor ve kendini sisteme yayıyor.
Kazaa daki dağılma örneği:
Worm kendini windows a Kazaa adlı bir alt klasör diye tanımlayıp kendini kopyalıyor.
Kopyalarının örnek isimler:
"SMS_sender.exe" "DivX 5.03 Codecs.exe" "Download accelarator.exe" "PaintShop Pro 7 Crack_By_Force.exe" "ZoneAlarm Pro KeyGen.exe"
Bu sahte Kazaa klasörü, Kazaa dosya paylaşımı için açılıyor ve su sayede diğer KAzaa kullanıcılarına yayılıyor
Backdoor uygulaması
IRC kanalına bağlanıp sahibinden gönderilen bazı komutları dinliyor
örnek komutlar:
- sistem bilgileri hakkında ayrıntılı rapor - URL den dosya yüklenmesi - dosya çalıştırma - gibi ...
Yeni Posta Kurdu: Netsky.V
Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor.
Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor. Bunun için de üreticinin geçtiğimiz Ekim ayında yayınladığı bir yama ile kapattığı Microsoft browserındaki bir güvenlik açığını kullanıyor. Kurt, yayılmak için bulaştığı bilgisayardaki posta adreslerini arıyor ve posta göndermek için de kendi SMTP motorunu kullanıyor. Sophos’un açıklamalarına göre virüslü e-postalar “Converting message. Please wait” veya “Please wait while loading failed message” gibi metinler içeriyor. Ayrıca bu zararlı, bulaştığı bilgisayarları kullanarak 22 ile 29 Nisan tarihleri arasında çeşitli paylaşım aracı istemcisi sunucularına saldırı yapacak. Özellikle www.kazaa.com, www.emule.de ve www.freemule.net adresleri, çok sayıda sorgu gönderilerek yani “distributed Denial of Service” saldırısı ile çökertilmeye çalışılacak.
| |
|