*´¯`·.¸.·´¯`·.((( RAVDA.net ))).·´¯`·.¸ | SeVGiYe aÇILaN KaPI - İşte Virüsler Ve Bulaşma Yolları Veetkileri

	Anasayfa Yap
	Favoriye Ekle
	İrtibat

Üye Girişi

Üye Ol

Toplam Kategori: 69 *** Toplam Konu: 30100 *** Toplam Mesaj: 148193

Forum Anasayfa » BİLGİSAYAR / İNTERNET » PROĞRAMLAMA » İşte Virüsler Ve Bulaşma Yolları Veetkileri

önceki konu sonraki konu

Bu konuda 4 mesaj mevcut

Sayfa (1): (1)

Ekleyen

Mesaj

	CocuksuMavi

İşte Virüsler Ve Bulaşma Yolları Veetkileri

1 Mesaj

Kayıt Tarihi: 08.03.2006

En Son On: 08.03.2006 - 18:05

Cinsiyeti: -----

Virüs nedir? nasıl bulaşır? nasıl temizlenir? virüslerden korunma?

--------------------------------------------------------------------------------

Virüs Tanımı
Virüs, bir bilgisayara disketler, ağ paylaşımı, Internet (e-mail, dosya indirme) yollarıyla girebilen ve bilgisayarlarda istenmeyen sonuçlara ve zararlara yol açan bir bilgisayar programıdır. Virüslerin en önemli özelliği; girdikleri sistemlere kendilerini, kullanıcı farkında olmadan veya iradesi dışında çalıştırılacağı şekilde yerleştirmesi ve sistemlere zarar vermesidir. Virüsler genel olarak etkilerini diğer çalışan programlara bulaşarak onlarda çeşitli değişiklikler yaparak gösterirler. Virüslerin bir diğer özelliği ise kendilerini çoğaltmaları ve hafızada değişik yerlere kaydetmeleridir. Virüslerin etkileri ekranınıza rahatsızlık veren mesajlar çıkararak çalışmanızı engellemesi olabilabileceği gibi, bilgisayarın hafızasını ve disk alanını kullanarak erişiminizi engellemeleri veya kullandığınız dosyaların içeriklerini bozmaları veya silmeleri gibi oldukça zararlı etkileri de olabilir.

Virüs Nasıl Anlaşılır ve Temizlenir?
Anti-virüs yazılımı olmadığı şartlarda bilgisayarınızda virüs olduğunu ancak virus etkisini gösterdikten sonra anlayabilirsiniz. Bir virüsün etkileri bilgisayarda yavaşlama, Windows uygulamalarında hata mesajları (system fault, application error, missing files), bilgisayarın kilitlenmesi, DOS işletim sistemine dönmesi, bazı dosyaların açılmaması, değişik sesler veya bilgisayarınızın isteğiniz dışında işlemler yapmaya başlaması şeklinde görülebilir. Bu durumda bir anti-virüs programı kullanarak bilgisayarın virüsten temizlenmesi gerekmektedir. Virüsün bilgisayara geri dönülmez hasarlar vermiş olduğu durumlarda temizleme her zaman başarılı olmayabilir. Kullanılan anti-virüs yazılımlarının buldukları virüsleri silmeleri veya bulaştıkları dosyalardan temizlenmeleri mümkün olmaması da karşılaşılan bir durumdur. Anti-virüs yazılımlarının tarama işlemi sonrasında virüs bulamaması bilgisayarda virüs olmadığını değil, tarama işleminde kullanılan anti-virüs programlarının tanıdığı virüslerin bulunmadığını gösterebilir. Bu durumda kullanılan anti-virüs programının güncellenmesi veya daha güncel başka bir anti-virüs yazılımının kullanılması uygun olacaktır.

Virusden Korunma
Virüsler bilgisayarınıza bulaşmadan önce önlem almak ve baştan koruma sağlamak için McAfee Anti-Virus, Norton AntiVirus, F-Prot, Dr. Solomon's Anti-Virus Toolkits vs. gibi programları bilgisayarınıza henüz herhangi bir virüs sorunu ile karşılaşmamışken kurmanız gerekmektedir.

Ayrıca aşağıdaki sitelerden virüslerle, en yeni virus uyarıları hakkında detaylı bilgi bulabilirsiniz.

http://www.virus.com
http://www.mcafeeb2b.com/avert/virus-alerts/default.asp
http://www.mcafeeb2b.com/naicommon/...us-glossary.asp
http://www.symantec.com/avcenter/vinfodb.html
http://www.symantec.com/avcenter/
http://www.securityfocus.com/
http://www.microsoft.com/technet/security/virus.asp
http://www.antivirus.com

Güncel Virusler

W32/Gaobot

W32/SoberD

W32/Bagle.E

W32/Netsky.B

W32/Mydoom

W32/Bagle.A

W32/SoberA

W32/MimailC

W32/Holar

W32/Blaster

W32/Nachi

W32/Sobig.F

WW32/Dumaru

W32/Mimail

W32/Gaobot

Virüs Tanımı :

Internet solucanı MS03-026, MS03-001, MS03-007 ve MS03-049 açıklarını kullanarak bilgisayarı etkilemektedir.

Belirtiler:

Beklenmeyen açık portlar

kayıt dosyasındaki varlığı

Güvenlik programların çalışmaması

Korunma Yöntemi:

Virüsten korunmak için yapılması gerekenler.

Windows işletim sistemi güncelemelerini mutlaka yapınız.

Bilgisayarda bulunan her kullanıcının şifresinin en az 8 karakter uzunluğunda olmasına ve içinde büyük harf, küçük harf, rakam ve özel karakterlerin bulunmasına özen gösteriniz.

Kullanılmayan windows paylaşımlarının kesinlikle kapatılması gerekmektedir. Bunun yanında varsayılan yönetici paylaşımlaırnın da
HKLM\System\CurrentControlSet\Services\LanmanServer\Paramete rs\AutoShareWks (REG_DWORD) 0
verisi kayıt dosyasına işlenerek (registry) durdurulmalıdır.

Windows paylaşımın kullanımının zorunlu olduğu durumlarda paylaşım parola korumalı olmalıdır. Paylaşımın parolasız olması durumunda bilgisayaraınız virüse karşı korumasızdır.

Teknik özellikler:

Kendisini %System%\wuamps.exe olarak kopyalıyor.

Windows açıldığında kod çalışması için aşağıdaki değeri;

kayıt (registry) dosyasında belirtilen yerlere yazıyor;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\ wuamps.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \RunOnce wuamps.exe

Guvenlik yazilimlarini calismasini durduruyor.

Asagida belritilen baska Internet solucanlari tafindan kullanilan surecleri
duruduruyor

taskmon.exe

bbeagle.exe

d3dupdate.exe

winsys.exe

ssate.exe

i11r54n4.exe

rate.exe

irun4.exe

Ssate.exe

wuamps.exe

Asağıdaki siteler bağlantı yapılmasını engellemek icin "host" olarak ilgili verileri giriyor.

http://www.trendmicro.com
http://www.rads.mcafee.com
http://www.customer.symantec.com
http://www.liveupdate.symantec.com
http://www.us.mcafee.com
http://www.updates.symantec.com
http://www.update.symantec.com
http://www.nai.com
http://www.secure.nai.com
http://www.dispatch.mcafee.com
http://www.my-etrust.com
http://www.mast.mcafee.com
http://www.ca.com
http://www.networkassociates.com
http://www.kaspersky.com
http://www.avp.com
http://www.f-secure.com
http://www.viruslist.com
http://www.mcafee.com
http://www.sophos.com
http://www.securityresponse.symantec.com
http://www.symantec.com

Önceden belirlenmiş IRC sitesine baglanmaya calışıyor ve oradan alacağı komutları uyguluyor. Komutlar asagidaki işlemleri sağlamaktadır:

Sistem hakkida bilgi edinmek

Dosya indirmek ve calıştırmak

FTP sitelerine bağlanıp dosya yüklemek

SSH kullanarak baska sistemlere bağlanmak

Çalışan programları durdurmak

E-posta adresleri toplamak

SOCKS proxy olarak calışmak

Yukarda belirtilen açıkkları olan bilgisayaları ağda arıyor.
Asağıdaki paylaşımlara kullanıcı adı ve parola deniyerek bağlanmaya calışıyor.

admin$

print$

W32/SoberD

Virüs Tanımı :
Toplu e-posta atan bir virustür. Ancak bazı sürümleri virüs içermeyen bozulmuş dosyalar göndermektedir.

Aşağıdaki özelliklerde geliyor:

Kimden:

Info@microsoft.com

Center@microsoft.com

UpDate@microsoft.com

News@microsoft.com

Help@microsoft.com

Studio@microsoft.com

*]Alert@microsoft.com

Security@microsoft.com

Konu:

Microsoft Alarm: Bitte Lessen!

Microsoft Alert: Please Read!

Metin:

Mydoom virüsünün yeni bir varyantından bahsediyor.

Eklenti:

sys-patch

MS-UD

MS-Security

Patch

Update

MS-Q

.exe ya da .zip uzantılı.

Belirtiler:

Aşağıdaki dosyaların varlığı.

diagwinhost.exe

Humgly.lkur

Htemp32x.data

Hwintmpx33.dat

Hyfjq.yqwm

Hzmndpgwf.kxx

Etkileme Yöntemi:

E -posta eklentisinin çalıştırılıması.

Teknik özellikler:

Virüs çalıştırıldığında:

Kendisini %System%\diagwinhost.exe olarak kopyalıyor.

Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor

%System%\temp32x.data

%System%\wintmpx33.dat

%System%\mslog32.dll

%System%\Humgly.lkur

%System%\yfjq.yqwm

%System%\zmndpgwf.kxx

Windows açıldığında kod çalışması için aşağıdaki değeri;
kayıt (registry) dosyasında belirtilen yerlere yazıyor;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
Run\disc32data "spool32" = %SYSDIR%\diagwinhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
RunOnce "diagdir" = %SYSDIR%\diagwinhost.exe %1

Aşağıdaki mesajı görüntülüyor.

This patch has been successfully installed.
This patch does not need to be installed on this system.
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall

Aşağıdaki dosyalardan e-posta adresleri topluyor ve %system%\mslog32.dll dosyasına kaydediyor.

.abd

.adb

.asp

.dbx

.doc

.eml

.ini

.log

.mdb

.php

.pl

.rtf

.shtml

.tbb

.ttt

.txt

.wab

.xls

W32/Bagle.E

Virüs Tanımı

Toplu e-posta gönderen bir virüstür. 25 Mart 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır.Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.

Konu:

Accounts department

Ahtung!

Camila

Daily activity report

Flayers among us

Freedom for everyone

From Hair-cutter

From me

Greet the day

Hardware devices price-list

Hello my friend

Hi!

Jenny

Jessica

Looking for the report

Maria

Melissa

Monthly incomings summary

New Price-list

Price

Price list

Proclivity to servitude

Registration confirmation

The account

The employee

The summary

USA government abolishes the capital punishment

Weekly activity report

Well...

You are dismissed

You really love me? he he

Mesaj içeriği

Boş

Eklenti:

"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb

Belirtiler:

2745 TCP portunun açık olması

Etkileme Yöntemi:

E-posta eklentisinin çalıştırılıması.

Teknik özellikler:

Virüs çalıştırıldığında:

Sistem zamanın 24 Mart 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor.

Kendisini %system%\i1ru74n4.exe olarak kopyalıyor.

notepad.exe'yi çalıştırıyor.

Windows açıldığında kod çalışması için aşağıdaki değerleri;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run, rate.exe"="%System%\i1ru74n4.exe

HKEY_CURRENT_USER\SOFTWARE\DateTime4, "uid" = "[Random Value]"

HKEY_CURRENT_USER\SOFTWARE\DateTime4, "port"="2745"

HKEY_CURRENT_USER\SOFTWARE\DateTime4, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki dosyalardan e-posta adresleri topluyor.

.wab

.txt

.htm

.html

.dbx

.mdx

.eml

.nch

.mmf

.ods

.cfg

.asp

.php

.pl

.adb

.sht

Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.

Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor.

permail.uni-muenster.de

www.songtext.net/de

www.sportscheck.de
Aşağıdaki antivirüs güncellemelerini saplayan süreçleri durduruyor.

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVLTMAIN.EXE

AVPUPD.EXE

AVWUPD32.EXE

AVXQUAR.EXE

CFIAUDIT.EXE

DRWEBUPW.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

LUALL.EXE

MCUPDATE.EXE

NUPGRADE.EXE

OUTPOST.EXE

UPDATE.EXE

W32/Netsky.B

Virüs Tanımı:

Toplu e-posta gönderen bir virüstür. P2P paylaşımıyla da yayılmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.

Kimden:

etkilenmiş makineden toplanmış e-posta adreslerinden yaratılmış e-posta adresleri

skynet@skynet.de

Konu:

fake

for

hello

immediately

information

read

something

stolen

unknown

warning

you

Mesaj içeriği:

about me

anything ok?

do you? that's funny

from the chatter

greetings

here

here is the document.

here it is

here, the cheats

here, the introduction

here, the serials

i found this document about you

I have your password!

i hope it is not true!

i wait for a reply!

i'm waiting ok

information about you

is that from you?

is that true?

is that your account?

is that your name?

kill the writer of this document!

my hero

read it immediately!

read the details.

see you

something about you!

something is fool

something is going wrong

something is going wrong!

stuff about you?

take it easy

that is bad

thats wrong why?

what does it mean?

yes, really?

you are a bad writer

you are bad

you earn money

you feel the same

you try to steal

your name is wrong

Eklenti:

"Eklenti" isimleri de değişken olmaktadır ancak iki uzantılıdır.

Belirtiler:

Beklenmeyen ağ trafiği

Etkileme Yöntemi:

E-posta eklentisinin çalıştırılıması.

Teknik özellikler:

Virüs çalıştırıldığında:

Kendisini %Windir%\services.exe olarak kopyalıyor.

Windows açıldığında kod çalışması için aşağıdaki değerleri;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run, "service" = "%Windir%\services.exe -serv"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;

Aşağıdaki kayıt dosyalarından.

"Taskmon" ve "Explorer" değerlerini

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices

"KasperskyAV" ve "System." değerlerini

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run

W32/Mydoom arka kapısını kapatmak için

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127E D}\InProcServer32
siliyor

Aşağıdaki dosyalardan e-posta adresleri topluyor.

.msg

.oft

.sht

.dbx

.tbb

.adb

.doc

.wab

.asp

.uin

.rtf

.vbs

.html

.htm

.pl

.php

.txt

.eml

Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.

"C"den "Z"ye kadar tüm sürücüleri tarıyıp "Sharing" veya "Share" isimli dizin arıyor. Eğer sürücü CDROM değilse kendisini ağağıdakşi isimlerle dizine kopyalıyor.

doom2.doc.pif

sex sex sex sex.doc.exe

rfc compilation.doc.exe

dictionary.doc.exe

win longhorn.doc.exe

e.book.doc.exe

programming basics.doc.exe

how to hack.doc.exe

max payne 2.crack.exe

e-book.archive.doc.exe

virii.scr

nero.7.exe

eminem - lick my pussy.mp3.pif

cool screensaver.scr

serial.txt.exe

office_crack.exe

hardcore porn.jpg.exe

angels.pif

porno.scr

matrix.scr

photoshop 9 crack.exe

strippoker.exe

dolly_buster.jpg.pif

winxp_crack.exe

W32/Mydoom

Virüs Tanımı :

Toplu e-posta atan bir virustür.

Kimden:

Konu:

test

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

Metin:

Eklenti:

doc.bat

document.zip

message.zip

readme.zip

text.pif

hello.cmd

body.scr

test.htm.pif

data.txt.exe

file.scr

Belirtiler:

Aşağıdaki kayıt(registry) dosyalarının varlığı

Anlamsız eklentinin içeriği

Etkileme Yöntemi:

E-posta eklentisinin çalıştırılıması sonucu kendi SMPT motoru yardımı ve P2P paylaşımları yoluyla yayılıyor.

Teknik özellikler:

Virüs çalıştırıldığında:

aşağıdaki dosyaları yaratıyor.

"shimgapi.dll" %System% dizininde.

"Message" %temp% dizinde. Notepad tarafından açılan tamamen tesadüfi karakterlerden oluşmuş bir metindir.

"taskmon.exe" %System% dizinde. Başka bir taskmon.exe varsa üzerine yazıyor.

shimgapi.dll arka kapı olarak çalışan proxy programıdır.

Shimgapi.dll EXPLORER.EXE tarafından çalıştırılması için aşağıdaki kayıt (registry key) anahtarları girilir:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127E D}\InProcServer32 "

Default)" = %SysDir%\shimgapi.dll

Windows açıldığında kod çalışması için aşağıdaki değeri;
TaskMon = %System%\taskmon.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
Run

Aşağıdaki kayıt dosyalarını yaratır:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \
Explorer\ComDlg32\Version

KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\E xplorer\
ComDlg32\Version

Aşağıdaki dosyalardan e-posta adresleri topluyor.

".htm"

".sht"

".php"

".asp"

".dbx"

".tbb"

".adb"

".pl"

".wap"

".txt"

Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.

Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.

www.sco.com

%KaZaA dizinine iki dosya daha yaratıyor.

winamp5

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004

aşağıdaki uzantlarla

pif

scr

bat

exe

W32/Bagle.A

Virüs Tanımı:

Toplu e-posta gönderen bir virüstür. 28 Ocak 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.

Konu:

Hi

Mesaj içeriği:

Test =) Rastgele karakterler Test, yep.

Eklenti:

"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb

Belirtiler:

6777 TCP portunun açık olması

bbeagle.exe dosyasını Sistem dizinide bulunması.
Etkileme Yöntemi:

E-posta eklentisinin çalıştırılıması.

Teknik özellikler:

Virüs çalıştırıldığında:

Sistam zamanın 28 Ocak 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor.

Kendisini %system%\bbeagle.exe olarak kopyalıyor.

Calc.exe'yi çalıştırıyor.

Windows açıldığında kod çalışması için aşağıdaki değerleri;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run, "d3update.exe" = "%system%\bbeagle.exe"

HKEY_CURRENT_USER\Software\Windows98, "uid" = "[Random Value]"

HKEY_CURRENT_USER\Software\Windows98, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;

Aşağıdaki dosyalardan e-posta adresleri topluyor.

".wab"

".txt"

".htm"

".html"

Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.

Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor.

www.elrasshop.de

www.it-msc.de

www.getyourfree.net

www.dmdesign.de

64.176.228.13

www.leonzernitsky.com

216.98.136.248

216.98.134.247

www.cdromca.com

www.kunst-in-templin.de

vipweb.ru

antol-co.ru

www.bags-dostavka.mags.ru

www.5x12.ru

bose-audio.net

www.sttngdata.de

wh9.tu-dresden.de

www.micronuke.net

www.stadthagen.org

www.beasty-cars.de

www.polohexe.de

www.bino88.de

www.grefrathpaenz.de

www.bhamidy.de

www.mystic-vws.de

www.auto-hobby-essen.de

www.polozicke.de

www.twr-music.de

www.sc-erbendorf.de

www.montania.de

www.medi-martin.de

vvcgn.de

www.ballonfoto.com

www.marder-gmbh.de

www.dvd-filme.com

www.smeangol.com

W32/SoberA

Virüs Tanımı :

Toplu e-posta atan bir virustür.

Aşağıdaki özelliklerde geliyor:

Kimden:

Değişken

Konu:

Neuer Virus im Umlauf!

Sie versenden Spam Mails (Virus?)

Ein Wurm ist auf Ihrem Computer!

Langsam reicht es mir

Sie haben mir einen Wurm geschickt!

Hi Schnuckel was machst du so ?

VORSICHT!!! Neuer Mail Wurm

Re: Kontakt

RE: Sex

Sorry, Ich habe Ihre Mail bekommen

Hi Olle, lange niks mehr gehört!

Re: lol

Viurs blockiert jeden PC (Vorsicht!)

Überraschung

Ich habe Ihre E-Mail bekommen !

Jetzt rate mal, wer ich bin !?

Neue Sobig Variante (Lesen!!)

Back At The Funny Farm

Ich Liebe Dich

New internet virus!

You send spam mails (Worm?)

A worm is on your computer!

Now, it's enough

You have sent me a virus!

Hi darling, what are you doing now?

Be careful! New mail worm

Re: Contact

RE: Sex

Sorry, I've become your mail

Hey man, long not see you

Viurs blocked every PC (Take care!)

Surprise

I've become your mail!

Advise who I am!

New Sobig-Worm variation (please read)

I love you (I'm not a virus!)

Metin:

Değişken, ancak genelde Odin isminde başka bir virüsten bahsediyor

Eklenti:

.pif

.scr

.bat

.com

.exe

Belirtiler:

Aşağıdaki dosyaların varlığı.

Media.dll

Similare.exe

Etkileme Yöntemi:

E-posta eklentisinin çalıştırılıması.

Teknik özellikler:

Virüs çalıştırıldığında:

Kendisini %System%\Similare.exe olarak kopyalıyor.

Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor

%SysDir%\WINREG.EXE

%SysDir%\FILEXE.EXE

%SysDir%\ANTIV.EXE

%SysDir%\SYSTEMINI.EXE

%SysDir%\DRIVERINI.EXE

%SysDir%\SYSTEMCHK.EXE

Windows açıldığında kod çalışması için aşağıdaki değeri;
" Belirtilen dosyalardan birisi" = "Belirtilen konumlardan birsi"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run

Aşağıdaki dosyalardan e-posta adresleri topluyor ve aşağıdaki dosyaya kaydediyor.

%System%\Macromed\Help\Media.dll

W32/MimailC

Virüs Tanımı :

Toplu e-posta atan bir virustür.

Aşağıdaki özelliklerde geliyor:

Kimden:

James@bulundugunuz alan adı

Konu:

our private photos (Bir miktar boşlıktan sonra bir kaç karakter daha)

Eklenti:

PHOTOS.ZIP (12,958 bytes) (PHOTOS.JPG.EXE (12,832 bytes) dosyasını içeriyor)

Metin:

Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James.

Belirtiler:

vEXE.TMP ve ZIP.TMP dosyalarını varlığı

Güvenllik duvarının NETWATCH.EXE Internet bağlantı kurmaya çalışıyor alarmı vermesi.

Yüksek ölçekte uzaktaki sunucunun 80.portuna doğru veri akışı.

Etkileme Yöntemi:

E-posta eklentisinin çalıştırılıması

Teknik özellikler:

Virüs çalıştırıldığında:

Kendisini %Windir%\Netwatch.exe olarak kopyalıyor.

Windows açıldığında kod çalışması için aşağıdaki değeri; "NetWatch32" = "%Windir%\netwatch.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run

Aşağıdaki dosyalardan e-posta adresleri topluyor.

".bmp"

".jpg"

".gif"

".exe"

".dll"

".avi"

".mpg"

".mp3"

".vxd"

".ocx"

".psd"

".tif"

".zip"

".rar"

".pdf"

".cab"

".wav"

".com"

Topladığı e-posta adreslerini %Windir%\eml.tmp dosyasına yazıyor.

Internet bağlantısı olup olmadığını kontrol etmek için http://www.google.com adresine bağlantı kurmayı deniyor.

Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.

Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.

www.darkprofits.net

www.darkprofits.com

%Windir% dizinine iki dosya daha yaratıyor.

zip.tmp

Exe.tmp

W32/Holar

Virüs Tanımı :

Toplu e-posta gönderen Internet solucanı, P2P dosya paylaşımları yoluyla da yayılmaktadır.

E-posta Aşağıdaki özelliklerde geliyor:

Kimden:

Dispatch@McAfee.com

Konu:

Bir çok değişik konu ve içerik oluşturabilmekte, bir örnek vermek gerekirse

Virus Alert ! Dear User, McAfee.com Has recieved an infected message from you .
We believe that you are infected with Win32/HaWawi@MM Virus.
Please download the attached tool (ToolAv01w32) which will help you to clean your PC.
For more information : *Create an email addressed to virus_research@nai.com.
Your name, phone number, address, and email address
Operating system: Antivirus program: Anti virus engine version (e.g. 4.1.20) DAT file version (e.g. 4.0.4140) Browser version Nature of problem

Eklenti:

Değişik eklenti isimleri kullanmakta;

Aint_it_Funny.pif

AniMaL_N_Burning_Ladies.pif

Beauty_VS_Your_FaCe.pif

Broke_ass.pif

Come_2_Cum.pif

Endless_life.pif

Famous_PpL_N_Bad_Setuations.pif

Gurls_Secrets.pif

HAwa.pif

HaWawi_N_Hawaii.pif

Hearts_translator.pif

Hot_Show.pif

How_to_improve_ur_love.pif

Leaders_Scandals.pif

Lo0o0o0o0oL.pif

Real_Magic.pif

Shakiraz_Big_ass.pif

Short_vClip.pif

Sweet_but_smilly.pif

Tears_of_Happiness.pif

Tedious_SeX.pif

Teenz_Raper.pif

The_Truth_of_Love.pif

ToolAv01w32.pif

unfaithful_Gurls.pif

White_AmeRica.pif

XxX_Mpegs_Downloader.pif

Metin:

Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James.

Belirtiler:

Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı

Virüs tarafından yüklenmis sayaç dosyasının kayıt dosyasın varlığı

HKEY_CURRENT_USER\DeathTime = %Run count%
Eğer sayaç 30'u geçerse, yerel diskteki tüm dosyları silmeye başlıyor ve bir çok mesaj kutusu açılıyor.
Etkileme Yöntemi: E-posta eklentisi ya da KaZaa'dan indirilen dosya çalıştırıldığında kendisini bilgisayara yükleyerek bulaşıyor

Teknik özellikler:

Aşağıdaki dosyaları gizli olacak şekilde belirtilen yerlere kopyalıyor.

%windir%\explore.exe (24,064 bytes)

%windir%\SMTP.ocx (25,737 bytes)

Windows açıldığında kod çalışması için aşağıdaki değeri;
"Explore" = C:\WINDOWS\SYSTEM\EXPLORE.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run

P2P dosya paylaşım programlarından olan KaZaa kullanılıyorsa
%windir%\SYSTEM klasörünü varsayılan paylaşım olarak açıyor.

Windows Adres Defterinden, kurabiye dosyalarından, Internet geçici dosyalarından ve kullanıcının özel dosyalarından topladığı e-posta adreslerine kendi SMTP motorunu kullanarak e-posta gönderiyor.

W32/Mimail

Virüs Tanımı :

Toplu e-posta atan bir virustür.

Aşağıdaki özelliklerde geliyor:

Kimden:

admin@bulundugunuz alan adı

Konu:

e-posta adresiniz

Eklenti:

message.zip

Metin:

Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. --- Best regards, Administrator

Belirtiler:

videodrv.exe dosyasını varlığı

eml.tmp dosyasını varlığı

exe.tmp dosyasını varlığı

zip.tmp dosyasını varlığı

Etkileme Yöntemi:

E-posta eklentisinin çalıştırılıması.

Teknik özellikler:

Virüs çalıştırıldığında:

Kendisini %Windir%\Wideodrv.exe olarak kopyalıyor. Windows açıldığında kod çalışması için aşağıdaki değeri; "VideoDriver"="%Windir%\videodrv.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run

Aşağıdaki dosyalardan e-posta adresleri topluyor.

".bmp"

".jpg"

".gif"

".exe"

".dll"

".avi"

".mpg"

".mp3"

".vxd"

".ocx"

".psd"

".tif"

".zip"

".rar"

".pdf"

".cab"

".wav"

".com"

Topladığı e-posta adreslerini eml.tmp dosyasına yazıyor.

Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.

Message.zip dosyası Message.htm dosyasını içeriyor.

Çalıştırıldığında MS02-15 ve MS03-14 açıklarından yararlanarak Foo.exe solucanını bir kopyasını Temporary Internet Files dizinine kopyalıyor. HTML çalıştırıldığında kayıt dosyalarında aşağıdaki değişikliği yapıyor.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111} %Windir% dizinine iki dosya daha yaratıyor.

zip.tmp

Exe.tmp

W32/Blaster

Belirtiler:

msblast.exe dosyasını varlığı RPC servisindeki hata mesajları TFTP dosyaların varlığı

Etkileme Yöntemi:

Virüs Microsoft Windows işletim sistemlerini MS03-026 açlığından faydalanarak yayılmaktadır.

Rastgele seçtiği IP aralığında belirtilen açığı aramak için ağ taraması yapıyor.

Güncellemesi yapılmamış sistemleri yukarda belirtilen yöntemle etkiliyor

Korunma:

MS03-026 Microsoft açığından faydalanarak ağ üstünden yayılan bir virüstür.

Virüsten korunmak için Windows güncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.
Teknik özellikler:

Virüs çalıştırıldığında:

"Billy" isminde bir Mutex yaratıyor.

Windows açıldığında kod çalışması için aşağıdaki değeri;

"windows auto update"="msblast.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run TCP 135 porttan DCOM RPC zayıflığından yararlanan paketleri rastgele IP'lere gönderiyor.

Açıktan yararlanarak etkilene bilgisayar TCP 4444 portunu dinleyen gizli CMD uygulaması çalıştırıyor.

Yeni etkilenen bilgisayara Msblast.exe dosyasın çekmesi için komut gönderiyor.

UDP 69 portunu dinliyor.

Uygun paket geldiğinde Msblast.exe binary dosyasını çalıştırıyor.

Sistem tarihi Ağustos 15 sonrasındaysa Microsoft Update'e Dos başlatıyor.

W32/Nachi

Belirtiler:

Belirtilen dosyaların varlığı

Etkileme Yöntemi:

Virüs Microsoft Windows işletim sistemlerini MS03-026 açlığından faydalanarak yayılmaktadır.

Rastgele seçtiği IP aralığında belirtilen açığı aramak için ağ taraması yapıyor.

Güncellemesi yapılmamış sistemleri yukarda belirtilen yöntemle etkiliyor.

Korunma:

MS03-026 Microsoft bülteninde ve IIS 5.0 web sunucusu kullanan bilgisayarlarda da MS03-007 bülteninde belirtilen açıklardan faydalanarak ağ üstünden yayılan bir virüstür.

Virüsten korunmak için Windows güncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.

Teknik özellikler:

Virüs çalıştırıldığında:

Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.

%System%\Wins\Dllhost.exe %System%\Dllcache\Tftpd.exe dosyasını bir kopyasını %System%\Wins\svchost.exe isminde çıkarıyor.

Windows açıldığında kod çalışması için aşağıdaki değeri; RpcPatch RpcTftpd kayıt (registry) dosyasında belirtilen yerlere yazıyor;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run

Aşağıdaki servisleri hazırlıyor

Servis Adı: RpcTftpd

Servis Görsel Adı: Network Connections Sharing

Servis Binari: %System%\wins\svchost.exe Elle çalıştırılacak şekilde bırakılıyor.

Servis Adı: RpcPatch

Servis Görsel Adı: WINS Client

Servis Binari: %System%\wins\dllhost.exe Servis otomatik olarak çalışıyor.

Msblast servisini sonlandırıyor ve %System%\msblast.exe dosyasını siliyor.

IP adresleri belirledikten sonra bilgisayarların çalıtığını anlamak için ICMP echo isteği ve PING paketleri gönderiyor.

TCP 135 porta DCOM RPC zayıflığından yararlanan ve TCP 80 porta WebDav zayıflığından yararlanan paketleri IP'lere gönderiyor.

Açıktan yararlanarak etkilenen bilgisayar TCP 666-765 port aralığında rastgele bir portu dinleyen gizli CMD uygulaması çalıştırıyor.

Yeni etkilenen bilgisayara Dllhost.exe ve Svchost.exe dosyasın çekmesi için komut gönderiyor.

İşetim sistemini ve güncellemelerini kontrol edip, DCOM RPC zayıflığı bulunuyorsa WindowsUpdate sitesine bağlanıp gerekli güncelleme dosyalarını indip çalıştırıyor.

Güncelleme indildikten sonra aktif hale gelebilmesi için bilgisayarı tekrar başlatıyor.

Sistem tarihi 2004 yılındaysa kendisini sistemden siliyor.

W32/Sobig.F

Virüs Tanımı :

Toplu e-posta gönderen Internet solucanı;, dosya paylaşımları yoluyla da yayılmaktadır.

E-posta Aşağıdaki özelliklerde geliyor:

Kimden:

admin@internet.com (not: virus değişik adresler de kullanabilyor.)

Konu:

Bir çok değişik konu oluşturabilmekte:

Re: Details

Re: Approved

Re: Re: My details

Re: Thank you!

Re: That movie

Re: Wicked screensaver

Re: Your application

Thank you!

Your details

Metin:

Please see the attached file for details

See the attached file for details

Eklenti:

Değişik eklenti isimleri kullanmakta;

application.zip (application.pif dosyasını içermekte)

details.zip (details.pif dosyasını içermekte)

document_9446.zip (document_9446.pif dosyasını içermekte)

document_all.zip (document_all.pif dosyasını içermekte)

movie0045.zip (movie0045.pif dosyasını içermekte)

thank_you.zip (thank_you.pif dosyasını içermekte)

your_details.zip (your_details.pif dosyasını içermekte)

your_document.zip (your_document.pif dosyasını içermekte)

wicked_scr.zip (wicked_scr.scr dosyasını içermekte)

Belirtiler:

Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı

Etkileme Yöntemi:

E-posta eklentisi ya da dosya paylaşımları ile yayılıyor.

Teknik Özellikler:

W32\SobigF çalıştırıldığında:

Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.

%windir%\winppr32.exe

Aşağıdaki dosyaları yaratıyor:

%Windir%\winsst32.dat

Windows açıldığında kod çalışması için için aşağıdaki değeri;

"TrayX"="%Windir%\winppr32.exe" /sinc
kayıt (registry) dosyasında belirtilen yerlere yazıyor;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run

Uygun şartlarda, virüs, yazarı tarafında kontrol edilen sunucular bağlanıyor ve truva atı bileşenini nerden indireceği bilgisini alıyor. Ardında bileşeni indiriyor ve çaılıtırıyor.

Internet solucanı 8998/udp portundan yazarı tarafından kontrol edilen sunuculara paket yoluyor

Sunucular cevap verirse ilgili truva atı bileşeni indiriyor ve çalıştırıyor.

Aşağıdaki UDP portlarını açıyor.

995

996

997

998

999

WW32/Dumaru

Toplu e-posta gönderen Internet solucanıdır.

E-posta Aşağıdaki özelliklerde geliyor:

Kimden:

"Microsoft" < security@microsoft.com > Konu(Subject) Use this patch immediately !

Metin:

Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!

Eklenti:

patch.exe

Belirtiler:

Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı

Etkileme Yöntemi:

E-posta eklentisi ya da dosya paylaşımları ile yayılıyor.

Teknik Özellikler:

W32\Dumaru çalıştırıldığında:

Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.

%Windir%\dllreg.exe %System%\load32.exe %System%\vxdmgr32.exe

Aşağıdaki dosyayı daha önceden tanımlanmış bir IRC sunucusuna bağlanıp, belli bir kanala giriş yapmak ve oradan gelecek komutları dinlemek için yaratıyor:

%Windir%\windrv.exe Windows açıldığında kod çalışması için aşağıdaki değeri;

"load32" = "%Windir%\load32.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run win.ini dosyasını değiştiriyor. [windows] run=%Windir%\dllreg.exe

Aşağıdaki uzantılı dosyalardan e-posta adreslerini topluyor:

.htm

.wab

.html

.dbx

.tbb

.abd
Kendi SMTP motorunu kullanarak e-posta gönderiyor.
Zotob Hakkında Bilmeniz Gerekenler
Zotob.A Windows 2000 tabanlı sistemleri tehdit eden ve Microsoft Güvenlik Bülteni MS05-039 tarafından giderilen güvenlik sorunundan yararlanan bir solucandır. Bu solucan kötü amaçlı bir yazılım yükler ve ardından bulaşabileceği başka bilgisayarlar arar.

Önemli Güvenlik Bülteni MS05-039 ile yayınlanan güncelleştirmeyi yüklediyseniz, zaten Zotob.A solucanından korunuyorsunuz demektir. Windows'un, Windows 2000 dışındaki herhangi bir desteklenen sürümünü kullanıyorsanız, Zotob.A solucanının tehdidi altında değilsinizdir.

Yazılım Güvenliği Olaylarını Yanıtlama Süreci'mizin bir bölümünü oluşturan araştırmamız sırasında, yalnızca az sayıda kullanıcının bu sorundan etkilenmiş olduğu belirlendi. Microsoft güvenlik uzmanları doğrudan bu kullanıcılarla birlikte çalışıyor. Sorunun Internet'e yayıldığına dair bir göstergeyle karşılaşmadık.

Şimdi Gerçekleştirilecek Eylemler
Bulaşma Olup Olmadığın Denetleme

Zotob.A bir bilgisayara bulaştığında, Botzer.exe adlı kötü amaçlı bir dosyayı kopyalamaya çalışır. Solucan bulaştıysa bilgisayarınızda bu dosya bulunur ve kayıt defterinizde bazı değişiklikler görülür. Bulaşma olup olmadığını denetlemek için aşağıdaki yöntemlerden birini kullanın. (Dosyayı bulursanız kayıt defterine bakmanız gerekmez; bu durumun tam tersi de geçerlidir.)

Bilgisayarınızda botzor.exe dosyasını arama

Başlat'ı tıklatın, Ara'nın üzerine gidin ve sonra Dosya veya Klasörler'i tıklatın.

Gelişmiş Arama Seçeneklerini Kullan'ı tıklatın. Aşağıdaki ölçütlerden biri ya da tümüyle arama yap ifadesinin altında aşağıdaki bilgileri girin:

A. Dosya adının tamamı ya da bir kısmı: kutusuna botzor.exe yazın.

B. Konum: kutusunda Yerel Sabit Diskler'i tıklatın.

C. İleri Düzey Seçenekler'in altında Sistem klasörlerinde ara ve Gizli dosya ve klasörlerde ara'yı seçin.

Ara'yı tıklatın.

Kayıt defterine eklenen yeni anahtarlar olup olmadığına bakma

Kayıt defteri anahtarı: HKLM\Software\Microsoft\Windows\
CurrentVersion\Run, eklenen değer: WINDOWS SYSTEM, veri: botzor.exe

Kayıt defteri anahtarı: HKLM\Software\Microsoft\Windows\
CurrentVersion\RunServices, eklenen değer: WINDOWS SYSTEM, veri: botzor.exe

Solucan Bilgisayarınıza Bulaşmadıysa

Güvenlik Güncelleştirmesi 899588'i yükleyerek bilgisayarınızı Zotob.A solucanından koruyun. Kullandığınız Windows sürümüne yönelik karşıdan yükleme bağlantısı için Microsoft Güvenlik Bülteni MS05-039 makalesine bakın.

Solucan Bilgisayarınıza Bulaştıysa

Uygulayacağınız Fix Zotob temizleme aracı 'ile Zotob.A solucanından kurtulabilirsiniz.

WORM_GONE.A - Yüksek Risk!

Diğer isimleri: GONE.A, WORM_GONER.A, W32/Gone.A-mm
Yük 1: Dosyaları silme
Yük 2: Mesaj gösterme
Tetikleme durumu: Çalıştırıldığında
Dil: İngilizce
Platform: Windows
Kriptolanmış: hayır
virüsün boyutu: 38,912 Byte

Bu worm (solucan) kendi kopyalarını Microsoft Outlook ve ICQ ile yayan Visual Basic`te derlenmiş bir windows çalıştırılabilir dosyası.Hafızada belirli bazı dosyaları buluyor ve bu dosyaların işlemlerini kapatıyor. Sonra dosyaları silme görevini gerçekleştiriyor.

Yayılma:

Saat 18:00`daki sonuçlara göre worm`un yayılma bilgisi aşağıdaki gibi:

İlk Görülme
Ülke
Kopya

2001-12-04 10:49
US
43

2001-12-04 10:58
GB
49

2001-12-04 11:55
FR
10

2001-12-04 13:02
DE
1

2001-12-04 13:30
NL
7

2001-12-04 13:34
CH
33

2001-12-04 14:08
AR
2

Detay:

Bu worm eposta ile ekte GONE.SCR dosyası olarak geliyor. Dosya Visual Basic ile derlenmiş ve UPX packer programı ile sıkıştırılmış.

Worm`lu epostanın içeriği:

Subject: Hi
Message Body: How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!
Attachment: GONE.SCR

Bir Outlook Application Object yaratıyor ve etkilenen kullanıcının adres defterindekilere kendisini eposta ile göndermek için MAPI script komutlarını kullanıyor. Daha sonra bu e-postaları siliyor.
Çalıştırıldığında aşağıdaki mesajı içeren bir pencere gösteriyor:

pentagone
coded by: suid
texted by: ThE_SKuLL and |satan|
greetings to: TraceWar, k9_unit, stef16 ^Reno
greetings also to nonick2 out
there where ever you are

Daha sonra worm dosyasını %System%\GONE.SCR dosyasına yazıyor. Windows her açıldığında kopyasının otomatik olarak çalıştırılması için aşağıdaki registry anahtarını yaratıyor:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run\%System%\gone.scr = %System%\gone.scr

Ayrıca bir arkakapı (backdoor) kurmak için mIRC uygulamasını kullanıyor. mIRC uygulaması her başlatıldığında yüklenen bir script içeren REMOTE32.INI dosyası yaratıyor. Daha sonra Worm`un yazarı bu worm eklentisini kullanarak IRC kanallarına yada etkilenen kullanıcı ile aynı kanalda bulunan kullanıcılara DoS saldırıları düzenleyebiliyor.

Worm ayrıca ICQ chat uygulaması ile de yayılıyor. ICQAPI`yi kullanarak kendisinin bir kopyasını ICQ kullanıcılarına gönderiyor.

Yaptıkları:
Worm`un hafızadaki tüm işlemleri etkileyen zarar verici işlevleri var. Aşağıdaki dosya isimleri ile alakalı işlemleri durduruyor:

IAMAPP.EXE
IAMSERV.EXE
CFINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWALLICON.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE

Dosyanın işlemini durdurduktan sonra dosyayı ve aynı dirde bulunan tüm dosyaları siliyor.Bu uygulamaların düzgün çalışmasını etkili bir şekilde durduruyor.

Gizlilik rutini:

Worm`un ana penceresi 'pentagon' ismini taşıyor. Windows 9x`de kendisini Task listesinde görünmeyen bir servis işlemi olarak kayıt (register) ediyor. Kendisi Task listesinde görünmese de açtığı Outlook Application Object task listesinde görünüyor. Daha sonra yakalanmamak için kendisinin o an çalışan kopyasını silmeyi sağlayacak komutları içeren bir kayıdı WININIT.INI dosyasına ekliyor.

Windows 95/98/Me Sistemlerden manuel olarak temizlenmesi:

1. Bilgisayarı reboot edin:
2. Başlangıç logo`su görünmeden F8`e basın.
3. “Command prompt only” (Sadece komut satırı) seçeneğini seçin.
4. %System% dizinine gidin. %System% bir değişkendir. Genelde C:\Windows\System`dir.Komut satırında aşağıdaki satırı yazıp enter`a basın:attrib –s –h –r gone.scr
5. Aşağıdaki komutu yazıp Enter`a basarak worm dosyasını silin : del gone.scr
6. Bilgisayarı tekrar başlatın.
7. Registry editöründe aşağıdaki anahtara gidin:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Cu rrentVersion>Run>%System%
8. Aşağıdaki kayıt girişini bulun ve silin : gone.scr

Windows NT/2000 Sistemlerden manuel olarak temizlenmesi:

1. Windows 2000 CD`sinden boot edin ve 'repair install console'u seçin.
2. %System% dizinine gidin. %System% bir değişkendir. Genelde C:\Winnt\System`dir .Komut satırında aşağıdaki satırı yazıp enter`a basın : attrib –s –h –r gone.scr
3. Aşağıdaki komutu yazıp Enter`a basarak worm dosyasını silin : del gone.scr
4. Bilgisayarı tekrar başlatın.
5. Registry editöründe aşağıdaki anahtara gidin : HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Cu rrentVersion>Run>%System%
6. Aşağıdaki kayıt girişini bulun ve silin : gone.scr

Kaynak:

http://www.olympos.org/

http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VNa me=WORM_GONE.A

Ekleme Tarihi: 08.03.2006 - 18:04

	fosaloglu

2683 Mesaj -

Kayıt Tarihi: 24.09.2003

En Son On: 20.01.2007 - 13:07

Cinsiyeti: Erkek

Dökümanı kim hazırlamışsa 40 fırın ekmeği yemiş olmalı.

Ellerine sağlık.

Ekleme Tarihi: 08.03.2006 - 18:24

	vehbi70

919 Mesaj -

Kayıt Tarihi: 17.01.2006

En Son On: 04.01.2015 - 20:05

Cinsiyeti: -----

ELİNİZE SAĞLIK KARDEŞİM PAYLAŞIM İÇİN ALLAH RAZI OLSUN

Ekleme Tarihi: 08.03.2006 - 18:25

	miss_cilekes

5 Mesaj

Kayıt Tarihi: 29.03.2006

En Son On: 10.03.2008 - 22:38

Cinsiyeti: Bayan

s.a
bizi bilgilendirdiginizden dolayi tesekkur ederim!
ALLAH RAZI OLSUN..

Ekleme Tarihi: 29.03.2006 - 02:37

Pozisyon düzeni - imzaları göster

Sayfa (1): (1)

önceki konu sonraki konu

Kategori Seç:

Sitemizde şu an Yok üye ve 606 Misafir mevcut. En son üyemiz: Didem_

[ Admin Moderator Vip Üye ]

Bu üyelerimizin doğum günlerini tebrik eder, sıhhat ve afiyet dolu bir ömür dileriz:
fatihyenturk (46), kurtalanli (46), esmabanu (48), _LaL_ (36), !MesuD! (43), refya (45), þemsinur (69), dervis-9 (49), birparcaozgurlu.. (38), nuresmin (46), ankebut-57 (37), yassokiz (40), hamiyet (49), HeDo (35), gncmostar (38), ahmett25 (43), __peri__ (35), utkucan (44), mtbc (50), vuslat21 (44), bekir bora (37), CUNDULLAH (42), Bursa1975 (49), *~Beyaz_Gul~* (50), kazimsagir (42), Allah_korusun (39), Seyfo1 (55), gönülverumeysa (38), AKCAYLI10 (52), eoguz (39), cananaa (44), hicret14 (32), kemreluk (54), yunuss (54), ethem82 (42), Muhammed Rasid (47), akifd (38), özsu (39), serdar024 (43), htly (54), seferad34 (41), osmanlý (63), prenses (55), karakiz86 (38), Kutuptaki_Karan.. (42), Ufuk.S (), Davidoksen (37), aybalam (61), burak_sevgili (30), ömer küçükali (52), seyirdefteri (47), birsenkopuz (50), erdemli (35), safsofi (59), omer_yildirim (43), dialoginternet2.. (46), ALLAH_IN_ASLANI (54), sensiz_olmuyor (38), hasret81 (43), ismailkurt (60), Selam86 (38), mesudturan (43), ENGIN00 (45), mukadder (47), levyavuz (41), cecen3603 (), hnf (36), rabia 74 (50), son-sozum (48), DünyadakiGaflet (36), cog21 (55), yavuz37 (47), tubanur (49), nicknack (46), mhyd (51), rujhat (43), davut05 (49), mercan68 (57), ERSIN SELVI (49), cengizozkulluk (), hicret61 (51), nurefsan_ (50), yilmazgovdeli (74), Mollaislam (38), ozan ataþ (36), hasim20 (40), sakird (58)

24 Saatin Aktif Konuları

Copyright © ((( RAVDA.net ))) * İrtibat * RAVDA Reklam Servisi * Tüm hakları saklıdır, izinsiz alıntı yapılamaz.
Sitemizde yayınlanan imzalı yazıların içeriğinden yazarları, forum ve yorumlardan ekleyen şahıslar sorumlu olup, kesinlikle sitemiz sorumlu değildir.

Sayfa 0.57571 saniyede açıldı