Virüs nedir? nasıl bulaşır? nasıl temizlenir? virüslerden korunma? 3

Virüs Tanımı :

Toplu e-posta atan bir virustür.

Aşağıdaki özelliklerde geliyor:

Kimden:
admin@bulundugunuz alan adı
Konu:
e-posta adresiniz
Eklenti:
message.zip
Metin:
Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. --- Best regards, Administrator
Belirtiler:
videodrv.exe dosyasını varlığı
eml.tmp dosyasını varlığı
exe.tmp dosyasını varlığı
zip.tmp dosyasını varlığı
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:

Virüs çalıştırıldığında:
Kendisini %Windir%\Wideodrv.exe olarak kopyalıyor. Windows açıldığında kod çalışması için aşağıdaki değeri; "VideoDriver"="%Windir%\videodrv.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Aşağıdaki dosyalardan e-posta adresleri topluyor.
".bmp"
".jpg"
".gif"
".exe"
".dll"
".avi"
".mpg"
".mp3"
".vxd"
".ocx"
".psd"
".tif"
".zip"
".rar"
".pdf"
".cab"
".wav"
".com"
Topladığı e-posta adreslerini eml.tmp dosyasına yazıyor.
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
Message.zip dosyası Message.htm dosyasını içeriyor.
Çalıştırıldığında MS02-15 ve MS03-14 açıklarından yararlanarak Foo.exe solucanını bir kopyasını Temporary Internet Files dizinine kopyalıyor. HTML çalıştırıldığında kayıt dosyalarında aşağıdaki değişikliği yapıyor.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111} %Windir% dizinine iki dosya daha yaratıyor.
zip.tmp
Exe.tmp
W32/Blaster

Belirtiler:
msblast.exe dosyasını varlığı RPC servisindeki hata mesajları TFTP dosyaların varlığı
Etkileme Yöntemi:
Virüs Microsoft Windows işletim sistemlerini MS03-026 açlığından faydalanarak yayılmaktadır.
Rastgele seçtiği IP aralığında belirtilen açığı aramak için ağ taraması yapıyor.
Güncellemesi yapılmamış sistemleri yukarda belirtilen yöntemle etkiliyor
Korunma:
MS03-026 Microsoft açığından faydalanarak ağ üstünden yayılan bir virüstür.
Virüsten korunmak için Windows güncelleştirmelerinin Microsoft Windows Update adresinden yapılması gerekmektedir.
Teknik özellikler:

Virüs çalıştırıldığında:
"Billy" isminde bir Mutex yaratıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri;
"windows auto update"="msblast.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run TCP 135 porttan DCOM RPC zayıflığından yararlanan paketleri rastgele IP'lere gönderiyor.
Açıktan yararlanarak etkilene bilgisayar TCP 4444 portunu dinleyen gizli CMD uygulaması çalıştırıyor.
Yeni etkilenen bilgisayara Msblast.exe dosyasın çekmesi için komut gönderiyor.
UDP 69 portunu dinliyor.
Uygun paket geldiğinde Msblast.exe binary dosyasını çalıştırıyor.
Sistem tarihi Ağustos 15 sonrasındaysa Microsoft Update'e Dos başlatıyor.

W32/Nachi

Belirtiler:
Belirtilen dosyaların varlığı
Etkileme Yöntemi:
Virüs Microsoft Windows işletim sistemlerini MS03-026 açlığından faydalanarak yayılmaktadır.
Rastgele seçtiği IP aralığında belirtilen açığı aramak için ağ taraması yapıyor.
Güncellemesi yapılmamış sistemleri yukarda belirtilen yöntemle etkiliyor.
Korunma:
MS03-026 Microsoft bülteninde ve IIS 5.0 web sunucusu kullanan bilgisayarlarda da MS03-007 bülteninde belirtilen açıklardan faydalanarak ağ üstünden yayılan bir virüstür.
Virüsten korunmak için Windows güncelleştirmelerinin Microsoft Windows Update adresinden yapılması gerekmektedir.
Teknik özellikler:

Virüs çalıştırıldığında:
•Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%System%\Wins\Dllhost.exe %System%\Dllcache\Tftpd.exe dosyasını bir kopyasını %System%\Wins\svchost.exe isminde çıkarıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri; RpcPatch RpcTftpd kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Aşağıdaki servisleri hazırlıyor
Servis Adı: RpcTftpd
Servis Görsel Adı: Network Connections Sharing
Servis Binari: %System%\wins\svchost.exe Elle çalıştırılacak şekilde bırakılıyor.
Servis Adı: RpcPatch
Servis Görsel Adı: WINS Client
Servis Binari: %System%\wins\dllhost.exe Servis otomatik olarak çalışıyor.
Msblast servisini sonlandırıyor ve %System%\msblast.exe dosyasını siliyor.
IP adresleri belirledikten sonra bilgisayarların çalıtığını anlamak için ICMP echo isteği ve PING paketleri gönderiyor.
TCP 135 porta DCOM RPC zayıflığından yararlanan ve TCP 80 porta WebDav zayıflığından yararlanan paketleri IP'lere gönderiyor.
Açıktan yararlanarak etkilenen bilgisayar TCP 666-765 port aralığında rastgele bir portu dinleyen gizli CMD uygulaması çalıştırıyor.
Yeni etkilenen bilgisayara Dllhost.exe ve Svchost.exe dosyasın çekmesi için komut gönderiyor.
İşetim sistemini ve güncellemelerini kontrol edip, DCOM RPC zayıflığı bulunuyorsa WindowsUpdate sitesine bağlanıp gerekli güncelleme dosyalarını indip çalıştırıyor.
Güncelleme indildikten sonra aktif hale gelebilmesi için bilgisayarı tekrar başlatıyor.
Sistem tarihi 2004 yılındaysa kendisini sistemden siliyor.
W32/Sobig.F

Virüs Tanımı :

Toplu e-posta gönderen Internet solucanı;, dosya paylaşımları yoluyla da yayılmaktadır.

E-posta Aşağıdaki özelliklerde geliyor:

Kimden:
[Linkleri görebilmek için üye olun veya giriş yapın.] (not: virus değişik adresler de kullanabilyor.)
Konu:
Bir çok değişik konu oluşturabilmekte:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
Metin:
Please see the attached file for details
See the attached file for details
Eklenti:
Değişik eklenti isimleri kullanmakta;
application.zip (application.pif dosyasını içermekte)
details.zip (details.pif dosyasını içermekte)
document_9446.zip (document_9446.pif dosyasını içermekte)
document_all.zip (document_all.pif dosyasını içermekte)
movie0045.zip (movie0045.pif dosyasını içermekte)
thank_you.zip (thank_you.pif dosyasını içermekte)
your_details.zip (your_details.pif dosyasını içermekte)
your_document.zip (your_document.pif dosyasını içermekte)
wicked_scr.zip (wicked_scr.scr dosyasını içermekte)
Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Etkileme Yöntemi:
E-posta eklentisi ya da dosya paylaşımları ile yayılıyor.
Teknik Özellikler:

W32\SobigF çalıştırıldığında:
Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%windir%\winppr32.exe
Aşağıdaki dosyaları yaratıyor:
%Windir%\winsst32.dat
Windows açıldığında kod çalışması için için aşağıdaki değeri;
"TrayX"="%Windir%\winppr32.exe" /sinc
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run
Uygun şartlarda, virüs, yazarı tarafında kontrol edilen sunucular bağlanıyor ve truva atı bileşenini nerden indireceği bilgisini alıyor. Ardında bileşeni indiriyor ve çaılıtırıyor.
Internet solucanı 8998/udp portundan yazarı tarafından kontrol edilen sunuculara paket yoluyor
Sunucular cevap verirse ilgili truva atı bileşeni indiriyor ve çalıştırıyor.
Aşağıdaki UDP portlarını açıyor.
995
996
997
998
999
WW32/Dumaru

Toplu e-posta gönderen Internet solucanıdır.

E-posta Aşağıdaki özelliklerde geliyor:

Kimden:
"Microsoft" < [Linkleri görebilmek için üye olun veya giriş yapın.] > Konu(Subject) Use this patch immediately !
Metin:
Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!
Eklenti:
patch.exe
Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Etkileme Yöntemi:
E-posta eklentisi ya da dosya paylaşımları ile yayılıyor.
Teknik Özellikler:

W32\Dumaru çalıştırıldığında:
Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%Windir%\dllreg.exe %System%\load32.exe %System%\vxdmgr32.exe
Aşağıdaki dosyayı daha önceden tanımlanmış bir IRC sunucusuna bağlanıp, belli bir kanala giriş yapmak ve oradan gelecek komutları dinlemek için yaratıyor:
%Windir%\windrv.exe Windows açıldığında kod çalışması için aşağıdaki değeri;
"load32" = "%Windir%\load32.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run win.ini dosyasını değiştiriyor. [windows] run=%Windir%\dllreg.exe
Aşağıdaki uzantılı dosyalardan e-posta adreslerini topluyor:
.htm
.wab
.html
.dbx
.tbb
.abd
Kendi SMTP motorunu kullanarak e-posta gönderiyor.