+ Konuyu Yanıtla
1 den 3´e kadar toplam 3 ileti bulundu.

Konu: Yeni bir VİRÜS

Yeni bir VİRÜS Hızlandırılmış Mobil Sayfa Sürümü (AMP)
  1. #1
    Kayıt Tarihi
    Mar 2005
    Nerede
    istanbul, Turkey.
    İletiler
    84
    Dilekçeler Sözleşmeler
    0
    Dosya Yükleme
    0

    Tanımlı Yeni bir VİRÜS

    ALINTIDIR.

    Yeni bir virüs uyarısı daha

    Eger size "Miss Russia.pps'' adında mail gelirse, sakin acmayin, hemen
    silin.. Bu yeni bir virustur..
    Microsoft, Mcaffee, Norton ve bu sekil koruyucularin en iyisi bile hic bir
    fayda etmiyor ...
    Eger bu gelen maili acarsaniz 30 saniye süren bir animasyon cikiyor,
    ve bu süre icinde tüm HDD'niz siliniyor, internet korsanlari IP ve mail
    adresinizi de ele geciriyor ve sizin adınıza mailbox taki adreslere mail
    gönderiyor.

    İddia edilenler bunlar , dikkatli olmakta fayda var...
    Bu ay itibariyle rus hackerların msnlere toplu şekilde saldırmaları bekleniyor. Saldırılacak ülkelerin arasında Türkiye de yer alıyor. Peki bu saldırıya karşı nasıl önlem alınabilir?
    Bu ay itibari ile msn lere toplu saldırılar düzenlemeyi amaçlıyan Rus Hacker Kuvvetleri nin Türkiye'de vede birkaç ülkedeki msn lere zarar vermesi bekleniyor.
    Peki bu saldırılara nasıl önlem alınabilir?
    @rht.com uzantılı hiçbir adresi kabul etmeyin.
    Saldırılar toplu halde gerçekleşecektir. Listenizdeki birisi eklerse virüs size de bulaşacaktır. O yüzden bu haberden nekadar kişiyi haberdar ederseniz, zarar okadar azaltılacaktır.
    Antivirüs, Firewall (ateş duvarı) gibi yazılımlar kullanın ve son güncellemelerini yapın.
    Msn Messenger® 'dan dosya gönderen arkadaşınız bile olsa kabul etmeden önce dosya hakkında bilgi isteyin.
    Mail kutunuza tanımadığınız adreslerden gelen dosyaları açmayın ve büyük firmalardan gelmiş izlenimi veren ve sizden şifrenizi isteyen sayfaları doldurmayın.



    Hukuki NET Güncel Haber

    Yeni bir VİRÜS konulu yargıtay kararı ara
    Yeni bir VİRÜS konulu hukuk haber

  2. # Nedir?
    Tavsiye Soru Cevap
    Kayıt Tarihi
    Bugün
    Nerede
    Avukat Dünyası
    İletiler
    Ne kadar?
     
  3. #2
    Kayıt Tarihi
    Apr 2005
    Nerede
    ankara, dikmen, Turkey.
    İletiler
    65
    Dilekçeler Sözleşmeler
    0
    Dosya Yükleme
    0

    Tanımlı

    benden de bi alıntı
    MyDoom hortladı Doomjuice oldu
    Geçtiğimiz hafta interneti işgal eden ve tarihin en hızlı yayılan virüsü olarak nitelenen MyDoom’un yeni bir versiyonu ortaya çıktı. Doomjuice (Kıyamet şerbeti) adlı yeni virüs Microsoft sitesine saldırdı ve sitenin bazı bölümlerinde aksaklıklara neden oldu.

    Doomjuice bir önceki MyDoom saldırısında, ilk virüsü kapmış olan bilgisayarlara email yoluyla nüfuz ediyor ve bu bilgisayarlardan saldırıya geçiyor. Anti virüs uzmanları yeni versiyonun MyDoom A ve B’nin bir karışımı olduğunu ve öncekileri kadar hızlı yayılmadığını ifade etti.HERKES DIKKATLI OLSUN

  4. #3
    Kayıt Tarihi
    Apr 2005
    Nerede
    ankara, dikmen, Turkey.
    İletiler
    65
    Dilekçeler Sözleşmeler
    0
    Dosya Yükleme
    0

    Tanımlı

    http://www.securityfocus.com
    virusler hakkında hızlı ve yeni bilgiler icin benden size bir kac ornek
    Aşağıda virüsler hakkında bilgiler verilmiştir:

    * W32/Lovgate
    * W32/Slammer
    * W32/Sobig
    * W32/Lirva.A
    * W32/Yaha.k
    * W32/Korvar
    * W32/Braid
    * W32/Insane
    * W32/Bugbear
    * W95/Opaserv
    * W95/Scrup
    * Linux/Slapper
    * VBS/Neiber.A
    * W32/Manymize
    * W32/Yaha.E
    * W32/Frethem.f@MM
    * JS/SQLSpida
    * W32/Klez
    * W32/Fbound.C
    * W32/Gibe.A
    * W32/MyParty.a@MM
    * W32/Maldal.d@MM
    * W32/Zoher@MM
    * W32/Goner.A@mm
    * W32/BadTrans.B-mm
    * TROJ_VOTE.A
    * W32/Nimda@MM
    * W32/Magistr.b@MM
    * W32/SirCam@MM
    * Kızıl Kod Virüsü

    W32/Lovgate@mm

    Kendi SMTP motorunu kurarak toplu e-posta gönderen Internet solucanı aynı zamanda yerel ağdakı açık paylaşımları kullanarak da bilgisayarları etkilemeyeyi deniyor.

    Metin (Body):
    Gelen kutusundaki e-postalara cevap niteliğinde e-postanı metninde;

    'll try to reply as soon as possible.

    Take a look at the attachment and send me your opinion!


    Ağ paylaşımlarını tarıyor ve paylaştırılmiş dosyalarda "Administrator" kullanicisi için aşağıdaki parolaları deniyerek paylaşımlara ulaşmayı deniyor:

    * boş parola
    * 123
    * 321
    * 123456
    * 654321
    * guest
    * administrator
    * admin
    * 111111
    * 666666
    * 888888
    * abc
    * abcdef
    * abcdefg
    * 12345678
    * abc123

    Paylaşımlara ulaştığında aşağıdaki dosyalari kopyalıyor.

    * pics.exe
    * images.exe
    * joke.exe
    * pspgame.exe
    * news_doc.exe
    * hamster.exe
    * tamagotxi.exe
    * searchurl.exe
    * setup.exe
    * card.exe
    * billgt.exe
    * midsong.exe
    * s3msong.exe
    * docs.exe
    * humor.exe
    * fun.exe

    Teknik Özellikler:

    E-posta eklentisi ya da ağdan kopyalanan virüs içerikli dosyalar çalıştırıldığında sistem dizinine;

    * WinRpcsrv.exe
    * syshelp.exe
    * winrpc.exe
    * WinGate.exe
    * rpcsrv.exe

    dosyalarin kopyalıyor.

    Windows 9x/ME işletim sistemlerinde Win.ini dosyasına
    run=rpcsrv.exe

    değerini yazıyor.

    Turuva ati bileıeni için kendisini aıağidakı dosylara kopyalıyor:

    * ily.dll
    * task.dll
    * reg.dll
    * 1.dll

    Sistem her açıldığında otomatik çaliştırılmak için aşağıdaki deşerleri belirtilen kayıt dosyası(registry file) konumuna yazıyor.

    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe
    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell
    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg

    Text dosyaları çalıştırıldığında winrpc.exe dosyasını otomatik çalıştırmak için aşağıdaki kayıt dosyası değişikliğini yapıyor.

    * HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = "winrpc.exe %1"

    Belirtiler:

    * Kayıt dosyasında belirtilen değişikliklerin olması
    * Belirtilen dosyalarin varlığı
    * 10168 nolu portun açık olması

    Etkileme Yöntemi:

    E-postanın eklentisinin ya da ağ paylaşımları sonucu kopyalanmiş virüslü dosyaların çalıştırılması ile bilgisayarı etkiliyor.


    W32/SQLSlammer.worm

    Yaması yapılmamış aşağıda belirtilen sistemler için büyük risk taşımaktadır:

    * Microsoft SQL Server 2000
    * Microsoft Desktop Engine (MSDE) 2000

    Yaması yaplımamış SQL sunucularda "Server Resolution" servisinin tampon taşması açığından yararlanıyor (MS02-39).

    Yanlış yapılandırılmış paket sadece 384 bytes (tüm solucan bu kadar) ve içinde aşağıdaki satırları taşıyor.

    * "h.dllhel32hkernQhounthickChGetTf",
    * "hws2",
    * "Qhsockf"
    * "toQhsend"

    Temizleme Yöntemi:

    * UDP 1434 portuna gelen tüm trafiği durudurun.
    * Bilgisayarı tekrar başlatın.
    * Service Pack 3'ü indirip çalıştırın. Bilgisayarı tekrar başkatın.

    W32/Sobig

    Toplu e-posta atan virus, ağ bağlantıları ve e-posta ile bilgisayarları etkilemektedir.

    Kimden(From):

    big@boss.com

    Konu(Subject):

    * Re: Movies
    * Re: Sample
    * Re: Document
    * Re: Here is that sample


    Belirtiler:

    * WINMGM32.EXE dosyasını varlığı
    * SNTMLS.DAT dosyasını varlığı
    * DWN.DAT dosyasını varlığı

    Eklenti(Attachment) :

    * Movie_0074.mpeg.pif
    * Document003.pif
    * Untitled1.pif
    * Sample.pif

    Etkileme Yöntemi:
    E-posta eklentisinin çalıştırılıması ya da açık paylaşımlar yolu ile bilgisayarı etkilemektedir.

    Teknik Özellikler:

    Virüs çalıştırıldığında:

    * Kendisini %Windir%\Winmgm32.exe olarak kopyalıyor.
    * %Windir%\Winmgm32.exe isminde bir işlem başlatıyor.Winmgm32.exe aşağıdakileri yapıyor:
    o Adı Worm.X olan bir Mutex oluşturuyor.
    o Belirli bir websitesine dwn.dat dosyasını indirmek için bağlanıyor. İndirdiğinde içeriğini çalıştırıyor.
    o Açık paylaşımları arayor ve bulduğunda kendisi aşağıdaki konumlardan birisine kopyalıyor.
    + Windows\All Users\Start Menu\Programs\StartUp
    + Documents and Settings\All Users\Start Menu\Programs\Startup
    o Aşağıdaki uzantılı virüs içerikli dosyları e-posta ile göndermek için oluşturuyor.
    + .txt
    + .eml
    + .html
    + .htm
    + .dbx
    + .wab
    o Windows tekrar başlatıldığında çalıştırılma için kayıt dosyasında aşağıdaki değişiklikleri yapıyor:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run anahtarı içine WindowsMGM %Windir%\Winmgm32.exe değerini yazıyor.

    W32/Lirva.A

    Toplu e-posta atan Internet solucanı ayını zamanda ICQ, IRC, KaZaa ile de yayılmaya çalışıyor. Bİlgisayara bir şifre çalıcı program da yüklüyor. Aynı zamanda güvenlik programlarının çalışmasını da durduruyor.

    Konu (Subject):

    * Fw: Prohibited customers... ?
    * Re: Brigade Ocho Free membership
    * Re: According to Daos Summit
    * Fw: Avril Lavigne - the best
    * Re: Reply on account for IIS-Security
    * Re: ACTR/ACCELS Transcriptions
    * Re: The real estate plunger
    * Fwd: Re: Admission procedure
    * Re: Reply on account for IFRAME-Security breach
    * Fwd: Re: Reply on account for Incorrect MIME-header Are you a Soccer Fan

    Metin (Body):

    * Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
    * Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
    * Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below

    Ek (Attachment):

    * Resume.exe
    * Download.exe
    * CERT-Vuln-Info.exe
    * MSO-Patch-0071.exe
    * MSO-Patch-0035.exe
    * Two-Up-Secretly.exe
    * Transcripts.exe
    * Readme.exe
    * AvrilSmiles.exe
    * AvrilLavigne.exe
    * Complicated.exe
    * Sophos.exe
    * Cogito_Ergo_Sum.exe
    * Sk8erBoi.exe
    * Beautifull.scr

    Teknik Özellikler:

    * _AVP32.EXE
    * _AVPCC.EXE
    * _AVPM.EXE
    * ACKWIN32.EXE
    * ANTI-TROJAN.EXE
    * APVXDWIN.EXE
    * AUTODOWN.EXE
    * AVCONSOL.EXE
    * AVE32.EXE
    * AVGCTRL.EXE
    * AVKSERV.EXE
    * AVP.EXE
    * AVP32.EXE
    * AVPCC.EXE
    * AVPDOS32.EXE
    * AVPM.EXE
    * AVPMON.EXE
    * AVPNT.EXE
    * AVPTC32.EXE
    * AVPUPD.EXE
    * AVSCHED32.EXE
    * AVWIN95.EXE
    * AVWUPD32.EXE
    * BLACKD.EXE
    * BLACKICE.EXE
    * CFIADMIN.EXE
    * CFIAUDIT.EXE
    * CFIND.EXE
    * CLAW95.EXE
    * CLAW95CT.EXE
    * CLEANER.EXE
    * CLEANER3.EXE
    * DV95.EXE
    * DV95_O.EXE
    * DVP95.EXE
    * ECENGINE.EXE
    * EFINET32.EXE
    * ESAFE.EXE
    * ESPWATCH.EXE
    * F-AGNT95.EXE
    * FINDVIRU.EXE
    * FPROT.EXE
    * F-PROT.EXE
    * F-PROT95.EXE
    * FP-WIN.EXE
    * FRW.EXE
    * F-STOPW.EXE
    * IAMAPP.EXE
    * IAMSERV.EXE
    * IBMASN.EXE
    * IBMAVSP.EXE
    * ICLOAD95.EXE
    * ICLOADNT.EXE
    * ICMOON.EXE
    * ICSSUPPNT.EXE
    * ICSUPP95.EXE
    * IFACE.EXE
    * IOMON98.EXE
    * JED.EXE
    * KPF.EXE
    * KPFW32.EXE
    * LOCKDOWN2000.EXE
    * LOOKOUT.EXE
    * LUALL.EXE
    * MOOLIVE.EXE
    * MPFTRAY.EXE
    * N32SCAN.EXE
    * NAVAPW32.EXE
    * NAVLU32.EXE
    * NAVNT.EXE
    * NAVSCHED.EXE
    * NAVW.EXE
    * NAVW32.EXE
    * NAVWNT.EXE
    * NISUM.EXE
    * NMAIN.EXE
    * NORMIST.EXE
    * NUPGRADE.EXE
    * NVC95.EXE
    * OUTPOST.EXE
    * PADMIN.EXE
    * PAVCL.EXE
    * PCCWIN98.EXE
    * PCFWALLICON.EXE
    * PERSFW.EXE
    * RAV7.EXE
    * RAV7WIN.EXE
    * RESCUE.EXE
    * SAFEWEB.EXE
    * SCAN32.EXE
    * SCAN95.EXE
    * SCANPM.EXE
    * SCRSCAN.EXE
    * SERV95.EXE
    * SMC.EXE
    * SPHINX.EXE
    * SWEEP95.EXE
    * TBSCAN.EXE
    * TCA.EXE
    * TDS2-98.EXE
    * TDS2-NT.EXE
    * VET95.EXE
    * VETTRAY.EXE
    * VSECOMR.EXE
    * VSHWIN32.EXE
    * VSSCAN40.EXE
    * VSSTAT.EXE
    * WEBSCAN.EXE
    * WEBSCANX.EXE
    * WFINDV32.EXE
    * ZONEALARM.EXE

    Internet solucanı başlıklarında aşağıdaki isimler yazan tüm pencereleri kapatıyor:

    * anti
    * Anti
    * AVP
    * McAfee
    * Norton
    * virus
    * Virus

    Sistemde değişiklikler yapıyor:

    Internet solucanı kendisini değişken isimlerle %WINDIR%\SYSTEM32 dizini altına kopyalıyor.

    Sistem her yeniden başladığında çalışması için kayıt dosyasına yeni bir anahtar yazıyor:

    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "Avril Lavigne - Muse" = C:\WINDOWS\SYSTEM\A33AAAAgbab.EXE

    Başka bir anahtar da sistemin virüs tarafıdan etkilendiğini belirtmek için yartılıyor:

    * HKEY_LOCAL_MACHINE\Software\HKLM\Software\OvG\Avri l Lavigne

    Yukarda e-posta eklentileri kısmında belirtilen isimlerinden birisi olarak aşağıdaki dizinlere kopyalıyor.

    * C:\
    * %WINDIR%\TEMP

    Kendisini aşağıdaki dizinlere kopyalıyor.

    * %Temporary%\
    * %Temporary%\*.tft
    * %System%\*.exe
    * %All Drives%\Recycled\*.exe
    * %Kazaa Downloads%\*.exe

    avril-ii.inf adlı virüs yazarından bir notu da %WINDIR%\TEMP dizinine kopyalıyor.

    Internet bağlantısın kontrol ediyor ve bağlantı yoksa varsayılan çevirmeli ağ bağlantısını kurmayı deniyor.

    Wİndows Address Book ve uzantıları .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch ve .idx olan dosyalardaki e-posta adreslerine e-posta göndermeyi deniyor.

    * Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/se...in/MS01-020.asp

    ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı \Windows\System dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.

    mIRC program dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.

    Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini \RECYcLED\ dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.

    * @win .exe

    Kendisini \RECYcLED\ dizini altına değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için belirtilen şekilde değiştiriyor.

    Kendisini KaZaa dizinine değisken isimlerle kopyalıyor.

    Eğer ayın 7si,11i ya da 24 ise, www.arvil-lavigne.com adresine bağlanıp grafik animasyonlar gösteriyor.


    Belirtiler :

    * Yukarıda belirtilen Kayıt anahtarlarının varlığı
    * Yukarıda belirtilen dosyaların varlığı
    * E-posta trafiği
    * IRC trafiği
    * ICQ trafiği
    * SMTP sunucusuna ağ trafiği (62.118.249.10 Port 25 TCP).

    Etkileme Yöntemi:

    Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/se...in/MS01-020.asp

    ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı \Windows\System dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.

    mIRC prgram dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.

    Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini \RECYcLED\ dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.

    *

    @win .exe

    W32/Yaha.k
    Internet solucanı kendi SMTP motorunu kullanarak Windows Address Defteri, MSN Messenger, .NET Messen ger, Yahoo Pager ve HT harfleirini içeren uzantıya sahip dosyalar içindeki adreslere e-posta ile göndererek dağılmaktadır. Antivirüs ya da güvenlik programlarını çalışmasını durdurmaktadır ve içinde uzataki makinaya DoS saldırsı yapmasını sağlayacak kod barındırmaktadır.

    Konu (Subject):

    * Are you a Soccer Fan ?
    * Are you beautiful
    * Are you the BEST
    * Check it out
    * Demo KOF 2002
    * Feel the fragrance of Love
    * Freak Out
    * Free Demo Game
    * Free rAVs Screensavers
    * Free Screenavers of Love
    * Free Screensavers
    * Free Screensavers 4 U
    * Free Win32 API source
    * Free XXX
    * Hardcore Screensavers 4 U
    * I Love You..
    * Jenna 4 U
    * Learn SQL 4 Free
    * Lovers Corner
    * Need money ??
    * One Hacker's Love
    * One Virus Writer's Story
    * Patch for Elkern.gen
    * Patch for Klez.H
    * Play KOF 2002 4 Free
    * Project Sample Screensavers
    * Sample KOF 2002
    * Sample Playboy
    * Screensavers from Club Jenna
    * Sexy Screensavers 4 U
    * The King of KOF Wanna Brawl ??
    * Things to note
    * Visit us
    * Wanna be a HE-MAN
    * Wanna be friends ?
    * Wanna be friends ?
    * Wanna be like a stone ?
    * Wanna be my sweetheart ??
    * Wanna Hack ??
    * Wanna Rumble ??
    * We want peace
    * Whats up
    * Who is your Valentine
    * World Tour
    * WWE Screensavers
    * XXX Screensavers 4 U

    Ek (Attachment):

    * Beautifull.scr
    * Body_Building.scr
    * Britney_Sample.scr
    * Codeproject.scr
    * Cupid.scr
    * FixElkern.com
    * FixKlez.com
    * FreakOut.exe
    * Free_Love_Screensavers.scr
    * Hacker.scr
    * Hacker_The_LoveStory.scr
    * Hardcore4Free.scr
    * I_Love_You.scr
    * Jenna_Jemson.scr
    * King_of_Figthers.exe
    * KOF.exe
    * KOF_Demo.exe
    * KOF_Fighting.exe
    * KOF_Sample.exe
    * KOF_The_Game.exe
    * KOF2002.exe
    * Love.scr
    * My_Sexy_Pic.scr
    * MyPic.scr
    * MyProfile.scr
    * Notes.exe
    * Peace.scr
    * Playboy.scr
    * Plus2.scr
    * Plus6.scr
    * Project.exe
    * Ravs.scr
    * Real.scr
    * Romantic.scr
    * Romeo_Juliet.scr
    * Screensavers.scr
    * Services.scr
    * Sex.scrSoccer.scr
    * Sexy_Jenna.scr
    * SQL_4_Free.scr
    * Stone.scr
    * Sweetheart.scr
    * The_Best.scr
    * THEROCK.scr
    * up_life.scr
    * Valentines_Day.scr
    * VXer_The_LoveStory.scr
    * Ways_To_Earn_Money.exe
    * World_Tour.scr
    * xxx4Free.scr
    * zDenka.scr
    * zXXX_BROWSER.exe

    Metin (Body):
    Bir çok değişik metin oluşturabiliyor. Bir kaç örnek vermek gerekirse.

    *

    hey,

    did u always dreamnt of hacking ur friends hotmail account..

    finally i got a hotmail hack from the internet that really works..

    ur my best friend thats why sending to u..

    check it..just run it..enter victim's address and u will get the pass.
    *

    hi,

    check the attached love screensaver

    and feel the fragrance of true love..
    *

    Hi,

    check the attached screensaver..

    its really wonderfool..

    i got it from freescreensavers.com
    *

    Hi,

    check ur friends circle using the attached friendship screensaver..

    check the attached screensaver

    and if u like it send it to all those you consider

    to be true friends... if it comes back to you then

    you will know that you have a circle of friends..
    *

    Hi,

    check the attached screensaver

    and enjoy the world of friendship..
    *

    Hi,

    are u in a rocking mood...

    check the attached scrennsaver and start shaking..
    *

    Hi,

    Check the attached screensaver..
    *

    Hi,

    Are you lonely ??..

    check the attached screensaver and

    forget the pain of loneliness
    *

    Hi,

    Looking for online pals..

    check the attached friend finder software..
    *

    Hi,

    sending you a screensaver..

    checkit and let me know how it is...
    *

    Hi,

    Check the attached screensaver

    and feel the fragrance of true love...
    *

    Hey,

    I just got this wonderfull screensaver from freescreensaver.com..

    Just check it out and let me know how it is..
    *

    Hi,? I just came across it.. check out..??

    Are you one of those unfortunate human beings who are desperately

    looking for friends.. but still not getting true friends with whom

    you can share your everything..
    *

    anyway you wont feel down any more cause GC Chat Network has brought

    up a global chat and online match making system using its own GC

    Messenger. Attached is the fully functional free version of GC

    Instant Messenger and Match Making client..

    Just install, register an account with us and find thousands of online

    pals all over the world..

    You can also search for friends by specific country,city,region etc.

    Regards Admin,

    GC Global Chat Network System..
    *

    Hi,

    So you think you are in love..

    is it true love ? you may think right now that you are in

    true love but it is certainly possible that it is nothing

    but a mere infatuation to you..

    anyway to know yourself better than you have ever known check

    the attached screensaver and feel the fragrance of true love..

    Belirtiler :

    Aşağıdaki dosyaların varlığı (saklı dosyalar)

    * C:\%System%\WinServices.exe.
    * C:\%System%\Nav32_loader.exe
    *

    C:\%System%\Tcpsvs32.exe

    Kayıt dosyasında yukarda belirtilen değişikliklerin olması.

    Antivirüs ve/ya güvenlik duvarı programın çalışmaması.

    Etkileme Yöntemi: :
    E-posta eklentisi çalıştırıldığında kendisini bilgisayara yükleyerek bulaşıyor.

    Teknik Özellikler:
    W32\Yaha.K çalıştırıldığında:

    * Aşağıdaki dosyaları gizli olacak şekilde belirtilen yerlere kopyalıyor.
    o C:\%System%\WinServices.exe.
    o C:\%System%\Nav32_loader.exe
    o C:\%System%\Tcpsvs32.exe
    * Windows açıldığında kod çalışması için aşağıdaki değeri;
    WinServices.exe C:\%System%\WinServices.exe
    kayıt (registry) dosyasında belirtilen yerlere yazıyor;
    o HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
    o HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
    * Her .exe çalıştırıldığında kendisini de çalıştırabilmek için belirtilen kayıt değerini değiştiriyor.

    HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\ open\command
    C:\%System%\WinServices.exe"%1
    * C:\%System%\ altına kendisini aşağıdaki isimlerden biriyle kaydediyor.
    o Hotmail_hack.exe
    o Friendship.scr
    o World_of_friendship.scr
    o Shake.scr
    o Sweet.scr
    o Be_happy.scr
    o Friend_finder.exe
    o I_like_you.scr
    o Love.scr
    o Dance.scr
    o Gc_messenger.exe
    o True_love.scr
    o Friend_happy.scr
    o Best_friend.scr
    o Life.scr
    o Colour_of_life.scr
    o Friendship_funny.scr
    o Funny.scr
    * Internet solucanı aşağıdakiisimleri kullanan antivirüs ve güvenlik duvarı programlarının çalışmasını durduruyor.
    o REGEDIT
    o ACKWIN32
    o F-AGNT95
    o SWEEP95
    o VET95
    o N32SCANW
    o _AVPM
    o LOCKDOWNADVANCED
    o NSPLUGIN
    o NSCHEDNT
    o NRESQ32
    o NPSSVC
    o NOD32
    o _AVPCC
    o _AVP32
    o NORTON
    o NVC95
    o FP-WIN
    o IOMON98
    o PCCWIN98
    o F-PROT95
    o F-STOPW
    o PVIEW95
    o NAVWNT
    o NAVRUNR
    o NAVLU32
    o NAVAPSVC
    o NISUM
    o SYMPROXYSVC
    o RESCUE32
    o NISSERV
    o VSECOMR
    o VETTRAY
    o TDS2-NT
    o TDS2-98
    o SCAN32
    o PCFWALLICON
    o NSCHED32
    o IAMSERV.EXE
    o FRW.EXE
    o MCAFEE
    o ATRACK
    o IAMAPP
    o LUCOMSERVER
    o LUALL
    o NMAIN
    o NAVW32
    o NAVAPW32
    o VSSTAT
    o VSHWIN32
    o AVSYNMGR
    o AVCONSOL
    o WEBTRAP
    o POP3TRAP
    o PCCMAIN
    o PCCIOMON
    o ESAFE.EXE
    o AVPM.EXE
    o AVPCC.EXE
    o AMON.EXE
    o ALERTSVC
    o ZONEALARM
    o AVP32
    o LOCKDOWN2000
    o AVP.EXE
    o CFINET32
    o CFINET
    o ICMON
    o RMVTRJANSAFEWEB
    o WEBSCANX
    o PVIEW
    o ANTIVIR

    W32/Korvar

    Aşağıdaki özelliklerde geliyor:

    Konu (Subject):
    Değişken


    Metin(Body):
    Değişken

    Ek (Attachment):

    * WINrastgele karakterler.TXT (12,6 KB) MUSIC_1.HTM
    * WINrastgele karakterler.GIF (120 bytes) MUSIC_2.CEO

    Teknik Özellikler:
    Virüs, tarafından oluşturulmuş e-postanın kullanıcı tarafından bakıldıgında otomatik olarak çalışması için iFRAME açığını kullanıcı makinesini etkilemek için kullanıyor. Başka bir yol olarak da kullanıcı .HTM dosyasını çalıştırdığında "Microsoft VM ActiveX Component" açığından yaralanarak aşağıdaki kayıt dosyasına .CEO uzantılı dosyasını ekliyor:

    * HKEY_CLASS_ROOT\.CEO\Default="exefile"
    * HKEY_CLASS_ROOT\.CEO\Content Type="application/x-msdownload"

    .CEO dosyası çalışıtırıldığında .EXE dosyası gibi algılanıyor ve çalıştırma sonucu kendisini WINDOWS SYSTEM (%SysDir%) dizini altına WIN ile başlıyan ve .PIF uzantılı rastgele bir isimle kaydediyor. Ardından aşagıdaki kayıt dosyaları oluşturuyor.

    * HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Run "(Default)"= Çalıştırılmış virüslü dosya
    * HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Run "WIN random characters"=C:\WINDOWS\SYSTEM\WIN Rastgele karakter.pif
    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ Run "(Default)"= Çalıştırılmış virüslü dosya
    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ Run "WIN random characters"=C:\WINDOWS\SYSTEM\WIN random characters.pif
    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ RunServices "(Default)"= Çalıştırılmış virüslü dosya
    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ RunServices "WIN Rastgele karakter"=C:\WINDOWS\SYSTEM\WIN random characters.pif Çalıştırıldıktan sonra rastgele mesaj kutusu gösterir.

    Belirtiler:

    * Sistemin yavaşlaması
    * WIN*.PIF dosyalarını WINDOWS SYSTEM dizininde bulunuşu
    * W32/Funlove.gen ve W32/Funlove.dr virüslerinin varlığı

    Etkileme Yöntemi:
    E-posta eklentisi ile yayılan Internet solucanı yaması uygulanmamamıs Microsoft Internet Explorer'in otomatik eklenti çaliştirma özelliğinden yararlanarak bulaşıyor. Çalıştırıldığında güvenlik yazılımlarının çalışmasını durdurup, dosyaların silmeyi deniyor. Bilgisayarın sabit diskindeki e-posta adreslerini toplayıp kendisini SMTP ile bu adreslere göndermeyeye çalışıyor.

    W32/Braid

    Yerel sistemdeki e-posta adreslerine kendi SMTP motorunu kullanarak gönderiyor. Virüs from kısmına gerçek bir e-posta adresi atıyarak, e-posta görüntülendiğinde otomatik olarak çalışmasını sağlaryan Internet Explorer açığından yaralanıcakl şekilde e-posta hazırlıyor. Bunlarla birlikte çalıştırldığıda ağ paylaşımları yardımı ile virsünyayılmasını sağlayan bir dosya da yaratıyor.

    Konu (Subject):
    Gönderenin Windows kayıt şirket ismi

    Metin (Body):
    Hello,
    Product Name: Microsoft Windows %Gönderenin etkilenmiş windows sürümü%
    Product Id: %Gönderenin etkilenmiş makinesindeki Windows ID %
    Product Key: %Gönderenin etkilenmiş sistemindeki Windows anahtarı%
    Process List:%Gönderenin etkilenmiş sisteminde çaışan işlemler%
    Thank you.

    Ek (Attachment):
    README.EXE

    Belirtiler :
    Aşağıdaki dosyaların varlığı:

    * HELP.EML
    * %Desktop folder%\Explorer.exe
    * %SysDir%\Bride.exe

    Etkileme Yöntemi:
    Eklenti çalıştırldıktan sonra, virüs taşınır çalıştırılabilir dosyaları (.EXE, .OCX, ve .SCR) etkilyor. Kenidisini başka e-posta adreslerine göndermek için .DBX ve .HTM dosyalarında e-posta adresi taraması yapıyor. Bulduğu adresleri hem TO: hem de FROM: kısmında kullanıp e-postalar hazırlıyor ve bunları gönderiyor. Güvenlik programlarını durudurabiliyor.

    Teknik Özellikler:
    Virüs "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020)" açığından yararlanarak zayıf Outlook Express programları (ver 5.01 or 5.5 without SP2) tarafından sadece e-posta görüntülenmesi sonucu otomatik eklenti çalıştırılmasını sağlıyor.
    Çalıştırıldığında kendisini WINDOWS SYSTEM (%SysDir%) dizinine REGEDIT.EXE (Not: WINDOWS dizininde REGEDIT.EXE isimli temiz bir dosya hali hazırda zaten var) olarak kopyalıyor ve aşağıdaki kayıt değerini er açılışta çalışmak için işliyor:

    *

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\regedit=
    C:\Windows\System\regedit.exe

    Virüs WINDOWS SYSTEM dizinine , BRIDE.EXE ve MSCONFIG.EXE isimli iki dosya kopyalıyor. Bu dosyalar SDAT4132 (veya yeni) dat dosyaları tarfından W32/Funlove.dr olarak tanınıyor. Bu dosyalar çalıştırıldığında tüm taşınır çalıştırılabilir dosyaları (.EXE, .OCX, ve .SCR) W32/Funlove virüsünün geliştirilmiş şekliyle etkiliyor. Bu dosyalar 4132 DATs (veya yeni) dat dosyaları ve şu ank iarama motoru ile W32/FunLove.gen olarak tesbit ediliyor.

    W95/Opaserv


    WinNT/2K/XP işletim sistemlerinde bu tehlike etkili değildir. Windows 9x tabanlı işletim sitemlerinde etkilidir. Ağ-üstünde ilerliyen solucan kendisini bir kopyasını açık paylaşımlar (parola koruması olmayan) sayesinde Startup (Başlangıç) dizinine yazmaya çalışmaktadır.
    Çalıştırıldığında ya da başlangıçta bilgisayar tarafından çalıştırıldığında bir sonraki açlışlarda da otomatik çalıştırılmak için kayıt dosyalarında aşağıdaki değişikliği yapmaktadır:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "ScrSvr" = %WinDir%\ScrSvr.exe

    Bunların yanı sıra aşağıdaki dosyayı da değiştirip,
    c\windows\win.ini
    tmp.ini okumasını;
    run= c:\tmp.ini
    komutuyla sağlar, kendi yarattığı;
    c\tmp.ini
    dosyasını açılışlarda çalışır hale getirir. Dosyanın içeriği aşağıdaki gibidir.
    run= c:\windows\scrsvr.exe

    W32/Insane

    Virüs tanımlama bilgi bankası olarak 4229 DAT dosyasını eski, destek verilmeyen virüs tarama motorları (arama motoru sürümü 4.0.70 ve 4.1.40) ile birlikte kullanan makinelerde "W32/Insane.dam" yanlış alarmı gözlenmektedir.
    Bu mesajı alan kullanıcıların en kısa zamanda virüs tarama motorunu 4.1.60 sürümüne güncellemeleri gerekmektedir.

    W32/Bugbear

    MSVC'de yazılan bu virüs UPX olarak paketlenmiştir. Ağ paylaşımları ve e-posta ile dağılmaktadır. Keyloger olarak çalışan bir truva atı da içermektedir. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir. Virüs kodu e-posta "Konu" ve "Eklenti" kısmını içermektedir.

    Konu (Subject):
    Büyük ihtimalle etkilediği makinedeki kelimeleri ya da dosya isimlerini "Konu" olarak seçiyor. Olası "Konu" satırları aşağıda verilmiştir (ancak, "Konu" satırları değişken olabilir.):

    * 25 merchants and rising
    * Announcement
    * bad news
    * CALL FOR INFORMATION!
    * click on this!
    * Correction of errors
    * Cows
    * Daily Email Reminder
    * empty account
    * fantastic
    * free shipping!
    * Get 8 FREE issues - no risk!
    * Get a FREE gift!
    * Greets!
    * Hello!
    * Hi!
    * history screen
    * hmm..
    * I need help about script!!!
    * Interesting...
    * Introduction
    * its easy
    * Just a reminder
    * Lost & Found
    * Market Update Report
    * Membership Confirmation
    * My eBay ads
    * New bonus in your cash account
    * New Contests
    * new reading
    * News
    * Payment notices
    * Please Help...
    * Re: $150 FREE Bonus!
    * Report
    * SCAM alert!!!
    * Sponsors needed
    * Stats
    * Today Only
    * Tools For Your Online Business
    * update
    * various
    * Warning!
    * wow!
    * Your Gift
    * Your News Alert

    Ek: (Attachment):
    İsimleri de değişken olmakla birlikte genelde aşağıdaki satırları içermektedir:

    * Card
    * Docs
    * image
    * images
    * music
    * news
    * photo
    * pics
    * readme
    * resume
    * Setup
    * song
    * video

    Teknik Detaylar:
    Eklentilerinde ikili uzantısı olması genel bir olgu (örnek: .doc.pif). Gönderdiği e-postalar Microsoft Internet Explorer'ın (ver 5.01 ya da 5.5 SP2 yüklenmemiş) Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020) açığından faydalanmaya çalışıyor.
    "Gelen kutusu" içinde bulunan adresleri ve diskte de aşağıda uzantıları verilmiş dosyaları arayıp e-posta adreslerine ulaşmaya çalışıyor.

    * MMF
    * NCH
    * MBX
    * EML
    * TBB
    * DBX
    * OCS

    Varolan kullanıcını ve SMTP sunucusunu e-posta adreslerini aşağıdaki kayıt dosyasından alır: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

    Belirtirler:
    Çalıştırıldığında kendisini %WinDir%\System dizini altına ****.EXE olarak kopyalar.( * rast gele karakterleri temsil etmektedir). Örneğin:

    * Win98 : C:\WINDOWS\SYSTEM\FYFA.EXE
    * 2k Pro : C:\WINNT\SYSTEM32\FVFA.EXE

    Aşağıdaki kayıt dosyasını bir sonraki açılışta dosyayı çalıştırması için düzenler:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion RunOnce "%ras tgele harfler%" = %rast gele dosya adı%.EXE (Win9x)
    Startup (Başlangıçta) dizinine kendisini ***.EXE olarak kopyalar. ( * rastgele karakterleri temsil etmektedir).
    Örneğin:

    * Win98 : C:\WINDOWS\Start Menu\Programs\Startup\CUK.EXE
    * 2k Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\CYC.E

    Truva Atı Bileşeni
    Internet solucanı etkilediği makinede port 36794 açarak ve değişik bir çok çalışan işleri arayıp onları durduruyor.Bu işler arasında bir çok ünlü anti-virüs ve güvenlik-duvarı programı var:

    * ACKWIN32.exe
    * F-AGNT95.exe
    * ANTI-TROJAN.exe
    * APVXDWIN.exe
    * AUTODOWN.exe
    * AVCONSOL.exe
    * AVE32.exe
    * AVGCTRL.exe
    * AVKSERV.exe
    * AVNT.exe
    * AVP32.exe
    * AVP32.exe
    * AVPCC.exe
    * AVPCC.exe
    * AVPDOS32.exe
    * AVPM.exe
    * AVPM.exe
    * AVPTC32.exe
    * AVPUPD.exe
    * AVSCHED32.exe
    * AVWIN95.exe
    * AVWUPD32.exe
    * BLACKD.exe
    * BLACKICE.exe
    * CFIADMIN.exe
    * CFIAUDIT.exe
    * CFINET.exe
    * CFINET32.exe
    * CLAW95.exe
    * CLAW95CF.exe
    * CLEANER.exe
    * CLEANER3.exe
    * DVP95_0.exe
    * ECENGINE.exe
    * ESAFE.exe
    * ESPWATCH.exe
    * FINDVIRU.exe
    * FPROT.exe
    * IAMAPP.exe
    * IAMSERV.exe
    * IBMASN.exe
    * IBMAVSP.exe
    * ICLOAD95.exe
    * ICLOADNT.exe
    * ICMON.exe
    * ICSUPP95.exe
    * ICSUPPNT.exe
    * IFACE.exe
    * IOMON98.exe
    * JEDI.exe
    * LOCKDOWN2000.exe
    * LOOKOUT.exe
    * LUALL.exe
    * MOOLIVE.exe
    * MPFTRAY.exe
    * N32SCANW.exe
    * NAVAPW32.exe
    * NAVLU32.exe
    * NAVNT.exe
    * NAVW32.exe
    * NAVWNT.exe
    * NISUM.exe
    * NMAIN.exe
    * NORMIST.exe
    * NUPGRADE.exe
    * NVC95.exe
    * OUTPOST.exe
    * PADMIN.exe
    * PAVCL.exe
    * PAVSCHED.exe
    * PAVW.exe
    * PCCWIN98.exe
    * PCFWALLICON.exe
    * PERSFW.exe
    * F-PROT.exe
    * F-PROT95.exe
    * RAV7.exe
    * RAV7WIN.exe
    * RESCUE.exe
    * SAFEWEB.exe
    * SCAN32.exe
    * SCAN95.exe
    * SCANPM.exe
    * SCRSCAN.exe
    * SERV95.exe
    * SPHINX.exe
    * F-STOPW.exe
    * SWEEP95.exe
    * TBSCAN.exe
    * TDS2-98.exe
    * TDS2-NT.exe
    * VET95.exe
    * VETTRAY.exe
    * VSCAN40.exe
    * VSECOMR.exe
    * VSHWIN32.exe
    * VSSTAT.exe
    * WEBSCANX.exe
    * WFINDV32.exe
    * ZONEALARM.exe

    Bu dışardan erişim saldırgana dosya çekme, çalıştırma, işleri durdurmayı ve bir çok değişik işlem yapma izin veriyor.
    Buna ek olarak keylogger olarak çalışacak bir DLL dosyası bırakıyor. Bu DLL PWS-Hooker.dll olarak gözüküyor.

    Ağ paylaşımı etkileşimi
    Internet solucanı etkilediği makinede port 36794 açarak ve değişik bir çok çalışan işleri arayıp onları durduruyor.Bu işler arasında bir çok ünlü anti-virüs ve güvenlik-duvarı programı var:

    * Port 36974 açık olması
    * Aşağıdaki dosyaların varlıkları (* herhangi bir karakteri temsil etmekte):
    o %WinDir%\System\****.EXE (50,688 ya da 50,684 bytes)
    o %WinDir%\******.DAT
    o %WinDir%\******.DAT
    o %WinDir%\System\******.DLL
    o %WinDir%\System\*******.DLL
    o %WinDir%\System\*******.DLL

    W95/Scrup

    WinNT/2K/XP işletim sistemlerinde bu tehlike etkili değildir. Windows 9x tabanlı işletim sitemlerinde etkilidir.
    Ağ-üstünde ilerliyen solucan kendisini bir kopyasını açık paylaşımlar (parola koruması olmayan) sayesinde Startup (Başlangıç) dizinine yazmaya çalışmaktadır.
    Çalıştırıldığında ya da başlangıçta bilgisayar tarafından çalıştırıldığında bir sonraki açlışlarda da otomatik çalıştırılmak için kayıt dosyalarında aşağıdaki değişikliği yapmaktadır: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "ScrSvr" = %WinDir%\ScrSvr.exe
    Bunların yanı sıra aşağıdaki dosyayı da değiştirip, c\windows\win.ini tmp.ini okumasını; run= c:\tmp.ini komutuyla sağlar, kendi yarattığı; c\tmp.ini dosyasını açılışlarda çalışır hale getirir. Dosyanın içeriği aşağıdaki gibidir. run= c:\windows\scrsvr.exe

    Linux/Slapper

    Linux/Slapper Aphace web sunucunlarında OpenSSL bileşenleri kullanan SSL özelliği çalışır durumda olanları bellek taşamsı zayıflığından yararlanarak bilgisayarları etkileyen bir Internet solucanı. Aktif olduktan sonra DoS saldırısı başlatabilen bilen bir arka kapı oluşturuyor.
    Linux/Slapper sistemler arasında TCP port 443 (SSL) kullanarak yayılıyor. Bu porta bağlanmadan önce TCP port 80 (HTTP) ile bağlantı kurup sunucu makinenin kullandığı Aphace web sunucusunun sürümünü öğrenmeye çalışır. Eğer web sunucusu Apache dışında bir programsa bilgisayarı etkilemeyi denemiyor.
    Internet solcanın aradığı sürümler:
    * Red Hat Apache 1.3.6, 1.3.9, 1.3.12, 1.3.19, 1.3.20, 1.3.22, 1.3.23, 1.3.26.
    * SuSE running Apache 1.3.12, 1.3.17, 1.3.19, 1.3.20, 1.3.23.
    * Mandrake running Apache 1.3.14, 1.3.19, 1.3.20, 1.3.23.
    * Slackware running Apache 1.3.26.
    * Debian running Apache 1.3.26.
    * Gentoo herhangi bir Apache sürümü.
    Eğer ki işletim sistemi ya da Apache sürümünü belirliyemezse, İşletim sistemi olarak Red Hat ve Aphace sürümü olarak da Apache 1.3.23 varsayrak işlemelerine başlıyor.
    Linux/Slapper TCP port 443 (SSL) ile uzaktaki sisteme bağlanıp kendisine bellek taşaması açığından faydalanarak bir kabuğa(./bin/sh) ulaşmaya çalışıyor. Linux/Slapper yayılmakta kullandığı OpenSSL açığı 30 Temmuz 2002 tarihinde çözümü ile birlikte http://www.openssl.org/news/secadm_20020730.txt adresinde yayınlandı.
    Eğer Linux/Slapper uzaktaki makineyi kırabildiyse, ulaştığı kabuğa bir betik yükler. Bu betik Internet solcanın uuencoded kaynak kodu kopyasını içermektedir. Betik /tmp/.unlock.c dosyanın içine kaynak kodunu açar ve çalıştırır. Bir daemon işlem olarak gözükecek olan .unlock başlatılır.
    Unutulmamalıdır ki Linux/Slapper yayılması ve etkilemesi, gcc derleyicisinin saldırıyı alan makinede var olmasına ve bu derleyicinin Apache tarafından çalıştırılabiliyor olmasına dayanmaktadır. Bazı sınırlandırmalar getirilerek derleyicinin web sunucusu tarafından çalıştırılmamamsı iyi bir güvenlik önlemi olacaktır.
    Bir defa aktif hale geçtikten sonra, Linux/Slapper UDP port 4156 üstünden bağlantı kurulacak bir arka kapı yaratıyor. Bu arka kapı diğer virüsten etkilenmiş bilgisayarlar tarafından başlatılan bir çok değişik saldırı oluşmasını sağlıyor. Örneğin: herhangi bir kodun çalıştırılması, TCP taşkını., DNS taşkını, diskte e-posta adreslerin aranması gibi.

    Temizlenmesi:
    Aşağıdaki işlemi arayın ve çalışmasını durdurun (kill):

    * .unlock

    Aşağıdaki dosyaları (eğer varsa) silin:

    * /tmp/.unlock
    * /tmp/.unlock.c
    * /tmp/.unlock.uu
    * /tmp/.update.c
    * /tmp/update

    Daha detaylı bilgi için:
    http://online.securityfocus.com/bid/5363/solution/

    VBS/Neiber.A

    VBS.Neiber.A virüsü Microsoft Windows Adres Defteri'ndeki kayıtlara toplu e-posta atan bir Internet solucanıdır. Eklentisi ve görünür bir içeriği olmamasına rağmen metin içine gömülü HTML kodu sayesinde virüslü %Windir%Bernie.vbs dosyasını oluşturup çalıştırmaktadır.

    Konu (Subject):
    Attention virus

    Mesaj:
    Metin bölümü boş gözükse de, içeriğinde virüsün HTML kodu var.

    Ek (Attachment):
    Yok

    Belirtiler:
    Bernie.vbs çalıştırıldıktan sonra aşağıdakileri sırasıyla yapmakta:

    * Kendisini %Sistem%Bernie.vbs olarak kopyalıyor.
    * Windows'un her açılışında çalışmak için HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run değerine "Bernie wscript.exe %system%\Bernie.vbs" ekliyor
    * "HKEY_CURRENT_USER\software\Bernie" değerinin 1 olup olmadığını kontrol ediyor. 1 değilse Microsoft Windows Adres Defteri'ndeki tüm kayıtlar e-posta gönderiyor.
    * E-postaları gönderdikten sonra yerel ve bağlantılı disklerde *.vbs ve *.vbe dosyalarını arayıp üstlerine kendisini yazıyor.
    * En son olarak da bilgisayar çakılıncaya kadar Notepad açıyor.

    W32/Manymize

    W32.Manymize@mm virüsü kendisi ile birlikte üç dosyayı da Microsoft Windows Adres Defteri'ndeki e-posta adreslerine gönderen (toplu e-posta atan) bir virüstür.

    Konu (Subject):
    Internet solucanı aşağıdaki seçeneklerden birini konu olarak seçiyor.

    * Hi (alıcının e-posta adresi)
    * Dear (alıcının e-posta adresi)
    * Hello (alıcının e-posta adresi)
    * My friend, (alıcının e-posta adresi)
    * How are you !! (alıcının e-posta adresi)

    Mesaj:
    Mesaj dört kelime veya kelime grubunun birleşmesinden oluşuyor.
    1. Grup

    * Hi (alıcının e-posta adresi)
    * Dear (alıcının e-posta adresi)
    * Hello (alıcının e-posta adresi)
    * My friend, (alıcının e-posta adresi)
    * How are you !! (alıcının e-posta adresi)

    2. Grup

    * , See this
    * , This is
    * , Open the
    * , Attached is my
    * , Watch my

    3. Grup

    * funny
    * interesting
    * cute
    * amusing
    * special

    4. Grup

    * video.
    * movie.
    * penguin.
    * clip.
    * tape.

    Ek (Attachment):

    * Mi2.htm
    * Mi2.chm
    * Mi2.wmv
    * Mi2.exe

    Belirtiler:
    Virüs okunduğunda veya ön izleme ile bakıldığında bilgisayarı otomatik etkileyebilmek için IFRAME ve MIME açığından , yararlanmaktadır.
    Ek olarak, Mi2.wmv otomatik olarak çalıştırıldığında kullandığı açık Windows Media Dosyasının Mi2.htm çalıştırılmasına izin verilmesini sağlıyor.
    Internet solucanı e-posta adreslerini C:\Program Files\Common Files\System\Wab32.dll veya D:\Program Files\Common Files\System\Wab32.dll dosyalarını kullanarak Microsoft Windows Addres defterinden alıp kullanır. Eğer belirtilen iki dosya da yoksa 120 tane e-posta adresi arasından rastgele seçtiği ve "@pchome.com.tw." ile biten adreslere kendini gönderiyor

    W32/Yaha.E

    Yerel diskteki e-posta adreslerine SMTP ile e-posta gönderen Internet solucanın özellikleri:
    Konu (Subject):
    humour you care ur friend Who is ur Best Friend make ur friend happy
    True Love to enjoy Free Screen saver Friendship Screen saver
    Bullshit Need a friend? Find a good friend war Againest Loneliness
    I am For u Life for enjoyment Nothink to worryy Ur My Best Friend
    LoveGangs to ur lovers Best Friends Send This to everybody u like
    Enjoy Romantic life to watch to share How sweet this Screen saver
    Let's Laugh One Way to Love Learn How To Love Are you looking for Love
    Interesting Enjoy friendship Shake it baby Shake ur friends
    One Hackers Love Origin of Friendship The world of lovers The world of Friendship
    Love Friendship how are you U r the person?
    Hi U realy Want this Romantic searching for true Love
    New Wonderfool excite Looking for Friendship
    charming Idiot Nice Wowwww check it
    One Funny Great Easy Way to revel ur love
    Shaking powful Joke Let's Dance and forget pains
    Interesting Screensaver Friendship Say 'I Like You' To ur riend
    relations stuff to ur friends Check ur friends Circle
    for you to see to check love speaks from the heart

    Mesaj:
    "Hi Check the Attachment ..See u"
    "Attached one Gift for u.."
    "wOW CHECK THIS" "Enjoy this friendship Screen Saver and Check ur friends circle... Send this screensaver from to everyone you consider a FRIEND, even if it means sending it back to the person who sent it to you. If it comes back to you, then you'll know you have a circle of friends.
    "To remove yourself from this mailing list, point your browser to: [web address]"
    "Enter your email address ([sender's address]) in the field provided and click "Unsubscribe".
    "Reply to this message with the word "REMOVE" in the subject line. This message was sent to address [sender's address] X-PMG-Recipient: [sender's address]"

    Ek (Attachment):
    screensaver screensaver4u screensaver4u screensaverforu
    freescreensaver love lovers lovescr
    loverscreensaver loversgang loveshore love4u
    lovers enjoylove sharelove shareit
    checkfriends urfriend friendscircle friendship
    friends friendscr friends friends4u
    friendship4u friendshipbird friendshipforu friendsworld
    werfriends passion bullshitscr shakeit
    shakescr shakinglove shakingfriendship passionup
    rishtha greetings lovegreetings friendsgreetings
    friendsearch lovefinder truefriends truelovers
    fucker loveletter resume biodata
    dailyreport mountan goldfish weeklyreport
    report love

    Uzantı:
    .doc .txt .bmp .zip
    .mp3 .jpg .htm .pif
    .xls .gif .mpg .bat
    .wav .dat .mdb .scr

    Belirtiler:
    Bilgisayarınızda yüklü ise aşağıdaki programların çalıştırılamaması.

    ATRACK

    F-PROT95

    LUCOMSERVER

    NISSERV

    RESCUE32
    ANTIV

    FP-WIN

    MCAFEE IR

    NISUM

    SAFEWEB
    AVCONSOL

    F-STOPW

    NAVAPSVC

    NMAIN

    SCAM32
    AVP.EXE

    IAMAPP

    NAVAPW32

    NORTON

    SIRC32
    AVP32

    ICMON

    NAVLU32

    NVC95

    SYMPROXYSVC
    AVSYNMGR

    IOMON98

    NAVRUNR

    PCCWIN98

    VSHWIN32
    CFINET

    LOCKDOWN2000

    NAVW32

    POP3TRAP

    VSSTAT
    CFINET32

    LUALL

    NAVWNT

    PVIEW95

    WEBSCANX
    WEBTRAP

    WINK

    ZONEALARM



    Virüs eklentili dosya açıldığında aşağıdaki metinleri içeren ekran koruyucularının çalışması.

    * Ur My Best Friend!!
    * No Configuration is availabile Now
    * Config
    * madd
    * U r so cute today #!#!
    * True Love never ends
    * I like U very much!!!
    * U r My Best Friend

    W32/Frethem.f@MM

    Microsoft Outlook Express posta kutuları dosyaları (.DBX dosyaları), ve Windows Address Book (.WAB dosyası) içindeki e-posta adreslerini topladıktan sonra bu adreslere SMTP aracılığı ile e-posta gönderen internet solucanının özellikleri:

    Konu (Subject):
    Re: Your password!

    Mesaj:
    "ATTENTION! You can access very important information by this password."
    "DO NOT SAVE password to disk use your mind now press cancel."

    Ek (Attachment):
    decrypt-password.exe (35,840 bytes)
    password.txt (31 bytes)

    Internet solucanı Incorrect MIME Header Can Cause IE to Execute E-mail Attachment Microsoft Internet Explorer (ver 5.01 or 5.5 without SP2), açığından yaralanarak otomatik olarak çaıştırılıp sistemi etkilemektedir.
    Exe dosyası kendisini bilgisayarın her açılışında çalışmak için \Start Menu\Programs\Startup\setup.exe konumuna kopyalar.

    Belirtiler:
    Aşağıdaki dosyaların bilgisayarınızda bulunması

    * \Start Menu\Programs\Startup\setup.exe
    * %WinDir%\status.ini
    * %WinDir%\Win64.ini

    JS/SQLSpida

    Internet solucanı MS SQL sunucularını hedefliyor. Varsayılan SQL administrator hesabının (SA) zayıflığını kullanarak bilgisayar bulaşıyor. SQL yöneticileri SA hesabının zayıflığını kapatmak için gerekli önlemleri almaları gerekmektedir. SQL sunucusunu güvenli hale getirme konusunda daha detaylı bilgi almak için: http://support.microsoft.com/defaul...b;EN-US;Q313418

    Belirtiler:
    Aşağıdaki dosyaların bilgisayarınızda bulunması:

    * %WinDir%\system32\drivers\services.exe
    * %WinDir%\system32\sqlexec.js
    * %WinDir%\system32\clemail.exe
    * %WinDir%\system32\sqlprocess.js
    * %WinDir%\system32\sqlinstall.bat
    * %WinDir%\system32\sqldir.js
    * %WinDir%\system32\run.js
    * %WinDir%\system32\timer.dll
    * %WinDir%\system32\samdump.dll
    * %WinDir%\system32\pwdump2.exe

    W32/Klez

    Microsoft Internet Explorer (vers. 5.01/5.5 SP2 kurulmamış) "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" açığından yaralanarak bulaşıyor. E-posta'nın kimden kısmını değişitirebiliyor. Gönderen adresi virüs tarafında etkilenmiş herhangi bir sistemin kullanıcınısını adresi olabiliyor. Gelen e-posta bu nedenle başka biri tarfından gönderilmiş gibi gözükebilen virusun özellikleri:

    Konu (Subject):
    Internet solucanı e-posta mesajını Konu ve İçerik kısımlarını rastgele belirliyor. Konu kısımı aşağıdaki kuralların birisine gore rastgele yaratılıyor:
    1. "Hi,", "Hello," "Re:", Fw:", ya da boşlukla birlikte "Very", "special" ya da boşluk olarak ilk kelime ve "New", "funny", "nice", "humour", "excite", "good", "powful", "WinXP" ve "IE 6.0" ikinci kelime olacak şekilde aşağıdaki şekilde bir cümle kuruyor. "A %s %s game." "A %s %s tool." "A %s %s website." "A %s %s patch." "A special powful tool"
    2. "W32.Elkern" ya da "W32.Klez.E" ile birlikte "removal tools" kullanarak konu belirliyebiliyor. "W32.Klez.E removal tools"
    3. Aşağıdaki listeden herhangi birini de seçebiliyor:

    * how are you
    * let's be friends
    * darling so cool a flash,enjoy it
    * your password
    * honey
    * some questions
    * please try again
    * welcome to my hometown
    * the Garden of Eden
    * introduction on ADSL
    * meeting notice
    * questionnaire
    * congratulations
    * Sos!
    * japanese girl VS playboy
    * look,my beautiful girl friend
    * eager to see you
    * spice girls' vocal concert japanese lass'
    * sexy pictures
    * Undeliverable mail
    * Returned mail

    4. En son olarak da "Worm Klez.E immunity" konusunu seçiyor.

    Mesaj:
    İçerik virüs tarafından rastgele belirlenebileniyor veya boş da olabiliyor. Eğer konu kısmı "Worm Klez.E immunity" ise e-posta içeriği aşağıdaki gibi oluyor: "Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti -anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as fake Klez to fool the real worm ,so me AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question, please mail to me."

    Ek (Attachment):
    .BAT / .EXE / .SCR / .PIF.
    Gerekli izinler olduğu sürece ağ paylaşımları yardımı ile de kendisini diğer biligisayarlara tek ya da çift tıklamayla çalışacak bir ya da iki uzanıtılı dosyalar olarak kopyalıyor.

    * 350.bak.scr
    * bootlog.jpg
    * ALIGN.pif
    * User.bat
    * line.bat
    * user.xls.exe

    Internet solucanı kendisini RAR dosyaları gibi de kopyalıyabiliyor.

    * HREF.mpeg.rar
    * HREF.txt.rar
    * lmbtt.pas.rar

    Belirtiler:
    Bir çok antivirüs programının sistemdeki çalışmasını durabilir.

    * Rastgele isimlendirilmiş ağ paylaşımları olması.
    * WINKxxx.EXE dosyasının aşağıda beliritilen Registry dosyalarına anahtar olması:

    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

    W32/Fbound.C

    Toplu e-posta atan internet solucanı kulanıcının Windows Adres Defterindeki (WAB) tüm e-posta adreslerine kendini yollamaktadır.

    Konu (Subject):
    Important (japonca terim de olabilir)

    Mesaj:
    Boş mesaj

    Ek (Attachment):
    PATCH.EXE

    W32/Gibe.A

    Kitle mesajı postalayan bu Internet kurdu, kendini bir (Q216309.EXE isimli) Microsoft Güvenlik Güncellemesi yaması olarak göstermekte ve kullanıcıları kendisini çalıştırmaları yönünde kandırmaya çalışmaktadır. Bu internet kurdu, kendini, makina üzerinde hem Microsoft Outlook hem de SMTP sunucusunu kullanarak postalamaktadır. Virüs Sistemde varsayılan Internet Hesap detaylarını almakta ve aşağıdaki bilgileri oraya yazmaktadır:

    * HKEY_LOCAL_MACHINE\Software\AVTech HKEY_LOCAL_MACHINE\Software\AVTech\Settings "varsayılan Adres" (varsayılan SMTP e-posta adresi)
    * HKEY_LOCAL_MACHINE\Software\AVTech\Settings " varsayılanSunucu" (varsayılan sunucu)
    * HKEY_LOCAL_MACHINE\Software\AVTech\Settings "Installed"= ...by Begbie

    Virüsün WINNETW.EXE bileşeni, iki çeşit Internet tabanlı e-posta adres dizini arar. Geri gelen veriler arasından e-posta adreslerini seçer ve 02_N803.DAT içine tekrar tekrar yazar. Virüsün bileşenlerini çalıştırmak için aşağıdaki iki Kütük satırı ayarı yapılacaktır:

    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run_"3dfx Acc" = %windir\GFXACC.EXE
    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run_"LoadDBackup" = %windir\BCTOOL.EXE

    Bilgisayar tekrar başlatıldığında BCTOOL.EXE çalışır ve 02_N803.DAT içinde bulunan bütün adreslere, varsayılan SMTP sunucusunu kullanarak, Internet kurdunu e-posta şeklinde yollar.
    Bu Internet kurdunun son bileşeni olan GFXACC.EXE bir arka kapı Trojanıdır. Bu bileşen, virüs bulaşmış sistemde 12378 portunu açık bırakır. Bu bileşen, belirtilen DAT lar tarafından BackDoor-ABJ olarak bulunup tanımlanır.

    Ek(Attachment):

    * %windir%\BCTOOL.EXE
    * %windir%\WINNETW.EXE
    * %windir%\VTNMSCCD.DLL
    * %windir%\GFXACC.EXE

    Belirtiler:

    * Bazı dosyaların bilgisayarınızda bulunması:
    %windir%\BCTOOL.EXE (32,768 bytes) %windir%\WINNETW.EXE (20,480 bytes) %windir%\Q216309.EXE (122,880 bytes) %windir%\VTNMSCCD.DLL (122,880 bytes) %windir%\GFXACC.EXE (20,480 bytes) %windir%\02_N803.DAT (variable)
    * 12387 portunun açık olması.
    * Sistem Kütüğünde (registry) aşağıdaki satırın bulunması :
    HKEY_LOCAL_MACHINE\Software\AVTech

    NOT: Windows ME, seçilen dosyaları C:\_Restore dosyasına otomatik olarak yedekleyen bir program kullanmaktadır. Bu demektir ki, virüs bulaşmış bir dosyanın da yedekleme dosyası olarak sakalanabilme ihtimali vardır. VirusScan özelliği bu dosyaları silemeyecektir. Bu bilgiler, virüs bulaşmış dosyaları C:\_Restore dosyasından nasıl silebileceğinizi göstermektedir.

    Restore Programını Etkisiz Hale Getirmek için:
    1. Masaüstünde Bilgisayarım (My Computer) ikonunu sağ tıklayın ve Özellikler (Properties)'i seçin.
    2. Performance'ı tıklayın.
    3. File System düğmesine tıklayın.
    4. Troubleshooting'i tıklayın.
    5. "Disable System Restore" seçeneğini işaretleyin.
    6. Apply düğmesine basın.
    7. Close düğmesine basın.
    8. Close düğmesine tekrar basın.
    9. Bilgisayarınızı tekrar bağlatmanız istenecektir. Yes seçeneğini tıklayıp onaylayın.
    NOT: Böylece Restore Programını etkisiz hale getirmiş oluyorsunuz.
    10. Bilgisayarınızı Emniyet Kipi'nde (Safe Mode) tekrar açın.
    11. VirusScan ile bir virüs taraması yapın ve bu sayede bütün virüslü dosyaları silin, ya da C:\_Restore dosyasında bulunan dosyalara göz atın ve virüslü dosyaları silin.
    12.İstenen dosyaları sildikten sonra, bilgisyarınızı normal bir şekilde tekrar başlatın.
    NOT: Restore Programını tekrar etkin hale getirmek için, 1'den 9'a kadar olan işlem basamaklarını tekrar edin ve 5. adımda, "Disable System Restore" seçeneğinin yanındaki işareti kaldırın. Virüslü dosyalar artık silinmiştir ve System Restore tekrar etkin hale gelmiştir.



    W32/MyParty.a@MM

    Kitle halinde e-posta gönderen bu internet kurdu, WindowsNT/2K/XP sistemlerine bir ArkaKapı Trojan virüsü (BackDoor-AAF) bırakmaktadır. Bu kurt zarar verici bilgi bitleri (payloads) taşımamaktadır.

    Konu (Subject):
    new photos from my party!

    Mesaj:
    Hello! My party... It was absolutely amazing! have attached my web page with new photos! If you can please make color prints of my photos. Thanks!

    Ek (Attachment):
    Ekli dosya ismi, bazı kullanıcıları aldatmaktadır ve dosyanın üzerine tıkladıklarında Yahoo web sitesine bağlanacaklarını sanmaktadırlar. Belirli bazı e-posta istemcileri (clients), özellikle dosya adının altını çizgiyle belirleyenler, yukarıdaki Microsoft Outlook örneğindeki daha belirgin halinden farklı olarak bu ekli dosyanın daha çok bir URL adresi gibi görünmesini sağlarlar. Ekli dosya .COM uzantılı çalıştırılabilir bir dosyadır; bir URL adresi değildir. Ekli dosyayı çalıştırmak, yerel makinaya virus bulaşmasına neden olacaktır.

    Belirtiler:

    * C:\RECYCLED\REGCTRL.EXE dosyasının bulunmas#253; (Windows'ta değil, DOS komutunda görülebilir.)
    * C:\REGCTRL.EXE dosyasının bulunmas#253;.
    * %userprofile%\Start Menu\Programs\Startup\ msstask.exe dosyasının bulunmas#253;..

    NOT: Windows ME, seçilen dosyaları C:\_Restore dosyasına otomatik olarak yedekleyen bir program kullanmaktadır. Bu demektir ki, virüs bulaşmış bir dosyanın da yedekleme dosyası olarak sakalanabilme ihtimali vardır. VirusScan özelliği bu dosyaları silemeyecektir.

    Restore Programını Etkisiz Hale Getirmek için:
    1. Masaüstünde Bilgisayarım (My Computer) ikonunu sağ tıklayın ve Özellikler (Properties)'i seçin.
    2. Performance'ı tıklayın.
    3. File System düğmesine tıklayın.
    4. Troubleshooting'i tıklayın.
    5. "Disable System Restore" seçeneğini işaretleyin.
    6. Apply düğmesine basın.
    7. Close düğmesine basın.
    8. Close düğmesine tekrar basın.
    9. Bilgisayarınızı tekrar başlatmanız istenecektir. Yes seçeneğini tıklayıp onaylayın.
    NOT: Böylece Restore Programını etkisiz hale getirmiş oluyorsunuz.
    10. Bilgisayarınızı Emniyet Kipi'nde (Safe Mode) tekrar açın.
    11. VirusScan ile bir virüs taraması yapın ve bu sayede bütün virüslü dosyaları silin, ya da C:\_Restore dosyasında bulunan dosyalara göz atın ve virüslü dosyaları silin.
    12.İstenen dosyaları sildikten sonra, bilgisyarınızı normal bir şekilde tekrar başlatın.
    NOT: Restore Programını tekrar etkin hale getirmek için, 1'den 9'a kadar olan işlem basamaklarını tekrar edin ve 5. adımda, "Disable System Restore" seçeneğinin yanındaki işareti kaldırın. Virüslü dosyalar artık silinmiştir ve System Restore tekrar etkin hale gelmiştir.

    Takma Adları:

    * I-Worm.Myparty (AVP)
    * MyParty (F-Secure)
    * W32.Myparty@mm (NAV)
    * W32/MyParty-A (Sophos)
    * W32/Myparty@MM
    * W32/Myparty@MM (Panda)
    * Win32.MyParty (CA)
    * Win32.MyParty.A (AVX)
    * WORM_MYPARTY.A (Trend)

    W32/Maldal.d@MM

    Kitle mesajı gönderen bu internet kurdu, kaşeli web sayfalarından ve Outlook Adres Defteri'nden e-posta adresleri toplamakta, dosyaları ve güvenlik yazılımlarını silmektedir.

    Konu (Subject):
    Computer Name

    Bilgisayarın ismi virüs tarafından ZaCker'e çevrilmektedir. Fakat, değişim sözkonusu olmadan önce gönderdiğiniz e-posta mesajlarının konu kısmı bilgisayarınızın ismi olmaya devam edecektir. İsim değişikliği olduktan sonra postanızın konusu ZaCker olarak geçecektir.

    * Test this game body
    * I wish u like it
    * I have got this file for you
    * Surprise !!!
    * download this game & have fun
    * desktop maker ,you may need it
    * have you ever got a gift !?
    * What women wants !
    * Don't waste any time ,Subscribe now
    * Make your pc funny !
    * new program from my fun groups
    * Map of the world
    * Create your Ecard ( looooooooooooooooool Send it to everyoneIts made by me
    * Our symbol
    * If you have an elegant taste
    * Test your mind
    * 1 + 1 = 3 !!!
    * See this file
    * Singer , searsh for any song and sing
    * For everybody wants to marry a woman that he doesn't love !
    * nowadays , there is no womanhood !! :P
    * Just Try to fix it
    * Keep these advertisements run and earn 0.25 $ per 10 minute ;

    Ek (Attachment):
    %ComputerName%.exe

    Belirtiler:

    * Bilgisayarın ismi ZaCker'e çevrilmiştir.
    * WIN.COM bulunamadı hata mesajı yayınlanır.
    * Bazı dosyalar silinmiştir.
    eSafe\Protect\*.*
    F Program Files\McAfeeVirusScan95\*.*
    PC-Cillin 95\*.*
    PC-Cillin 97\*.*
    Program Files\FindVirus\*.*
    Program Files\FWIN32\*.*
    Program Files\Norton AntiVirus\*.*
    Program Files\Quick Heal\*.*
    Program Files\Zone Labs
    Program Files\AntiViral ToolkitPro\*.*
    Program Files\Command Software\F-PROT95\*.* "
    Program Files\Zone Labs\*.*
    rescue\*.*
    TBAVW95\*.*
    Toolkit\FindVirus\*.*
    f-macro\*.*
    VS95\*.*

    Ayrıca, aşağıdaki uzantılara sahip dosyalar da silinebilmektedir:
    .bat / .com /. dat /. doc / .htm / .html / .ini / .jpg / .lnk / .mdb / .mpeg / .php / .ppt / .txt / .xls / .zip Bu Internet kurdu, Windows'u çökertebilir veya kapatabilir. Sistem tekrar açıldığında, kullanıcının WIN.COM'un bulunamadığına dair bir hata mesajı alınır.

    NOT: Windows ME, seçilen dosyaları C:\_Restore dosyasına otomatik olarak yedekleyen bir program kullanmaktadır. Bu demektir ki, virüs bulaşmış bir dosyanın da yedekleme dosyası olarak sakalanabilme ihtimali vardır. VirusScan özelliği bu dosyaları silemeyecektir.

    Restore Programını Etkisiz Hale Getirmek için:
    1. Masaüstünde Bilgisayarım (My Computer) ikonunu sağ tıklayın ve Özellikler (Properties)'i seçin.
    2. Performance'ı tıklayın.
    3. File System düğmesine tıklayın.
    4. Troubleshooting'i tıklayın.
    5. "Disable System Restore" seçeneğini işaretleyin.
    6. Apply düğmesine basın.
    7. Close düğmesine basın.
    8. Close düğmesine tekrar basın.
    9. Bilgisayarınızı tekrar başlatmanız istenecektir. Yes seçeneğini tıklayıp onaylayın.
    NOT: Böylece Restore Programını etkisiz hale getirmiş oluyorsunuz.
    10. Bilgisayarınızı Emniyet Kipi'nde (Safe Mode) tekrar açın.
    11. VirusScan ile bir virüs taraması yapın ve bu sayede bütün virüslü dosyaları silin, ya da C:\_Restore dosyasında bulunan dosyalara göz atın ve virüslü dosyaları silin.
    12.İstenen dosyaları sildikten sonra, bilgisyarınızı normal bir şekilde tekrar başlatın.

    NOT: Restore Programını tekrar etkin hale getirmek için, 1'den 9'a kadar olan işlem basamaklarını tekrar edin ve 5. adımda, "Disable System Restore" seçeneğinin yanındaki işareti kaldırın. Virüslü dosyalar artık silinmiştir ve System Restore tekrar etkin hale gelmiştir.
    Takma Adları:

    * W32.Maldal.D@mm (NAV)
    * W32/Maldal-G (Sophos)
    * W32/Maldal.G (Panda)
    * W32/Maldal.gen@MM
    * W32/Maldal.H-mm (Message Labs)
    * Win32.Maldal.D (CA)
    * Win32.Maldal.E (CA)
    * WORM_MALDAL.D (Trend)
    * WORM_MALDAL.E (Trend)

    Değişik Türleri:

    * W32/Maldal.e@MM
    * W32/Maldal.f@MM
    * W32/Maldal.g@MM

    W32/Zoher@MM
    Kitle halinde e-posta mesajı gönderen bu virüs, kendi çoğalma işlemini yürütmek için bir web sitesi kullanmaktadır. http://banners.interfree.it adresinde bulunan ve e-posta mesaj başlığını, mesaj metnini ve eklentiyi içeren bir metin dosyasını indirmektedir. Bu durum, virüsü yazan kişinin bu mesaj alanlarını anında değiştirebilmesini sağlamaktadır.Bu e-posta mesajını yamasız bir makina üzerindeki Outlook ya da Outlook Express'ten okumak, yerel sisteme virüsün bulaşmasına neden olacaktır.

    Konu (Subject)
    Bu virüsün kullandığı web sayfası kaldırılmıştır. Bu yüzden virüs kendini yollamak istediğinde, mesaj, konu başlığı olmadan ve kurdu içermeden gelmektedir: "HTTP/1.0 404 Object not found". Kurt #254;u an etkin halde de#240;ildir. Virüs, Internet Explore 5.5 SP1'in malformed MIME Header vulnerability (MS01-020) güvenlik açığını, Windows Adres Defteri'ndeki bütün kullanıcılara kendini otomatik olarak gönderterek kötüye kullanmaktadır. Aşağıdaki mesajı göndermek için sistem kütüğünde (registry) belirtilmiş olan varsayılan SMTP sunucusunu kullanır

    Mesaj:
    (İtalyanca Mesaj) Con questa mail ti e stata spedita la FortUna; non la fortuna e basta, e neanche la Fortuna con la F maiuscola, ma addirittura la FortUna con la F e la U maiuscole. Qui non badiamo a spese. Da oggi avrai buona fortuna, ma solo ed esclusivamente se ti liberi di questa mail e la spedisci a tutti quelli che conosci. Se lo farai potrai: - produrti in prestazioni sessuali degne di King Kong per il resto della tua vita - beccherai sempre il verde o al massimo il giallo ai semafori- catturerai tutti e centocinquantuno i Pokemon incluso l'elusivo Mew - (per lui) quando andrai a pescare, invece della solita trota tirerai su una sirena tettona nata per sbaglio con gambe umane - (per lei) lui sara talmente innamorato di te che ti come una sirena tettona nata per sbaglio con le gambe Se invece non mandi questa mail a tutta la tua list entro quaranta secondi,allora la tua esistenza diventera una grottesca sequela di eventi tragicomici, una colossale barzelletta che suscitera il riso del resto del pianeta, e ticondurra ad una morte orribile, precoce e solitaria...No, dai, ho esagerato: hai sessanta secondi.Cascaci: e' tutto vero.Puddu Polipu, un grossista di aurore borealicagliaritano, spedi' questa mail a tutta la sua listaed il giorno dopo vinse il Potere Temporale della Chiesaalla lotteria della parrocchia.Ciccillo Pizzapasta, un cosmonauta campano chesoffriva di calcoli, si preoccupo di diffonderequesta mail: quando fu operato si scopri' che i suoicalcoli erano in realta diamanti grezzi.GianMarco Minaccia, un domatore di fiumi del Moliseche non aveva fatto circolare questa mail,perse entrambe le mani in un incidente subito dopoaver comprato un paio di guanti.Erode Scannabelve, un pediatra mannaro diTrieste,non spedi a nessuno questa mail: dei suoi tre figliuno comincio a drogarsi,il secondo entro in Forza Italiae il terzo si iscrisse a Ingegneria.

    Ek (Attachment):
    Javascript.exe

    Belirtiler:
    Sizin haberiniz olmadığı halde, e-posta iletişimi içinde olduğunuz kişilerin, sizden İtalyanca mesaj içerikli e-posta aldıklarını veya sizin gönderdiğiniz e-postadan virüs bulaştığını söylemeleri.

    NOT: Windows ME, seçilen dosyaları C:\_Restore dosyasına otomatik olarak yedekleyen bir program kullanmaktadır. Bu demektir ki, virüs bulaşmış bir dosyanın da yedekleme dosyası olarak sakalanabilme ihtimali vardır. VirusScan özelliği bu dosyaları silemeyecektir.

    Restore Programını Etkisiz Hale Getirmek için:
    1. Masaüstünde Bilgisayarım (My Computer) ikonunu sağ tıklayın ve Özellikler (Properties)'i seçin.
    2. Performance'ı tıklayın.
    3. File System düğmesine tıklayın.
    4. Troubleshooting'i tıklayın.
    5. "Disable System Restore" seçeneğini işaretleyin.
    6. Apply düğmesine basın.
    7. Close düğmesine basın.
    8. Close düğmesine tekrar basın.
    9. Bilgisayarınızı tekrar başlatmanız istenecektir. Yes seçeneğini tıklayıp onaylayın.
    NOT: Böylece Restore Programını etkisiz hale getirmiş oluyorsunuz.
    10. Bilgisayarınızı Emniyet Kipi'nde (Safe Mode) tekrar açın.
    11. VirusScan ile bir virüs taraması yapın ve bu sayede bütün virüslü dosyaları silin, ya da C:\_Restore dosyasında bulunan dosyalara göz atın ve virüslü dosyaları silin.
    12.İstenen dosyaları sildikten sonra, bilgisyarınızı normal bir şekilde tekrar başlatın.
    NOT: Restore Programını tekrar etkin hale getirmek için, 1'den 9'a kadar olan işlem basamaklarını tekrar edin ve 5. adımda, "Disable System Restore" seçeneğinin yanındaki işareti kaldırın. Virüslü dosyalar artık silinmiştir ve System Restore tekrar etkin hale gelmiştir.

    W32/Goner.A@mm
    4 Aralık 2001 tarihinde yayılmaya başlayan W32/Goner.A@mm virüsü, mIRC, ICQ ya da e-posta yoluyla yayılabilmektedir.

    Konu(Subject):
    Hi

    Mesaj:
    How are you ? When I saw this screen saver, I immediately thought about you
    I am in a harry, I promise you will love it!

    Ek (Attachment):
    Gone.scr (Eklenti sıkıştırılmış halde 38,912 bytes uzunluğundadır. Eklentideki dosyayı çalıştırırsanız virüs bilgisayarınıza bulaşır.)

    Belirtiler:
    Virüs aktif hale geldiğinde bir mesaj kutusu ekrana gelmektedir.Mesajın içeri şu şekildedir "pentagone - coded by:suid - tested by: ThE SKuLL and Isatan - greeting to: Trace War,k-9 unit,steff-16,^Reno - greetings also to nonick2 out there where ever you are". Kısa bir süre sonra "Error While Anlayize DirectX!" hatası vermektedir.
    Virüs, aşağıdaki registry parametresini değiştirmekte, bu sayede bilgisayar yeniden açıldığında daha önce silemediği dosyaları silmektedir:

    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ Run\C:\%WINDIR%\SYSTEM\gone.scr=C:\%WINDIR%\ SYSTEM\gone.scr

    Aşağıdaki dosyaları silerek etkisiz hale getirmektedir:

    * APLICA32.EXE
    * ZONEALARM.EXE
    * ESAFE.EXE
    * CFIADMIN.EXE
    * CFIAUDIT.EXE
    * CFINET32.EXE
    * FRW.EXE
    * VSHWIN32.EXE
    * NAVW32.EXE
    * _AVP32.EXE
    * _AVPCC.EXE
    * _AVPM.EXE
    * AVP32.EXE
    * AVPCC.EXE
    * AVPM.EXE
    * AVP.EXE
    * LOCKDOWN2000.EXE
    * ICLOAD95.EXE
    * ICMON.EXE
    * ICSUPP95.EXE
    * ICLOADNT.EXE
    * ICSUPPNT.EXE
    * TDS2-98.EXE
    * TDS2-NT.EXE
    * SAFEWEB.EXE
    * PCFWallICON.EXE

    Temizleme Yöntemi:

    Windows 95/98: Bilgisayarı Güvenli Kip#65533;te (Safe Mode) tekrar açınız. Bu işlemi açılışta Windows logosu gelmeden önce F8 tuşuna basarak yapabilirsiniz. Bilgisayarı kapattıktan sonra hafızanın tamamen temizlendiğinden emin olmak için 30 saniye kadar bekleyiniz.

    Windows NT/2000/XP: Öncelikle virüsü çalıştıran programı durdurmanız gerekmektedir. Bunun için aşağıdaki işlemleri yapınız:

    * Ctrl+Alt+Delete tuşlarına beraberce basınız.
    * Karşınıza çıkan #65533;Task Manager#65533; menüsünde #65533;Processes#65533; tıklayınız.
    * Karşınıza gelen listede #65533;gone.scr#65533; adlı programı tıklayınız ve #65533;End Process#65533; tuşuna basınız.
    * Aynı biçimde listede #65533;pentagone#65533; programını arayınız, varsa tıklayınız ve #65533;End Process#65533; tuşu ile programı sonlandırınız.
    * #65533;Close#65533; kullanarak Task Manager'i kapatınız

    Windows ME: Windows ME kullanıcıları sistemi yeniden başlatmadan önce aşağıdaki prosedürü izleyererk "System Restore" özelligini kaldırmalıdırlar:

    * Bütün programları kapatın. Masaüstündeki #65533;Bilgisayarım#65533; (My Computer) ikonuna sağ tıklayarak Özellikler seçeneğini seçiniz.
    * Karşınıza gelen kutuda #65533;Performance#65533; sekmesini seçerek #65533;File System#65533; butonuna tıklayınız.
    * #65533;Troubleshooting#65533; sekmesine tıklayarak #65533;Disable System Restore#65533; kutusunu işaretleyiniz.
    * İki kere #65533;OK#65533; tuşuna bastıktan sonra bilgisayarınızı yeniden başlatınız ve Registry Editor kullanarak virüsü temizleyiniz.

    Registry ayarlarını değiştirin: Start (Başlat) menüsünden Run (Çalıştır) kısmına tıklayarak ve #65533;regedit#65533; yazıp enter'a basarak Registry Editor programını çalıştırınız. Registry üzerinde yaptığınız hatalı ayarlar bilgisayarınızı çalışmaz hale getirebilir, bu nedenle aşağıdaki işlemleri dikkatli yapmanızı öneriyoruz: Sol taraftaki paneli kullanarak aşağıdaki parametreye ulaşınız:

    * HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run

    Sağ taraftaki panelde bulunan:

    * C:\%SYSTEM%\gone.scr C:\%SYSTEM%\gone.scr Parametrelerini siliniz

    ( %SYSTEM%, Windows dosyalarinizin bulundugu dizindir. Genellikle C:\WINDOWS\SYSTEM ya da C:\WINNT\SYSTEM görülecektir. )

    W32/BadTrans.B-mm

    http://www.microsoft.com/technet/tr...in/MS01-020.asp
    adresinde 29 Mart 2001 de yapılmış Microsoft Outlook Express güvenlik açığını kullanarak yayılıyor. Virüsün bilgisayarınıza bulaşmasını engellemek için bir an önce: http://windowsupdate.microsoft.com adresine bağlanarak Product Updates / Ürün Güncelleştirmeleri kısmından işletim sisteminizi güncellemeniz gerekmektedir.

    Konu (Subject):
    Virüslü e-postanın "Subject" kısmında virüsü gönderen kişinin diğer e-postalarından rastgele birisinin "Subject" satırı bulunmakta, bu nedenle gelen e-postanın virüs içerdiği "Subject" satırından anlaşılamamaktadır.

    Mesaj:
    Boş gelmekte ya da "Take a look at to the attachment" cümlesini içermektedir.

    Ek (Attachment):
    Eklentideki dosya uzantısı .pif ya da .scr olarak gelmekte, bu uzantılar gizli (hidden) olarak ayarlanmışsa uzantı "büyük harfle" .DOC, .MP3 ya da .ZIP olarak görünmektedir. Eklentinin boyu 13,312 byte ismi değişkendir.
    Belirtiler:
    Virüs, bulaştıktan sonra etkilediği bilgisayara b

+ Konuyu Yanıtla

Bu sayfada bulunan kavramlar:

xxxgermanvideo

hello virüs temizleyici indir

xxx video kismi darling

teerim girl life ok mp3 song

w.w.w k.sweety eml

RAV7 professional desktop registration

Xxx videos love4you.bid

XXX.GERMAN.VIDEO.W95.COM

Forum

Benzer Konular :

  1. Kiracı olarak yeni geçtiğim ev satıldı yeni ev sahibi çıkmamı istiyor
    Merhaba 15 gün önce kiraladığım evi ev sahibi satıyor yeni ev sahibi alım sürecinde ve evden çıkmamı istiyor bu durumda taşınma masraflarımı ve...
    Yazan: Arda aron Forum: Kira Hukuku
    Yanıt: 0
    Son İleti: 05-05-2016, 17:01:14
  2. Yeni Hukuki Kaynak: Yeni Çek Kanunu hakkında Adalet Komisyonu raporu
    Hukuk Makaleleri ve Mevzuat Kısmına yeni bir hukuki kaynak eklendi, üzerinde tartışmak ister misiniz : İlgili veri linki - Konu: Yeni Çek...
    Yazan: admin Forum: Mevzuata İlişkin Bilgi ve Yorumlar
    Yanıt: 0
    Son İleti: 15-12-2009, 17:47:21
  3. Yeni Hukuki Kaynak: Sigorta prim borcu yeni isverenin sorumlulugu
    Hukuk Makaleleri ve Mevzuat Kısmına yeni bir hukuki kaynak eklendi, üzerinde tartışmak ister misiniz : Sigorta prim borcu yeni isverenin...
    Yazan: admin Forum: Mevzuata İlişkin Bilgi ve Yorumlar
    Yanıt: 0
    Son İleti: 05-11-2009, 18:03:31
  4. Yeni Hukuki Kaynak: Yeni Malikin Davaya Devam Etmesi-Men'i Müdahale
    Hukuk Makaleleri ve Mevzuat Kısmına yeni bir hukuki kaynak eklendi, üzerinde tartışmak ister misiniz : Yeni Malikin Davaya Devam Etmesi-Men'i...
    Yazan: admin Forum: Mevzuata İlişkin Bilgi ve Yorumlar
    Yanıt: 0
    Son İleti: 24-03-2007, 22:38:31
  5. Yeni Hukuki Kaynak: Yeniden İnşa Sebebiyle Tahliye-Yeni Malik
    Hukuk Makaleleri ve Mevzuat Kısmına yeni bir hukuki kaynak eklendi, üzerinde tartışmak ister misiniz : Yeniden İnşa Sebebiyle Tahliye-Yeni...
    Yazan: admin Forum: Mevzuata İlişkin Bilgi ve Yorumlar
    Yanıt: 0
    Son İleti: 24-03-2007, 22:34:21

Yetkileriniz

  • Yeni konu açma yetkiniz yok
  • Konuya cevap verme yetkiniz yok
  • Dosya ekleme yetkisi yok
  • İleti düzenleme yetkisi yok
  •  


2022 tarihli Hukuk Blog |  Arabulucu |  Hukuk Kitapları |  Alman Hukuku |  Özel Güvenlik AŞ. |  İş İlanları |  Ankahukuk |  Psikolog |  Site Ekleme |  Sihirli Kadın |  Sağlık |  Satılık Düşecek Domainler |  Bayefendi |  Afternic Alanadı satış (Domain alımı) | 

™ Marka tescili, Patent ve Fikri mülkiyet hakları nasıl korunuyor?
Hukuki.Net’in Telif Hakları ve 2014-2022 yılları arası Marka Tescil Koruması Levent Patent tarafından sağlanmaktadır.
♾️ Makine donanım yapı ve yazılım özellikleri nedir?
Hukuki.Net olarak dedicated hosting serveri bilfiil yoğun trafiği yönetebilen CubeCDN, vmware esx server, hyperv, virtual server (sanal sunucu), Sql express ve cloud hosting teknolojisi kullanmaktadır. Web yazılımı yönünden ise content management (içerik yönetimi) büyük kısmı itibari ile vb olup, wordress ve benzeri çeşitli kodlarla oluşturulan bölümleri de vardır.
Hangi Diller kullanılıyor?
Anadil: 🇹🇷 Türkçe. 🌐 Yabancı dil tercüme: Masaüstü sürümünde geçerli olmak üzere; İngilizce, Almanca, Fransızca, İtalyanca, İspanyolca, Hintçe, Rusça ve Arapça. (Bu yabancı dil çeviri seçenekleri ileride artırılacak olup, bazı internet çeviri yazılımları ile otomatik olarak temin edilmektedir.
Sitenin Webmaster, Hostmaster, Güvenlik Uzmanı, PHP devoloper ve SEO uzmanı kimdir?
👨‍💻 Feyz Pazarbaşı & Istemihan Mehmet Pazarbasi[İstanbul] vd.
® Reklam Alanları ve reklam kodu yerleşimi nasıl yapılıyor?
Yayınlanan lansman ve reklamlar genel olarak Google Adsense gibi internet reklamcılığı konusunda en iyi, en güvenilir kaynaklar ve ajanslar tarafından otomatik olarak (Re'sen) yerleştirilmektedir. Bunların kaynağı Türkiye, Amerika, Ingiltere, Almanya ve çeşitli Avrupa Birliği kökenli kaynak kod ürünleridir. Bunlar içerik olarak günlük döviz ve borsa, forex para kazanma, exim kredileri, internet bankacılığı, banka ve kredi kartı tanıtımları gibi yatırım araçları ve internetten para kazanma teknikleri, hazır ofis kiralama, Sigorta, yabancı dil okulları gibi eğitim tanıtımları, satılık veya kiralık taşınmaz eşyalar ve araç kiralama, ikinci el taşınır mallar, ücretli veya ücretsiz eleman ilanları ile ilgili bilimum bedelli veya bedava reklamlar, rejim, diyet ve özel sağlık sigortası gibi insan sağlığı, tatil ve otel reklamları gibi öğeler içerebilir. Reklam yayıncıları: ads.txt dosyası.
‼️ İtirazi kayıt (çekince) hususları nelerdir?
Bahse konu reklamlar üzerinde hiçbir kontrolümüz bulunmamaktadır. Bu sebep ile özellikle avukat reklamları gibi Avukatlık kanunu vs. mesleki mevzuat tarafından kısıtlanmış, belirli kurallara tabi tutulmuş veya yasaklanmış tanıtımlardan yasal olarak sorumlu değiliz.
📧 İletişim ve reklam başvuru sayfası nerede, muhatap kimdir?
☏ Sitenin 2022 yılı yatırım danışmanı ile irtibat ve reklam pazarlaması için iletişim kurmanız rica olunur.
Creative Commons License
This work is licensed under a Creative Commons Attribution 4.0 International License.