Mail Yoluyla Bulaşan Zararlılar Ve Mail Bileşenleri Hakkında

Internet konusunda bilgi ve ipuçları paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
Kripteks®
Terabyte1
Terabyte1
Mesajlar: 3755
Kayıt: 12 Ara 2006, 12:44
cinsiyet: Erkek
Konum: Pc Hekimi 24 Saat Online ım Sorunlarınızın Çözümü İçin
İletişim:

Mail Yoluyla Bulaşan Zararlılar Ve Mail Bileşenleri Hakkında

Mesaj gönderen Kripteks® » 13 Ağu 2007, 01:58

Asagıdaki gibi bir mesaj alırsanız açmayın ve derhal silin:
Kimden (From): (Sahte bir gönderen adresi)

Sahte bir gönderen adresi olması demek size gönderen adresin virüsten etkilenmis olabilecegini düsündürebilir ayrıca mail sunucusundan da sizin bilgisayarınıza virüs bulastıgına dair bir mesaj alabilirsiniz. Bunlar yanıltıcı olabilir.

Konu (Subject): (Bir çok sey olabilir)

* Photos
* My photos
* *Hot Movie*
* Re:
* Fw: Picturs
* Fw: Funny :)
* Fwd: Photo
* Fw:
* Word file
* the file
* eBook.pdf gibi.

Gövde Metni (Body): (Bir çok sey olabilir)

* Note: forwarded message attached.
* You Must View This Videoclip!
* >> forwarded message
* i just any one see my photos.
* forwarded message attached.
* Please see the file.
* ----- forwarded message -----
* hello,
* i send the file.
* bye
* hi
* i send the details
* i attached the details.
* how are you?
* What?
* Thank you
* OK ? gibi.

Dosya Eklentisi (Attachment):
Maile ekli dosyalar, kendiliginden çalıstırılabilir olabilir veya MIME tarzında kodlanmıs, çalıstırılabilir dosya içerebilir.

Çalıstırılabilir dosya isimleri sunlardan biri olabilir:

* 04.pif
* 007.pif
* School.pif
* photo.pif
* image04.pif
* 677.pif
* DSC-00465.pIf
* New_Document_file.pif
* eBook.PIF
* document.pif gibi.

MIME tarzında kodlanmıs, çalıstırılabilir dosya isimleri:

* Sex.mim
* WinZip.BHX
* 3.92315089702606E02.UUE
* Attachments[001].B64
* eBook.Uu
* Word_Document.hqx
* Word_Document.uu
* Attachments00.HQX
* Attachments001.BHX
* Video_part.mim

veya dosya ismi içerisinde sunlardan birini içerebilir:

* 392315089702606E-02
* Clipe
* Miss
* Sweet_09

Dosya uzantıları sunlardan biri olabilir:

* .mim
* .HQX
* .BHx
* .b64
* .uu
* .UUE

MIME tarzında kodlanmıs dosya isimleri sunlardan biri olabilir:

* Attachments[001],B64 .sCr
* 392315089702606E-02,UUE .scR
* WinZip.zip .sCR
* ATT01.zip .sCR
* Word.zip .sCR
* Word XP.zip .sCR
* Atta[001],zip .SCR
* Attachments,zip .SCR
* WinZip,zip .scR
* Photos,zip .sCR

Dosya çalıstırıldıgında, kendini Windows\System klasörüne asagıdaki isimlerden biriyle kopyalar:

* %SysDir% \Winzip.exe
* %SysDir% \Update.exe
* %SysDir% \scanregw.exe
* %WinDir% \Rundll16.exe
* %WinDir% \winzip_tmp.exe
* c:\winzip_tmp.exe
* %Temp% \word.zip .exe

(%SysDir% - Windows System dizinini (Ör: C:\Windows\System), %WinDir% - Windows dizinini ve de %Temp% - Temp dizinini isaret etmektedir.)

Regedit'te;

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run\ScanRegistry="scanregw.exe /scan"

seklinde baslangıçta çalıstırılması için bir kayıt anahtarı olusturur.

Solucan ayrıca,
Mevcut kullanıcının haklarını kullanarak kendini paylasımlara yazar.

* C$\documents and settings\all users\start menu\programs\startup\winzip quick pick.exe
* Admin$\winzip_tmp.exe
* C$\winzip_tmp.exe

Yazdıktan sonra sistemi, 'Zamanlanmıs Görev' ekleyerek her saatin 59. dakikasında winzip_tmp.exe'yi çalıstırmaya programlar.

Bulgular

Asagıdaki güvenlik seviyelerini minumuma düsürür.

* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\NotifyDownloadComplete="7562617"
* HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet="1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass="1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\ZoneMap\IntranetName="1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows
\Currentversion\Explorer\Advanced\WebView="0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows
\Currentversion\Explorer\Advanced\ShowSuperHidden= "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\CabinetState\FullPath="0"

SOFTWARE\Classes\Licenses anahtarı altındaki yazılımları devre dısı bırakır.

Asagıdaki anahtarların gösterdigi dizinlerin altındaki EXE ve PPL uzantılı dosyaları siler.

* HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk
\VirusProtect6\CurrentVersion
* HKEY_LOCAL_MACHINE\Software\Symantec\InstalledApps
* HKEY_LOCAL_MACHINE\Software\KasperskyLab\Component s
\101
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum
* HKEY_LOCAL_MACHINE\Software\KasperskyLab
\InstalledProducts\Kaspersky Anti-Virus Personal
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\App Paths\Iface.exe


Asagıdaki dosyaları silmeye çalısır:

* %ProgramFiles% \DAP\*.dll
* %ProgramFiles% \BearShare\*.dll
* %ProgramFiles% \Symantec\LiveUpdate\*.*
* %ProgramFiles% \Symantec\Common Files\Symantec Shared\*.*
* %ProgramFiles% \Norton AntiVirus\*.exe
* %ProgramFiles% \Alwil Software\Avast4\*.exe
* %ProgramFiles% \McAfee.com\VSO\*.exe
* %ProgramFiles% \McAfee.com\Agent\*.*
* %ProgramFiles% \McAfee.com\shared\*.*
* %ProgramFiles% \Trend Micro\PC-cillin 2002\*.exe
* %ProgramFiles% \Trend Micro\PC-cillin 2003\*.exe
* %ProgramFiles% \Trend Micro\Internet Security\*.exe
* %ProgramFiles% \NavNT\*.exe
* %ProgramFiles% \Morpheus\*.dll
* %ProgramFiles% \Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
* %ProgramFiles% \Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
* %ProgramFiles% \Grisoft\AVG7\*.dll
* %ProgramFiles% \TREND MICRO\OfficeScan\*.dll
* %ProgramFiles% \Trend Micro\OfficeScan Client\*.exe
* %ProgramFiles% \LimeWire\LimeWire 4.2.6\LimeWire.jar

Ag paylasımlarından da su dosyaları silmeye çalısır:

* \C$\Program Files\Norton AntiVirus
* \C$\Program Files\Common Files\symantec shared
* \C$\Program Files\Symantec\LiveUpdate
* \C$\Program Files\McAfee.com\VSO
* \C$\Program Files\McAfee.com\Agent
* \C$\Program Files\McAfee.com\shared
* \C$\Program Files\Trend Micro\PC-cillin 2002
* \C$\Program Files\Trend Micro\PC-cillin 2003
* \C$\Program Files\Trend Micro\Internet Security
* \C$\Program Files\NavNT
* \C$\Program Files\Panda Software\Panda Antivirus Platinum
* \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
* \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
* \C$\Program Files\Panda Software\Panda Antivirus 6.0
* \C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus

Internet tarayıcısında asagıdaki kelimeleri gözetler:

* YAHOO! MAIL -
* @YAHOOGROUPS
* BLOCKSENDER
* SCRIBE
* YAHOOGROUPS
* TREND
* PANDA
* SECUR
* SPAM
* ANTI
* CILLIN
* CA.COM
* AVG
* GROUPS.MSN
* NOMAIL.YAHOO.COM
* EEYE
* MICROSOFT
* HOTMAIL
* MSN
* MYWAY
* GMAIL.COM
* @HOTMAIL
* @HOTPOP

Asagıdaki baslıklarda programları sonlandırır:

* SYMANTEC
* SCAN
* KASPERSKY
* VIRUS
* MCAFEE
* TREND MICRO
* NORTON
* REMOVAL
* FIX

su programların baslangıçta çalısmasını engeller:

* PCCIOMON.exe
* pccguide.exe
* Pop3trap.exe
* PccPfw
* tmproxy
* McAfeeVirusScanService
* NAV Agent
* PCCClient.exe
* SSDPSRV
* rtvscn95
* defwatch
* vptray
* ScanInicio
* APVXDWIN
* KAVPersonal50
* kaspersky
* TM Outbreak Agent
* AVG7_Run
* AVG_CC
* Avgserv9.exe
* AVGW
* AVG7_CC
* AVG7_EMC
* Vet Alert
* VetTray
* OfficeScanNT Monitor
* avast!
* DownloadAccelerator
* BearShare


Her ayın 3'ünde, tahminen virüslü sistemin baslangıcından 30 dakika sonra asagıdaki dosya tiplerini "DATA Error [47 0F 94 93 F4 K5]" seklinde bir yazı ile doldurur. (mevcut içerigi siler)

* DOC
* XLS
* MDB
* MDE
* PPT
* PPS
* ZIP
* RAR
* PDF
* PSD
* DMP

Bir sisteme bulastıgında webstats.web.rcn.net/***/Count.cgi*** adresine baglanarak sayaç tutar.

Eger %Program Files% klasöründe Norton Antivirus, Kaspersky Lab ya da Panda Software klasörleri bulunuyorsa, sistem çubuguna bir simge ekleyerek "Update Please wait" yazısını görüntüler.

Bulasma Yolları:

Email yoluyla ve kendini yerel paylasımlara kopyalayarak.


Mail bileseni yerel sistemden asagıdaki dosyaları hedef alarak adresleri toplar:

* .HTM
* .DBX
* .EML
* .MSG
* .OFT
* .NWS
* .VCF
* .MBX
* .IMH
* .TXT
* .MSF
* CONTENT.
* TEMPORARY
Tabular Yıkılmaz



Cevapla