• Teşekkür
Lodos

Tag Archives: Win32.palyh

Win32 Sobig A-B-C-E-F türlerini Temizle

09 Şubat 2011 22:09 / Leave a Comment / Lodos2005

yeni bir virüsle karşınızdayım. bu seferki virüsümüzün A-B-C-E-F olmak üzere 5 çeşidi var.

A türevinden bahsetmeye başlayalım

big@boss.com adresinden geliyormuş gibi bir mail gelir.

%WINDIR% içine WINMGM32.EXE olarak kendini kopyalar.

HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına WindowsMGM adına bir anahtar oluşturur.

mail başlıkları genelde
Re: Document
Re: Here is that sample
Re: Movies
Re: Sample
şeklinde gönderiyor
vede mesaj içeriği olarak bişi yollamıyor. birde eklenti gönderiyor e-postayla takibi.
bu eklentilerin ismi
Document003.pif
Movie_0074.mpeg.pif
Sample.pif
Untitled1.pif
şeklinde oluyor.

vede ağ bilgisayarlarına bakıyor. eğer bulur ve erişim izni varsa
Documents and Settings\All Users\Start Menu\Programs\Startup
Windows\All Users\Start Menu\Programs\StartUp
yollarına kendini kopyalıyor.

B türevi ne yapıyor onlara bakalım

%WINDIR% içine msccn32.exe ve hnks.ini olarak kendini kopyalar.
msccn32.exe isminde çalışıyor. işlemlerden görebilirsiniz.

HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına SystemTray adına bir anahtar oluşturur.

A türevindeki gibi ağ bulursa yine o yola kendini kopyalıyor.

A türevinden farklı olarak E-postalardaki eklenti adları aşağıdaki şekildedir.

your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif

mailler support@microsoft.com adresinden geliyormuş gibi gözükür.

mail içeriği şu şekildedir.
“All information is in the attached file.”
ve mail başlıkları ise

Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Re: My details
Screensaver
Cool screensaver
Re: Movie
Re: My application

şeklinde.

A türevinden çok farklı olduğu için Win32.Palyh olarakta anılmaktadır.(sadece b türevi)

C türevi ne yapıyor ona bakalım

%WINDIR% içine mscvb32.exe ve msddr.dat olarak kendini kopyalar.

HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına System MScvb adına bir anahtar oluşturur.

Mailler bill@microsoft.com den geliyormuş gibi gözükür.

mail başlıkları

Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application

şeklinde olup mail içereği ise
“Please see the attached file”

eklenti isimleri ise

screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif

virüs bulaştığı takdirde bilgisayardaki tüm

.wab
.dbx
.htm
.html
.eml
.txt

uzantılı dosyaları tarar. eğer bir mail adresi bulursa aynen onlarada gönderir. (A ve B türlerinde bu özellik yoktu)

A ve B türlerindeki gibi ağda bilgisayar bulursa onlarada

Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
yollarına kendini kopyalar.

D türevi olmadığı için E türevine bakıyoruz şimdi

%WINDOWS%/winssk32.exe
%WINDOWS%/msrrf.dat
olarak kendini kopyalıyor.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\”SSKService”= “%WINDOWS%\winssk32.exe”]
[KKCU\Software\Microsoft\Windows\CurrentVersion\Run\”SSKService”= “%WINDOWS%\winssk32.exe”]

regedit e kendini yazıyor.

önceki türlerden farkı yine e-posta gönderme biçimi

support@yahoo.com adresinden mail geliyormuş gibi gözüküyor.

mail başlıkları aşagıdaki şekilde oluyor.

004448554.pif
Application.pif
Applications.pif
movie.pif
new document.pif
Referer.pif
Screensaver.scr
submited.pif
Your application
Re: Application
Re: document.pif
Re: Documents
Re: Movie
Re: Movies
Re: ScRe:ensaver
Re: Submitted
Re: Re: Application ref 003644
Re: Re: Document

içeriği “Please see the attached zip file for details.” olarak mail atıyor

mail eklenti ismi ise

application.zip (containingapplication.pif)
document.zip(containingdocument.pif)
Movie.zip (containingMovie.pif)
screensaver.zip (containingsky_world.scr)
Your_details.zip(containingdetails.pif)

C türevi gibi .wab, .dbx, .htm, .html, .eml, .txt dosyalarına bakıyor emailleri topluyor sonra onlarada mail atıyor.

A ve B ve C türlerindeki gibi ağda bilgisayar bulursa onlarada

Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
yollarına kendini kopyalar.

Ve geldik son tür olan F türüne

%WINDIR% içine

Winstt32.dat
Winppr32.exe
Winstf32.dll
olarak kendini kopyalıyor.

regedit te ise

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TrayX] = %WINDIR%\winppr32.exe /sinc
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TrayX] = %WINDIR%\winppr32.exe /sinc

olarak oluşturrarak kendini başlangıca yazıyor.

mailleri atarken başlıklar aşağıdaki şekilde.

Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!

mail içeriği
Please see the attached file for details.
yada
See the attached file for details

eklenti isimleri.

movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif

önceki türler gibi html wab mht hlp txt eml htm dbx dosyalarını tarıyor ve e-mail arıyor.

tüm diğer türleri gibi ağda pc bulursa

Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
yollarına kendini kopyalar.

bu virüste 2003 tarihli . yinede size bulaşmıssa aşagıdaki dosyayı indirip çalıştırın.

Win32 Sobig A-B-C-E-F türlerini Temizle

Posted in: Security / Tagged: Palyh, sil, sobig, Temizle, Win32.Palyh, win32.sobig, win32sobig_temizleme_araci.rar

(A)Sosyal

Takip Et @lodos2005 Tweet

Google Adsense

Kategoriler

  • Benden
  • Firefox
  • Genel
  • Kategori Dışı
  • Müzik
    • MT
  • Programlama
    • Büyük sorunlar, Küçük çözümler
    • C#
    • Centos
    • Php
    • SQL
    • WHM/CPanel
    • Yapay Zeka
  • Security

Etiket Bulutu

DDR3 SDRAM küçük gigabyte gfx.color sene color başar win32sality_temizleme_araci.rar Sadece google sapphire ati amd phenom Phenom II concon C# şarkı yılbaşı about:config ifade ddr3 ram makina mirc yarışma Php anla win 98 win32kido_temizleme_araci.rar win32agenta.k_temizleme_araci.rar hayat firefox renk yönetimi mime type Source Code windows 98 Temizle son gfx win 95 makine win32 kasa Multimedia oyun win32zimuse_temizleme_araci.rar duygu Kingston

Son Yazılar

  • Siber Yıldız (CTF 2019) Soru Çözümleri
  • Wamp Server’ı Dışarıya Açmak
  • Siber Yıldız (CTF 2017) Soru Çözümleri
  • Raspberry Pi’de temiz kurulumdan sonra ‘no left space’ hatası
  • WHM/cPanel Kurulumu

Son Yorumlar

  • Siber Yıldız (CTF 2019) Soru Çözümleri için Lodos2005
  • Siber Yıldız (CTF 2019) Soru Çözümleri için Aura Security
  • Win32 Agent.AK Virüsünü Temizlemek için ibrahim
  • C# ile TicTacToe(SoS) Oyunu için şeyma
  • Cpanel/WHM Mod_Pagespeed Yükleme ve Kurma için Burak

Top 10

  • C# ile TicTacToe(SoS) Oyunu - 25.527 Kez Okundu
  • WHM/cPanel Kurulumu - 24.019 Kez Okundu
  • Centos Htop Kurulumu - 23.873 Kez Okundu
  • Cpanel/WHM Sunucu Üzerine Nginx Kurulumu - 23.779 Kez Okundu
  • Raspberry Pi’de temiz kurulumdan sonra ‘no left space’ hatası - 23.208 Kez Okundu
  • Centos Nload Kurulumu - 22.942 Kez Okundu
  • Win32 Sality Virüsünü Temizlemek - 13.403 Kez Okundu
  • Yeni Makine :) - 11.024 Kez Okundu
  • Türk Ceza Kanununa göre İşlediğimiz Suçların Cezası - 10.770 Kez Okundu
  • Facebook Uygulama Geliştirme. - 9.615 Kez Okundu

Lodos WordPress ile güçlendirilmiştir