yeni bir virüsle karşınızdayım. bu seferki virüsümüzün A-B-C-E-F olmak üzere 5 çeşidi var.
A türevinden bahsetmeye başlayalım
big@boss.com adresinden geliyormuş gibi bir mail gelir.
%WINDIR% içine WINMGM32.EXE olarak kendini kopyalar.
HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına WindowsMGM adına bir anahtar oluşturur.
mail başlıkları genelde
Re: Document
Re: Here is that sample
Re: Movies
Re: Sample şeklinde gönderiyor
vede mesaj içeriği olarak bişi yollamıyor. birde eklenti gönderiyor e-postayla takibi.
bu eklentilerin ismi
Document003.pif
Movie_0074.mpeg.pif
Sample.pif
Untitled1.pif şeklinde oluyor.
vede ağ bilgisayarlarına bakıyor. eğer bulur ve erişim izni varsa
Documents and Settings\All Users\Start Menu\Programs\Startup
Windows\All Users\Start Menu\Programs\StartUp yollarına kendini kopyalıyor.
B türevi ne yapıyor onlara bakalım
%WINDIR% içine msccn32.exe ve hnks.ini olarak kendini kopyalar.
msccn32.exe isminde çalışıyor. işlemlerden görebilirsiniz.
HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına SystemTray adına bir anahtar oluşturur.
A türevindeki gibi ağ bulursa yine o yola kendini kopyalıyor.
A türevinden farklı olarak E-postalardaki eklenti adları aşağıdaki şekildedir.
your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif
mailler support@microsoft.com adresinden geliyormuş gibi gözükür.
mail içeriği şu şekildedir.
“All information is in the attached file.”
ve mail başlıkları ise
Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Re: My details
Screensaver
Cool screensaver
Re: Movie
Re: My application
şeklinde.
A türevinden çok farklı olduğu için Win32.Palyh olarakta anılmaktadır.(sadece b türevi)
C türevi ne yapıyor ona bakalım
%WINDIR% içine mscvb32.exe ve msddr.dat olarak kendini kopyalar.
HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına System MScvb adına bir anahtar oluşturur.
Mailler bill@microsoft.com den geliyormuş gibi gözükür.
mail başlıkları
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application
şeklinde olup mail içereği ise
“Please see the attached file”
eklenti isimleri ise
screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif
virüs bulaştığı takdirde bilgisayardaki tüm
.wab
.dbx
.htm
.html
.eml
.txt
uzantılı dosyaları tarar. eğer bir mail adresi bulursa aynen onlarada gönderir. (A ve B türlerinde bu özellik yoktu)
A ve B türlerindeki gibi ağda bilgisayar bulursa onlarada
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup yollarına kendini kopyalar.
D türevi olmadığı için E türevine bakıyoruz şimdi
%WINDOWS%/winssk32.exe
%WINDOWS%/msrrf.dat
olarak kendini kopyalıyor.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\”SSKService”= “%WINDOWS%\winssk32.exe”]
[KKCU\Software\Microsoft\Windows\CurrentVersion\Run\”SSKService”= “%WINDOWS%\winssk32.exe”]
regedit e kendini yazıyor.
önceki türlerden farkı yine e-posta gönderme biçimi
support@yahoo.com adresinden mail geliyormuş gibi gözüküyor.
mail başlıkları aşagıdaki şekilde oluyor.
004448554.pif
Application.pif
Applications.pif
movie.pif
new document.pif
Referer.pif
Screensaver.scr
submited.pif
Your application
Re: Application
Re: document.pif
Re: Documents
Re: Movie
Re: Movies
Re: ScRe:ensaver
Re: Submitted
Re: Re: Application ref 003644
Re: Re: Document
içeriği “Please see the attached zip file for details.” olarak mail atıyor
mail eklenti ismi ise
application.zip (containingapplication.pif)
document.zip(containingdocument.pif)
Movie.zip (containingMovie.pif)
screensaver.zip (containingsky_world.scr)
Your_details.zip(containingdetails.pif)
C türevi gibi .wab, .dbx, .htm, .html, .eml, .txt dosyalarına bakıyor emailleri topluyor sonra onlarada mail atıyor.
A ve B ve C türlerindeki gibi ağda bilgisayar bulursa onlarada
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup yollarına kendini kopyalar.
Ve geldik son tür olan F türüne
%WINDIR% içine
Winstt32.dat
Winppr32.exe
Winstf32.dll olarak kendini kopyalıyor.
regedit te ise
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TrayX] = %WINDIR%\winppr32.exe /sinc
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TrayX] = %WINDIR%\winppr32.exe /sinc
olarak oluşturrarak kendini başlangıca yazıyor.
mailleri atarken başlıklar aşağıdaki şekilde.
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!
mail içeriği
Please see the attached file for details.
yada
See the attached file for details
eklenti isimleri.
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
önceki türler gibi html wab mht hlp txt eml htm dbx dosyalarını tarıyor ve e-mail arıyor.
tüm diğer türleri gibi ağda pc bulursa
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup yollarına kendini kopyalar.
bu virüste 2003 tarihli . yinede size bulaşmıssa aşagıdaki dosyayı indirip çalıştırın.
Son Yorumlar