Şubat 9th, 2011
yeni bir virüsle karşınızdayım. bu seferki virüsümüzün A-B-C-E-F olmak üzere 5 çeşidi var.
A türevinden bahsetmeye başlayalım
big@boss.com adresinden geliyormuş gibi bir mail gelir.
%WINDIR% içine WINMGM32.EXE olarak kendini kopyalar.
HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına WindowsMGM adına bir anahtar oluşturur.
mail başlıkları genelde
Re: Document
Re: Here is that sample
Re: Movies
Re: Sample şeklinde gönderiyor
vede mesaj içeriği olarak bişi yollamıyor. birde eklenti gönderiyor e-postayla takibi.
bu eklentilerin ismi
Document003.pif
Movie_0074.mpeg.pif
Sample.pif
Untitled1.pif şeklinde oluyor.
vede ağ bilgisayarlarına bakıyor. eğer bulur ve erişim izni varsa
Documents and Settings\All Users\Start Menu\Programs\Startup
Windows\All Users\Start Menu\Programs\StartUp yollarına kendini kopyalıyor.
B türevi ne yapıyor onlara bakalım
%WINDIR% içine msccn32.exe ve hnks.ini olarak kendini kopyalar.
msccn32.exe isminde çalışıyor. işlemlerden görebilirsiniz.
HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına SystemTray adına bir anahtar oluşturur.
A türevindeki gibi ağ bulursa yine o yola kendini kopyalıyor.
A türevinden farklı olarak E-postalardaki eklenti adları aşağıdaki şekildedir.
your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif
mailler support@microsoft.com adresinden geliyormuş gibi gözükür.
mail içeriği şu şekildedir.
“All information is in the attached file.”
ve mail başlıkları ise
Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Re: My details
Screensaver
Cool screensaver
Re: Movie
Re: My application
şeklinde.
A türevinden çok farklı olduğu için Win32.Palyh olarakta anılmaktadır.(sadece b türevi)
C türevi ne yapıyor ona bakalım
%WINDIR% içine mscvb32.exe ve msddr.dat olarak kendini kopyalar.
HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına System MScvb adına bir anahtar oluşturur.
Mailler bill@microsoft.com den geliyormuş gibi gözükür.
mail başlıkları
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application
şeklinde olup mail içereği ise
“Please see the attached file”
eklenti isimleri ise
screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif
virüs bulaştığı takdirde bilgisayardaki tüm
.wab
.dbx
.htm
.html
.eml
.txt
uzantılı dosyaları tarar. eğer bir mail adresi bulursa aynen onlarada gönderir. (A ve B türlerinde bu özellik yoktu)
A ve B türlerindeki gibi ağda bilgisayar bulursa onlarada
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup yollarına kendini kopyalar.
D türevi olmadığı için E türevine bakıyoruz şimdi
%WINDOWS%/winssk32.exe
%WINDOWS%/msrrf.dat
olarak kendini kopyalıyor.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"SSKService"= "%WINDOWS%\winssk32.exe"]
[KKCU\Software\Microsoft\Windows\CurrentVersion\Run\"SSKService"= "%WINDOWS%\winssk32.exe"]
regedit e kendini yazıyor.
önceki türlerden farkı yine e-posta gönderme biçimi
support@yahoo.com adresinden mail geliyormuş gibi gözüküyor.
mail başlıkları aşagıdaki şekilde oluyor.
004448554.pif
Application.pif
Applications.pif
movie.pif
new document.pif
Referer.pif
Screensaver.scr
submited.pif
Your application
Re: Application
Re: document.pif
Re: Documents
Re: Movie
Re: Movies
Re: ScRe:ensaver
Re: Submitted
Re: Re: Application ref 003644
Re: Re: Document
içeriği “Please see the attached zip file for details.” olarak mail atıyor
mail eklenti ismi ise
application.zip (containingapplication.pif)
document.zip(containingdocument.pif)
Movie.zip (containingMovie.pif)
screensaver.zip (containingsky_world.scr)
Your_details.zip(containingdetails.pif)
C türevi gibi .wab, .dbx, .htm, .html, .eml, .txt dosyalarına bakıyor emailleri topluyor sonra onlarada mail atıyor.
A ve B ve C türlerindeki gibi ağda bilgisayar bulursa onlarada
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup yollarına kendini kopyalar.
Ve geldik son tür olan F türüne
%WINDIR% içine
Winstt32.dat
Winppr32.exe
Winstf32.dll olarak kendini kopyalıyor.
regedit te ise
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TrayX] = %WINDIR%\winppr32.exe /sinc
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TrayX] = %WINDIR%\winppr32.exe /sinc
olarak oluşturrarak kendini başlangıca yazıyor.
mailleri atarken başlıklar aşağıdaki şekilde.
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!
mail içeriği
Please see the attached file for details.
yada
See the attached file for details
eklenti isimleri.
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
önceki türler gibi html wab mht hlp txt eml htm dbx dosyalarını tarıyor ve e-mail arıyor.
tüm diğer türleri gibi ağda pc bulursa
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup yollarına kendini kopyalar.
bu virüste 2003 tarihli . yinede size bulaşmıssa aşagıdaki dosyayı indirip çalıştırın.
Win32 Sobig A-B-C-E-F türlerini Temizle
Kategoriler: Security |
Etiketler:Palyh, sil, sobig, Temizle, Win32.Palyh, win32.sobig, win32sobig_temizleme_araci.rar | Yorum Yapılmamış
Şubat 9th, 2011
virüsleri araştırma ve temizlemeye kaldıgımız yerden devam ediyoruz. Şimdiki virüsümüz çok eskilerden 
Biraz nostaji yapıcaz. bu virüsün sistemsel olarak ne girdiği ne cıktıgından fazla söz etmicem çünkü çok eski bir virüs sizde olması biraz zor yinede temizleme aracını vericem fakat değinmek istediğimi en sonlarda anlatıcam.
bu virüs 2003 yılında yazılmış olup bazı AV şirketleri tarafından W32/Gibe-F bazıları tarafından Worm.Automat.AHB isimleri konulmuştur. genel olarak kabul görülen ismi Swendir.
bu virüs c++ 6.0 ile kodlanmış olup zamanındaki yayılma şekli oldukça ilginc ve farklıdır.
başlıca yayılma şekli E-posta Eklerine bulaşma olup zamanındaki popüler KaZaA ve IRC’i unutmamıştır.
fakat benim ilgimi çeken taraf E-posta içeriğidir virüs bulaştıgında o bilgisayardan başkalarına da mail atıyordu SMTP üzerinden fakat E-postanın başlıgı
“New Internet Critical Upgrade”
olup Konu içerği ise
Microsoft Partner
this is the latest version of security update, the
“September 2003, Cumulative Patch” update which eliminates
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express.
Install now to help protect your computer
from these vulnerabilities, the most serious of which could
allow an attacker to run executable on your computer.
This update includes the functionality =
of all previously released patches.
System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
- MS Internet Explorer, version 4.01 and later
- MS Outlook, version 8.00 and later
- MS Outlook Express, version 4.01 and later
Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on displayed dialog box.
How to use: You don’t need to do anything after installing this item.
Microsoft Product Support Services and Knowledge Base articles =
can be found on the Microsoft Technical Support web site.
http://support.microsoft.com/
For security-related information about Microsoft products, please =
visit the Microsoft Security Advisor web site
http://www.microsoft.com/security/
Thank you for using Microsoft products.
Please do not reply to this message.
It was sent from an unmonitored e-mail address and we are unable =
to respond to any replies.
bir foto koymak gerekirse.
Hasbelkader bilgisayarlarını korumak için eklentiyi çalıştıran kişilerde ise şöyle bir Fake alert geliyordu.
VEDE en hoşma giden özelliği ise debugger ile analiz etmeye çalıştıgında kendisini korumak için çok samimi bir alert cıkıyordu.:)
alerte yazan ise Türkçe olarak. “Bacaklarımı mı ayırmaya çalışıyorsun?”
onunda hemen bi fotosunu koyayım.
böyle zevkli bir virüstü. peki bunu niye anlattım. bu virüsün yazılma tarihinden bahsettim 2003. fakat geçenlerde haberini duydugum bir virüs de bu swen in aynısını yapıyor “güncelleme var” diyerek e posta yolluyordu. VE sinirlerimi alt üst eden şey ise sanki bunun yeni bir saldırıymış gibi gösterilmesi VEDE korunmak için bir antivirüsün onu silebildiğini yazmışlar(tamamen reklam kokuyor.).Arkadaş e-posta ile bulaşan hiç mi virüs görmediniz nesi yeni saldırı. aynı methodu kullanan hiçmi virüs görmediniz(işte size örnek swen). eğer bilmiyorsanız son kullanıcıyı şaşırtmayın.
alın size bir temizleme aracı. indirmek için tıklayın
Kategoriler: Security |
Etiketler:Swen virüsü, Temizle, win32, win32 swen, win32swen_temizleme_araci.rar | Yorum Yapılmamış
Şubat 8th, 2011
bu virüsün 3 türü olup A-b-d isimlerindedir.
aşagıdaki vereceğim temizleme aracını sizde hangi türevi varsa onu çalıştırın.
peki bu virüs ne yapar?
ilk öncelikle A türünden bahsedelim.
- tüm dosyalar %SYSTEM% klasoru içinde oluşmaktadır.:
7 tane dosya oluşturup bunlar 8 haneli oluyo, 6 dosyanın uzantısı .dll şeklinde biri ise .exe
5. .dll dosyası bilgisayarınızdaki kayıtlı email adreslerini topluyor (genelde 1 kbyte boyutu oluyor)
6. .dll dosyası ve .exe , aynı dosyalar ve boyutu 11,776 byte.
- registry işlemleri ise:
[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Run\"%random1%"="%random2%.exe %random3%"]
%random1% ve %random2% nin isimleri 8 hane karışık(rasgele) karakter içeriyor ve %random3% ise rasgele sayı.
- bu süre içinde belleğe yerleşiyor
B türü ise
- A türündeki gibi tüm dosyalar %SYSTEM% klasoru içinde oluşmaktadır.:
yine a türündeki gibi
7 tane dosya oluşturup bunlar 8 haneli oluyo, 6 dosyanın uzantısı .dll şeklinde biri ise .exe
5. .dll dosyası bilgisayarınızdaki kayıtlı email adreslerini topluyor (genelde 1 kbyte boyutu oluyor)
6. .dll dosyası ve .exe , aynı dosyalar ama A türünden farkı boyutu 12,800 bytes olması
bu türde regedit, görev yöneticisi, task monitor vs çalışmıyor.(deaktif yapıyor)
“.lnk” uzantılarına kendini injecte ediyor.(tüm kısa yollar .lnk dir.)
örnek olarak internet explorer başlatıldıgında virüs de başlıyor.
- registy kayıtlarında ise şunlar oluyor:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"_Hazafibb"="%SYSTEM%\%random%.exe"]
%random% ismi rasgele 9 karakterden oluşuyor.
D türü ise
- A ve B türündeki gibi tüm dosyalar %SYSTEM% klasoru içinde oluşmaktadır.:
7 tane dosya oluşturup bunlar 8 haneli oluyo, 6 dosyanın uzantısı .dll şeklinde biri ise .exe
5. .dll dosyası bilgisayarınızdaki kayıtlı email adreslerini topluyor (genelde 1 kbyte boyutu oluyor)
6. .dll dosyası ve .exe , aynı dosyalar ama A Ve B türünden farkı boyutu 11,745 bytes olması
VEDE .exe isminin rasgele değil “Norton Update.exe” olması
B türündeki gibi regedit görevyöneticisi vs devredışı bırakıyor.
D tip zafi virüsü çalıştıgında fake alert veriyor ve başlıgı
“Error in packed file!”
şeklinde
- bu sırada registyde şunlar oluyor:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Wxp4"="%SYSTEM%\Norton Update.exe"]
bu virüs türlerinden biri size bulaşmıssa aşagıdaki dosyayı indirip a-b-d türüne ait araçlarından birini çalıştabilirsiniz.
Win32.Zafi A-B-D Virüsünü Temizlemek
Kategoriler: Security |
Etiketler:virüs temizle, win32, win32zafi_temizleme_araci.rar | Yorum Yapılmamış
Mart 28th, 2010
Diğer Adı Trojan.Agent.Delf.RHO olan Bu Virüs Çok Fazla Tehlikeli işler çevirmiyor.
Ama yinede Paylaşmak istedim
Win32 Agent.AK Virüsünü Temizlemek için Tıklamalısınız
Neler Yaptıgı Hakkında Biglier İse Aşağıdadadır.
İngilizce
SYMPTOMS:
The presence of the following files:
%WINDIR%\system32\yahooui.exe
%WINDIR%\seocfg.exe
%WINDIR%\upd1234.exe
%WINDIR%\vbn.sdf
The malware also installs the following clean files:
%WINDIR%\system32\yahooauth2.dll
%WINDIR%\system32\ssleay32.dll
%WINDIR%\system32\libeay32.dll
The virus will also modify the following registry key:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
by appending the following strings to it:
%WINDIR%\system32\yahooui.exe
%WINDIR%\seocfg.exe
The presence of the following subkeys:
HKLM\SOFTWARE\Yahoo\smartkey
and
HKLM\SOFTWARE\Yahoo\lidl
Which contains the values:
Count
USER
PASS
TECHNICAL DESCRIPTION:
The malware spreads through links sent in instant messages on Yahoo!Messenger by other infected users. It tries to convince the target user that the message is legitimate by adding friendly phrases to trick the user into clicking the provided link. The used messages are:
sa intrii sa imi zici ce parere ai ca sigur recuonsti personaju 
o cunosti?
))
chiar vroiam sa te apelez, ai virusi si imi trimiti tot felu de mailuri
ia programu asta sa il scoti ca l-am avut si eu sau daca nu intra pe http://www.[link removed].ro
Afla cine te are pus la invizibil sau la ignore cu un singur click chiar si persoanele care sunt offline http://[link removed].blogspot.com
ce faci?
Super tare!!!!!!!! http://[link removed].blogspot.com
Depending on the version of the malware, if the target user replies, the virus will check for the presence of the following keywords in the reply and sends an automatic answer according to what is found:
Keyword Reply
virus intra ca nu e nici un virus
esti uita-te si vrb dupa
merge trebuie sa instalezi programu ca sa mearga
frica nu are de ce sa-ti fie frica
Once the user clicks the link he is usually directed to a web site or blog containing an embedded movie which requests the user to download a codec that is actually the malware. When the user executes the downloaded file, a progress bar briefly appears and the following files are installed without user intervention:
%WINDIR%\system32\yahooui.exe
%WINDIR%\system32\yahooauth2.dll
%WINDIR%\system32\ssleay32.dll
%WINDIR%\system32\libeay32.dll
It also places itself in the startup list by appending the following string to the registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
%WINDIR%\system32\yahooui.exe
After the next system startup, the yahooui.exe process creates the following registry key:
HKLM\SOFTWARE\Yahoo\lidl
It waits for the user to sign in to Yahoo!Messenger and saves the username and password inside the values USER and PASS in the HKLM\SOFTWARE\Yahoo\lidl key. The virus will then try to spread by sending spam messages to the contacts in the user's contact list.
The malware also downloads the following files:
%WINDIR%\seocfg.exe
%WINDIR%\upd1234.exe
%WINDIR%\vbn.sdf
seocfg.exe and upd1234.exe are malware files, detected as Trojan.Spy.Banker.ACFQ, which tries to trick the user into accessing phishing sites related to banking. The vbn.sdf file contains the links which are sent in the spam messages.
Removal instructions:
Please let BitDefender disinfect your files.
ANALYZED BY:
Livadariu Mihai Andrei, virus researcher
Kategoriler: Security |
Etiketler:win32agenta.k_temizleme_araci.rar | Yorum Yapılmamış
Mart 28th, 2010
Geçenlerde Rss Reader’ıma Bakarken Chipte Bir Konu Dikkaetimi Çekti
Win32.Worm.Zimuse.A: Sinsi virüs çok yakında!
Hemen Google’ı Açıp aramaya başladım
Eset’in bir makalesiyle karşılaştım. Bu Virüs Genelde Bankaları Hedef Alıyormuş.
Virüsün Yaptığı ise Şunlar:
* %system32%\drivers\mstart.sys
* %system32%\drivers\mseu.sys
Dosyalarına Kendilerini Kopyalıyor.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Kayıt Girdisine “DUMP” Adında Kendini Yazıyor.
Daha Sonra Chip’inde Dediği gibi 20 ila 40 gün arası Bir Süre Sonra Alert veriyor ve Yeniden Başlıyor.
Alert Vermeden Önceki Yaptığı iş ise Şunlar.
* Sildiği Dosyalar
– %system32%\drivers\mstart.sys ve ‘mstart’ İsminde Çalışan Servisi file;
– %program-files%\Dump\dump.exe”
– %Temp%\Dump.ini
– %Temp%\Regini.exe
– %system32%\drivers\mstart.sys
– %system32%\drivers\mseu.sys
– %Temp%\mseu.ini (mseu.sys servisini Kullanarak)
– %system32%\mseus.exe
– %Temp%\mseus.ini (mseus.exe servisini Kullanarak)
– %system32%\tokset.dll
– %system32%\ainf.inf
– %Temp%\instdrv.exe (Bu Dosya Servis Yüklemek için Kullanılan Dosya(Bence Güvenli Kip’i Engellemek için))
– %system_drive%\IQTest\iqtest.exe (Virüsün Bazı Türlerinde)
– %system_drive%\IQTest\readme.txt (Virüsün Bazı Türlerinde)
* Önceden Kayıt Girdisine Yazdığı dump.exe Açıldıktan Sonra Başlıyor (Uyarı Veren Alert bundan Cıkıyormuş)
* Sonrada Aşağıdakileri Siliyor (Ve 20gunluk sürede Hangi Servis İnstall Edildiyse)
– %Temp%\Regini.exe
– %Temp%\Dump.ini
– %Temp%\mseu.ini
– %Temp%\mseus.ini
– %Temp%\instdrv.exe
Ama Bunlara Karşı ESET ve BitDefender Küçük Programcıklar Geliştirmiş.
İşte O dosyaları Burdan İndirebilirsiniz.
Ortamala Silme Süresi 5-10 Saniye(Sisteminiz 10 yıllıksa 
)
Win32 Zimuse Virüsünü Temizlemek
Kategoriler: Security |
Etiketler:win32zimuse_temizleme_araci.rar | Yorum Yapılmamış
