"Enter"a basıp içeriğe geçin

Win32 Sobig A-B-C-E-F türlerini Temizle

yeni bir virüsle karşınızdayım. bu seferki virüsümüzün A-B-C-E-F olmak üzere 5 çeşidi var.

A türevinden bahsetmeye başlayalım

big@boss.com adresinden geliyormuş gibi bir mail gelir.

%WINDIR% içine WINMGM32.EXE olarak kendini kopyalar.

HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına WindowsMGM adına bir anahtar oluşturur.

mail başlıkları genelde
Re: Document
Re: Here is that sample
Re: Movies
Re: Sample
şeklinde gönderiyor
vede mesaj içeriği olarak bişi yollamıyor. birde eklenti gönderiyor e-postayla takibi.
bu eklentilerin ismi
Document003.pif
Movie_0074.mpeg.pif
Sample.pif
Untitled1.pif
şeklinde oluyor.

vede ağ bilgisayarlarına bakıyor. eğer bulur ve erişim izni varsa
Documents and Settings\All Users\Start Menu\Programs\Startup
Windows\All Users\Start Menu\Programs\StartUp
yollarına kendini kopyalıyor.

B türevi ne yapıyor onlara bakalım

%WINDIR% içine msccn32.exe ve hnks.ini olarak kendini kopyalar.
msccn32.exe isminde çalışıyor. işlemlerden görebilirsiniz.

HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına SystemTray adına bir anahtar oluşturur.

A türevindeki gibi ağ bulursa yine o yola kendini kopyalıyor.

A türevinden farklı olarak E-postalardaki eklenti adları aşağıdaki şekildedir.

your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif

mailler support@microsoft.com adresinden geliyormuş gibi gözükür.

mail içeriği şu şekildedir.
“All information is in the attached file.”
ve mail başlıkları ise

Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Re: My details
Screensaver
Cool screensaver
Re: Movie
Re: My application

şeklinde.

A türevinden çok farklı olduğu için olarakta anılmaktadır.(sadece b türevi)

C türevi ne yapıyor ona bakalım

%WINDIR% içine mscvb32.exe ve msddr.dat olarak kendini kopyalar.

HKLM\Microsoft\Windows\CurrentVersion\Run anahtarına System MScvb adına bir anahtar oluşturur.

Mailler bill@microsoft.com den geliyormuş gibi gözükür.

mail başlıkları

Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application

şeklinde olup mail içereği ise
“Please see the attached file”

eklenti isimleri ise

screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif

virüs bulaştığı takdirde bilgisayardaki tüm

.wab
.dbx
.htm
.html
.eml
.txt

uzantılı dosyaları tarar. eğer bir mail adresi bulursa aynen onlarada gönderir. (A ve B türlerinde bu özellik yoktu)

A ve B türlerindeki gibi ağda bilgisayar bulursa onlarada

Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
yollarına kendini kopyalar.

D türevi olmadığı için E türevine bakıyoruz şimdi

%WINDOWS%/winssk32.exe
%WINDOWS%/msrrf.dat
olarak kendini kopyalıyor.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\”SSKService”= “%WINDOWS%\winssk32.exe”]
[KKCU\Software\Microsoft\Windows\CurrentVersion\Run\”SSKService”= “%WINDOWS%\winssk32.exe”]

regedit e kendini yazıyor.

önceki türlerden farkı yine e-posta gönderme biçimi

support@yahoo.com adresinden mail geliyormuş gibi gözüküyor.

mail başlıkları aşagıdaki şekilde oluyor.

004448554.pif
Application.pif
Applications.pif
movie.pif
new document.pif
Referer.pif
Screensaver.scr
submited.pif
Your application
Re: Application
Re: document.pif
Re: Documents
Re: Movie
Re: Movies
Re: ScRe:ensaver
Re: Submitted
Re: Re: Application ref 003644
Re: Re: Document

içeriği “Please see the attached zip file for details.” olarak mail atıyor

mail eklenti ismi ise

application.zip (containingapplication.pif)
document.zip(containingdocument.pif)
Movie.zip (containingMovie.pif)
screensaver.zip (containingsky_world.scr)
Your_details.zip(containingdetails.pif)

C türevi gibi .wab, .dbx, .htm, .html, .eml, .txt dosyalarına bakıyor emailleri topluyor sonra onlarada mail atıyor.

A ve B ve C türlerindeki gibi ağda bilgisayar bulursa onlarada

Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
yollarına kendini kopyalar.

Ve geldik son tür olan F türüne

%WINDIR% içine

Winstt32.dat
Winppr32.exe
Winstf32.dll
olarak kendini kopyalıyor.

regedit te ise

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TrayX] = %WINDIR%\winppr32.exe /sinc
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TrayX] = %WINDIR%\winppr32.exe /sinc

olarak oluşturrarak kendini başlangıca yazıyor.

mailleri atarken başlıklar aşağıdaki şekilde.

Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!

mail içeriği
Please see the attached file for details.
yada
See the attached file for details

eklenti isimleri.

movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif

önceki türler gibi html wab mht hlp txt eml htm dbx dosyalarını tarıyor ve e-mail arıyor.

tüm diğer türleri gibi ağda pc bulursa

Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
yollarına kendini kopyalar.

bu virüste 2003 tarihli . yinede size bulaşmıssa aşagıdaki dosyayı indirip çalıştırın.

Win32 Sobig A-B-C-E-F türlerini Temizle

İlk Yorumu Siz Yapın

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.