Güncel virüs uyarısı..

Yeni virüs alarmı

W32/Lirva.A;Virüs Tanımı :Toplu e-posta atan Internet solucanı ayını zamanda ICQ, IRC, KaZaa ile de yayılmaya çalışıyor.

Bilgisayara bir şifre çalıcı program da yüklüyor. Aynı zamanda güvenlik programlarının çalışmasını da durduruyor.

Aşağıdaki özelliklerde geliyor:

Konu(Subject):
Aşağıdaki başlılardan birini tercih ediyor.
Fw: Prohibited customers…
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne – the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Metin (Body):
Aşağıdaki metinkerden birini yazıyor.

Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
Eklenti (Attachment):
Resume.exe
Download.exe
MSO-Patch-0071.exe MSO-Patch-0035.exe Two-Up-Secretly.exe Transcripts.exe Readme.exe AvrilSmiles.exe AvrilLavigne.exe
Complicated.exe Singles.exe
Sophos.exe Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe Sk8erBoi.exe
IAmWiThYoU.exe

Teknik Özellikler:
Internet solucanı aşağıdaki isimdeki hafızadaki işlemleri durduruyor;

_AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE ANTI-TROJAN.EXE APVXDWIN.EXE AUTODOWN.EXE
AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE
AVKSERV.EXE AVP.EXE AVP32.EXE AVPCC.EXE
AVPDOS32.EXE AVPM.EXE AVPMON.EXE AVPNT.EXE
AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE
BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE
CFIND.EXE CLAW95.EXE CLAW95CT.EXE
CLEANER.EXE CLEANER3.EXE DV95.EXE DV95_O.EXE
DVP95.EXE ECENGINE.EXE EFINET32.EXE ESAFE.EXE
ESPWATCH.EXE F-AGNT95.EXE FINDVIRU.EXE FPROT.EXE F-PROT.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE F-STOPW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMOON.EXE ICSSUPPNT.EXE ICSUPP95.EXE IFACE.EXE IOMON98.EXE
JED.EXE KPF.EXE KPFW32.EXE LOCKDOWN2000.EXE
LOOKOUT.EXE LUALL.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCAN.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVSCHED.EXE NAVW.EXE
NAVW32.EXE NAVWNT.EXE NISUM.EXE NMAIN.EXE
NORMIST.EXE NUPGRADE.EXE NVC95.EXE OUTPOST.EXE
PADMIN.EXE PAVCL.EXE PCCWIN98.EXE
PCFWALLICON.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE
RESCUE.EXE SAFEWEB.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE
SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE
TDS2-98.EXE TDS2-NT.EXE VET95.EXE VETTRAY.EXE
VSECOMR.EXE VSHWIN32.EXE VSSCAN40.EXE VSSTAT.EXE WEBSCAN.EXE WEBSCANX.EXE WFINDV32.EXE ZONEALARM.EXE
Internet solucanı başlıklarında aşağıdaki isimler yazan tüm pencereleri kapatıyor:

anti Anti AVP McAfee Norton virus Virus
Sistemde değişiklikler yapıyor:

Internet solucanı kendisini değişken isimlerle %WINDIR%\SYSTEM32 dizini altına kopyalıyor.

Sistem her yeniden başladığında çalışması için kayıt dosyasına yeni bir anahtar yazıyor:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “Avril Lavigne – Muse” = C:\WINDOWS\SYSTEM\A33AAAAgbab.EXE
Başka bir anahtar da sistemin virüs tarafıdan etkilendiğini belirtmek için yartılıyor:

HKEY_LOCAL_MACHINE\Software\HKLM\Software\OvG\Avril Lavigne
Yukarda e-posta eklentileri kısmında belirtilen isimlerinden birisi olarak aşağıdaki dizinlere kopyalıyor.

C:\
%WINDIR%\TEMP
Kendisini aşağıdaki dizinlere kopyalıyor.

%Temporary%\
%Temporary%\.tft
%System%\.exe
%All Drives%\Recycled\.exe
%Kazaa Downloads%\.exe
avril-ii.inf adlı virüs yazarından bir notu da %WINDIR%\TEMP dizinine kopyalıyor.

Internet bağlantısın kontrol ediyor ve bağlantı yoksa varsayılan çevirmeli ağ bağlantısını kurmayı deniyor.

Wİndows Address Book ve uzantıları .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch ve .idx olan dosyalardaki e-posta adreslerine e-posta göndermeyi deniyor.

Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı \Windows\System dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.

mIRC program dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.

Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini \RECYcLED\ dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.

@win .exe
Kendisini \RECYcLED\ dizini altına değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için belirtilen şekilde değiştiriyor.

Kendisini KaZaa dizinine değisken isimlerle kopyalıyor.

Eğer ayın 7si,11i ya da 24 ise, www.arvil-lavigne.com adresine bağlanıp grafik animasyonlar gösteriyor.

Belirtiler:
Yukarıda belirtilen Kayıt anahtarlarının varlığı
Yukarıda belirtilen dosyaların varlığı
E-posta trafiği
IRC trafiği
ICQ trafiği
SMTP sunucusuna ağ trafiği (62.118.249.10 Port 25 TCP).
Etkileme Yöntemi:
Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı \Windows\System dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.

mIRC prgram dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.

Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini \RECYcLED\ dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.

@win .exe

Virüsler şimdi de resimlerle bulaşıyor
İnternet sayesinde virüsler bilgisayarların doğal konukları haline geldi. Ancak her virüs, kurbanların önlem almasını sağladığı için yeni virüsler de akla gelmedik taktikler
bulmaya çalışıyor. Son çıkan Perrun virüsü de bulaşmak için JPG uzantılı resim dosyalarını kullanıyor. Bu tekniği sayesinde de türünün ilk örneği sayılıyor. Verdiği hasar fazla olmasa bile, yöntemine bakıldığında hemen hemen her dosya tipinin virüs barındırabileceğinin ispatı olmuş durumda. Perrun, resim dosyalarına bulaşıyor ve bulaştığı resim açıldığı anda bilgisayardaki diğer resimlere bulaşıyor ve böylece sürüp gidiyor. Dosyalara herhangi bir zarar vermiyor ancak güvenlik uzmanları Perrun’un başarısının, zarar verici bir benzerinin yapılması için yeterli olacağı endişesini taşıyor. Antivirüs yazılımınızı güncellemeyi unutmayın.

KategorilerGenel