Bir süredir benim ve baz? arkada?lar?n PC'lerine musallat olup, format çekmemize sebep olan bu virüsle ilgili bilgiler:
24 Mart vakasi diye adland?rmak gerekirse cok tehlikeli olan bu worm ciddi hasarlara yol ac?yor.Symantec adresinden al?nan baz? bilgilere göre e-mailler üzerinden yay?ld?g? konusunda hem fikir olundu. Bu worm'dan etkilenmeden al?nmas? gereken her zaman ki gibi kullan?c?lar? belli olmayan mailleri acmamak
Teknik Ayrintilar:
------------------------------------------
Windows XP/NT/2000 icin genellikle C:\Documents and Settings\[CURRENT USER Seklinde documents & settings dosyalar?na bula??r.
A?ag?da bulunan dosyalardan birisini ve bir cogunu copy eder.
c.bron.tok.txt
csrss.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
sv71[RANDOM].exe
zh59[RANDOM].exe
yesbron.com
REGISTRY :
-----------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
"N2913c" = ""%Windir%\j[RANDOM].exe""
Böylece windows her cal?st?r?ld?g?nda kendisi de cal?smaya ba?lar.
Bu yüzden güvenli modda kald?r?lmas? esastir.Windows cal?s?rken cogu ki?i pc'yi taratsa bile bu worm ortadan kalkmaz.K?sacas? cal?san dosyay? sonland?rsan?z bile windows tekrar baslat?ld?g?nda worm geri dönecektir.
"f3444Adm" = ""%System%\s[RANDOM]\zh59[RANDOM].exe"
Degeri eklenir system dosyas?na
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run yine windows cal?st?g? zaman otomatik olarak cal???r.
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\SafeBoot
AlternateShell" = "c_[RANDOM].com"
( Windows NT icin )
"Userinit" = "%System%\userinit.exe,%Windir%\j[RANDOM].exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
S?ras?yla takip eden bu komut dizinlerinin sonunda registry ( kayit defteri )
"DisableRegistryTools" = "1"
kendisini otomatik olarak disable durumuna getirir.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
??lemlerde bu dosyalar?n yada exelerin gorulmesi mümkündür.
ahnlab
aladdin
Alicia
Anti
ash
ashmaisv
aswupdsv
avast
avg
bitdef
ccapps
cclaw
cillin
ctfmon
Dian
diary
foto
hijack
iexplorer
kangen
kill
lexplorer
machine
Mariana
mcaf
mcv
movzx
mspatch
nipsvc
njeeves
nod32
nopdb
nvcoas
opscan
panda
peid
poproxy
remove
riyani
services.com
siti
sstray
sysinter
syslove
systray
trend
tskmgr
untukmu
update
virus
vptray
washer
wscript
xpshare
zlh
--------------------------------------------------
A?ag?da ki dosyalar? tehlikeye atar
%Windir%\rundll32.exe
%Windir%\fonts\tskmgr.exe
%Windir%\Systray.exe
%Windir%\mspatch.exe
%Windir%\LEXPLORER.exe
%Windir%\IEXPLORER.exe
%Windir%\sstray.exe
%System%\winword.exe
%System%\kangen.exe
%System%\ccapps.exe
%System%\syslove.exe
%System%\mspatch.exe
%System%\untukmu.exe
%System%\i75-d2\dkernel.exe
%System%\sstray.exe
-------------------------------------------------------
Daha detayl? bilgi ve konunun geni? özeti icin lutfen
sitesini ziyaret ediniz
SAYGILARIMLA
Taner YILLIK
Undernet NoHACK & ViRuS HELP Officer
Bu virüs; antivirus, spyware, programlar? ile etkisiz hale getirilebilmektedir.
24 Mart vakasi diye adland?rmak gerekirse cok tehlikeli olan bu worm ciddi hasarlara yol ac?yor.Symantec adresinden al?nan baz? bilgilere göre e-mailler üzerinden yay?ld?g? konusunda hem fikir olundu. Bu worm'dan etkilenmeden al?nmas? gereken her zaman ki gibi kullan?c?lar? belli olmayan mailleri acmamak
Teknik Ayrintilar:
------------------------------------------
Windows XP/NT/2000 icin genellikle C:\Documents and Settings\[CURRENT USER Seklinde documents & settings dosyalar?na bula??r.
A?ag?da bulunan dosyalardan birisini ve bir cogunu copy eder.
c.bron.tok.txt
csrss.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
sv71[RANDOM].exe
zh59[RANDOM].exe
yesbron.com
REGISTRY :
-----------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
"N2913c" = ""%Windir%\j[RANDOM].exe""
Böylece windows her cal?st?r?ld?g?nda kendisi de cal?smaya ba?lar.
Bu yüzden güvenli modda kald?r?lmas? esastir.Windows cal?s?rken cogu ki?i pc'yi taratsa bile bu worm ortadan kalkmaz.K?sacas? cal?san dosyay? sonland?rsan?z bile windows tekrar baslat?ld?g?nda worm geri dönecektir.
"f3444Adm" = ""%System%\s[RANDOM]\zh59[RANDOM].exe"
Degeri eklenir system dosyas?na
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run yine windows cal?st?g? zaman otomatik olarak cal???r.
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\SafeBoot
AlternateShell" = "c_[RANDOM].com"
( Windows NT icin )
"Userinit" = "%System%\userinit.exe,%Windir%\j[RANDOM].exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
S?ras?yla takip eden bu komut dizinlerinin sonunda registry ( kayit defteri )
"DisableRegistryTools" = "1"
kendisini otomatik olarak disable durumuna getirir.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
??lemlerde bu dosyalar?n yada exelerin gorulmesi mümkündür.
ahnlab
aladdin
Alicia
Anti
ash
ashmaisv
aswupdsv
avast
avg
bitdef
ccapps
cclaw
cillin
ctfmon
Dian
diary
foto
hijack
iexplorer
kangen
kill
lexplorer
machine
Mariana
mcaf
mcv
movzx
mspatch
nipsvc
njeeves
nod32
nopdb
nvcoas
opscan
panda
peid
poproxy
remove
riyani
services.com
siti
sstray
sysinter
syslove
systray
trend
tskmgr
untukmu
update
virus
vptray
washer
wscript
xpshare
zlh
--------------------------------------------------
A?ag?da ki dosyalar? tehlikeye atar
%Windir%\rundll32.exe
%Windir%\fonts\tskmgr.exe
%Windir%\Systray.exe
%Windir%\mspatch.exe
%Windir%\LEXPLORER.exe
%Windir%\IEXPLORER.exe
%Windir%\sstray.exe
%System%\winword.exe
%System%\kangen.exe
%System%\ccapps.exe
%System%\syslove.exe
%System%\mspatch.exe
%System%\untukmu.exe
%System%\i75-d2\dkernel.exe
%System%\sstray.exe
-------------------------------------------------------
Daha detayl? bilgi ve konunun geni? özeti icin lutfen
sitesini ziyaret ediniz
SAYGILARIMLA
Taner YILLIK
Undernet NoHACK & ViRuS HELP Officer
Bu virüs; antivirus, spyware, programlar? ile etkisiz hale getirilebilmektedir.


Comment