Tehlikeli Virüsler

Birkaç Virüs Özellikleri :

W32/Blaster

Virüs Tanımı ve Korunma:
MS03-026 Microsoft açığından faydalanarak ağ üstünden yayılan bir virüstür. Virüsten korunmak için Windows güncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.
Temizleme Yöntemi:
Virüsün temizlenmesi için en yeni virüs tanımlama dosyalarının (sdat4***.exe) ve virüs tarama motorunun kullanılarak antivirus yazılımının güncellenmesi gerekmektedir. Ayrıntılı bilgi için Mcafee Virusscan başlığı altından bilgi alınabilir. Virüse özel temizleme aracı Araçlar menüsü altında bulunmaktadır. Araçlar menüsü altında bulunan programlar yalnızca virüsü temizlemekte, ancak virüsün kullandığı Windows güvenlik açığını kapatmamaktadır. Virüsün tekrar bulaşmasını engellemek için işletim sisteminin ve antivirüs yazılımının güncellenmesi gerekmektedir. W32/Blaster, W32/Nachi (Welchia) gibi virüsler Windows NT, 2000, ve XP işletim sistemlerinin MS03-026 Microsoft güvenlik açığından faydalanarak yayıldıkları için işletim sistemini bu virüslere karşı güvenli hale getirmek amacıyla aşagıdaki linkleri tıklayarak işletim sistemine göre gerekli Microsoft yamasını indirip çalıştırmak gerekmektedir.
NT 4.0 (SP6a) için
ftp://ftp.metu.edu.tr/popular/Micros...4/Q823980i.EXE .
Windows 2000 (SP2) için
ftp://ftp.metu.edu.tr/popular/Micros...80-x86-ENU.exe .
Xp Pro (SP1) için
ftp://ftp.metu.edu.tr/popular/Micros...80-x86-enu.exe .
Not: W32/Blaster, W32/Nachi (Welchia) virüslerinin kullandığı MS03-026 Microsoft güvenlik açığını kapatan bu bu dosyalar bir diskete sığacak boyuttadır. Internet erişimi kısıtlanmamış bilgisayarlara indirilerek diskete kopyalanmalı ve bu disket kullanılarak virüs bulaşmış bilgisayarda çalıştırılmalıdır.
Bununla beraber, bu yamaların çalışması için gerekli olan minimum "service pack" dosyaları ftp://ftp.metu.edu.tr/popular/Microsoft/ konumundan Internet bağlantısı olan bir bilgisayara indirildikten sonra sorunlu bilgisayara aktarılabilir. Internet erişimi kısıtlı bilgisayarlar da, içinde bulundukları yerel ağdaki bilgisayarlarla dosya ve dizin paylaşımı yapabilmektedir. 100 MB üzeri boyutlardaki Service Pack dosyalarını ağ üzerinden indirmekte zorluk çeken personelimiz BİDB Kütüphanesi'ne gelerek "Windows Güncellemeleri" CD'si temin edebilirler.
Gelecekte bulunabilecek güvenlik açıklarına karşı önlem almak amacıyla Windows işletim sistemi güncellemelerinin otomatik hale getirilmesi için gerekli ayarlar yapılmalıdır [My Computer (Bilgisayarım) --> Properties (Özellikler) --> Automatic Updates (Otomatik Güncellemeler)]
Internet erişimi kısıtlı bilgisayarların IP numaralarına http://affected.metu.edu.tr adresinden ulaşılabilmektedir.
Teknik özellikler:
Virüs çalıştırıldığında
• "Billy" isminde bir Mutex yaratıyor.
• Windows açıldığında kod çalışması için aşağıdaki değeri;
"windows auto update"="msblast.exe"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
• TCP 135 porttan DCOM RPC zayıflığından yararlanan paketleri rastgele IP'lere gönderiyor.
• Açıktan yararlanarak etkilene bilgisayar TCP 4444 portunu dinleyen gizli CMD uygulaması çalıştırıyor.
• Yeni etkilen bilgisayara Msblast.exe dosyasın çekmesi için komut gönderiyor.
• UDP 69 portunu dinliyor. Uygun paket geldiğinde Msblast.exe binary dosyasını çalıştırıyor.
• Sistem tarihi Ağustos 15 sonrasındaysa Microsoft Update'e Dos başlatıyor.
Belirtiler:
• msblast.exe dosyasını varlığı
• RPC servisindeki hata mesajları
• TFTP dosyaların varlığı
Etkileme Yöntemi:
Virüs Microsoft Windows işletim sistemlerini MS03-026 açlığından faydalanarak yayılmaktadır. Rastgele seçtiği IP aralığında belirtilen açığı aramak için ağ taraması yapıyor. Güncellemesi yapılmamış sistemleri yukarda belirtilen yöntemle etkiliyor.

W32/Braid

Virüs Tanımı :
Yerel sistemdeki e-posta adreslerine kendi SMTP motorunu kullanarak gönderiyor. Virüs from kısmına gerçek bir e-posta adresi atıyarak, e-posta görüntülendiğinde otomatik olarak çalışmasını sağlaryan Internet Explorer açığından yaralanıcakl şekilde e-posta hazırlıyor. Bunlarla birlikte çalıştırldığıda ağ paylaşımları yardımı ile virsünyayılmasını sağlayan bir dosya da yaratıyor.
Aşağıdaki özelliklerde geliyor:
Kimden (From):
Gönderenin Windows kayıt ismi
Konu(Subject):
Gönderenin Windows kayıt şirket ismi
Metin (Body):
Hello,
Product Name: Microsoft Windows %Gönderenin etkilenmiş windows sürümü%
Product Id: %Gönderenin etkilenmiş makinesindeki Windows ID %
Product Key: %Gönderenin etkilenmiş sistemindeki Windows anahtarı%
Process List:%Gönderenin etkilenmiş sisteminde çaışan işlemler%
Thank you.
Eklenti (Attachment):
README.EXE

Teknik Özellikler
Virüs "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020)" açığından yararlanarak zayıf Outlook Express programları (ver 5.01 or 5.5 without SP2) tarafından sadece e-posta görüntülenmesi sonucu otomatik eklenti çalıştırılmasını sağlıyor.
Çalıştırıldığında kendisini WINDOWS SYSTEM (%SysDir%) dizinine REGEDIT.EXE (Not: WINDOWS dizininde REGEDIT.EXE isimli temiz bir dosya hali hazırda zaten var) olarak kopyalıyor ve aşağıdaki kayıt değerini er açılışta çalışmak için işliyor:
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\regedit=C:\Windows\System\regedit.e xe
Virüs WINDOWS SYSTEM dizinine , BRIDE.EXE ve MSCONFIG.EXE isimli iki dosya kopyalıyor. Bu dosyalar SDAT4132 (veya yeni) dat dosyaları tarfından W32/Funlove.dr olarak tanınıyor. Bu dosyalar çalıştırıldığında tüm taşınır çalıştırılabilir dosyaları (.EXE, .OCX, ve .SCR) W32/Funlove virüsünün geliştirilmiş şekliyle etkiliyor. Bu dosyalar 4132 DATs (veya yeni) dat dosyaları ve şu ank iarama motoru ile W32/FunLove.gen olarak tesbit ediliyor.

Belirtiler:
Aşağıdaki dosyaların varlığı:
• HELP.EML
• %Desktop folder%\Explorer.exe
• %SysDir%\Bride.exe
Etkileme Yöntemi:
Eklenti çalıştırldıktan sonra, virüs taşınır çalıştırılabilir dosyaları (.EXE, .OCX, ve .SCR) etkilyor.
Kenidisini başka e-posta adreslerine göndermek için .DBX ve .HTM dosyalarında e-posta adresi taraması yapıyor. Bulduğu adresleri hem TO: hem de FROM: kısmında kullanıp e-postalar hazırlıyor ve bunları gönderiyor.
Güvenlik programlarını durudurabiliyor.

Temizleme Yöntemi:
METU IT Güvenliği Ekibi her zaman en yeni DAT dosyalarını ve virüs tarama motorunu kullanmanızı tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.

W32/Bugbear

Virüs Tanımı
MSVC'de yazılan bu virüs UPX olarak paketlenmiştir. Ağ paylaşımları ve e-posta ile dağılmaktadır. Keyloger olarak çalışan bir truva atı da içermektedir.
Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir. Virüs kodu e-posta "Konu" ve "Eklenti" kısmını içermektedir.

Konu:
Büyük ihtimalle etkilediği makinedeki kelimeleri ya da dosya isimlerini "Konu" olarak seçiyor. Olası "Konu" satırları aşağıda verilmiştir (ancak, "Konu" satırları değişken olabilir.):
• 25 merchants and rising
• Announcement
• bad news
• CALL FOR INFORMATION!
• click on this!
• Correction of errors
• Cows
• Daily Email Reminder
• empty account
• fantastic
• free shipping!
• Get 8 FREE issues - no risk!
• Get a FREE gift!
• Greets!
• Hello!
• Hi!
• history screen
• hmm..
• I need help about script!!!
• Interesting...
• Introduction
• its easy
• Just a reminder
• Lost & Found
• Market Update Report
• Membership Confirmation
• My eBay ads
• New bonus in your cash account
• New Contests
• new reading
• News
• Payment notices
• Please Help...
• Re: $150 FREE Bonus!
• Report
• SCAM alert!!!
• Sponsors needed
• Stats
• Today Only
• Tools For Your Online Business
• update
• various
• Warning!
• wow!
• Your Gift
• Your News Alert

Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte genelde aşağıdaki satırları içermektedir:
• Card
• Docs
• image
• images
• music
• news
• photo
• pics
• readme
• resume
• Setup
• song
• video

Teknik Detaylar:
Eklentilerinde ikili uzantısı olması genel bir olgu (örnek: .doc.pif). Gönderdiği e-postalar Microsoft Internet Explorer'ın (ver 5.01 ya da 5.5 SP2 yüklenmemiş) Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020) açığından faydalanmaya çalışıyor.
"Gelen kutusu" içinde bulunan adresleri ve diskte de aşağıda uzantıları verilmiş dosyaları arayıp e-posta adreslerine ulaşmaya çalışıyor.
• MMF
• NCH
• MBX
• EML
• TBB
• DBX
• OCS
Varolan kullanıcını ve SMTP sunucusunu e-posta adreslerini aşağıdaki kayıt dosyasından alır: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

Sistem Değişiklikleri
Çalıştırıldığında kendisini %WinDir%\System dizini altına ****.EXE olarak kopyalar.( * rast gele karakterleri temsil etmektedir). Örneğin:
• Win98 : C:\WINDOWS\SYSTEM\FYFA.EXE
• 2k Pro : C:\WINNT\SYSTEM32\FVFA.EXE
Aşağıdaki kayıt dosyasını bir sonraki açılışta dosyayı çalıştırması için düzenler:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion RunOnce "%ras tgele harfler%" = %rast gele dosya adı%.EXE (Win9x)
Startup (Başlangıçta) dizinine kendisini ***.EXE olarak kopyalar. ( * rastgele karakterleri temsil etmektedir). Örneğin:
• Win98 : C:\WINDOWS\Start Menu\Programs\Startup\CUK.EXE
• 2k Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\CYC.E
Truva Atı Bileşeni
Internet solucanı etkilediği makinede port 36794 açarak ve değişik bir çok çalışan işleri arayıp onları durduruyor.Bu işler arasında bir çok ünlü anti-virüs ve güvenlik-duvarı programı var:
• ACKWIN32.exe
• F-AGNT95.exe
• ANTI-TROJAN.exe
• APVXDWIN.exe
• AUTODOWN.exe
• AVCONSOL.exe
• AVE32.exe
• AVGCTRL.exe
• AVKSERV.exe
• AVNT.exe
• AVP32.exe
• AVP32.exe
• AVPCC.exe
• AVPCC.exe
• AVPDOS32.exe
• AVPM.exe
• AVPM.exe
• AVPTC32.exe
• AVPUPD.exe
• AVSCHED32.exe
• AVWIN95.exe
• AVWUPD32.exe
• BLACKD.exe
• BLACKICE.exe
• CFIADMIN.exe
• CFIAUDIT.exe
• CFINET.exe
• CFINET32.exe
• CLAW95.exe
• CLAW95CF.exe
• CLEANER.exe
• CLEANER3.exe
• DVP95_0.exe
• ECENGINE.exe
• ESAFE.exe
• ESPWATCH.exe
• FINDVIRU.exe
• FPROT.exe
• IAMAPP.exe
• IAMSERV.exe
• IBMASN.exe
• IBMAVSP.exe
• ICLOAD95.exe
• ICLOADNT.exe
• ICMON.exe
• ICSUPP95.exe
• ICSUPPNT.exe
• IFACE.exe
• IOMON98.exe
• JEDI.exe
• LOCKDOWN2000.exe
• LOOKOUT.exe
• LUALL.exe
• MOOLIVE.exe
• MPFTRAY.exe
• N32SCANW.exe
• NAVAPW32.exe
• NAVLU32.exe
• NAVNT.exe
• NAVW32.exe
• NAVWNT.exe
• NISUM.exe
• NMAIN.exe
• NORMIST.exe
• NUPGRADE.exe
• NVC95.exe
• OUTPOST.exe
• PADMIN.exe
• PAVCL.exe
• PAVSCHED.exe
• PAVW.exe
• PCCWIN98.exe
• PCFWALLICON.exe
• PERSFW.exe
• F-PROT.exe
• F-PROT95.exe
• RAV7.exe
• RAV7WIN.exe
• RESCUE.exe
• SAFEWEB.exe
• SCAN32.exe
• SCAN95.exe
• SCANPM.exe
• SCRSCAN.exe
• SERV95.exe
• SPHINX.exe
• F-STOPW.exe
• SWEEP95.exe
• TBSCAN.exe
• TDS2-98.exe
• TDS2-NT.exe
• VET95.exe
• VETTRAY.exe
• VSCAN40.exe
• VSECOMR.exe
• VSHWIN32.exe
• VSSTAT.exe
• WEBSCANX.exe
• WFINDV32.exe
• ZONEALARM.exe
Bu dışardan erişim saldırgana dosya çekme, çalıştırma, işleri durdurmayı ve bir çok değişik işlem yapma izin veriyor.
Buna ek olarak keylogger olarak çalışacak bir DLL dosyası bırakıyor. Bu DLL PWS-Hooker.dll olarak gözüküyor.
Ağ paylaşımı etkileşimi
Internet solucanı kendisini ağ paylaşımından Startup dizini altına yazmaya çalışıyor (yukarıda anlatıldığı konuma, anlatıldığı yapıda)

Belirtileri
• Port 36974 açık olması
• Aşağıdaki dosyaların varlıkları (* herhangi bir karakteri temsil etmekte):
o %WinDir%\System\****.EXE (50,688 ya da 50,684 bytes)
o %WinDir%\******.DAT
o %WinDir%\******.DAT
o %WinDir%\System\******.DLL
o %WinDir%\System\*******.DLL
o %WinDir%\System\*******.DLL

Temizleme yöntemi
Kampüsümüze lisanlı McAfee VirüsScan programının şu anki güncellemesi virüsü tespit etmektedir. (sdat4226.exe).
Virüsü temizleme amacıyla Symentec Inc. ve Sophos Inc. tarafından hazırlanmış olan iki tane ayrı programı "Araçlar" menusu altında bulabilirsiniz.

Virüs Tanımı
Ağ paylaşımları ve e-posta ile dağılmaktadır. Keyloger olarak çalışan bir truva atı da içermektedir. Bunlara ek olarak güvenlik programlarını durdurmakta ve bir çok *.exe dosyayı da etkılemekkteir.
Aşağıdaki içerikle gelmektedir:
Konu:
• 25 merchants and rising
• Announcement
• bad news
• CALL FOR INFORMATION!
• click on this!
• Correction of errors
• Cows
• Daily Email Reminder
• empty account
• fantastic
• free shipping!
• Get 8 FREE issues - no risk!
• Get a FREE gift!
• Greets!
• Hello!
• Hi!
• history screen
• hmm..
• I need help about script!!!
• Interesting...
• Introduction
• its easy
• Just a reminder
• Lost & Found
• Market Update Report
• Membership Confirmation
• My eBay ads
• New bonus in your cash account
• New Contests
• new reading
• News
• Payment notices
• Please Help...
• Re: $150 FREE Bonus!
• Report
• SCAM alert!!!
• Sponsors needed
• Stats
• Today Only
• Tools For Your Online Business
• update
• various
• Warning!
• wow!
• Your Gift
• Your News Alert
Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte genelde aşağıdaki satırları içermektedir:
• Card
• Docs
• image
• images
• music
• news
• photo
• pics
• readme
• resume
• Setup
• song
• video
Eklenti uzantıları aşağıdaki gibi olmaktadır.
• .exe
• .pif
• .scr
Teknik Özellikler:
• Eklentilerinde ikili uzantısı olması genel bir olgu (örnek: .doc.pif). Gönderdiği e-postalar Microsoft Internet Explorer'ın (ver 5.01 ya da 5.5 SP2 yüklenmemiş) Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020) açığından faydalanmaya çalışıyor.
• Aşağıdak isimli güvrnlğk programlarını durduruyor:
o ZONEALARM.EXE
o WFINDV32.EXE
o WEBSCANX.EXE
o VSSTAT.EXE
o VSHWIN32.EXE
o VSECOMR.EXE
o VSCAN40.EXE
o VETTRAY.EXE
o VET95.EXE
o TDS2-NT.EXE
o TDS2-98.EXE
o TCA.EXE
o TBSCAN.EXE
o SWEEP95.EXE
o SPHINX.EXE
o SMC.EXE
o SERV95.EXE
o SCRSCAN.EXE
o SCANPM.EXE
o SCAN95.EXE
o SCAN32.EXE
o SAFEWEB.EXE
o RESCUE.EXE
o RAV7WIN.EXE
o RAV7.EXE
o PERSFW.EXE
o PCFWALLICON.EXE
o PCCWIN98.EXE
o PAVW.EXE
o PAVSCHED.EXE
o PAVCL.EXE
o PADMIN.EOUTPOST.EXE
o NVC95.EXE
o NUPGRADE.EXE
o NORMIST.EXE
o NMAIN.EXE
o NISUM.EXE
o NAVWNT.EXE
o NAVW32.EXE
o NAVNT.EXE
o NAVLU32.EXE
o NAVAPW32.EXE
o N32SCANW.EXE
o MPFTRAY.EXE
o MOOLIVE.EXE
o LUALL.EXE
o LOOKOUT.EXE
o LOCKDOWN2000.EXE
o JEDI.EXE
o IOMON98.EXE
o IFACE.EXE
o ICSUPPNT.EXE
o ICSUPP95.EXE
o ICMON.EXE
o ICLOADNT.EXE
o ICLOAD95.EXE
o IBMAVSP.EXE
o IBMASN.EXE
o IAMSERV.EXE
o IAMAPP.EXE
o FRW.EXE
o FPROT.EXE
o FP-WIN.EXE
o FINDVIRU.EXE
o F-STOPW.EXE
o F-PROT95.EXE
o F-PROT.EXE
o F-AGNT95.EXE
o ESPWATCH.EXE
o ESAFE.EXE
o ECENGINE.EXE
o DVP95_0.EXE
o DVP95.EXE
o CLEANER3.EXE
o CLEANER.EXE
o CLAW95CF.EXE
o CLAW95.EXE
o CFINET32.EXE
o CFINET.EXE
o CFIAUDIT.EXE
o CFIADMIN.EXE
o BLACKICE.EXE
o BLACKD.EXE
o AVWUPD32.EXE
o AVWIN95.EXE
o AVSCHED32.EXE
o AVPUPD.EXE
o AVPTC32.EXE
o AVPM.EXE
o AVPDOS32.EXE
o AVPCC.EXE
o AVP32.EXE
o AVP.EXE
o AVNT.EXE
o AVKSERV.EXE
o AVGCTRL.EXE
o AVE32.EXE
o AVCONSOL.EXE
o AUTODOWN.EXE
o APVXDWIN.EXE
o ANTI-TROJAN.EXE
o ACKWIN32.EXE
o _AVPM.EXE
o _AVPCC.EXE
o _AVP32.EXE
• Windows açıldığında kod çalışması için aşağıdaki konumlara kendisini kopyalıyor;
o Win98 : C:\WINDOWS\Start Menu\Programs\Startup\BSFS.EXE
o Win2000 Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\BSFS.EXE
• Varolan kullanıcını ve SMTP sunucusunu e-posta adreslerini aşağıdaki kayıt dosyasından alır:
o win98:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Interne t Account Manager\Accounts
o Win2000 Pro:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders\Personal
• %Winsys% dizini altına keyloger olark çalışan 7 karakterli ismi olan .dll dosyasını kopyalıyor.
• Saldırgan tarafından kullanılan TCP Port 1080 üstünden gelecek komutları dinlemeye başlıyor.
• Ağ üstünden diğer bilgisayarların paylaşımlarını izin veriyorsa yukarda belirtilen STARTUP dizinine kendini kopyalıyor.
• Aşağıdak listedeki .exe dosyalarını etkiliyor.
o hh.exe
o mplayer.exe
o notepad.exe
o regedit.exe
o scandskw.exe
o winhelp.exe
o ACDSee32\ACDSee32.exe
o Adobe\Acrobat 4.0\Reader\AcroRd32.exe
o adobe\acrobat5.0\reader\acrord32.exe
o AIM95\aim.exe
o CuteFTP\cutftp32.exe
o DAP\DAP.exe
o Far\Far.exe
o ICQ\Icq.exe
o Internet Explorer\iexplore.exe
o kazaa\kazaa.exe
o Lavasoft\Ad-aware 6\Ad-aware.exe
o MSN Messenger\msnmsgr.exe
o Outlook Express\msimn.exe
o QuickTime\QuickTimePlayer.exe
o Real\RealPlayer\realplay.exe
o StreamCast\Morpheus\Morpheus.exe
o Trillian\Trillian.exe
o Winamp\winamp.exe
o Windows Media Player\mplayer2.exe
o WinRAR\WinRAR.exe
o winzip\winzip32.exe
o WS_FTP\WS_FTP95.exe
o Zone Labs\ZoneAlarm\ZoneAlarm.exe
Belirtileri
• Port 1080 açık olması
• STARTUP dizinide farklı .exe dosyaların varlığı
Etkileme Yöntemi:
E-posta eklentisi ya da ağ paylaşımları yolu ile kopyalanmış dosyaların çalıştırıldığında kendisini bilgisayara yükleyerek bulaşıyor.
Temizleme Yöntemi:
METU IT Güvenliği Ekibi en yeni virüs tanımılama dosyalarını (Dat files) ve virüs tarama motorunu kullanılmasını tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.

Her yıl 26 Nisan günü aktif hale gelen ve Windows 95/98 işletim sistemlerini kullanan bilgisayarlarda kalıcı veri kayıplarına yol açabilen CIH virüsü konusunda kullanıcılarımızın dikkatli olması gerekmektedir. Üniversitemizin lisanslı kullanıcısı olduğu Mcafee Vscan programı bu virüse karşı koruma sağlamaktadır; bilgisayarında bu anti-virüs yazılımı kurulu kullanıcılarımızın endişelenmesine gerek yoktur. Virüs yerleşmiş olduğu bilgisayarlarda belli bir süreye kadar aktif hale gelmediğinden, bu virüsün bilgisayarınızda olup olmadığını anlamak için ftp://ftp.metu.edu.tr/popular/antivirus/ adresindeki "cleancih.exe" programını kullanabilirsiniz.
Kızıl Kod Virüsü
Bu bolum 13 Mart 2003 tarihinde eklendi
Kızıl Kod II Internet solucanından çok farklı olmayan bu solucan bilgisayarın tekrar başlamamısına neden oluyor. Aynı zamanda yerleştirdiği turuva atı bileşemeşeni bir sonraki açılışta aktif hale geldiğinden web sayfasının [badword][badword]Faruk[/badword][/badword]si dışında kişilerce değiştirilesine izin veriyor.
Eğer Microsoft IIS Sunucusu çalıştıyorsanızı korunmak için en kısa zamanda gerekli yamayı http://www.microsoft.com/technet/sec...n/MS01-033.asp. adresinden indirip çalıştınız.
Windows 2000 işletim sistemlerinde Truva atı bileşenin tekrar buluşmayı sağlamasın engellemek için Microsoft güvenlik yamasını http://www.microsoft.com/technet/sec...n/MS00-052.asp adresinden indirdikten sonra yükleyiniz.
Temizleme Yöntemi:
METU IT Güvenliği Ekibi en yeni virüs tanımılama dosyalarını (Dat files) ve virüs tarama motorunu kullanılmasını tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır
Bunlara ek olarak Araçlar altındaki CodeRedCleanup ya da FixCRed progmlarını bilgisayara indirip çalıştırmak da uygulanabilecek çözümlerden biri.

bu bolum 2 Ağustos 2000 tarihinde eklendi
Kızıl Kod Virüsü Windows NT/2000 üzerinde çalışan IIS sunucuları vasıtasıyla yayılan bir internet virüsüdür. Virüs, Eeye Digital Security Firması tarafından 17 Temmuz 2001 tarihinde incelenmiştir. Bu virüsten etkilenen ve sadece US English (Amerikan İngilizcesi) Windows NT/2000 sistemlerini kullanan web sunucuları, bozulmuş "Hacked by Chinese!" web sayfasını görüntüleyecektir. Virüs hakkında daha detaylı bilgi almak için şu adresi ziyaret edebilirsiniz:
http://www.eeye.com/html/Research/Advisories/ AL20010717.html
Bilgisayar ağ sisteminizin virüse karşı hassasiyetini ölçmek için şu sayfayı ziyaret edebilirsiniz:
http://www.eeye.com/html/Research/Tools/ CodeRedScanner.exe
Windows NT/2000 sistemleri için yama indirmek ve sistemden kaldırma talimatlarını öğrenmek için şu sayfaları ziyaret edebilirsiniz:
Windows NT kullanıyorsanız,
http://www.microsoft.com/Downloads/R...eleaseID=30833
Windows 2000 kullanıyorsanız,
http://www.microsoft.com/Downloads/R...eleaseID=30800

Virüs Tanımı :
Toplu e-posta gönderen Internet solucanı aynı zamanda KaZaa gibi dosya paylaşım programları ile de yayılmakta.
E-posta iki ayrı yapıda geliyor:
• Kimden (From):
Konu(Subject)
o Microsoft Windows Critical Update
Metin (Body):
o Critical Update: The Microsoft Windows updates found on this patch include fixes to following Windows operating systems: Any update that is critical to the operation of your computer is considered a Critical Update, and is automatically selected for installation during the scan for available updates. This patch is provided to help resolve known issues, and to protect your computer from known security vulnerabilities and all kinds of viruses. Whether a patch applies to your operating system, software programs, or hardware, it is listed in the Critical Updates category, like this patch attached. For Support please contact us at support@microsoft.com.
Eklenti (Attachment):
o Windows Critical Update 088562.exe
o AntiVirus_Patch.exe
• Kimden (From):
Konu(Subject)
o Symantec: New serious virus found
Metin (Body):
o Norton Security Response: has detected a new virus in the Internet. For this reason we made this tool attachement, to protect your computer from this serious virus. Due to the number of submissions received from customers, Symantec Security Response has upgraded this threat to a Category 5 (Maximum )
Eklenti (Attachment):
o Symantec_Norton_Tool.exe
Teknik Özellikler:
W32\Gruel çalıştırıldığında:
• Aşağıdaki dosyaları silmeyi deniyor:
o C:\Autoexec.bat
o C:\Config.sys
o C:\WINNT\System32\*.dll
o C:\WINNT\System32\Ntoskrnl.exe
o C:\WINNT\System32\Command.com
o C:\WINNT\Regedit.exe
o C:\Windows\System32\Ntoskrnl.exe
o C:\Windows\System32\Command.com
o C:\Windows\Regedit.exe
o C:\WINNT\System32\*.exe
o C:\WINNT\System32\*.com
o C:\WINNT\System32\*.ocx
o C:\Windows\System32\*.dll
o C:\Windows\System32\*.ocx
o C:\Windows\System32\*.exe
o C:\Windows\System32\*.com
• Kendisini gizli sistem dosyası olarak aşağıdaki isimle belirtilen konuma kopyalıyor.
o C:\Rundll32.exe
• Kendisini aşağıdaki isimle belirtilen konuma kopyalıyor.
o C:\windows\Program Files\Kazaa\My Shared Folder\Windows XP KeyGen 2.5.exe.
• Aşağıdaki kayıt dosyası değişiklerini yapıyor.
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "MediaPath"="C:\Proyecto1.exe"
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce "Rundll32.exe"="C:\Rundll32.exe"
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEX "DevicePath" ="C:\Proyecto1.exe"
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SETUP "NetCache"="C:\Proyecto1.exe"
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion "ProxyDevice"="C:\Proyecto1.exe"
o HKEY_CURRENT_USER\Software\kIlLeRgUaTe 1.03
• Aşağıda belirtilen dosyaları çalıştırıldığında İnternet solucanı dosya ismi dosyasını otomatik çalıştırmak için aşağıdaki kayıt dosyası değişikliğini yapıyor.
o HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = "İnternet solucanı dosya ismi %1"
o HKEY_CLASSES_ROOT\exefile\shell\open\command (Default) = "İnternet solucanı dosya ismi %1"
o HKEY_CLASSES_ROOT\comfile\shell\open\command (Default) = "İnternet solucanı dosya ismi %1"
o HKEY_CLASSES_ROOT\batfile\shell\open\command (Default) = "İnternet solucanı dosya ismi %1"
o HKEY_CLASSES_ROOT\piffile\shell\open\command (Default) = "İnternet solucanı dosya ismi %1"
o HKEY_CLASSES_ROOT\htafile\shell\open\command (Default) = "İnternet solucanı dosya ismi %1"
o HKEY_CLASSES_ROOT\htfile\shell\open\command (Default) = "İnternet solucanı dosya ismi %1"
• Sahte hata mesajı kutusu görüntülüyor. Mesaj kutusunda Windows'un bir hata tesbit ettiğini ve bu hatayı kullanıcın Microsoft'a sunmak isteyip istemediğini aşağıda belirtilen iki düğmeli bir "Warning" yazısı bulunuyor.
o "Send Error"
o "Send and Close"
o Eğer kullanıcı "Send Error" düğmesine basarsa sahte bir hata günlüğü (log) görüntüleniyor.
o Mesajı kapatmaya çalışırsa tekrar tekrar açılıyor.
o "Send and Close" düğmesine basarsa
 Bir çok Denetim Masası penceresi açılıyor.
 CD-ROM açılıp kapanıyor
 Virüsün yazarında bir mesaj görüntüleniyor ve kapatılamıyor.
 Sistem tepsisi (System Tray) etkisizleştiriyor.
 Görev çubuğu kayboluyor.
 C sürücüsü ve tüm ikonlar yok oluyor.
 Sadece o anda açık pencereler görüntülenebiliyor.
o Windows Adres Defterinden topladığı e-posta adreslerine kendi SMTP motorunu kullanarak e-posta gönderiyor.
Belirtiler:
 Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
 Belirtilen mesajların görüntülenmesi
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılması ve KaZaa dosya paylaşımların yoluyla
Temizleme Yöntemi:
METU IT Güvenliği Ekibi en yeni virüs tanımılama dosyalarını (Dat files) ve virüs tarama motorunu kullanılmasını tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.

Virüsün Özellikleri
Toplu e-posta gönderen internet solucani, kulanicinin Windows Adress Defterindeki(WAB) tüm e-posta adreslerine kendini yollamaktadir.
E-posta aşağıdaki gibidir:
Konu (Subject):
Important
Mesaj (Body):

Eklenti (Atachment):
PATCH.EXE

W32/Frizzer

Virüs Tanımı :
Toplu e-posta gönderen Internet solucanı değişik zaman dilimlerinde farklı işleri de tetikliyor:
• Kendi kopyasını e-posta ile gönderiyor
• IRC arka kapısı açıyor
• AIM arka kapısı açıyor
• Keylogger yerleştiriyor
• KaZaa solucanı olarak iş görüyor
• HTTP server oluyor
• Uzaktan erişim sunucusu oluyor
• Kendisini güncelliyor
• Anti-virus programlarını durduruyor.
E-posta Aşağıdaki özelliklerde geliyor:
Konu(Subject):
• why?
• Re: You might not appreciate this...
• Re: how are you?
• Fwd: Mariss995
• Re: The way I feel - Remy Shand
Metin (Body):
Bir çok değişik metin oluşturabiliyor. Bir kaç örnek vermek gerekirse.
• The peace
• lautlach
• I sent this program (Sparky) from anonymous places on the net
• There is only one good, knowledge, and one evil, ignorance.
• Nein
Eklenti (Attachment):
Değişik eklenti isimleri kullanmakta;
• desktop.scr
• service.scr
• Jesse20.exe
• Mariss995.exe
• Jordan6.pif
Teknik Özellikler:
W32\Fizzer çalıştırıldığında:
• Aşağıdaki dosyaları gizli olacak şekilde belirtilen yerlere kopyalıyor.
o %windir%\iservc.exe
o %windir%\initbak.dat
• Aşağıdaki dosyaları yaratıyor,
o %windir%\ProgOp.exe (15,360 bytes)
o %windir%\iservc.dll (7,680 bytes), keylogger bileşeni
o %windir%\data1-2.cab, etkilediği bilgisayarda bulduğu şifrelenmiş e-posta adresleri bulunuyor.
o %windir%\iservc.dat
o %windir%\Uninstall.pky
o %windir%\upd.bin
• Windows açıldığında kod çalışması için aşağıdaki değeri;
"SystemInit"="%windir%\iservc.exe"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
• Her .txt çalıştırıldığında kendisini de çalıştırabilmek için belirtilen kayıt değerini değiştiriyor.

HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\ open\command
@="%windir%\ProgOp.exe 0 7 '%windir%notepad.exe %1''%windir%\initbak.dat''iservc.exe'
• Internet solucanı aşağıdaki isimleri kullanan antivirüs ve güvenlik duvarı programlarının çalışmasını durduruyor.
o NAV
o SCAN
o AVP
o TASKM
o VIRUS
o F-PROT
o VSHW
o ANTIV
o VSS
o NMAIN
• Bir çok IRC sunucusuna değişik isimlerle bağlanmayı deniyor ve ardından saldırgandan gelecek komutları bekliyor. Bazı bağlanmayı denediği bazı IRC sunucuları:
o irc.awesomechat.net
o irc.blueshadownet.org
o irc.chatlands.org
o irc.darkmyst.org
o irc.hemmet.chalmers.se
o irc.exodusirc.net
o irc.mirc.gr
• Klavyede basılan her tuşu şifreli şekilde %windir%\iservc.klg dosyasına kaydediyor.
• KaZaa dizinine kendisini rast gele isimle kopyalıyor ve dosya paylaşımıyla yayılmayı deniyor.
• Port 81de HTTP sunucusu gibi çalışıyor.
• Arka kapı olarak port 2018, 2019, 2020, 2021 açılıyor.
• Geocities'deweb sitesine güncellemeler için bağlanmayı deniyor ancak şu anda siteler açık değil.
• Windows Adres Defterinden, kurabiye dosyalarından, Internet geçici dosyalarından ve kullanıcının özel dosyalarından topladığı e-posta adreslerine kendi SMTP motorunu kullanarak e-posta gönderiyor.
o Rast gele bir isim
o Rast gele bir sayı (olmayabilir)
o Aşağıdaki listeden bir alan adı:
 aol.com
 earthlink.com
 gte.net
 hotmail.com
 juno.com
 msn.com
 netzero.com
 yahoo.com
Belirtiler:
• Port 6667 (IRC) veya 5190 (AIM) beklenmeyen trafik
• Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Etkileme Yöntemi:
E-posta eklentisi ya da KaZaa'dan indirilen dosya çalıştırıldığında kendisini bilgisayara yükleyerek bulaşıyor.
Temizleme Yöntemi:
METU IT Güvenliği Ekibi en yeni virüs tanımılama dosyalarını (Dat files) ve virüs tarama motorunu kullanılmasını tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.

Microsoft Outlook Express posta kutuları dosyaları (.DBX dosyaları), ve Windows Address Book (.WAB dosyası) içindeki e-posta adreslerini topladıktan sonra bu adreslere SMTP aracalığı ile e-posta gönderen bir internet solucanıdır.
Virus Özellikleri
Konu (Subject): Re: Your password!
Mesaj (Body):
ATTENTION!
You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Eklenti (Attachments):
decrypt-password.exe
password.txt
Internet solucanı Incorrect MIME Header Can Cause IE to Execute E-mail Attachment Microsoft Internet Explorer (SP2'siz versiyon 5.01 ya da 5.5 ), açığından yararlanarak otomatik olarak çalıştırılıp sistemi etkilemektedir.
Exe dosyası kendisini bilgisayarın her açılışında çalışmak için \Start Menu\Programs\Startup\setup.exe konumuna kopyalar.
Belirtileri
• \Start Menu\Programs\Startup\setup.exe dosyasının varlığı
• %WinDir%\status.ini dosyasının varlığı
• %WinDir%\Win64.ini dosyasının varlığı
Virüslü e-posta otamatik olak açıldığında password.txt dosyası açılır ve aşağıdaki metni ekrana yansıtır:
Your password is W8dqwq8q918213
Temizleme Yöntemi
En yeni Sdat****.exe dosyasını bilgisayara indirip çalıştırmak ve virüs taraması yapmak gerekmektedir. (ftp://ftp.metu.edu.tr/popular/virus-updates/mcafee/)

Virüsün Özellikleri
Kitle mesajı postalayan bu İnternet solucanı, kendini bir (Q216309.EXE isimli) Microsoft Güvenlik Güncellemesi yaması olarak göstermekte ve kullanıcıları kendisini çalıştırmaları yönünde kandırmaya çalışmaktadır.
Bu internet solucanı, kendini, kurban olarak seçtiği makina üzerinde hem Microsoft Outlook hem de varsayılan SMTP sunucusunu kullanarak postalayacak şekilde yazılmıştır. Fakat, testlerde görülmüştür ki, bu kurt hatalar içermektedir ve Outlook'u yayılabilmek için başarıyla kullanamamaktadır. Bir kere çalıştırıldığında, virüs Sistem Kütüğü'nden varsayılan İnternet Hesap detaylarını almakta ve aşağıdaki bilgileri oraya yazmaktadır:
• HKEY_LOCAL_MACHINE\Software\AVTech
• HKEY_LOCAL_MACHINE\Software\AVTech\Settings "Varsayılan Adres" (varsayılan SMTP e-posta adresi)
• HKEY_LOCAL_MACHINE\Software\AVTech\Settings " Varsayılan Sunucu" (varsayılan SMTP e-posta adresi)
• HKEY_LOCAL_MACHINE\Software\AVTech\Settings "Installed"= ...by Begbie
Virüsün WINNETW.EXE bileşeni, iki çeşit İnternet tabanlı e-posta adres dizini arar. Geri gelen veriler arasından e-posta adreslerini seçer ve 02_N803.DAT içine tekrar tekrar yazar.
Virüsün bileşenlerini çalıştırmak için aşağıdaki iki Kütük satırı ayarı yapılacaktır:
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run_"3dfx Acc" = %windir\GFXACC.EXE
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run_"LoadDBackup" = %windir\BCTOOL.EXE
Bilgisayar tekrar başlatıldığında BCTOOL.EXE çalışır ve 02_N803.DAT içinde bulunan bütün adreslere, varsayılan SMTP sunucusunu kullanarak, İnternet kurdunu e-posta şeklinde yollar.
Bu İnternet kurdunun son bileşeni olan GFXACC.EXE bir arkakapı Trojanıdır. Bu bileşen, virüs bulaşmış sistemde 12378 portunu açık bırakır. Bu bileşen, belirtilen DATlar tarafından BackDoor-ABJ olarak bulunup tanımlanır.
Belirtiler:
Aşağıdaki dosyaların sistemdeki varlıkları:
\li>%windir%\BCTOOL.EXE (32,768 bytes)
• %windir%\WINNETW.EXE (20,480 bytes)
• %windir%\Q216309.EXE (122,880 bytes)
• %windir%\VTNMSCCD.DLL (122,880 bytes)
• %windir%\GFXACC.EXE (20,480 bytes)
• %windir%\02_N803.DAT (variable)
12387 portunun açık olması.
Sistem Kütüğü'nde (registry) aşağıdaki satırın varlığı:
• HKEY_LOCAL_MACHINE\Software\AVTech
Bulaşma Yolu
Virüs e-posta yoluyla ve Q216309.EXE isimli Microsoft güvenlik güncelleme dosyası adı altına gizlenerek yayılmaktadır. Bu dosyayı çalıştırmanız, yerel bilgisayara virüs bulaşmasına neden olacaktır:
Aşağıdaki dosyalar makineye bırakılacaktır:
• %windir%\BCTOOL.EXE
• %windir%\WINNETW.EXE
• %windir%\VTNMSCCD.DLL
• %windir%\GFXACC.EXE
Virüs, sisteminizin başlatılması sırasında (BCTOOL.EXE ve GFXACC.EXE gibi) virüs ögelerinin çalıştırılması için, bilgisayarınızın Sistem Kütüğü'nde (Registry) değişiklikler yapacaktır.
Temizleme Yöntemi
En yeni Sdat****.exe dosyasını bilgisayara indirip çalıştırmak ve virüs taraması yapmak gerekmektedir. (ftp://ftp.metu.edu.tr/popular/virus-updates/mcafee/)

Virüs Tanımı :
Toplu e-posta gönderen Internet solucanı, P2P dosya paylaşımları yoluyla da yayılmaktadır.
E-posta Aşağıdaki özelliklerde geliyor:
Kimden (From):
Dispatch@McAfee.com
Konu(Subject)+ Metin (Body):
Bir çok değişik konu ve içerik oluşturabilmekte, bir örnek vermek gerekirse:
• Subject:Virus Alert !
Dear User,
McAfee.com Has recieved an infected message from you .We believe that you are infected with Win32/HaWawi@MM Virus.
Please download the attached tool (ToolAv01w32) which will help you to clean your PC.
For more information :
*Create an email addressed to virus_research@nai.com. Your name, phone number, address, and email address
Operating system:
Antivirus program:
Anti virus engine version (e.g. 4.1.20)
DAT file version (e.g. 4.0.4140)
Browser version
Nature of problem
Eklenti (Attachment):
Değişik eklenti isimleri kullanmakta;
• Aint_it_Funny.pif
• AniMaL_N_Burning_Ladies.pif
• Beauty_VS_Your_FaCe.pif
• Broke_ass.pif
• Come_2_Cum.pif
• Endless_life.pif
• Famous_PpL_N_Bad_Setuations.pif
• Gurls_Secrets.pif
• HAwa.pif
• HaWawi_N_Hawaii.pif
• Hearts_translator.pif
• Hot_Show.pif
• How_to_improve_ur_love.pif
• Leaders_Scandals.pif
• Lo0o0o0o0oL.pif
• Real_Magic.pif
• Shakiraz_Big_ass.pif
• Short_vClip.pif
• Sweet_but_smilly.pif
• Tears_of_Happiness.pif
• Tedious_SeX.pif
• Teenz_Raper.pif
• The_Truth_of_Love.pif
• ToolAv01w32.pif
• unfaithful_Gurls.pif
• White_AmeRica.pif
• XxX_Mpegs_Downloader.pif
Teknik Özellikler:
W32\Holar çalıştırıldığında:
• Aşağıdaki dosyaları gizli olacak şekilde belirtilen yerlere kopyalıyor.
o %windir%\explore.exe (24,064 bytes)
o %windir%\SMTP.ocx (25,737 bytes)
• Windows açıldığında kod çalışması için aşağıdaki değeri;
"Explore" = C:\WINDOWS\SYSTEM\EXPLORE.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
• P2P dosya paylaşım programlarından olan KaZaa kullanılıyorsa %windir%\SYSTEM klasörünü varsayılan paylaşım olarak açıyor.
• Windows Adres Defterinden, kurabiye dosyalarından, Internet geçici dosyalarından ve kullanıcının özel dosyalarından topladığı e-posta adreslerine kendi SMTP motorunu kullanarak e-posta gönderiyor.
Belirtiler:
• Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
• Virüs tarafından yüklenmis sayaç dosyasının kayıt dosyasın varlığı
o HKEY_CURRENT_USER\DeathTime = %Run count%
Eğer sayaç 30'u geçerse, yerel diskteki tüm dosyları silmeye başlıyor ve bir çok mesaj kutusu açılıyor.
Etkileme Yöntemi:
E-posta eklentisi ya da KaZaa'dan indirilen dosya çalıştırıldığında kendisini bilgisayara yükleyerek bulaşıyor.
Temizleme Yöntemi:
METU IT Güvenliği Ekibi en yeni virüs tanımılama dosyalarını (Dat files) ve virüs tarama motorunu kullanılmasını tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.

Virüs tanımlama bilgi bankası olarak 4229 DAT dosyasını eski, destek verilmeyen virüs tarama motorları (arama motoru sürümü 4.0.70 ve 4.1.40) ile birlikte kullanan makinelerde "W32/Insane.dam" yanlış alarmı gözlenmektedir.
Bu mesajı alan kullanıcıların en kısa zamanda virüs tarama motorunu 4.1.60 sürümüne güncellemeleri gerekmektedir.






Virüs Özelliği
W32/Klez.h@MM, Microsoft Internet Explorer (ver 5.01 ya da 5.5 SP2 kurulmamış) "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" açığından yaralanarak bulaşabiliyor.
W32/Klez e-posta'nın "Kimden" kısmını değişitirebiliyor. "Gönderen Adresi" virüs tarafından etkilenmiş bir sistemin kullanıcınısının adresi olabiliyor. Gelen e-posta bu nedenle başka biri tarfından gönderimiş gibi gözükebilmektedir. Tüm e-posta başlığı okunduğunda bu anlaşılabilmektedir.
Internet solucanı e-posta mesajını Konu ve İçerik kısımlarını rastgele belirliyor.
Konu (Subject
Konu basşlıklarını aşağıdaki sisteme göre belirler:
1. "Hi,", "Hello," "Re:", Fw:", ya da boşlukla
birlikte
"Very", "special" ya da boşluk olarak ilk kelime
ve
"New", "funny", "nice", "humour", "excite", "good", "powful", "WinXP" ve "IE 6.0" ikinci kelime olacak şekilde aşağıdaki şekilde bir cümle kuruyor.
o "A %s %s game."
o "A %s %s tool."
o "A %s %s website."
o "A %s %s patch."
örnek: "A special powful tool"
2. "W32.Elkern" ya da "W32.Klez.E" ile birlikte "removal tools" kullanarak konu belirliyebiliyor.
örnek: "W32.Klez.E removal tools"
3. Aşağıdaki listeden herhangi birini de şeçebiliyor:
o how are you
o let's be friends
o darling
o so cool a flash,enjoy it
o your password
o honey
o some questions
o please try again
o welcome to my hometown
o the Garden of Eden
o introduction on ADSL
o meeting notice
o questionnaire
o congratulations
o Sos!
o japanese girl VS playboy
o look,my beautiful girl friend
o eager to see you
o spice girls' vocal concert
o japanese lass' sexy pictures
o Undeliverable mail --
o Returned mail --
4. En son şeçenek olarak da "Worm Klez.E immunity" konusunu şeçiyor.
Mesaj (Body):
İçerik virüs tarafından rastgele belirlenebiliniyor veya boş da olabiliyor.
Eğer konu kısmı "Worm Klez.E immunity" ise e-posta içeriği aşağıdaki gibi oluyor:
"Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti -anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as fake Klez to fool the real worm,so me AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me."
(Virüs boş konulu ve içerikli e-postalar da gönderebiliyor.)
Eklenti (Attachment):
Rastgele isimlendirilmiş .PIF, .SCR, .EXE or .BAT uzantılı dosyalar oluyor.
Gerekli izinler olduğu sürece ağ paylaşımları yardımı ile de kendisini diğer bilgisayarlar tek ya da çift tıklamayla çalışacak bir ya da iki uzanıtılı dosyalar olarak kopyalıyor.Örnek olarak:
• 350.bak.scr
• bootlog.jpg
• ALIGN.pif
• User.bat
• line.bat
• user.xls.exe
Internet solucanı kendisini RAR aşiv dosyaları gibi de kopyalıyabiliyor.Örneğin:
• HREF.mpeg.rar
• HREF.txt.rar
• lmbtt.pas.rar
En son W32/Klez türevi Kampüsümüze Lisanlı McAfee VirusScan programını güncellemesi yapılarak tespit edilip temizlenebilmektedir.
Virüsün bir özelliği de bir çok değişik antivirüs programının sistemdeki çalışmasını durdurabilmesidir.
Belirtileri:
• Rastgele isimlendirilmiş ağ paylaşımları olası
• WINKxxx.EXE dosyasının ("xxx" rastgele karakterler) aşağıda beliritlen Registry dosyalarına anahtar olması:
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Temizleme Yöntemi:
DAILY DAT dosyasını bilgisayara indirip çalıştırmak gerekmektedir. (ftp://ftp.metu.edu.tr/popular/virus-updates/mcafee/)
• Tüm uygulmaları kapatın.
• Ağdan bağlantınızı çekin.
• START | RUN, 'command' yazın ve ENTER'a basın.
• VirusScan programının dizinine ulaşın:
Win9x/ME - cd progra~1\common~1\networ~1\viruss~1\40~1.xx yazın ve ENTER'a basın
WinNT/2K/XP - cd progra~1\common~1\networ~1\viruss~1\40F809~1.xx yazın ve ENTER'a basın
• Virusun, SCAN.EXE dosyasının adını, çalışmasını durdurmaması ve ardından silmemesi için CLEAN.EXE olarak değiştirin. ren scan.exe clean.exe
• Önce sistem dizinini tarayın
Win9x/ME - clean.exe %windir%\system\win*.exe yazın ve ENTER'a basın
WinNT/2K/XP - clean.exe %windir%\system32\win*.exe yazın ve ENTER'a basın
• Tarama bittikten sonra, clean.exe /adl /clean yazın ve ENTER'a basın
• Virüs tarama programının düzgün çalışabilmesi için CLEAN.EXE dosyasını eski ismine geri çevirin, CLEAN.EXE doysasını SCAN.exe olarak değiştirin.ren clean.exe scan.exe
• Tüm tarama ve temizleme bittikten sonra sistemi tekrar başlatın.
ya da
Symantec Inc. tarafından yapılmış W32/Klez virüsüne özel temizleme aracını (FixKlez.com) ftp://ftp.metu.edu.tr/popular/antivirus/ bilgisayara indirip çalıştırmak.

Virüs Tanımı :
Aşağıdaki özelliklerde geliyor:
Konu(Subject):
Değişken
Metin (Body):
Değişken
Eklenti (Attachment):
• WINrastgele karakterler.TXT (12,6 KB) MUSIC_1.HTM
• WINrastgele karakterler.GIF (120 bytes) MUSIC_2.CEO
Teknik Özellikler:
Virüs, tarafından oluşturulmuş e-postanın kullanıcı tarafından bakıldıgında otomatik olarak çalışması için iFRAME açığını kullanıcı makinesini etkilemek için kullanıyor. Başka bir yol olarak da kullanıcı .HTM dosyasını çalıştırdığında "Microsoft VM ActiveX Component" açığından yaralanarak aşağıdaki kayıt dosyasına .CEO uzantılı dosyasını ekliyor:
• HKEY_CLASS_ROOT\.CEO\Default="exefile"
• HKEY_CLASS_ROOT\.CEO\Content Type="application/x-msdownload"
.CEO dosyası çalışıtırıldığında .EXE dosyası gibi algılanıyor ve çalıştırma sonucu kendisini WINDOWS SYSTEM (%SysDir%) dizini altına WIN ile başlıyan ve .PIF uzantılı rastgele bir isimle kaydediyor. Ardından aşagıdaki kayıt dosyaları oluşturuyor.
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Run "(Default)"= Çalıştırılmış virüslü dosya
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Run "WIN random characters"=C:\WINDOWS\SYSTEM\WIN Rastgele karakter.pif
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ Run "(Default)"= Çalıştırılmış virüslü dosya
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ Run "WIN random characters"=C:\WINDOWS\SYSTEM\WIN random characters.pif
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ RunServices "(Default)"= Çalıştırılmış virüslü dosya
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ RunServices "WIN Rastgele karakter"=C:\WINDOWS\SYSTEM\WIN random characters.pif
Çalıştırıldıktan sonra rastgele mesaj kutusu gösterir.
Belirtiler:
• Sistemin yavaşlaması
• WIN*.PIF dosyalarını WINDOWS SYSTEM dizininde bulunuşu
• W32/Funlove.gen ve W32/Funlove.dr virüslerinin varlığı
Etkileme Yöntemi:
E-posta eklentisi ile yayılan Internet solucanı yaması uygulanmamamıs Microsoft Internet Explorer'in otomatik eklenti çaliştirma özelliğinden yararlanarak bulaşıyor. Çalıştırıldığında güvenlik yazılımlarının çalışmasını durdurup, dosyaların silmeyi deniyor. Bilgisayarın sabit diskindeki e-posta adreslerini toplayıp kendisini SMTP ile bu adreslere göndermeyeye çalışıyor.
Temizleme Yöntemi:
METU IT Güvenliği Ekibi her zaman en yeni DAT dosyalarını ve virüs tarama motorunu kullanmanızı tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.

Virüs Tanımı :
Toplu e-posta atan Internet solucanı ayını zamanda ICQ, IRC, KaZaa ile de yayılmaya çalışıyor. Bİlgisayara bir şifre çalıcı program da yüklüyor. Aynı zamanda güvenlik programlarının çalışmasını da durduruyor.
Aşağıdaki özelliklerde geliyor:
Konu(Subject):
Aşağıdaki başlılardan birini tercih ediyor.
• Fw: Prohibited customers...
• Re: Brigade Ocho Free membership
• Re: According to Daos Summit
• Fw: Avril Lavigne - the best
• Re: Reply on account for IIS-Security
• Re: ACTR/ACCELS Transcriptions
• Re: The real estate plunger
• Fwd: Re: Admission procedure
• Re: Reply on account for IFRAME-Security breach
• Fwd: Re: Reply on account for Incorrect MIME-header
Metin (Body):
Aşağıdaki metinkerden birini yazıyor.
• Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
• Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
• Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
Eklenti (Attachment):
• Resume.exe
• Download.exe
• MSO-Patch-0071.exe
• MSO-Patch-0035.exe
• Two-Up-Secretly.exe
• Transcripts.exe
• Readme.exe
• AvrilSmiles.exe
• AvrilLavigne.exe
• Complicated.exe
• Singles.exe
• Sophos.exe
• Cogito_Ergo_Sum.exe
• CERT-Vuln-Info.exe
• Sk8erBoi.exe
• IAmWiThYoU.exe
Teknik Özellikler:
Internet solucanı aşağıdaki isimdeki hafızadaki işlemleri durduruyor;
• _AVP32.EXE
• _AVPCC.EXE
• _AVPM.EXE
• ACKWIN32.EXE
• ANTI-TROJAN.EXE
• APVXDWIN.EXE
• AUTODOWN.EXE
• AVCONSOL.EXE
• AVE32.EXE
• AVGCTRL.EXE
• AVKSERV.EXE
• AVP.EXE
• AVP32.EXE
• AVPCC.EXE
• AVPDOS32.EXE
• AVPM.EXE
• AVPMON.EXE
• AVPNT.EXE
• AVPTC32.EXE
• AVPUPD.EXE
• AVSCHED32.EXE
• AVWIN95.EXE
• AVWUPD32.EXE
• BLACKD.EXE
• BLACKICE.EXE
• CFIADMIN.EXE
• CFIAUDIT.EXE
• CFIND.EXE
• CLAW95.EXE
• CLAW95CT.EXE
• CLEANER.EXE
• CLEANER3.EXE
• DV95.EXE
• DV95_O.EXE
• DVP95.EXE
• ECENGINE.EXE
• EFINET32.EXE
• ESAFE.EXE
• ESPWATCH.EXE
• F-AGNT95.EXE
• FINDVIRU.EXE
• FPROT.EXE
• F-PROT.EXE
• F-PROT95.EXE
• FP-WIN.EXE
• FRW.EXE
• F-STOPW.EXE
• IAMAPP.EXE
• IAMSERV.EXE
• IBMASN.EXE
• IBMAVSP.EXE
• ICLOAD95.EXE
• ICLOADNT.EXE
• ICMOON.EXE
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• IFACE.EXE
• IOMON98.EXE
• JED.EXE
• KPF.EXE
• KPFW32.EXE
• LOCKDOWN2000.EXE
• LOOKOUT.EXE
• LUALL.EXE
• MOOLIVE.EXE
• MPFTRAY.EXE
• N32SCAN.EXE
• NAVAPW32.EXE
• NAVLU32.EXE
• NAVNT.EXE
• NAVSCHED.EXE
• NAVW.EXE
• NAVW32.EXE
• NAVWNT.EXE
• NISUM.EXE
• NMAIN.EXE
• NORMIST.EXE
• NUPGRADE.EXE
• NVC95.EXE
• OUTPOST.EXE
• PADMIN.EXE
• PAVCL.EXE
• PCCWIN98.EXE
• PCFWALLICON.EXE
• PERSFW.EXE
• RAV7.EXE
• RAV7WIN.EXE
• RESCUE.EXE
• SAFEWEB.EXE
• SCAN32.EXE
• SCAN95.EXE
• SCANPM.EXE
• SCRSCAN.EXE
• SERV95.EXE
• SMC.EXE
• SPHINX.EXE
• SWEEP95.EXE
• TBSCAN.EXE
• TCA.EXE
• TDS2-98.EXE
• TDS2-NT.EXE
• VET95.EXE
• VETTRAY.EXE
• VSECOMR.EXE
• VSHWIN32.EXE
• VSSCAN40.EXE
• VSSTAT.EXE
• WEBSCAN.EXE
• WEBSCANX.EXE
• WFINDV32.EXE
• ZONEALARM.EXE
Internet solucanı başlıklarında aşağıdaki isimler yazan tüm pencereleri kapatıyor:
• anti
• Anti
• AVP
• McAfee
• Norton
• virus
• Virus
Sistemde değişiklikler yapıyor:
Internet solucanı kendisini değişken isimlerle %WINDIR%\SYSTEM32 dizini altına kopyalıyor.
Sistem her yeniden başladığında çalışması için kayıt dosyasına yeni bir anahtar yazıyor:
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "Avril Lavigne - Muse" = C:\WINDOWS\SYSTEM\A33AAAAgbab.EXE
Başka bir anahtar da sistemin virüs tarafıdan etkilendiğini belirtmek için yartılıyor:
• HKEY_LOCAL_MACHINE\Software\HKLM\Software\OvG\Avri l Lavigne
Yukarda e-posta eklentileri kısmında belirtilen isimlerinden birisi olarak aşağıdaki dizinlere kopyalıyor.
• C:\
• %WINDIR%\TEMP
Kendisini aşağıdaki dizinlere kopyalıyor.
• %Temporary%\
• %Temporary%\.tft
• %System%\.exe
• %All Drives%\Recycled\.exe
• %Kazaa Downloads%\.exe
avril-ii.inf adlı virüs yazarından bir notu da %WINDIR%\TEMP dizinine kopyalıyor.
Internet bağlantısın kontrol ediyor ve bağlantı yoksa varsayılan çevirmeli ağ bağlantısını kurmayı deniyor.
Wİndows Address Book ve uzantıları .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch ve .idx olan dosyalardaki e-posta adreslerine e-posta göndermeyi deniyor.
• Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp
ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı \Windows\System dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.
mIRC program dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.
Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini \RECYcLED\ dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.
• @win .exe
Kendisini \RECYcLED\ dizini altına değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için belirtilen şekilde değiştiriyor.
Kendisini KaZaa dizinine değisken isimlerle kopyalıyor.
Eğer ayın 7si,11i ya da 24 ise, www.arvil-lavigne.com adresine bağlanıp grafik animasyonlar gösteriyor.
Belirtiler:
• Yukarıda belirtilen Kayıt anahtarlarının varlığı
• Yukarıda belirtilen dosyaların varlığı
• E-posta trafiği
• IRC trafiği
• ICQ trafiği
• SMTP sunucusuna ağ trafiği (62.118.249.10 Port 25 TCP).
Etkileme Yöntemi:
Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp
ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı \Windows\System dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.
mIRC prgram dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.
Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini \RECYcLED\ dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.
• @win .exe
Temizleme Yöntemi:
METU IT Güvenliği Ekibi en yeni virüs tanımılama dosyalarını (Dat files) ve virüs tarama motorunu kullanılmasını tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır
Bunlara ek olarak Araçlar altındaki Stinger.exe dosyasını bilgisayara indirip çalıştırmak da uygulanabilecek çözümlerden biri.

Virüs Tanımı :
Kendi SMTP motorunu kurarak toplu e-posta gönderen Internet solucanı aynı zamanda yerel ağdakı açık paylaşımları kullanarak da bilgisayarları etkilemeyeyi deniyor.
E-posta bileşeni özellikleri
Metin (Body):
Gelen kutusundaki e-postalara cevap niteliğinde e-postanı metninde;
I'll try to reply as soon as possible.
Take a look at the attachment and send me your opinion!
Internet solucanı bileşeni:
Ağ paylaşımlarını tarıyor ve paylaştırılmiş dosyalarda "Administrator" kullanicisi için aşağıdaki parolaları deniyerek paylaşımlara ulaşmayı deniyor:
• boş parola
• 123
• 321
• 123456
• 654321
• guest
• administrator
• admin
• 111111
• 666666
• 888888
• abc
• abcdef
• abcdefg
• 12345678
• abc123
Paylaşımlara ulaştığında aşağıdaki dosyalari kopyalıyor.
• pics.exe
• images.exe
• joke.exe
• pspgame.exe
• news_doc.exe
• hamster.exe
• tamagotxi.exe
• searchurl.exe
• setup.exe
• card.exe
• billgt.exe
• midsong.exe
• s3msong.exe
• docs.exe
• humor.exe
• fun.exe
Teknik Özellikler:
E-posta eklentisi ya da ağdan kopyalanan virüs içerikli dosyalar çalıştırıldığında sistem dizinine;
• WinRpcsrv.exe
• syshelp.exe
• winrpc.exe
• WinGate.exe
• rpcsrv.exe
dosyalarin kopyalıyor.
Windows 9x/ME işletim sistemlerinde Win.ini dosyasına
run=rpcsrv.exe
değerini yazıyor.
Turuva ati bileıeni için kendisini aıağidakı dosylara kopyalıyor:
• ily.dll
• task.dll
• reg.dll
• 1.dll
Sistem her açıldığında otomatik çaliştırılmak için aşağıdaki deşerleri belirtilen kayıt dosyası(registry file) konumuna yazıyor.
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg
Text dosyaları çalıştırıldığında winrpc.exe dosyasını otomatik çalıştırmak için aşağıdaki kayıt dosyası değişikliğini yapıyor.
• HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = "winrpc.exe %1"
Belirtiler:
• Kayıt dosyasında belirtilen değişikliklerin olması
• Belirtilen dosyalarin varlığı
• 10168 nolu portun açık olması
Etkileme Yöntemi:
E-postanın eklentisinin ya da ağ paylaşımları sonucu kopyalanmiş virüslü dosyaların çalıştırılması ile bilgisayarı etkiliyor.
Temizleme Yöntemi:
METU IT Güvenliği Ekibi en yeni virüs tanımılama dosyalarını (Dat files) ve virüs tarama motorunun kullanılmasını tavsiye eder. Bu sorun karşısında bu birleşim yeterli olmaktadır.

W32.Manymize@mm virüsü kendisi ile birlikte üç dosyayı da Microsoft Windows Adres Defteri'ndeki e-posta adreslerine gönderen toplu e-posta atan bir virüstür.
Konu:
Internet solucanı aşağıdaki seçeneklerden birini konu olarak seçiyor.
• Hi
• Dear
• Hello
• My friend,
• How are you !!
Mesaj
Mesaj dört kelime ya da kelime grubunun birleşmesinden oluşuyor.
Birinci grupta:
• Hi
• Dear
• Hello
• My friend,
• How are you !!
İkinci grupta:
• , See this
• , This is
• , Open the
• , Attached is my
• , Watch my
Üçüncü grupta:
• funny
• interesting
• cute
• amusing
• special
Dördüncü grupta:
• video.
• movie.
• penguin.
• clip.
• tape.
kelime ya da kelime grubu var.
Eklenti:
• Mi2.htm
• Mi2.chm
• Mi2.wmv
• Mi2.exe
Teknik Özellikler
Virüs okunduğunda ya da ön izleme ile bakıldığında bilgisayarı otomatik etkileyebilmek için IFRAME açığıdan ve MIME açığından , yararlanmaktadır.
Ek olarak, Mi2.wmv otamatik olarak çalıştılrdığnda kullandığı açık Windows Media Dosyasının Mi2.htm çalıştırılmasına izin verimesini sağlıyor.
Internet solucanı e-posta adreslerini C:\Program Files\Common Files\System\Wab32.dll ya da D:\Program Files\Common Files\System\Wab32.dll dosyarlaını kullanarak Mİcrosoft Wİndows Address defterinden alıp kullanır. Eğer belirtilen iki dosya da yoksa 120 tane e-posta adresi arasından rastgele seçtiği ve "@pchome.com.tw." ile biten adreslere kendini gönderiyor.
Temizleme Yöntemi:
METU IT Güvenliği Ekibi her zaman en yeni DAT dosyalarını ve virüs tarama motorunu kullanmanızı tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.

Virüs Tanımı :
Toplu e-posta atan bir virustür.
Aşağıdaki özelliklerde geliyor:
Kimden (From):
admin@bulundugunuz alan adı
Konu(Subject):
• e-posta adresiniz
Eklenti (Attachment):
• message.zip
Metin (Body):
• Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
--- Best regards, Administrator
Teknik özellikler:
Virüs çalıştırıldığında:
• Kendisini %Windir%\Wideodrv.exe olarak kopyalıyor.
• Windows açıldığında kod çalışması için aşağıdaki değeri;
"VideoDriver"="%Windir%\videodrv.exe"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
• Aşağıdaki dosyalardan e-posta adresleri topluyor.
o ".bmp"
o ".jpg"
o ".gif"
o ".exe"
o ".dll"
o ".avi"
o ".mpg"
o ".mp3"
o ".vxd"
o ".ocx"
o ".psd"
o ".tif"
o ".zip"
o ".rar"
o ".pdf"
o ".cab"
o ".wav"
o ".com"
• Topladığı e-posta adreslerini eml.tmp dosyasına yazıyor.
• Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
• Message.zip dosyası Message.htm dosyasını içeriyor. Çalıştırıldığında MS02-15 ve MS03-14 açıklarından yararlanarak Foo.exe solucanını bir kopyasını Temporary Internet Files dizinine kopyalıyor.
• HTML çalıştırıldığında kayıt dosyalarında aşağıdaki değişikliği yapıyor.
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111}
• %Windir% dizinine iki dosya daha yaratıyor.
o zip.tmp
o Exe.tmp
Belirtiler:
• videodrv.exe dosyasını varlığı
• eml.tmp dosyasını varlığı
• exe.tmp dosyasını varlığı
• zip.tmp dosyasını varlığı
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması..
Temizleme Yöntemi:
Virüsün temizlenmesi için en yeni virüs tanımlama dosyalarının (sdat4****.exe) ve virüs tarama motorunun (4240eng.exe) kullanılarak antivirus yazılımının güncellenmesi gerekmektedir. Ayrıntılı bilgi için "Mcafee Virusscan" başlığı altından bilgi alınabilir.




Virüs Tanımı :
Toplu e-posta atan bir virustür.
Aşağıdaki özelliklerde geliyor:
Kimden (From):
james@bulundugunuz alan adı
Konu(Subject):
• Re[2]: our private photos (Bir miktar boşlıktan sonra bir kaç karakter daha)
Metin (Body):
• Hello Dear!,
Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX
Right now enjoy the photos.
Kiss, James.
Eklenti (Attachment):
• PHOTOS.ZIP (12,958 bytes) (PHOTOS.JPG.EXE (12,832 bytes) dosyasını içeriyor)
Belirtiler:
• EXE.TMP ve ZIP.TMP dosyalarını varlığı
• Güvenllik duvarının NETWATCH.EXE Internet bağlantı kurmaya çalışıyor alarmı vermesi.
• Yüksek ölçekte uzaktaki sunucunun 80.portuna doğru veri akışı.
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması.
Teknik özellikler:
Virüs çalıştırıldığında:
o Kendisini %Windir%\Netwatch.exe olarak kopyalıyor.
o Windows açıldığında kod çalışması için aşağıdaki değeri;
"NetWatch32" = "%Windir%\netwatch.exe"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
o Aşağıdaki dosyalardan e-posta adresleri topluyor.
 ".bmp"
 ".jpg"
 ".gif"
 ".exe"
 ".dll"
 ".avi"
 ".mpg"
 ".mp3"
 ".vxd"
 ".ocx"
 ".psd"
 ".tif"
 ".zip"
 ".rar"
 ".pdf"
 ".cab"
 ".wav"
 ".com"
o Topladığı e-posta adreslerini %Windir%\eml.tmp dosyasına yazıyor.
o Internet bağlantısı olup olmadığını kontrol etmek için www.google.com adresine bağlantı kurmayı deniyor.
o Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
o Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.
 darkprofits.net
 www.darkprofits.net
 darkprofits.com
 www.darkprofits.com
o %Windir% dizinine iki dosya daha yaratıyor.
 zip.tmp
 Exe.tmp
Temizleme Yöntemi:
Virüsün temizlenmesi için en yeni virüs tanımlama dosyalarının (sdat4****.exe) ve virüs tarama motorunun (4240eng.exe) kullanılarak antivirus yazılımının güncellenmesi gerekmektedir. Ayrıntılı bilgi için "Mcafee Virusscan" başlığı altından bilgi alınabilir.

Virüs Tanımı :
Toplu e-posta gönderen Internet solucanı.
E-posta iki ayrı yapıda geliyor:
• Kimden (From):
Konu(Subject)
o Old Shakira
Metin (Body):
o Hi
i saw this good ASS,, i sleep 3 hours ;-)
check Shakira ass soory Shakira movi

========No virus detected========
MCAFEE.COM
Eklenti (Attachment):
o Shakira_1997_part_1_.Mpeg_.scr
• Kimden (From):
Konu(Subject)
o Fw: Julia Roberts
Metin (Body):
o How are you?
Lexy and Mystique, a couple of 18 yr old
bi gothic chicks, came over and
had some fun in our shower. This scene
looks even better on video, check
em out at gotgiclex.com
Eklenti (Attachment):
o Julia_Roberts_Fucking_toilet.Mpeg_.scr
Teknik Özellikler:
W32\MylifeE çalıştırıldığında:
• Aşağıdaki dosyayı belirtilen yere 0 byte boyutlu olarak kopyalıyor.
o C:\MyLife.mpg
• Aşağıdaki dosyaları sistem dizinine kopyalıyor.
o %system%\Shakira_1997_part_1_.Mpeg_.scr
o %system%\Julia_Roberts_*******_toilet.Mpeg_.scrmsd dr.dll
• Windows açıldığında kod çalışması için aşağıdaki değeri;
Win32 = %System%\Shakira_1997_Part_1_.Mpeg_.scr
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
• Windows Adres Defterinden topladığı e-posta adreslerine kendi SMTP motorunu kullanarak e-posta gönderiyor.
• Virus bir saatin son 9 dakikasında %System% dizininden çalıştırılırsa aşağıdaki dizinleri siliyor.
o %System%\*.*
o %Windir%\*.sys
o d:\*.*
o e:\*.*
o f:\*.*
Belirtiler:
• Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılması yoluyla.
Temizleme Yöntemi:
METU IT Güvenliği Ekibi en yeni virüs tanımılama dosyalarını (Dat files) ve virüs tarama motorunu kullanılmasını tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.

Virüsün Özellikleri
Kitle halinde e-posta gönderen bu internet solucanı, WindowsNT/2K/XP sistemlerine bir ArkaKapı Trojan virüsü (BackDoor-AAF) bırakmaktadır. Internet solucanı zarar verici bilgi bitleri (payloads) taşımamaktadır. Aşağıdaki bilgiyi içeren bir e-posta mesajı ile iletilmektedir:
Konu(Subject):
new photos from my party!
Mesaj(Body):
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
Ekli Dosya(Attachment):
www.myparty.yahoo.com (29,696 bytePE file)
Ekli dosya ismi, bazı kullanıcıları aldatmaktadır ve dosyanın üzerine tıkladıklarında Yahoo web sitesine bağlanacaklarını sanmaktadırlar. Belirli bazı e-posta istemcileri(clients), özellikle dosya adının altını çizgiyle belirleyenler, yukarıdaki Microsoft Outlook örneğindeki daha belirgin halinden farklı olarak bu ekli dosyanın daha çok bir URL adresi gibi görünmesini sağlarlar. Ekli dosya .COM uzantılı çalıştırılabilir bir dosyadır; bir URL adresi değildir. Ekli dosyayı çalıştırmak, yerel makinaya virus bulaşmasına neden olacaktır.
Windows9x/ME İşletim Sistemlerinde eğer tarih 25-29 Ocak 2002 arasındaysa, virüs kendini C:\Recycled\regctrl.exe dosyasına kopyalar ve bu dosyayı çalıştırır.
WinNT/2K/XP İşletim Sistemlerinde
• Eğer tarih 25-29 Ocak 2002 arasındaysa, bu kurt kendini C:\Recycled dosyasına uzantısız olarak F-[random number]-[random number]-[random number] şeklinde kopyalar.
• Eğer tarih 25-29 Ocak 2002 arasındaysa, bu kurt kendini C:\regctrl.exe dosyasına kopyalar ve STARTUP dizinine MSSTASK.EXE dosyasını bırakır. MSSTASK.EXE "arka kapı" trojan virüsüdür.(arkakapı-backdoor: Bir programa, net üzerindeki bir servise veya tüm bilgisayar sistemine erişebilmenin kağıda dökülmemiş yolu. Arka kapı, program için kodu yazan programcı tarafından yazılır ve genellikle sadece onun tarafından bilinir.) Başlangıç dosyası çalıştırıldığında, bu dosya silinir. Eğer çalıştırılabilir dosyanın ismi ACCESS ise, kullanıcı www.disney.com web sitesine yönlendirilir.
Virüs 2002 Ocak ayının 25, 26, 27, 28 veya 29'unda kendini kitle halinde postlamaya çalışır. Kullanıcıların varsayılan(default) SMTP sunucusu sistem kütüğünden yeniden alınır.
• HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001
Virüs bu SMTP sunucusunu, Windows Adres Defteri'nde ve .DBX dosyalarında bulunan bütün adreslere kendini göndermek için kullanır.
Belirtiler:
• C:\RECYCLED\REGCTRL.EXE dosyasının varlığı (Windows'ta değil, DOS komutunda görülebilir.)
• C:\REGCTRL.EXE dosyasının varlığı.
• %userprofile%\Start Menu\Programs\Startup\msstask.exe dosyasının varlığı.
Bulaşma Yöntemi:
Virüs bulaşmış ekli dosyayı çalıştırmanız, bu Internet solucanı sisteminizde bulduğu adreslere kendini postalamasına neden olur.
Temizleme Yöntemi:
METU IT Güvenliği Ekibi her zaman en yeni DAT dosyalarını ve virüs tarama motorunu kullanmanızı tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.

Virüs Tanımı ve Korunma:
MS03-026 Microsoft bülteninde ve IIS 5.0 web sunucusu kullanan bilgisayarlarda da MS03-007 bülteninde belirtilen açıklardan faydalanarak ağ üstünden yayılan bir virüstür. Virüsten korunmak için Windows güncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.
Temizleme Yöntemi:
Virüsün temizlenmesi için en yeni virüs tanımlama dosyalarının (sdat4***.exe) ve virüs tarama motorunun kullanılarak antivirus yazılımının güncellenmesi gerekmektedir. Ayrıntılı bilgi için Mcafee Virusscan başlığı altından bilgi alınabilir. Virüse özel temizleme aracı Araçlar menüsü altında bulunmaktadır. Araçlar menüsü altında bulunan programlar yalnızca virüsü temizlemekte, ancak virüsün kullandığı Windows güvenlik açığını kapatmamaktadır. Virüsün tekrar bulaşmasını engellemek için işletim sisteminin ve antivirüs yazılımının güncellenmesi gerekmektedir. W32/Blaster, W32/Nachi (Welchia) gibi virüsler Windows NT, 2000, ve XP işletim sistemlerinin MS03-026 Microsoft güvenlik açığından faydalanarak yayıldıkları için işletim sistemini bu virüslere karşı güvenli hale getirmek amacıyla aşagıdaki linkleri tıklayarak işletim sistemine göre gerekli Microsoft yamasını indirip çalıştırmak gerekmektedir.
NT 4.0 (SP6a) için
ftp://ftp.metu.edu.tr/popular/Micros...4/Q823980i.EXE .
Windows 2000 (SP2) için
ftp://ftp.metu.edu.tr/popular/Micros...80-x86-ENU.exe .
Xp Pro (SP1) için
ftp://ftp.metu.edu.tr/popular/Micros...80-x86-enu.exe .
Not: W32/Blaster, W32/Nachi (Welchia) virüslerinin kullandığı MS03-026 Microsoft güvenlik açığını kapatan bu bu dosyalar bir diskete sığacak boyuttadır. Internet erişimi kısıtlanmamış bilgisayarlara indirilerek diskete kopyalanmalı ve bu disket kullanılarak virüs bulaşmış bilgisayarda çalıştırılmalıdır.
Bununla beraber, bu yamaların çalışması için gerekli olan minimum "service pack" dosyaları ftp://ftp.metu.edu.tr/popular/Microsoft/ konumundan Internet bağlantısı olan bir bilgisayara indirildikten sonra sorunlu bilgisayara aktarılabilir. Internet erişimi kısıtlı bilgisayarlar da, içinde bulundukları yerel ağdaki bilgisayarlarla dosya ve dizin paylaşımı yapabilmektedir. 100 MB üzeri boyutlardaki Service Pack dosyalarını ağ üzerinden indirmekte zorluk çeken personelimiz BİDB Kütüphanesi'ne gelerek "Windows Güncellemeleri" CD'si temin edebilirler.
Gelecekte bulunabilecek güvenlik açıklarına karşı önlem almak amacıyla Windows işletim sistemi güncellemelerinin otomatik hale getirilmesi için gerekli ayarlar yapılmalıdır [My Computer (Bilgisayarım) --> Properties (Özellikler) --> Automatic Updates (Otomatik Güncellemeler)]
Internet erişimi kısıtlı bilgisayarların IP numaralarına http://affected.metu.edu.tr adresinden ulaşılabilmektedir.
Teknik özellikler:
Virüs çalıştırıldığında
• Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
o %System%\Wins\Dllhost.exe
• %System%\Dllcache\Tftpd.exe dosyasını bir kopyasını %System%\Wins\svchost.exe isminde çıkarıyor.
• Windows açıldığında kod çalışması için aşağıdaki değeri;
o RpcPatch
o RpcTftpd
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
• Aşağıdaki servisleri hazırlıyor
o Servis Adı: RpcTftpd
Servis Görsel Adı: Network Connections Sharing
Servis Binari: %System%\wins\svchost.exe
Elle çalıştırılacak şekilde bırakılıyor.
o Servis Adı: RpcPatch
Servis Görsel Adı: WINS Client
Servis Binari: %System%\wins\dllhost.exe
Servis otomatik olarak çalışıyor.
• Msblast servisini sonlandırıyor ve %System%\msblast.exe dosyasını siliyor.
• IP adresleri belirledikten sonra bilgisayarların çalıtığını anlamak için ICMP echo isteği ve PING paketleri gönderiyor.
• TCP 135 porta DCOM RPC zayıflığından yararlanan ve TCP 80 porta WebDav zayıflığından yararlanan paketleri IP'lere gönderiyor.
• Açıktan yararlanarak etkilene bilgisayar TCP 666-765 port aralığında rastgele bir portu dinleyen gizli CMD uygulaması çalıştırıyor.
• Yeni etkilen bilgisayara Dllhost.exe ve Svchost.exe dosyasın çekmesi için komut gönderiyor.
• İşetim sistemini ve güncellemelerini kontrol edip, DCOM RPC zayıflığı bulunuyorsa WindowsUpdate sitesine bağlanıp gerekli güncelleme dosyalarını indip çalıştırıyor.
• Güncelleme indildikten sonra aktif hale gelebilmesi için bilgisayarı tekrar başlatıyor.
• Sistem tarihi 2004 yılındaysa kendisini sistemden siliyor.
Belirtiler:
• Belirtilen dosyaların varlığı
Etkileme Yöntemi:
Virüs Microsoft Windows işletim sistemlerini MS03-026 açlığından faydalanarak yayılmaktadır. Rastgele seçtiği IP aralığında belirtilen açığı aramak için ağ taraması yapıyor. Güncellemesi yapılmamış sistemleri yukarda belirtilen yöntemle etkiliyor.

Navidad virüsü elektronik postalarını Outlook gibi Windows ortamındaki programlardan okuyan kullanıcıları etkilemektedir. NAVIDAD.EXE uzantılı elektronik mektup alan ve bunu açan kullanıcı ilk önce,

ekranıyla karşılaşır. Bu aşamada OK tuşuna basan kullanıcı daha sonra bilgisayarin sağ alt köşesinde görev çubuğu üzerinde aşağıdaki resmi görür:

Ve hemen ardından

ekranıyla karşı karşıya gelir. Bu aşamadan sonra virüs aktif olmuştur. Herhangi bir programı açmayı denediğinizde

hata mesajı ile karşılaşılır.
Bu sorunu çözmek için öncelikle windows dizini altındaki REGEDIT.EXE dosyasını REGEDIT.COM olarak değiştirin. Daha sonra REGEDIT.COM dosyasını açıp;
HKEY_CURRENT_USER\SOFTWARE\Navidad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\
Win32BaseServiceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe
bilgilerini tamamıyle silin. Daha sonra;
HKEY_CLASSES_ROOT\exefile\shell\open\command\
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %*

HKEY_LOCAL MACHINE\Software\CLASSES\exefile\shell\open\ command\
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %*
bilgilerindeki C:\WINDOWS\SYSTEM\winsvrc.exe bilgisini silip gerçek değeri olan "%1" %*" atayın.
Son olarak programdan çıkıp REGEDIT.COM dosyasının ismini REGEDIT.EXE olarak düzeltin. Virüsün tekrar aktif olmaması için ilgili mektubu, iletisindeki NAVIDAD.EXE dosyalarını bilgisayarınızdan silin ve en kısa sürede McAfee Virus Scan yazılımını bilgisayarınıza kurup gerekli güncellemelerini yapın.

Virüsün Özellikleri
VBS.Neiber.A virüsü Microsoft Windows Adres Defteri'ndeki kayıtlara toplu e-posta atan bir Internet solcanıdır. Eklentisi ve görünür bir içeriği olmamasına rağmen metin içine gömülü HTML kodu sayesinde virüslü %Windir%Bernie.vbs dosyasını oluşturup çalıştırmaktadır.
Bernie.vbs çalıştırıldıktan sonra aşağıdakileri sırasıyla yapmakta:
• Kendisini %Sistem%Bernie.vbs olarak kopyalıyor.
• Windows'un her açılışında çalışmak için
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
değerine "Bernie wscript.exe %system%\Bernie.vbs" ekliyor
• "HKEY_CURRENT_USER\software\Bernie" değerinin 1 olup olmadığını kontrol ediyor. 1 değilse Microsoft Windows Adres Defteri'ndeki tüm kayıtlar e-posta gönderiyor.
• E-postaları gönderdikten sonra yerel ve bağlantılı disklerde *.vbs ve *.vbe dosyalarını arayıp üstlerine kendisini yazıyor.
• En son olarak da bilgisayar çakılıncaya kadar Notepad açıyor.
Konu:
Attention virus
Metin:
Metin bölümü boş gözükse de, içeriğinde virüsün HTML kodu var.
Eklenti:
Eklenti yok
Temizleme Yöntemi:
METU IT Güvenliği Ekibi her zaman en yeni DAT dosyalarını ve virüs tarama motorunu kullanmanızı tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.

18 Eylül 2001 tarihinde bulunmuştur. Virüs internet üzerinden yayılmaktadır ve yarattığı trafik yüzünden bilgisayar ağları kullanılamaz hale gelmektedir.
Bu virüs tehdidi, Microsoft'un çeşitli açıklarını suistimal etmektedir. Webi tararken, e-posta okurken ya da sadece IIS web sunucusunu çalıştırırken bulaşabilir.
Virüs, bilgisayar ağındaki paylaşımlarla yayılır, bilgisayar ağı paylaşımları yaratmaya çalışır ve W32/CodeRed.cvirüsünün oluşturduğu "arka kapıyı" kullanır.(arkakapı-backdoor: Bir programa, net üzerindeki bir servise veya tüm bilgisayar sistemine erişebilmenin kağıda dökülmemiş yolu. Arka kapı, program için kodu yazan programcı tarafından yazılır ve genellikle sadece onun tarafından bilinir.) Ayrıca virüs, değişken konu başlıklarına ve ekli dosya isimlerine sahip, boş bir mesaj içeren ve Internet Explorer HTML dökümanının ikonunu kullanabilen e-posta iletileriyle de yayılmaktadır.
Virüs tarafından yaratılan e-posta iletisi, audio/x-wav'ın eklenti içerik çeşidini (content-type) belirler ve çalıştırılabilir ekli dosya türü içermektedir. Sadece Microsoft Outlook ya da Microsoft Outlook Express'te preview özelliği ile sayfayı görüntülemeniz, virüs bulaşmasına neden olabilir. Bunun yanısıra, anlaşmalı bir web sayfasını ziyaret etmeniz bile virüs bulaşmasını sağlayabilir.
Virüs bulaşmış bir Win9x/ME sisteminin konfigürasyonunda şifresiz tam paylaşım tanımlanmıştır. Anlaşmalı WinNT/2K sisteminde, GUEST kulanıcısına paylaşım hakkı verilmiştir ve bu kullanıcı GUESTS grubunun yanısıra ADMINISTRATORS grubuna da dahil edilmiştir. Paylaşımların yaratılması için bilgisayarın tekrar başlatılması (reboot) gerekmektedir.
Bir kez virüs bulaştığında, IIS web sunucunuz web üzerinde virüsü bulaştırmak için başkalarını arar. Bu durum, bilgi giriş çıkış kapılarının pek çok defa taranmasına (port scanning) neden olduğundan, bilgisayar ağ trafiğini sıkıştırabilir.
Belirtiler:
C:\ADMIN.DLL, D:\ADMIN.DLL, ve E:\ADMIN.DLL dosyalarının varlığı.
README.EML dosyasının varlığı.
Beklenmedik biçimde açık olan ağ paylaşımları.
Temizleme Yöntemi:
METU IT Güvenliği Ekibi her zaman en yeni DAT dosyalarını ve virüs tarama motorunu kullanmanızı tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.
Aşağıdaki yamaları bilgisayarınıza indirin ve uygulamaya geçirin. Temizleme yapmadan önce bütün ağ paylaşımlarını kapatın, aksi takdirde virüs tekrar bulaşır.
Microsoft Internet Explorer (5.01 ya da 5.5 versiyonu, SP2 olmaksızın) kullanan bütün son kullanıcılar ve sistem [badword][badword]Faruk[/badword][/badword]lerinin, aşağıdaki adreste bulunan, "Hatalı MIME Başlığı Internet Explorer'ın E-Posta Ekli Dosyasını Çalıştırmasına Neden Olabilir" ( Incorrect MIME Header Can Cause IE to Execute E-mail Attachment) açığı için gereken yamayı bilgisayarlarına yüklemeleri tavsiye olunur:
http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS01-020.asp
Bunu henüz yapmamış olan bütün IIS [badword][badword]Faruk[/badword][/badword]leri, aşağıdaki adreste bulunan yamayı da (15 Ağustos 2001- IIS için Kümülatif Yama) bilgisayarlarına yüklemelidirler.
http://www.microsoft.com/technet/treeview/default.asp
?url=/technet/security/bulletin/MS01-044.asp

Virüs Tanımı
WinNT/2K/XP işletim sistemlerinde bu tehlike etkili değildir. Windows 9x tabanlı işletim sitemlerinde etkilidir.
Ağ-üstünde ilerliyen solucan kendisini bir kopyasını açık paylaşımlar (parola koruması olmayan) sayesinde Startup (Başlangıç) dizinine yazmaya çalışmaktadır.
Çalıştırıldığında ya da başlangıçta bilgisayar tarafından çalıştırıldığında bir sonraki açlışlarda da otomatik çalıştırılmak için kayıt dosyalarında aşağıdaki değişikliği yapmaktadır:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "ScrSvr" = %WinDir%\ScrSvr.exe
Bunların yanı sıra aşağıdaki dosyayı da değiştirip,
c\windows\win.ini
tmp.ini okumasını;
run= c:\tmp.ini
komutuyla sağlar, kendi yarattığı;
c\tmp.ini
dosyasını açılışlarda çalışır hale getirir. Dosyanın içeriği aşağıdaki gibidir.
run= c:\windows\scrsvr.exe
Temizleme Yöntemi:
Güncel Sdat****.exe ile kampus lisanslı McAfee VirusScan programını güncellemek ve bilgisayarı virüs taramasından geçirmek gerekmektedir.
Araçlar menüsü altında Symanetec Inc. tarafından geliştirlmiş temizleme aracı bulunmaktadır.
Daha detaylı bilgi için McAfee Inc. bağlanın.

Virüs Tanımı ve Korunma:
IRC, P2P ve e-posta yoluyla kullanıcı tarafından indirilmesi ve çalıştırılması sonucu bilgisayarı etkileyen bir virüstür. Bu dağılım yollarına ek olarak MS03-040 Microsoft bülteninde belirtilen açıklardan faydalanarak ağ üstünden yayılan bir virüstür. Virüsten korunmak için Windows güncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.
Teknik özellikler:
Virüs çalıştırıldığında
• Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
o %System%\Aolfix.exe
• Aolfix.exe'yi çalıştırıyor ve aşağıdaki işlemleri yapıyor.
o C:\Bdtmp\Tmp dizinini oluşturuyor
o C:\Bdtmp\Tmp\>100-9999 arasında rastgele bir sayı<.bat uluşturuyor ve çalıştıyor.
o C:\Bdtmp\Tmp\>100-9999 arasında rastgele bir sayı<.bat dosyasını siliyor.
.bat dosyası çaıltırıldığınmda
• Aşağıdaki kayıt dosyaslarını oluşturuyor:
o %Windir%\o.reg
o %Windir%\o2.reg
o %Windir%\o.vbs
• .reg dosyaların çaıltırıyor
o "EnableDNS"="1"
"NameServer"=">dosyada bertilen IP adresleri<"
"HostName"="host"
"Domain"="mydomain.com"
değerlerini
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\VxD\MSTCP
kayıt dosyasına ekliyor.
o "ProxyEnable"="0"
"MigrateProxy"="0"
değerlerini
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings
kayıt dosyasına ekliyor.
o "Use Search Asst"="no"
"Search Page"="http://www.google.com"
"Search Bar"="http://www.google.com/ie"
değerlerini
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
kayıt dosyasına ekliyor.
o ""="http://www.google.com/keyword/%%s"
"provider"="gogl"
değerlerini
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL kayıt dosyasına ekliyor.
o "SearchAssistant"="http:/ /www.google.com/ie"
değerlerini
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
kayıt dosyasına ekliyor.
o "DataBasePath"="%SystemRoot%\help"
değerlerini
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\T cpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\T cpip\Parameters
kayıt dosyasına ekliyor.
o "r0x"="your s0x"
değerlerini
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\T cpip\Parameters\Interfaces\Windows
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\T cpip\Parameters\Interfaces\Windows
kayıt dosyasına ekliyor.
o "NameServer"=">dosyada bertilen IP adresleri<"
değerlerini
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\T cpip\Parameters\Interfaces
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\T cpip\Parameters\Interfaces
kayıt dosyasına ekliyor.
Belirtiler:
• TCP/IP ayarlarında değişiklik
• www.google.com sitesine bağlatı kurulamaması
• Belirtilen dosyaların varlığı
Etkileme Yöntemi:
IRC, P2P ve e-posta yoluyla kullanıcı tarafından indirilmesi ve çalıştırılması sonucu bilgisayarı etkileyen bir virüstür. Bu dağılım yollarına ek olarak MS03-040 Microsoft bülteninde belirtilen açıklardan faydalanarak ağ üstünden yayılan bir virüstür. Virüsten korunmak için Windows güncelleştirmelerinin http://windowsupdate.microsoft.com adresinden yapılması gerekmektedir.
Temizleme Yöntemi:
Virüsün temizlenmesi için en yeni virüs tanımlama dosyalarının (sdat4***.exe) ve virüs tarama motorunun kullanılarak antivirus yazılımının güncellenmesi gerekmektedir. Ayrıntılı bilgi için Mcafee Virusscan başlığı altından bilgi alınabilir.