Tehlikeli Virüsler

Virüs tipi: Trojan
Diğer isimleri: SCAM.A, TROJ_SCAM.A, W32.Sircam.Worm@mm

Sircam Virüsü Nedir? Nasıl yayılır?

TROJ_SIRCAM.A hızlı yayılması ile artık YÜKSEK RİSK olarak değerlendiriliyor. Bu worm (solucan) elektronik posta ile SMTP komutlarını kullanarak yayılıyor. Bulaştığı kullanıcının adres defterindeki herkese kendisinin bir kopyasını gönderiyor ve rastgele bir konu satırı ve aynı isimde bir ek dosya ile geliyor. Ayrıca ağ sürücüleri ile de yayılıyor.

Ne yapmalı ?
# Sistem ayarlarını registry`den düzeltin. Eğer ağa bağlı iseniz, ağ bağlantınızı kaldırın.
# REGEDIT.EXE nin ismini REGEDIT.COM yapın.
# Windows Start menüsünde Run`u seçin, regedit yazıp enter`a basin. Soldaki panelde aşağıdaki anahtarı bulun:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

# Sağ Panelde 'Driver32' registry degerini bulun. Bunu seçin ve silin. Soldaki panelde asağıdaki yeri bulun:

HKEY_LOCAL_MACHINE\Software\SirCam

Sircam`i seçip silin. Soldaki panelde aşağıdaki yeri bulun:

HKEY_CLASSES_ROOT\exefile\shell\open\command

# Sağ Panelde (Default) değer üzerinde sağ tuşa basın ve modify`i seçin.
"C:\Recycled\SirC32.exe""%1"%*" yazısını "%1"%*" olacak şekilde değiştirin.
Diğer bir deyişle "C:\Recycled\SirC32.exe" yazısını silin.
# Worm`un bıraktığı dosyaları silmek için Sistem dizinine gidin
(C:\Windows\system veya C:\Winnt\System32). SCAM32.EXE dosyasini silin.
C:\Recycled dizininden SIRC32.EXE`yi silin veya Recycle Bin`i boşaltın.
# AutoExec.bat`tan worm ile ilgili satırlari silin. Autoexec.bat dosyasi içinde

"@win \recycled\Sirc32.exe"

satırını bulup silin.
# Sisteminizi yeniden başlatın.

Yaması yapılmamış aşağıda belirtilen sistemler için büyük risk taşımaktadır:
Microsoft SQL Server 2000
Microsoft Desktop Engine (MSDE) 2000

Yaması yaplımamış SQL sunucularda "Server Resolution" servisinin tampon taşması açığından yararlanıyor (MS02-39).

Yanlış yapılandırılmış paket sadece 384 bytes (tüm solucan bu kadar) ve içinde aşağıdaki satırları taşıyor.
"h.dllhel32hkernQhounthickChGetTf",
"hws2",
"Qhsockf"
"toQhsend"

Temizleme Yöntemi:

UDP 1434 portuna gelen tüm trafiği durudurun.
Bilgisayarı tekrar başlatın.
Service Pack 3'ü indirip çalıştırın. Bilgisayarı tekrar başlatın.





Toplu e-posta atan virus, ağ bağlantıları ve e-posta ile bilgisayarları etkilemektedir.

Kimden(From):
big@boss.com

Konu(Subject):
Re: Movies
Re: Sample
Re: Document
Re: Here is that sample

Belirtiler:
WINMGM32.EXE dosyasını varlığı
SNTMLS.DAT dosyasını varlığı
DWN.DAT dosyasını varlığı

Eklenti(Attachment) :
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif

Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması ya da açık paylaşımlar yolu ile bilgisayarı etkilemektedir.

Teknik Özellikler:
Virüs çalıştırıldığında:
Kendisini %Windir%\Winmgm32.exe olarak kopyalıyor.
%Windir%\Winmgm32.exe isminde bir işlem başlatıyor.Winmgm32.exe aşağıdakileri yapıyor:
Adı Worm.X olan bir Mutex oluşturuyor.
Belirli bir websitesine dwn.dat dosyasını indirmek için bağlanıyor. İndirdiğinde içeriğini çalıştırıyor.
Açık paylaşımları arayor ve bulduğunda kendisi aşağıdaki konumlardan birisine kopyalıyor.
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
Aşağıdaki uzantılı virüs içerikli dosyları e-posta ile göndermek için oluşturuyor.
.txt
.eml
.html
.htm
.dbx
.wab
Windows tekrar başlatıldığında çalıştırılma için kayıt dosyasında aşağıdaki değişiklikleri yapıyor: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run anahtarı içine WindowsMGM %Windir%\Winmgm32.exe değerini yazıyor.

Toplu e-posta gönderen Internet solucanıdır.

E-posta Aşağıdaki özelliklerde geliyor:

Kimden:
"Microsoft" < security@microsoft.com > Konu(Subject) Use this patch immediately !
Metin:
Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!
Eklenti:
patch.exe
Belirtiler:
Belirtilen dosyalırın varlığı ve kayıt dosyaların varlığı
Etkileme Yöntemi:
E-posta eklentisi ya da dosya paylaşımları ile yayılıyor.
Teknik Özellikler:

W32\Dumaru çalıştırıldığında:
Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%Windir%\dllreg.exe %System%\load32.exe %System%\vxdmgr32.exe
Aşağıdaki dosyayı daha önceden tanımlanmış bir IRC sunucusuna bağlanıp, belli bir kanala giriş yapmak ve oradan gelecek komutları dinlemek için yaratıyor:
%Windir%\windrv.exe Windows açıldığında kod çalışması için aşağıdaki değeri;
"load32" = "%Windir%\load32.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Run win.ini dosyasını değiştiriyor. [windows] run=%Windir%\dllreg.exe
Aşağıdaki uzantılı dosyalardan e-posta adreslerini topluyor:
.htm
.wab
.html
.dbx
.tbb
.abd
Kendi SMTP motorunu kullanarak e-posta gönderiyor

Virüs Tanımı
04.09.2000 tarihinde, Çek Cumhuriyeti�nde ortaya çıkmış olan virüs 3628 byte uzunluğundadır. Windows 2000 altındaki .exe uzantılı dosyaları etkilemekte ve sisteme zarar vermektedir. Sisteme virüs bulaştığında verilen mesaj şu biçimdedir:

"Win2k.Stream by Benny/29A &&&&&& Ratter

This cell has been infected by [Win2k.Stream] virus!
Temizleme Yöntemi:

METU IT Güvenliği Ekibi her zaman en yeni DAT dosyalarını ve virüs tarama motorunu kullanmanızı tavsiye eder. Bu sorun karşısında bu birleşim yeterli olacaktır.

VBS/Loveletter.a - VBS/Loveletter.f
Virüsün Özelikleri

Mayıs 2000 tarihinde Filipinler�de ortaya çıkmış olan virüslerin uzunluğu 10 KB civarında olup e-posta yoluyla yayılmaktadırlar. Virüslerin bulunduğu e-posta�nın içeriği muhtemelen şu biçimde olacaktır:

Subject "ILOVEYOU"
Message "kindly check the attached LOVELETTER coming from me."
Attachment "LOVE-LETTER-FOR-YOU.TXT.vbs"

Ya da

Subject "Dangerous Virus Warning"
Message "There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it."
Attachment "virus_warning.jpg.vbs"

* .JPG
* .JPEG
* .MP3
* .MP2

dosyalarına kendi .VBS uzantısını ekleyecek ve bu dosyaların asıllarını hidden file olarak saklayacaklardır. Microsoft Outlook�tatanımlı adreslerdeki kullanıcılara kendilerini yukarıda bahsedilen formatta postalayacaklardır.