W32/SQLSlammer.worm
Yaması yapılmamış aşağıda belirtilen sistemler için büyük risk taşımaktadır:
Microsoft SQL Server 2000
Microsoft Desktop Engine (MSDE) 2000
Yaması yaplımamış SQL sunucularda "Server Resolution" servisinin tampon taşması açığından yararlanıyor (MS02-39).
Yanlış yapılandırılmış paket sadece 384 bytes (tüm solucan bu kadar) ve içinde aşağıdaki satırları taşıyor.
"h.dllhel32hkernQhounthickChGetTf",
"hws2",
"Qhsockf"
"toQhsend"
Temizleme Yöntemi:
UDP 1434 portuna gelen tüm trafiği durudurun.
Bilgisayarı tekrar başlatın.
Service Pack 3'ü indirip çalıştırın. Bilgisayarı tekrar başlatın.
W32/Sobig
Toplu e-posta atan virus, ağ bağlantıları ve e-posta ile bilgisayarları etkilemektedir.
Kimden(From):
big@boss.comKonu(Subject):
Re: Movies
Re: Sample
Re: Document
Re: Here is that sample
Belirtiler:
WINMGM32.EXE dosyasını varlığı
SNTMLS.DAT dosyasını varlığı
DWN.DAT dosyasını varlığı
Eklenti(Attachment) :
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması ya da açık paylaşımlar yolu ile bilgisayarı etkilemektedir.
Teknik Özellikler:
Virüs çalıştırıldığında:
Kendisini %Windir%\Winmgm32.exe olarak kopyalıyor.
%Windir%\Winmgm32.exe isminde bir işlem başlatıyor.Winmgm32.exe aşağıdakileri yapıyor:
Adı Worm.X olan bir Mutex oluşturuyor.
Belirli bir websitesine dwn.dat dosyasını indirmek için bağlanıyor. İndirdiğinde içeriğini çalıştırıyor.
Açık paylaşımları arayor ve bulduğunda kendisi aşağıdaki konumlardan birisine kopyalıyor.
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
Aşağıdaki uzantılı virüs içerikli dosyları e-posta ile göndermek için oluşturuyor.
.txt
.eml
.html
.htm
.dbx
.wab
Windows tekrar başlatıldığında çalıştırılma için kayıt dosyasında aşağıdaki değişiklikleri yapıyor: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run anahtarı içine WindowsMGM %Windir%\Winmgm32.exe değerini yazıyor.