Bilgisayar ve Oyun Hakkında Herşey


    ||ÖNEMLİ||VİRÜS ARŞİVİ

    Paylaş
    avatar
    1X4N
    Admin
    Admin

    Mesaj Sayısı : 82
    Yaş : 24
    Tuttuğum Takım :
    Ruh Halim :
    Kayıt tarihi : 19/02/09

    ||ÖNEMLİ||VİRÜS ARŞİVİ

    Mesaj tarafından 1X4N Bir Cuma Şub. 20, 2009 5:55 pm

    A?a??da virüsler hakk?nda bilgiler verilmi?tir:
    W32/Lovgate
    W32/Slammer
    W32/Sobig
    W32/Lirva.A
    W32/Yah****
    W32/Korvar
    W32/Braid
    W32/Insane
    W32/Bugbear
    W95/Opaserv
    W95/Scrup
    Linux/Slapper
    VBS/Neiber.A
    W32/Manymize
    W32/Yaha.E
    W32/Frethem.f@MM
    JS/SQLSpida
    W32/Klez
    W32/Fbound.C
    W32/Gibe.A
    W32/MyParty.a@MM
    W32/Maldal.d@MM
    W32/Zoher@MM
    W32/Goner.A@mm
    W32/BadTrans.B-mm
    TROJ_VOTE.A
    W32/Nimda@MM
    W32/Magistr.b@MM
    W32/SirCam@MM
    K?z?l Kod Virüsü
    W32/Lovgate@mm

    Kendi SMTP motorunu kurarak toplu e-posta gönderen Internet solucan? ayn? zamanda yerel a?dak? aç?k payla??mlar? kullanarak da bilgisayarlar? etkilemeyeyi deniyor.

    Metin (Body):
    Gelen kutusundaki e-postalara cevap niteli?inde e-postan? metninde;


    'll try to reply as soon as possible.

    Take a look at the attachment and send me your opinion!




    A? payla??mlar?n? tar?yor ve payla?t?r?lmi? dosyalarda "Administrator" kullanicisi için a?a??daki parolalar? deniyerek payla??mlara ula?may? deniyor:

    bo? parola
    123
    321
    123456
    654321
    guest
    administrator
    admin
    111111
    666666
    888888
    abc
    abcdef
    abcdefg
    12345678
    abc123
    Payla??mlara ula?t???nda a?a??daki dosyalari kopyal?yor.

    pics.exe
    images.exe
    joke.exe
    pspgame.exe
    news_doc.exe
    hamster.exe
    tamagotxi.exe
    searchurl.exe
    setup.exe
    card.exe
    billgt.exe
    midsong.exe
    s3msong.exe
    docs.exe
    humor.exe
    fun.exe
    Teknik Özellikler:


    E-posta eklentisi ya da a?dan kopyalanan virüs içerikli dosyalar çal??t?r?ld???nda sistem dizinine;

    WinRpcsrv.exe
    syshelp.exe
    winrpc.exe
    WinGate.exe
    rpcsrv.exe
    dosyalarin kopyal?yor.
    Windows 9x/ME i?letim sistemlerinde Win.ini dosyas?na
    run=rpcsrv.exe


    de?erini yaz?yor.

    Turuva ati bile?eni için kendisini a?a?idak? dosylara kopyal?yor:

    ily.dll
    task.dll
    reg.dll
    1.dll
    Sistem her aç?ld???nda otomatik çali?t?r?lmak için a?a??daki de?erleri belirtilen kay?t dosyas?(registry file) konumuna yaz?yor.


    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "syshelp" = C:WINDOWSSYSTEMsyshelp.exe
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "WinGate initialize" = C:WINDOWSSYSTEMWinGate.exe -remoteshell
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg
    Text dosyalar? çal??t?r?ld???nda winrpc.exe dosyas?n? otomatik çal??t?rmak için a?a??daki kay?t dosyas? de?i?ikli?ini yap?yor.


    HKEY_CLASSES_ROOT xtfileshellopencommand (Default) = "winrpc.exe %1"
    Belirtiler:

    Kay?t dosyas?nda belirtilen de?i?ikliklerin olmas?
    Belirtilen dosyalarin varl???
    10168 nolu portun aç?k olmas?
    Etkileme Yöntemi:

    E-postan?n eklentisinin ya da a? payla??mlar? sonucu kopyalanmi? virüslü dosyalar?n çal??t?r?lmas? ile bilgisayar? etkiliyor.


    W32/SQLSlammer.worm



    Yamas? yap?lmam?? a?a??da belirtilen sistemler için büyük risk ta??maktad?r:

    Microsoft SQL Server 2000
    Microsoft Desktop Engine (MSDE) 2000
    Yamas? yapl?mam?? SQL sunucularda "Server Resolution" servisinin tampon ta?mas? aç???ndan yararlan?yor (MS02-39).

    Yanl?? yap?land?r?lm?? paket sadece 384 bytes (tüm solucan bu kadar) ve içinde a?a??daki sat?rlar? ta??yor.

    "h.dllhel32hkernQhounthickChGetTf",
    "hws2",
    "Qhsockf"
    "toQhsend"
    Temizleme Yöntemi:


    UDP 1434 portuna gelen tüm trafi?i durudurun.
    Bilgisayar? tekrar ba?lat?n.
    Service Pack 3'ü indirip çal??t?r?n. Bilgisayar? tekrar ba?kat?n.
    W32/Sobig

    Toplu e-posta atan virus, a? ba?lant?lar? ve e-posta ile bilgisayarlar? etkilemektedir.

    Kimden(From):

    big@boss.com

    Konu(Subject):



    Re: Movies
    Re: Sample
    Re: ********
    Re: Here is that sample

    Belirtiler:

    WINMGM32.EXE dosyas?n? varl???
    SNTMLS.DAT dosyas?n? varl???
    DWN.DAT dosyas?n? varl???
    Eklenti(Attachment) :


    Movie_0074.mpeg.pif
    ********003.pif
    Untitled1.pif
    Sample.pif
    Etkileme Yöntemi:
    E-posta eklentisinin çal??t?r?l?mas? ya da aç?k payla??mlar yolu ile bilgisayar? etkilemektedir.

    Teknik Özellikler:


    Virüs çal??t?r?ld???nda:

    Kendisini %Windir%Winmgm32.exe olarak kopyal?yor.
    %Windir%Winmgm32.exe isminde bir i?lem ba?lat?yor.Winmgm32.exe a?a??dakileri yap?yor:
    Ad? Worm.X olan bir Mutex olu?turuyor.
    Belirli bir websitesine dwn.dat dosyas?n? indirmek için ba?lan?yor. ?ndirdi?inde içeri?ini çal??t?r?yor.
    Aç?k payla??mlar? arayor ve buldu?unda kendisi a?a??daki konumlardan birisine kopyal?yor.
    WindowsAll UsersStart MenuProgramsStartUp
    ********s and SettingsAll UsersStart MenuProgramsStartup
    A?a??daki uzant?l? virüs içerikli dosylar? e-posta ile göndermek için olu?turuyor.
    .txt
    .eml
    .html
    .htm
    .dbx
    .wab
    Windows tekrar ba?lat?ld???nda çal??t?r?lma için kay?t dosyas?nda a?a??daki de?i?iklikleri yap?yor:
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun anahtar? içine WindowsMGM %Windir%Winmgm32.exe de?erini yaz?yor.

    W32/Lirva.A

    Toplu e-posta atan Internet solucan? ay?n? zamanda ICQ, IRC, KaZaa ile de yay?lmaya çal???yor. B?lgisayara bir ?ifre çal?c? program da yüklüyor. Ayn? zamanda güvenlik programlar?n?n çal??mas?n? da durduruyor.

    Konu (Subject):


    Fw: Prohibited customers... ?
    Re: Brigade Ocho Free membership
    Re: According to Daos Summit
    Fw: Avril Lavigne - the best
    Re: Reply on account for IIS-Security
    Re: ACTR/ACCELS Transcriptions
    Re: The real estate plunger
    Fwd: Re: Admission procedure
    Re: Reply on account for IFRAME-Security breach
    Fwd: Re: Reply on account for Incorrect MIME-header Are you a Soccer Fan
    Metin (Body):


    Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
    Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
    Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
    Ek (Attachment):

    Resume.exe
    Download.exe
    CERT-Vuln-Info.exe
    MSO-Patch-0071.exe
    MSO-Patch-0035.exe
    Two-Up-Secretly.exe
    Transcripts.exe
    Readme.exe
    AvrilSmiles.exe
    AvrilLavigne.exe
    Complicated.exe
    Sophos.exe
    Cogito_Ergo_Sum.exe
    Sk8erBoi.exe
    Beautifull.scr
    Teknik Özellikler:

    _AVP32.EXE
    _AVPCC.EXE
    _AVPM.EXE
    ACKWIN32.EXE
    ANTI-TROJAN.EXE
    APVXDWIN.EXE
    AUTODOWN.EXE
    AVCONSOL.EXE
    AVE32.EXE
    AVGCTRL.EXE
    AVKSERV.EXE
    AVP.EXE
    AVP32.EXE
    AVPCC.EXE
    AVPDOS32.EXE
    AVPM.EXE
    AVPMON.EXE
    AVPNT.EXE
    AVPTC32.EXE
    AVPUPD.EXE
    AVSCHED32.EXE
    AVWIN95.EXE
    AVWUPD32.EXE
    BLACKD.EXE
    BLACKICE.EXE
    CFIADMIN.EXE
    CFIAUDIT.EXE
    CFIND.EXE
    CLAW95.EXE
    CLAW95CT.EXE
    CLEANER.EXE
    CLEANER3.EXE
    DV95.EXE
    DV95_O.EXE
    DVP95.EXE
    ECENGINE.EXE
    EFINET32.EXE
    ESAFE.EXE
    ESPWATCH.EXE
    F-AGNT95.EXE
    FINDVIRU.EXE
    FPROT.EXE
    F-PROT.EXE
    F-PROT95.EXE
    FP-WIN.EXE
    FRW.EXE
    F-STOPW.EXE
    IAMAPP.EXE
    IAMSERV.EXE
    IBMASN.EXE
    IBMAVSP.EXE
    ICLOAD95.EXE
    ICLOADNT.EXE
    ICMOON.EXE
    ICSSUPPNT.EXE
    ICSUPP95.EXE
    IFACE.EXE
    IOMON98.EXE
    JED.EXE
    KPF.EXE
    KPFW32.EXE
    LOCKDOWN2000.EXE
    LOOKOUT.EXE
    LUALL.EXE
    MOOLIVE.EXE
    MPFTRAY.EXE
    N32SCAN.EXE
    NAVAPW32.EXE
    NAVLU32.EXE
    NAVNT.EXE
    NAVSCHED.EXE
    NAVW.EXE
    NAVW32.EXE
    NAVWNT.EXE
    NISUM.EXE
    NMAIN.EXE
    NORMIST.EXE
    NUPGRADE.EXE
    NVC95.EXE
    OUTPOST.EXE
    PADMIN.EXE
    PAVCL.EXE
    PCCWIN98.EXE
    PCFWALLICON.EXE
    PERSFW.EXE
    RAV7.EXE
    RAV7WIN.EXE
    RESCUE.EXE
    SAFEWEB.EXE
    SCAN32.EXE
    SCAN95.EXE
    SCANPM.EXE
    SCRSCAN.EXE
    SERV95.EXE
    SMC.EXE
    SPHINX.EXE
    SWEEP95.EXE
    TBSCAN.EXE
    TCA.EXE
    TDS2-98.EXE
    TDS2-NT.EXE
    VET95.EXE
    VETTRAY.EXE
    VSECOMR.EXE
    VSHWIN32.EXE
    VSSCAN40.EXE
    VSSTAT.EXE
    WEBSCAN.EXE
    WEBSCANX.EXE
    WFINDV32.EXE
    ZONEALARM.EXE
    Internet solucan? ba?l?klar?nda a?a??daki isimler yazan tüm pencereleri kapat?yor:

    anti
    Anti
    AVP
    McAfee
    Norton
    virus
    Virus
    Sistemde de?i?iklikler yap?yor:

    Internet solucan? kendisini de?i?ken isimlerle %WINDIR%SYSTEM32 dizini alt?na kopyal?yor.

    Sistem her yeniden ba?lad???nda çal??mas? için kay?t dosyas?na yeni bir anahtar yaz?yor:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Avril Lavigne - Muse" = C:WINDOWSSYSTEMA33AAAAgbab.EXE
    Ba?ka bir anahtar da sistemin virüs taraf?dan etkilendi?ini belirtmek için yart?l?yor:

    HKEY_LOCAL_MACHINESoftwareHKLMSoftwareOvGAvril Lavigne
    Yukarda e-posta eklentileri k?sm?nda belirtilen isimlerinden birisi olarak a?a??daki dizinlere kopyal?yor.

    C:
    %WINDIR%TEMP
    Kendisini a?a??daki dizinlere kopyal?yor.

    %Temporary%
    %Temporary%*.tft
    %System%*.exe
    %All Drives%Recycled*.exe
    %Kazaa Downloads%*.exe
    avril-ii.inf adl? virüs yazar?ndan bir notu da %WINDIR%TEMP dizinine kopyal?yor.

    Internet ba?lant?s?n kontrol ediyor ve ba?lant? yoksa varsay?lan çevirmeli a? ba?lant?s?n? kurmay? deniyor.

    W?ndows Address Book ve uzant?lar? .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch ve .idx olan dosyalardaki e-posta adreslerine e-posta göndermeyi deniyor.

    Yamas? yap?lmam?? Outlook Expressler gelen e-postan?n eklentisini otomatik çal??t?r?yor. Gerekli yama ve hakk?ndaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp
    ICQ program?n? durudurak, Icqmapi.dll dosyas?n? ar?yor. Buldu?unda, bu dosyay? WindowsSystem dizinine kopyal?yor ve kendisini tüm ICQ ba?lant?lar?na gönderiyor.

    mIRC program dizinine Script.ini dosyas? yarat?yor. Bu dosya #avrillavigne kanal?na ba?lant?y? sa?l?yor ve kullan?c?n üye oldu?u tüm kanallardaki kullan?c?lara kendisini gönderiyor.

    Tüm a? kaynaklar?n? kullanarak C payla??m? ar?yor. Buldu?unda kendisini RECYcLED dizini alt?en de?i?ken isimle kaydediyor ve Autoexe.bat dosyas?n? sistem her aç?ld???nda virüs aktif hale gelebilmesi için a?a??daki gibi de?i?tiriyor.

    @win .exe
    Kendisini RECYcLED dizini alt?na de?i?ken isimle kaydediyor ve Autoexe.bat dosyas?n? sistem her aç?ld???nda virüs aktif hale gelebilmesi için belirtilen ?ekilde de?i?tiriyor.

    Kendisini KaZaa dizinine de?isken isimlerle kopyal?yor.

    E?er ay?n 7si,11i ya da 24 ise, www.arvil-lavigne.com adresine ba?lan?p grafik animasyonlar gösteriyor.



    Belirtiler :


    Yukar?da belirtilen Kay?t anahtarlar?n?n varl???
    Yukar?da belirtilen dosyalar?n varl???
    E-posta trafi?i
    IRC trafi?i
    ICQ trafi?i
    SMTP sunucusuna a? trafi?i (62.118.249.10 Port 25 TCP).
    Etkileme Yöntemi:


    Yamas? yap?lmam?? Outlook Expressler gelen e-postan?n eklentisini otomatik çal??t?r?yor. Gerekli yama ve hakk?ndaki bilgi http://www.microsoft.com/technet/sec...n/MS01-020.asp

    ICQ program?n? durudurak, Icqmapi.dll dosyas?n? ar?yor. Buldu?unda, bu dosyay? WindowsSystem dizinine kopyal?yor ve kendisini tüm ICQ ba?lant?lar?na gönderiyor.

    mIRC prgram dizinine Script.ini dosyas? yarat?yor. Bu dosya #avrillavigne kanal?na ba?lant?y? sa?l?yor ve kullan?c?n üye oldu?u tüm kanallardaki kullan?c?lara kendisini gönderiyor.

    Tüm a? kaynaklar?n? kullanarak C payla??m? ar?yor. Buldu?unda kendisini RECYcLED dizini alt?en de?i?ken isimle kaydediyor ve Autoexe.bat dosyas?n? sistem her aç?ld???nda virüs aktif hale gelebilmesi için a?a??daki gibi de?i?tiriyor.

    @win .exe

    W32/Yah****
    Internet solucan? kendi SMTP motorunu kullanarak Windows Address Defteri, MSN Messenger, .NET Messen ger, Yahoo Pager ve HT harfleirini içeren uzant?ya sahip dosyalar içindeki adreslere e-posta ile göndererek da??lmaktad?r. Antivirüs ya da güvenlik programlar?n? çal??mas?n? durdurmaktad?r ve içinde uzataki makinaya DoS sald?rs? yapmas?n? sa?layacak kod bar?nd?rmaktad?r.


    Konu (Subject):
    DEVAMI GELECEK jocolor
    avatar
    1X4N
    Admin
    Admin

    Mesaj Sayısı : 82
    Yaş : 24
    Tuttuğum Takım :
    Ruh Halim :
    Kayıt tarihi : 19/02/09

    Geri: ||ÖNEMLİ||VİRÜS ARŞİVİ

    Mesaj tarafından 1X4N Bir Cuma Şub. 20, 2009 6:02 pm

    ...DEVAMI

    Are you a Soccer Fan ?
    Are you beautiful
    Are you the BEST
    Check it out
    Demo KOF 2002
    Feel the fragrance of Love
    Freak Out
    Free Demo Game
    Free rAVs Screensavers
    Free Screenavers of Love
    Free Screensavers
    Free Screensavers 4 U
    Free Win32 API source
    Free XXX
    Hardcore Screensavers 4 U
    I Love You..
    Jenna 4 U
    Learn SQL 4 Free
    Lovers Corner
    Need money ??
    One Hacker's Love
    One Virus Writer's Story
    Patch for Elkern.gen
    Patch for Klez.H
    Play KOF 2002 4 Free
    Project Sample Screensavers
    Sample KOF 2002
    Sample Playboy
    Screensavers from Club Jenna
    Sexy Screensavers 4 U
    The King of KOF Wanna Brawl ??
    Things to note
    Visit us
    Wanna be a HE-MAN
    Wanna be friends ?
    Wanna be friends ?
    Wanna be like a stone ?
    Wanna be my sweetheart ??
    Wanna Hack ??
    Wanna Rumble ??
    We want peace
    Whats up
    Who is your Valentine
    World Tour
    WWE Screensavers
    XXX Screensavers 4 U
    Ek (Attachment):

    Beautifull.scr
    Body_Building.scr
    Britney_Sample.scr
    Codeproject.scr
    Cupid.scr
    FixElkern.com
    FixKlez.com
    FreakOut.exe
    Free_Love_Screensavers.scr
    Hacker.scr
    Hacker_The_LoveStory.scr
    Hardcore4Free.scr
    I_Love_You.scr
    Jenna_Jemson.scr
    King_of_Figthers.exe
    KOF.exe
    KOF_Demo.exe
    KOF_Fighting.exe
    KOF_Sample.exe
    KOF_The_Game.exe
    KOF2002.exe
    Love.scr
    My_Sexy_Pic.scr
    MyPic.scr
    MyProfile.scr
    Notes.exe
    Peace.scr
    Playboy.scr
    Plus2.scr
    Plus6.scr
    Project.exe
    Ravs.scr
    Real.scr
    Romantic.scr
    Romeo_Juliet.scr
    Screensavers.scr
    Services.scr
    Sex.scrSoccer.scr
    Sexy_Jenna.scr
    SQL_4_Free.scr
    Stone.scr
    Sweetheart.scr
    The_Best.scr
    THEROCK.scr
    up_life.scr
    Valentines_Day.scr
    VXer_The_LoveStory.scr
    Ways_To_Earn_Money.exe
    World_Tour.scr
    xxx4Free.scr
    zDenka.scr
    zXXX_BROWSER.exe
    Metin (Body):
    Bir çok değişik metin oluşturabiliyor. Bir kaç örnek vermek gerekirse.

    hey,


    did u always dreamnt of hacking ur friends hotmail account..

    finally i got a hotmail hack from the internet that really works..

    ur my best friend thats why sending to u..

    check it..just run it..enter victim's address and u will get the pass.

    hi,


    check the attached love screensaver

    and feel the fragrance of true love..

    Hi,


    check the attached screensaver..

    its really wonderfool..

    i got it from freescreensavers.com

    Hi,


    check ur friends circle using the attached friendship screensaver..

    check the attached screensaver

    and if u like it send it to all those you consider

    to be true friends... if it comes back to you then

    you will know that you have a circle of friends..

    Hi,


    check the attached screensaver

    and enjoy the world of friendship..

    Hi,


    are u in a rocking mood...

    check the attached scrennsaver and start shaking..

    Hi,


    Check the attached screensaver..

    Hi,


    Are you lonely ??..

    check the attached screensaver and

    forget the pain of loneliness

    Hi,


    Looking for online pals..

    check the attached friend finder software..

    Hi,


    sending you a screensaver..

    checkit and let me know how it is...

    Hi,


    Check the attached screensaver

    and feel the fragrance of true love...

    Hey,


    I just got this wonderfull screensaver from freescreensaver.com..

    Just check it out and let me know how it is..

    Hi,? I just came across it.. check out..??


    Are you one of those unfortunate human beings who are desperately

    looking for friends.. but still not getting true friends with whom

    you can share your everything..

    anyway you wont feel down any more cause GC Chat Network has brought

    up a global chat and online match making system using its own GC

    Messenger. Attached is the fully functional free version of GC

    Instant Messenger and Match Making client..

    Just install, register an account with us and find thousands of online

    pals all over the world..

    You can also search for friends by specific country,city,region etc.


    Regards Admin,

    GC Global Chat Network System..

    Hi,


    So you think you are in love..

    is it true love ? you may think right now that you are in

    true love but it is certainly possible that it is nothing

    but a mere infatuation to you..


    anyway to know yourself better than you have ever known check

    the attached screensaver and feel the fragrance of true love..

    Belirtiler :


    Aşağıdaki dosyaların varlığı (saklı dosyalar)

    C:\%System%WinServices.exe.
    C:\%System%Nav32_loader.exe
    C:\%System%Tcpsvs32.exe

    Kayıt dosyasında yukarda belirtilen değişikliklerin olması.

    Antivirüs ve/ya güvenlik duvarı programın çalışmaması.

    Etkileme Yöntemi: :
    E-posta eklentisi çalıştırıldığında kendisini bilgisayara yükleyerek bulaşıyor.

    Teknik Özellikler:
    W32Yah**** çalıştırıldığında:

    Aşağıdaki dosyaları gizli olacak şekilde belirtilen yerlere kopyalıyor.
    C:\%System%WinServices.exe.
    C:\%System%Nav32_loader.exe
    C:\%System%Tcpsvs32.exe
    Windows açıldığında kod çalışması için aşağıdaki değeri;
    WinServices.exe C:\%System%WinServices.exe
    kayıt (registry) dosyasında belirtilen yerlere yazıyor;
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices
    Her .exe çalıştırıldığında kendisini de çalıştırabilmek için belirtilen kayıt değerini değiştiriyor.

    HKEY_LOCAL_MACHINESoftwareClassesexefileshellopenc ommand
    C:\%System%WinServices.exe"%1

    C:\%System% altına kendisini aşağıdaki isimlerden biriyle kaydediyor.
    Hotmail_hack.exe
    Friendship.scr
    World_of_friendship.scr
    Shake.scr
    Sweet.scr
    Be_happy.scr
    Friend_finder.exe
    I_like_you.scr
    Love.scr
    Dance.scr
    Gc_messenger.exe
    True_love.scr
    Friend_happy.scr
    Best_friend.scr
    Life.scr
    Colour_of_life.scr
    Friendship_funny.scr
    Funny.scr
    Internet solucanı aşağıdakiisimleri kullanan antivirüs ve güvenlik duvarı programlarının çalışmasını durduruyor.
    REGEDIT
    ACKWIN32
    F-AGNT95
    SWEEP95
    VET95
    N32SCANW
    _AVPM
    LOCKDOWNADVANCED
    NSPLUGIN
    NSCHEDNT
    NRESQ32
    NPSSVC
    NOD32
    _AVPCC
    _AVP32
    NORTON
    NVC95
    FP-WIN
    IOMON98
    PCCWIN98
    F-PROT95
    F-STOPW
    PVIEW95
    NAVWNT
    NAVRUNR
    NAVLU32
    NAVAPSVC
    NISUM
    SYMPROXYSVC
    RESCUE32
    NISSERV
    VSECOMR
    VETTRAY
    TDS2-NT
    TDS2-98
    SCAN32
    PCFWALLICON
    NSCHED32
    IAMSERV.EXE
    FRW.EXE
    MCAFEE
    ATRACK
    IAMAPP
    LUCOMSERVER
    LUALL
    NMAIN
    NAVW32
    NAVAPW32
    VSSTAT
    VSHWIN32
    AVSYNMGR
    AVCONSOL
    WEBTRAP
    POP3TRAP
    PCCMAIN
    PCCIOMON
    ESAFE.EXE
    AVPM.EXE
    AVPCC.EXE
    AMON.EXE
    ALERTSVC
    ZONEALARM
    AVP32
    LOCKDOWN2000
    AVP.EXE
    CFINET32
    CFINET
    ICMON
    RMVTRJANSAFEWEB
    WEBSCANX
    PVIEW
    ANTIVIR
    W32/Korvar



    Aşağıdaki özelliklerde geliyor:

    Konu (Subject):
    Değişken



    Metin(Body):
    Değişken

    Ek (Attachment):


    WINrastgele karakterler.TXT (12,6 KB) MUSIC_1.HTM
    WINrastgele karakterler.GIF (120 bytes) MUSIC_2.CEO
    Teknik Özellikler:
    Virüs, tarafından oluşturulmuş e-postanın kullanıcı tarafından bakıldıgında otomatik olarak çalışması için iFRAME açığını kullanıcı makinesini etkilemek için kullanıyor. Başka bir yol olarak da kullanıcı .HTM dosyasını çalıştırdığında "Microsoft VM ActiveX Component" açığından yaralanarak aşağıdaki kayıt dosyasına .CEO uzantılı dosyasını ekliyor:

    HKEY_CLASS_ROOT.CEODefault="exefile"
    HKEY_CLASS_ROOT.CEOContent Type="application/x-msdownload"
    .CEO dosyası çalışıtırıldığında .EXE dosyası gibi algılanıyor ve çalıştırma sonucu kendisini WINDOWS SYSTEM (%SysDir%) dizini altına WIN ile başlıyan ve .PIF uzantılı rastgele bir isimle kaydediyor. Ardından aşagıdaki kayıt dosyaları oluşturuyor.

    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion Run "(Default)"= Çalıştırılmış virüslü dosya
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion Run "WIN random characters"=C:WINDOWSSYSTEMWIN Rastgele karakter.pif
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion Run "(Default)"= Çalıştırılmış virüslü dosya
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion Run "WIN random characters"=C:WINDOWSSYSTEMWIN random characters.pif
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion RunServices "(Default)"= Çalıştırılmış virüslü dosya
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion RunServices "WIN Rastgele karakter"=C:WINDOWSSYSTEMWIN random characters.pif Çalıştırıldıktan sonra rastgele mesaj kutusu gösterir.
    Belirtiler:


    Sistemin yavaşlaması
    WIN*.PIF dosyalarını WINDOWS SYSTEM dizininde bulunuşu
    W32/Funlove.gen ve W32/Funlove.dr virüslerinin varlığı
    Etkileme Yöntemi:
    E-posta eklentisi ile yayılan Internet solucanı yaması uygulanmamamıs Microsoft Internet Explorer'in otomatik eklenti çaliştirma özelliğinden yararlanarak bulaşıyor. Çalıştırıldığında güvenlik yazılımlarının çalışmasını durdurup, dosyaların silmeyi deniyor. Bilgisayarın sabit diskindeki e-posta adreslerini toplayıp kendisini SMTP ile bu adreslere göndermeyeye çalışıyor.

    W32/Braid

    Yerel sistemdeki e-posta adreslerine kendi SMTP motorunu kullanarak gönderiyor. Virüs from kısmına gerçek bir e-posta adresi atıyarak, e-posta görüntülendiğinde otomatik olarak çalışmasını sağlaryan Internet Explorer açığından yaralanıcakl şekilde e-posta hazırlıyor. Bunlarla birlikte çalıştırldığıda ağ paylaşımları yardımı ile virsünyayılmasını sağlayan bir dosya da yaratıyor.

    Konu (Subject):
    Gönderenin Windows kayıt şirket ismi

    Metin (Body):
    Hello,
    Product Name: Microsoft Windows %Gönderenin etkilenmiş windows sürümü%
    Product Id: %Gönderenin etkilenmiş makinesindeki Windows ID %
    Product Key: %Gönderenin etkilenmiş sistemindeki Windows anahtarı%
    Process List:%Gönderenin etkilenmiş sisteminde çaışan işlemler%
    Thank you.

    Ek (Attachment):
    README.EXE

    Belirtiler :
    Aşağıdaki dosyaların varlığı:

    HELP.EML
    %Desktop folder%Explorer.exe
    %SysDir%Bride.exe
    Etkileme Yöntemi:
    Eklenti çalıştırldıktan sonra, virüs taşınır çalıştırılabilir dosyaları (.EXE, .OCX, ve .SCR) etkilyor. Kenidisini başka e-posta adreslerine göndermek için .DBX ve .HTM dosyalarında e-posta adresi taraması yapıyor. Bulduğu adresleri hem TO: hem de FROM: kısmında kullanıp e-postalar hazırlıyor ve bunları gönderiyor. Güvenlik programlarını durudurabiliyor.

    Teknik Özellikler:
    Virüs "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020)" açığından yararlanarak zayıf Outlook Express programları (ver 5.01 or 5.5 without SP2) tarafından sadece e-posta görüntülenmesi sonucu otomatik eklenti çalıştırılmasını sağlıyor.
    Çalıştırıldığında kendisini WINDOWS SYSTEM (%SysDir%) dizinine REGEDIT.EXE (Not: WINDOWS dizininde REGEDIT.EXE isimli temiz bir dosya hali hazırda zaten var) olarak kopyalıyor ve aşağıdaki kayıt değerini er açılışta çalışmak için işliyor:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun
    egedit=
    C:WindowsSystem
    egedit.exe

    Virüs WINDOWS SYSTEM dizinine , BRIDE.EXE ve MSCONFIG.EXE isimli iki dosya kopyalıyor. Bu dosyalar SDAT4132 (veya yeni) dat dosyaları tarfından W32/Funlove.dr olarak tanınıyor. Bu dosyalar çalıştırıldığında tüm taşınır çalıştırılabilir dosyaları (.EXE, .OCX, ve .SCR) W32/Funlove virüsünün geliştirilmiş şekliyle etkiliyor. Bu dosyalar 4132 DATs (veya yeni) dat dosyaları ve şu ank iarama motoru ile W32/FunLove.gen olarak tesbit ediliyor.

    SAYGILAR... Exclamation EMEĞE SAYGI cheers affraid
    avatar
    1X4N
    Admin
    Admin

    Mesaj Sayısı : 82
    Yaş : 24
    Tuttuğum Takım :
    Ruh Halim :
    Kayıt tarihi : 19/02/09

    Geri: ||ÖNEMLİ||VİRÜS ARŞİVİ

    Mesaj tarafından 1X4N Bir Cuma Şub. 20, 2009 6:03 pm

    ONUNDA DEVAMI Exclamation
    W95/Opaserv




    WinNT/2K/XP işletim sistemlerinde bu tehlike etkili değildir. Windows 9x tabanlı işletim sitemlerinde etkilidir. Ağ-üstünde ilerliyen solucan kendisini bir kopyasını açık paylaşımlar (parola koruması olmayan) sayesinde Startup (Başlangıç) dizinine yazmaya çalışmaktadır.
    Çalıştırıldığında ya da başlangıçta bilgisayar tarafından çalıştırıldığında bir sonraki açlışlarda da otomatik çalıştırılmak için kayıt dosyalarında aşağıdaki değişikliği yapmaktadır:
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "ScrSvr" = %WinDir%ScrSvr.exe

    Bunların yanı sıra aşağıdaki dosyayı da değiştirip,
    cwindowswin.ini
    tmp.ini okumasını;
    run= c: mp.ini
    komutuyla sağlar, kendi yarattığı;
    c mp.ini
    dosyasını açılışlarda çalışır hale getirir. Dosyanın içeriği aşağıdaki gibidir.
    run= c:windowsscrsvr.exe

    W32/Insane


    Virüs tanımlama bilgi bankası olarak 4229 DAT dosyasını eski, destek verilmeyen virüs tarama motorları (arama motoru sürümü 4.0.70 ve 4.1.40) ile birlikte kullanan makinelerde "W32/Insane.dam" yanlış alarmı gözlenmektedir.
    Bu mesajı alan kullanıcıların en kısa zamanda virüs tarama motorunu 4.1.60 sürümüne güncellemeleri gerekmektedir.

    W32/Bugbear


    MSVC'de yazılan bu virüs UPX olarak paketlenmiştir. Ağ paylaşımları ve e-posta ile dağılmaktadır. Keyloger olarak çalışan bir truva atı da içermektedir. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir. Virüs kodu e-posta "Konu" ve "Eklenti" kısmını içermektedir.

    Konu (Subject):
    Büyük ihtimalle etkilediği makinedeki kelimeleri ya da dosya isimlerini "Konu" olarak seçiyor. Olası "Konu" satırları aşağıda verilmiştir (ancak, "Konu" satırları değişken olabilir.):

    25 merchants and rising
    Announcement
    bad news
    CALL FOR INFORMATION!
    click on this!
    Correction of errors
    Cows
    Daily Email Reminder
    empty account
    fantastic
    free shipping!
    Get 8 FREE issues - no risk!
    Get a FREE gift!
    Greets!
    Hello!
    Hi!
    history screen
    hmm..
    I need help about script!!!
    Interesting...
    Introduction
    its easy
    Just a reminder
    Lost & Found
    Market Update Report
    Membership Confirmation
    My eBay ads
    New bonus in your cash account
    New Contests
    new reading
    News
    Payment notices
    Please Help...
    Re: $150 FREE Bonus!
    Report
    SCAM alert!!!
    Sponsors needed
    Stats
    Today Only
    Tools For Your Online Business
    update
    various
    Warning!
    wow!
    Your Gift
    Your News Alert
    Ek: (Attachment):
    İsimleri de değişken olmakla birlikte genelde aşağıdaki satırları içermektedir:

    Card
    Docs
    image
    images
    music
    news
    photo
    pics
    readme
    resume
    Setup
    song
    video
    Teknik Detaylar:
    Eklentilerinde ikili uzantısı olması genel bir olgu (örnek: .doc.pif). Gönderdiği e-postalar Microsoft Internet Explorer'ın (ver 5.01 ya da 5.5 SP2 yüklenmemiş) Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020) açığından faydalanmaya çalışıyor.
    "Gelen kutusu" içinde bulunan adresleri ve diskte de aşağıda uzantıları verilmiş dosyaları arayıp e-posta adreslerine ulaşmaya çalışıyor.

    MMF
    NCH
    MBX
    EML
    TBB
    DBX
    OCS
    Varolan kullanıcını ve SMTP sunucusunu e-posta adreslerini aşağıdaki kayıt dosyasından alır: HKEY_CURRENT_USERSOFTWAREMicrosoftInternet Account ManagerAccounts
    Belirtirler:
    Çalıştırıldığında kendisini %WinDir%System dizini altına ****.EXE olarak kopyalar.( * rast gele karakterleri temsil etmektedir). Örneğin:

    Win98 : C:WINDOWSSYSTEMFYFA.EXE
    2k Pro : C:WINNTSYSTEM32FVFA.EXE
    Aşağıdaki kayıt dosyasını bir sonraki açılışta dosyayı çalıştırması için düzenler:
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion RunOnce "%ras tgele harfler%" = %rast gele dosya adı%.EXE (Win9x)
    Startup (Başlangıçta) dizinine kendisini ***.EXE olarak kopyalar. ( * rastgele karakterleri temsil etmektedir).
    Örneğin:
    Win98 : C:WINDOWSStart MenuProgramsStartupCUK.EXE
    2k Pro : C ocuments and Settings(username)Start MenuProgramsStartupCYC.E
    Truva Atı Bileşeni
    Internet solucanı etkilediği makinede port 36794 açarak ve değişik bir çok çalışan işleri arayıp onları durduruyor.Bu işler arasında bir çok ünlü anti-virüs ve güvenlik-duvarı programı var:


    ACKWIN32.exe
    F-AGNT95.exe
    ANTI-TROJAN.exe
    APVXDWIN.exe
    AUTODOWN.exe
    AVCONSOL.exe
    AVE32.exe
    AVGCTRL.exe
    AVKSERV.exe
    AVNT.exe
    AVP32.exe
    AVP32.exe
    AVPCC.exe
    AVPCC.exe
    AVPDOS32.exe
    AVPM.exe
    AVPM.exe
    AVPTC32.exe
    AVPUPD.exe
    AVSCHED32.exe
    AVWIN95.exe
    AVWUPD32.exe
    BLACKD.exe
    BLACKICE.exe
    CFIADMIN.exe
    CFIAUDIT.exe
    CFINET.exe
    CFINET32.exe
    CLAW95.exe
    CLAW95CF.exe
    CLEANER.exe
    CLEANER3.exe
    DVP95_0.exe
    ECENGINE.exe
    ESAFE.exe
    ESPWATCH.exe
    FINDVIRU.exe
    FPROT.exe
    IAMAPP.exe
    IAMSERV.exe
    IBMASN.exe
    IBMAVSP.exe
    ICLOAD95.exe
    ICLOADNT.exe
    ICMON.exe
    ICSUPP95.exe
    ICSUPPNT.exe
    IFACE.exe
    IOMON98.exe
    JEDI.exe
    LOCKDOWN2000.exe
    LOOKOUT.exe
    LUALL.exe
    MOOLIVE.exe
    MPFTRAY.exe
    N32SCANW.exe
    NAVAPW32.exe
    NAVLU32.exe
    NAVNT.exe
    NAVW32.exe
    NAVWNT.exe
    NISUM.exe
    NMAIN.exe
    NORMIST.exe
    NUPGRADE.exe
    NVC95.exe
    OUTPOST.exe
    PADMIN.exe
    PAVCL.exe
    PAVSCHED.exe
    PAVW.exe
    PCCWIN98.exe
    PCFWALLICON.exe
    PERSFW.exe
    F-PROT.exe
    F-PROT95.exe
    RAV7.exe
    RAV7WIN.exe
    RESCUE.exe
    SAFEWEB.exe
    SCAN32.exe
    SCAN95.exe
    SCANPM.exe
    SCRSCAN.exe
    SERV95.exe
    SPHINX.exe
    F-STOPW.exe
    SWEEP95.exe
    TBSCAN.exe
    TDS2-98.exe
    TDS2-NT.exe
    VET95.exe
    VETTRAY.exe
    VSCAN40.exe
    VSECOMR.exe
    VSHWIN32.exe
    VSSTAT.exe
    WEBSCANX.exe
    WFINDV32.exe
    ZONEALARM.exe
    Bu dışardan erişim saldırgana dosya çekme, çalıştırma, işleri durdurmayı ve bir çok değişik işlem yapma izin veriyor.
    Buna ek olarak keylogger olarak çalışacak bir DLL dosyası bırakıyor. Bu DLL PWS-Hooker.dll olarak gözüküyor.
    Ağ paylaşımı etkileşimi
    Internet solucanı etkilediği makinede port 36794 açarak ve değişik bir çok çalışan işleri arayıp onları durduruyor.Bu işler arasında bir çok ünlü anti-virüs ve güvenlik-duvarı programı var:

    Port 36974 açık olması
    Aşağıdaki dosyaların varlıkları (* herhangi bir karakteri temsil etmekte):
    %WinDir%System****.EXE (50,688 ya da 50,684 bytes)
    %WinDir%******.DAT
    %WinDir%******.DAT
    %WinDir%System******.DLL
    %WinDir%System*******.DLL
    %WinDir%System*******.DLL
    W95/Scrup


    WinNT/2K/XP işletim sistemlerinde bu tehlike etkili değildir. Windows 9x tabanlı işletim sitemlerinde etkilidir.
    Ağ-üstünde ilerliyen solucan kendisini bir kopyasını açık paylaşımlar (parola koruması olmayan) sayesinde Startup (Başlangıç) dizinine yazmaya çalışmaktadır.
    Çalıştırıldığında ya da başlangıçta bilgisayar tarafından çalıştırıldığında bir sonraki açlışlarda da otomatik çalıştırılmak için kayıt dosyalarında aşağıdaki değişikliği yapmaktadır: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "ScrSvr" = %WinDir%ScrSvr.exe
    Bunların yanı sıra aşağıdaki dosyayı da değiştirip, cwindowswin.ini tmp.ini okumasını; run= c: mp.ini komutuyla sağlar, kendi yarattığı; c mp.ini dosyasını açılışlarda çalışır hale getirir. Dosyanın içeriği aşağıdaki gibidir. run= c:windowsscrsvr.exe

    Linux/Slapper


    Linux/Slapper Aphace web sunucunlarında OpenSSL bileşenleri kullanan SSL özelliği çalışır durumda olanları bellek taşamsı zayıflığından yararlanarak bilgisayarları etkileyen bir Internet solucanı. Aktif olduktan sonra DoS saldırısı başlatabilen bilen bir arka kapı oluşturuyor.
    Linux/Slapper sistemler arasında TCP port 443 (SSL) kullanarak yayılıyor. Bu porta bağlanmadan önce TCP port 80 (HTTP) ile bağlantı kurup sunucu makinenin kullandığı Aphace web sunucusunun sürümünü öğrenmeye çalışır. Eğer web sunucusu Apache dışında bir programsa bilgisayarı etkilemeyi denemiyor.
    Internet solcanın aradığı sürümler:

    Red Hat Apache 1.3.6, 1.3.9, 1.3.12, 1.3.19, 1.3.20, 1.3.22, 1.3.23, 1.3.26.
    SuSE running Apache 1.3.12, 1.3.17, 1.3.19, 1.3.20, 1.3.23.
    Mandrake running Apache 1.3.14, 1.3.19, 1.3.20, 1.3.23.
    Slackware running Apache 1.3.26.
    Debian running Apache 1.3.26.
    Gentoo herhangi bir Apache sürümü.
    Daha ayrıntılı liste için aşağıdaki web sitesini ziyaret ediniz:
    http://online.securityfocus.com/bid/5363/info/
    Eğer ki işletim sistemi ya da Apache sürümünü belirliyemezse, İşletim sistemi olarak Red Hat ve Aphace sürümü olarak da Apache 1.3.23 varsayrak işlemelerine başlıyor.
    Linux/Slapper TCP port 443 (SSL) ile uzaktaki sisteme bağlanıp kendisine bellek taşaması açığından faydalanarak bir kabuğa(./bin/sh) ulaşmaya çalışıyor. Linux/Slapper yayılmakta kullandığı OpenSSL açığı 30 Temmuz 2002 tarihinde çözümü ile birlikte http://www.openssl.org/news/secadm_20020730.txt adresinde yayınlandı.
    Eğer Linux/Slapper uzaktaki makineyi kırabildiyse, ulaştığı kabuğa bir betik yükler. Bu betik Internet solcanın uuencoded kaynak kodu kopyasını içermektedir. Betik /tmp/.unlock.c dosyanın içine kaynak kodunu açar ve çalıştırır. Bir daemon işlem olarak gözükecek olan .unlock başlatılır.
    Unutulmamalıdır ki Linux/Slapper yayılması ve etkilemesi, gcc derleyicisinin saldırıyı alan makinede var olmasına ve bu derleyicinin Apache tarafından çalıştırılabiliyor olmasına dayanmaktadır. Bazı sınırlandırmalar getirilerek derleyicinin web sunucusu tarafından çalıştırılmamamsı iyi bir güvenlik önlemi olacaktır.
    Bir defa aktif hale geçtikten sonra, Linux/Slapper UDP port 4156 üstünden bağlantı kurulacak bir arka kapı yaratıyor. Bu arka kapı diğer virüsten etkilenmiş bilgisayarlar tarafından başlatılan bir çok değişik saldırı oluşmasını sağlıyor. Örneğin: herhangi bir kodun çalıştırılması, TCP taşkını., DNS taşkını, diskte e-posta adreslerin aranması gibi.

    Temizlenmesi:
    Aşağıdaki işlemi arayın ve çalışmasını durdurun (kill):

    .unlock
    Aşağıdaki dosyaları (eğer varsa) silin:
    /tmp/.unlock
    /tmp/.unlock.c
    /tmp/.unlock.uu
    /tmp/.update.c
    /tmp/update
    Daha detaylı bilgi için:
    http://online.securityfocus.com/bid/5363/solution/

    VBS/Neiber.A


    VBS.Neiber.A virüsü Microsoft Windows Adres Defteri'ndeki kayıtlara toplu e-posta atan bir Internet solucanıdır. Eklentisi ve görünür bir içeriği olmamasına rağmen metin içine gömülü HTML kodu sayesinde virüslü %Windir%Bernie.vbs dosyasını oluşturup çalıştırmaktadır.

    Konu (Subject):
    Attention virus

    Mesaj:
    Metin bölümü boş gözükse de, içeriğinde virüsün HTML kodu var.

    Ek (Attachment):
    Yok




    Belirtiler:
    Bernie.vbs çalıştırıldıktan sonra aşağıdakileri sırasıyla yapmakta:

    Kendisini %Sistem%Bernie.vbs olarak kopyalıyor.
    Windows'un her açılışında çalışmak için HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun değerine "Bernie wscript.exe %system%Bernie.vbs" ekliyor
    "HKEY_CURRENT_USERsoftwareBernie" değerinin 1 olup olmadığını kontrol ediyor. 1 değilse Microsoft Windows Adres Defteri'ndeki tüm kayıtlar e-posta gönderiyor.
    E-postaları gönderdikten sonra yerel ve bağlantılı disklerde *.vbs ve *.vbe dosyalarını arayıp üstlerine kendisini yazıyor.
    En son olarak da bilgisayar çakılıncaya kadar Notepad açıyor.
    W32/Manymize



    W32.Manymize@mm virüsü kendisi ile birlikte üç dosyayı da Microsoft Windows Adres Defteri'ndeki e-posta adreslerine gönderen (toplu e-posta atan) bir virüstür.

    Konu (Subject):
    Internet solucanı aşağıdaki seçeneklerden birini konu olarak seçiyor.


    Hi (alıcının e-posta adresi)
    Dear (alıcının e-posta adresi)
    Hello (alıcının e-posta adresi)
    My friend, (alıcının e-posta adresi)
    How are you !! (alıcının e-posta adresi)
    Mesaj:
    Mesaj dört kelime veya kelime grubunun birleşmesinden oluşuyor.
    1. Grup

    Hi (alıcının e-posta adresi)
    Dear (alıcının e-posta adresi)
    Hello (alıcının e-posta adresi)
    My friend, (alıcının e-posta adresi)
    How are you !! (alıcının e-posta adresi)
    2. Grup
    , See this
    , This is
    , Open the
    , Attached is my
    , Watch my
    3. Grup
    funny
    interesting
    cute
    amusing
    special
    4. Grup
    video.
    movie.
    penguin.
    clip.
    tape.
    Ek (Attachment):

    Mi2.htm
    Mi2.chm
    Mi2.wmv
    Mi2.exe
    Belirtiler:
    Virüs okunduğunda veya ön izleme ile bakıldığında bilgisayarı otomatik etkileyebilmek için IFRAME ve MIME açığından , yararlanmaktadır.
    Ek olarak, Mi2.wmv otomatik olarak çalıştırıldığında kullandığı açık Windows Media Dosyasının Mi2.htm çalıştırılmasına izin verilmesini sağlıyor.
    Internet solucanı e-posta adreslerini C rogram FilesCommon FilesSystemWab32.dll veya D rogram FilesCommon FilesSystemWab32.dll dosyalarını kullanarak Microsoft Windows Addres defterinden alıp kullanır. Eğer belirtilen iki dosya da yoksa 120 tane e-posta adresi arasından rastgele seçtiği ve "@pchome.com.tw." ile biten adreslere kendini gönderiyor
    SAYGILAR ARTIK BİTTİ.. cheers
    avatar
    JusTSee
    Admin
    Admin

    Mesaj Sayısı : 92
    Tuttuğum Takım :
    Ruh Halim :
    Kayıt tarihi : 11/01/09

    Geri: ||ÖNEMLİ||VİRÜS ARŞİVİ

    Mesaj tarafından JusTSee Bir Cuma Şub. 20, 2009 6:17 pm

    Ty Baya emek ısteyen ıs
    avatar
    1X4N
    Admin
    Admin

    Mesaj Sayısı : 82
    Yaş : 24
    Tuttuğum Takım :
    Ruh Halim :
    Kayıt tarihi : 19/02/09

    Geri: ||ÖNEMLİ||VİRÜS ARŞİVİ

    Mesaj tarafından 1X4N Bir Paz Şub. 22, 2009 9:34 am

    TABİKİ AMA BEN BUNALR İÇİN BURDAYIM Razz
    HEPİNİZ İP GİBİ DİZİLMİŞİNİZ..EFENDİ OLUN ADAM OLUN LEN

    Sponsored content

    Geri: ||ÖNEMLİ||VİRÜS ARŞİVİ

    Mesaj tarafından Sponsored content


      Forum Saati Salı Haz. 27, 2017 2:05 am