29 Ağustos 2008 Cuma 6:41:21
  Ana Sayfa
  Haberler
  Finans
  Oyun
  Astroloji
  Mizah
  Sinema
  Sağlık
  Alışveriş
 
  Webmail
  Yeni Üye Kaydı
  Üye Bilgileri
  Hizmetlerimiz
  Teknik Destek
  Anket
  Bağlantı Programı
  Bağlantı Numaraları

Yeni virüs Worm/Avril.A

Diğer isimleri: W32/Naith.A-mm, Worm/Avril.A
Tipi: Internet Solucanı
Boyutu: 32,766KB
Orijinal Dosya: IAmWiThYoU.exe
Platform: Windows

Worm/Naith.A Microsoft Outlook Adres Defterinden topladığı adresler ile ve mIRC ile yayılan bir Internet solucanı.

Solucan eposta ile aşağıdaki formatta geliyor:

Subject: Re: The real estate plunger

Body:

Avril fans subscription

FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony

Vote for I'm with you!

Admission form attached below

Attachment: IAmWiThYoU.exe


Virüs Microsoft güvenlik bülteni MS01-020'de duyurulan açığı kullanarak kullanıcının haberi olmadan otomatik olarak çalışabiliyor. Ayrıca anti-virüs ve güvenlik duvarı ürünlerinden bazılarını kapatmayı deniyor ve bir web browser'da Avril Lavigne'nin web sitesini açıyor. Kendisini belirli bazı bölgelere kopyaladıktan sonra "c:\windows\listrecp.dll" dosyasını yaratarak bulduğu eposta adreslerini bu dosyada saklıyor. Ayrıca mIRC ile yayılabilmek için bir script.ini dosyası yaratıyor. Yarattığı üçüncü dosya ise virüs yazarının bazı yorumlarını içeren "c:\windows\temp\avril-ii.inf" dosyası. Örneğin: "2002 (c) Otto von Gutenberg" ve "Made in .::]|KaZAkHstaN|[::." . Virüsün kendi SMTP motoru var.

Solucanın kendisini kopyaladığı yerler:
- C:\Windows\temp\AvrilSmiles.exe
- C:\Windows\temp\bfD46g62.TFT
- C:\RECYCLED\0cE26cHf.exe
- C:\RECYCLED\Bbh1dFeD.exe
- C:\RECYCLED\31c9a1Af.exe
- C:\RECYCLED\25G0466A.exe

Makine her açıldığında kendisini çalıştırmak için aşağıdaki registry anahtarlarını yaratıyor:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
" Avril Lavigne - Muse"="C:\\WINDOWS\\SYSTEM\\7h827fg6b6c.EXE"

- HKEY_LOCAL_MACHINE\Software\OvG\Avril Lavigne
@="Done"
" PSW-Trojan"="1"

Korunma:
- Windows'un güncellemelerini windowsupdate.microsoft.com adresinden yapın. Virüs eski bir açığı kullanıyor.
- Antivirüs ürünlerinizin veritabanını güncelleyin.
- Sisteminizi antivirüs yazılımınız ile tarayın ve Naith olarak bulunanları silin. Antivirüs yazılımı olmayanlar housecall.antivirus.com adresinde Trend Micro'nun ücretsiz online virüs tarama hizmetinden yararlanabilirler.

Ref: centralcommand.com

Geri Dön
Şirket | Arama | Program Arşivi | Hizmetlerimiz | İş Olanakları | Reklam | Sıkça Sorulan Sorular | Ana Sayfa
Copyright 2001 TR.NET Tel: (0312) 295 9000 Fax: (0312) 295 9090