Üye Girişi
x

Giriş Başarılı.

Yanlış Bilgiler.

E-mail adresinizi doğrulamalısınız.

Facebook'la giriş | Kayıt ol | Şifremi unuttum
İletişim
x

Mesajınız gönderildi.

Mesajınız gönderilemedi.

Güvenlik sorusu yanlış.

Kullandığınız Sosyal Medyayı Seçin
Yeni Klasör 8 yıldır sizin için en güvenli hizmeti veriyor...

Teknoloji dünyasındaki son gelişmeler ve sürpriz hediyelerimiz için bizi takip edin.

DİKKAT!!! Temmuzun ilk virüsü; W32/[email protected], okuyun önemli

> 1 <

venoM
۞.fnym.۞

grup tuttuğum takım
Yarbay Grup
Hat durumu Cinsiyet Özel mesaj 2038 ileti
Yer: Çanakkale
İş:
Kayıt: 14-03-2006 14:13

işletim sistemim [+][+3][+5] [-]
kırık link bildirimi Kırık Link Bildir! #63957 21-06-2006 07:29 GMT-1 saat    
Aslında bir solucan (worm) olan W32/[email protected] e-mail yolu ile bilgisayarınıza bulaşıyor. Sonra, bir arka kapı açarak hacker'ın bilgisayarınıza ulaşıp istediğini yapmasını sağlıyor. Çalışan dosyalara (.EXE) bulaşıyor. Anti-virüs ve firewall'ı etkisiz hale getirmeye çalışıyor. Kendisini e-posta'nızdaki adreslere göndermeye çalışıyor. Böyle yayılıyor.

Konusu; "hi, hello, Hello, Mail transaction Failed, mail delivery system" gibi olan e-posta'lara dikkat!!!. Bunlarla bulaşıyor. Okumadan silin. Mesaj içeriğinde "Mail failed. For further assistance, please contact!" olması tehlikeli !!! Aslında bu yazıyı okuduğunuzda iş işten geçmiş olabilir. Mesaj ekinde unicode karakterlerle oluşturulmuş ikili (binary) ".bin" dosyalar (attachment) geliyor. Rastgele bir şekilde .EXE, .PIF, .SCR, .ZIP dosya tiplerinde mesaj ekleri (attachment) yeralıyor.

Aşağıdaki dosyalar solucanın ilk aşamada bulaştığı ve kullandığı dosyalardır;
%WinDir%\System32\IEXPLORE.EXE
%WinDir%\System32\KERNEL66.DLL
%WinDir%\System32\RAVMOND.exe
%WinDir%\System32\HXDEF.EXE
%WinDir%\System32\UPDATE_OB.EXE
%WinDir%\System32\TKBELLEXE.EXE
%WinDir%\SYSTRA.EXE
%WinDir%\SVCHOST.EXE.EXE
C:\COMMAND.EXE
%WinDir%\System32\MSJDBC11.DLL
%WinDir%\System32\MSSIGN30.DLL
%WinDir%\System32\ODBC16.DLL
%WinDir%\System32\LMMIB20.DLL

Solucan kendini arşivleyerek (ZIP'leyerek gibi) COM, EXE, PIF veya SCR gibi dosya tiplerinde ve password, email, book, letter, bak, work, important gibi dosya adı ile saklıyor. örneğin; important.scr gibi...

Sistemin açılışında çalışması için;
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows "run" = RAVMOND.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "Hardware Profile" = %SysDir%\HXDEF.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "WinHelp" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
gibi registry'e ilaveler yapıyor.

Solucan ilave servisleri için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
runServices "SystemTra" = %WinDir%\SYSTRA.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
runServices "COMM++System" = %WinDir%\SVCHOST.EXE
gibi registry'e kayıtlar ilave ediyor.

Arka kapı açmak için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
gibi registry'e kayıtlar ilave ediyor.

Solucanın ilave ettiği iki servis;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\_reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Windows Management Protocol v.0 (experimental)
başlıkları altında yeralıyor ve bu servisler ile ilgili detay bilgi;

Service 1
Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic

Service 2
Display name: Windows Management Protocol v.0 (experimental)
Description: Windows Advanced Server. Performs scheduled scans for LANguard.
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic

şeklinde oluyor.

Solucan kendini .EXE uzantılı dosyalara kopyalıyor ve asıl dosyanın ismini .ZMX olarak değiştiriyor.

Aşağıdaki kelimeleri içeren servisleri ya da bellekte çalışan programları durduruyor;

rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
Duba

Şimdilik manuel (elle) ve otomatik silme yöntemi bulunamadı, ancak bazı antivirüs firmaları kendi yazılımlarının bu solucanı durdurabildiğini söylüyor.

Hızla yayılmaktadır, birkaç gün olmasına rağmen bu tip elektronik postaların sayısı artmıştır, Aldığınız elektronik postalara aman dikkat, şüphelendiklerinizi açmadan silin.

(alıntıdır)

Bunu ilk beğenen siz olun

Hata Oluştu


fnym

OctopuS

grup tuttuğum takım
Binbaşı Grup
Hat durumu Cinsiyet Özel mesaj 2680 ileti
Yer:
İş:
Kayıt: 29-04-2006 12:00

işletim sistemim [+][+3][+5] [-]
#63961 21-06-2006 07:32 GMT-1 saat    
saol kardeş

Bunu ilk beğenen siz olun

Hata Oluştu


controll_hack

grup tuttuğum takım
Binbaşı Grup
Hat durumu Cinsiyet Özel mesaj 2935 ileti
Yer: yatağı isterim
İş: Sagocu Desem..?
Kayıt: 12-05-2006 13:20

işletim sistemim [+][+3][+5] [-]
#65498 22-06-2006 14:52 GMT-1 saat    
sAAAAAAAA0L

Bunu ilk beğenen siz olun

Hata Oluştu


AdaM Gibi İmza!

BenimLe cenk yapmak adıNa en yürekLinizi yoLLayın!
Dokunursam patLar mayıN.. YüzLerinizi sakLamayın!
Karaya Düşeni akLamayın!MaskeLeri düştü bayım..
Rap'i şaha kaLdırmak adıNa siz ikiniz Şeker yaLayın!

@[email protected]

grup tuttuğum takım
Yüzbaşı Grup
Hat durumu Cinsiyet Özel mesaj 787 ileti
Yer: İzmir
İş: Öğrenci
Kayıt: 10-05-2006 17:20

işletim sistemim [+][+3][+5] [-]
#66047 23-06-2006 11:09 GMT-1 saat    
saollllll

Bunu ilk beğenen siz olun

Hata Oluştu


ScReAm_

grup tuttuğum takım
Binbaşı Grup
Hat durumu Cinsiyet Özel mesaj 2680 ileti
Yer: bursa
İş: UNI. ÖGRENCISI
Kayıt: 17-05-2006 13:34

işletim sistemim [+][+3][+5] [-]
#66076 23-06-2006 11:26 GMT-1 saat    
yanı anasını aglatıyo bılgısayarın desene aman dıkkat walla sa0l kardeşşş

Bunu ilk beğenen siz olun

Hata Oluştu


> 1 <