Yeni Virusler: Bilgi & Tanim

[crazyossie]

S.A

Arkadaslar Bu bölümde bundan sonra yeni çikan virusler hakkinda bilgi verecegiz.

Sisteme nasil sizarlar,
Zararlari nelerdir,
En önemlisi Nasil Silinirler.
Forum düzenini saglamak için lütfen bu kurala uyalim!

Saygilar!


elimdekileri sizle paylaşayım

[crazyossie]

ISIM: NetSky.B
ALIAS: I-Worm.Moodown.B, W32/Netsky.B@mm, Moodown.B



Tanim


Moodown.B (Diger Adi: NetSky.B) solucani ilke kez 18 Subat 2004\'de görüldü. Bu virus Emaillerle birlikte Zip dosyasi olarak gelmekte, ve kendini sistemde ki tum paylasima açik dizin ve sürücülere kopyalamaktadir.

Silme Yöntemi

ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.exe

ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.exe

Nasil silinecigi hakkinda bilgi:

ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.txt

[crazyossie]

Yaygin olarak kullanilan Anti-Virüs Programlari:
Norton Anti-virüs
McAfee Antivirüs
AVP
Panda Anti-virüs Titanium
F-prot

Anti-virüs programlari hakkinda bilgi edinebileceginiz siteler:

[crazyossie]

Troj/Prorat-D

Tanim
Troj/Prorat-D trojani sisteminize uzaktan erisim saglanmasina neden olur.

Troj/Prorat-D trojani kendi kopyalarini Windows System veya System32 dizinlerine FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE ve WSERVICE.EXE isimlerinden biri seklinde kaydeder.
Troj/Prorat-D Kendisini çalistirmak için se registry de ekte belirtilen yerlere kendini yerlestirir :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Windows Reg Services = C:\<Windows System>\<DosyaAdi>

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
Windows Reg Services = C:\<Windows System>\<DosyaAdi>

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = Explorer.exe C:\<Windows System>\<DosyaAdi>

HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run\
Windows Reg Services = C:\<Windows System>\<DosyaAdi>
DirectX for Microsoft Windows = C:\<Windows System>\<DosyaAdi>

HKLM\Software\Microsoft\Active Setup\Installed Components\
[A75aed00-d7bf-11d1-9947-00c0Cf98bbc9]\
StubPath = C:\<Windows System>\<DosyaAdi>

HKLM\Software\Microsoft\Active Setup\Installed Components\
[5Y99AE78-58TT-11dW-BE53-Y67078979Y]\
StubPath = C:\<Windows System>\<DosyaAdi>

Ayni zamanda



dosyasinida bilgisayariniza indirir. Bu dosyada kendinisi Windows dizininde WINLOGON.EXE olarak degistirir ve WINKEY.DLL dosyasini kontrolu altina alarak registryde

HKCU\Software\Microsoft DirectX\WinSettings\Troj/Prorat-C is embedded within WINKEY.DLL satirini ekler.

Bununlada yetinmeyerek SYSTEM.INI ve WIN.INI dosyalarinda [boot] ve [windows] bolumlerinde dosya yoluna ait düzenlemeler yapar
Örnek:

Dosya : SYSTEM.INI
Bölüm : boot
Parametre : shell
(Yeni) Deger : EXPLORER.EXE C:\<Windows System>\<DosyaAdi>

Dosya : WIN.INI
Bölüm : windows
Parametre : run
(Yeni) Deger : C:\<Windows System>\<DosyaAdi>



Bunlar gibi bizim bilmedigimiz baska zararlarida olabilir. Korunmak için Virus programlarini update edebilirsiniz.

Saygilar!

[crazyossie]

Witty virüsü ISS ürünlerindeki ICQ parse açığını kullanıyor.

Virüs kendisini UDP port 4000 kaynak portundan rastgele bir hedef porta gidecek şekilde IP adreslerine gönderiyor.

Virüs sadece hafızada duruyor, etkilenen bilgisayarda dosyalar yaratmıyor fakat sabit disklerde rastgele sektörlerin üzerine yazıyor. Bunun sonucunda da sistem düzgün çalışamıyor ve reboot işleminde mavi ekran\'a (BSoD) yol açabiliyor.

Kaynakça:


Etkilenen Sistemler
Etkilenenler:

BlackICE™ Agent for Server 3.6 ebz, ecd, ece, ecf
BlackICE PC Protection 3.6 cbz, ccd, ccf
BlackICE Server Protection 3.6 cbz, ccd, ccf
RealSecure® Network 7.0, XPU 22.4 ve 22.10
RealSecure Server Sensor 7.0 XPU 22.4 ve 22.10
RealSecure Desktop 7.0 ebf, ebj, ebk, ebl
RealSecure Desktop 3.6 ebz, ecd, ece, ecf
RealSecure Guard 3.6 ebz, ecd, ece, ecf
RealSecure Sentry 3.6 ebz, ecd, ece, ecf

[crazyossie]

I-Worm.Cult

Bu worm bulaşmış olduğu mail adreslerini ve kazaa nın dosya paylaşım ağını kullanıyor ve üstüne üstlük backdoor bileşenleri içeriyor. Worm .exe uzantılı olup 13kb civarında

Worm kendi çoğaltıp ismini winupdate.exe diye değiştiriyor ve regedit ayarlarını ona gore düzenliyor.


örnek:

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
Microsoft auto update = winupdate.exe

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Microsoft auto update = winupdate.exe

Bunun yanında kendi için registry key oluşturup bunu içinde saklıyor.


örnek:

HKLMSOFTWAREMicrosoftWDXDriver
stv1=
stv2=
stv3=
stv4=
xdvd=

Gösterdiği sahte uyarı mesajı ise;
Application
Error

The instruction at |0x776456de| referenced memory at |0x623525dg3|. The memory
could not be |read|
Click on OK to terminate the application


Mail dağılımındaki mesaj örneği:

Konu: Hi, I sent you an eCard from BlueMountain.com

Mesaj:

To view your eCard, open the attachment
If you have any comments or questions, please visit

Thanks for using BlueMountain.com.

Eklenmiş dosya:

BlueMountaineCard.pif

Worm sadece eklenmiş dosya açılırsa bulaşıyor ve kendini sisteme yayıyor.

Kazaa daki dağılma örneği:

Worm kendini windows a Kazaa adlı bir alt klasör diye tanımlayıp kendini kopyalıyor.

Kopyalarının örnek isimler:

"SMS_sender.exe"
"DivX 5.03 Codecs.exe"
"Download accelarator.exe"
"PaintShop Pro 7 Crack_By_Force.exe"
"ZoneAlarm Pro KeyGen.exe"


Bu sahte Kazaa klasörü, Kazaa dosya paylaşımı için açılıyor ve su sayede diğer KAzaa kullanıcılarına
yayılıyor

Backdoor uygulaması

IRC kanalına bağlanıp sahibinden gönderilen bazı komutları dinliyor

örnek komutlar:

- sistem bilgileri hakkında ayrıntılı rapor
- URL den dosya yüklenmesi
- dosya çalıştırma
- gibi ...

[crazyossie]

Yeni Posta Kurdu: Netsky.V

Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor.

Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor. Bunun için de üreticinin geçtiğimiz Ekim ayında yayınladığı bir yama ile kapattığı Microsoft browserındaki bir güvenlik açığını kullanıyor. Kurt, yayılmak için bulaştığı bilgisayardaki posta adreslerini arıyor ve posta göndermek için de kendi SMTP motorunu kullanıyor. Sophos’un açıklamalarına göre virüslü e-postalar “Converting message. Please wait” veya “Please wait while loading failed message” gibi metinler içeriyor. Ayrıca bu zararlı, bulaştığı bilgisayarları kullanarak 22 ile 29 Nisan tarihleri arasında çeşitli paylaşım aracı istemcisi sunucularına saldırı yapacak. Özellikle , ve adresleri, çok sayıda sorgu gönderilerek yani “distributed Denial of Service” saldırısı ile çökertilmeye çalışılacak.

[crazyossie]

Backdoor.Mosuck

Bu Backdoor’u tamamen silmek icin symantec tarafindan bir Tool gelistirilmistir. Backdoor zararlarini hepimiz biliyoruz. Burda anlatmaya gerek yok.

Tool burdaki linktedir.

[crazyossie]

Dikkat Yeni Virüs: W32/Bagle.z@MM

Virüs Belirtileri: Makinede TCP port 2535’in açılması/dinlenmesi. Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı

Risk Seviyesi: Orta
Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı
Diğer isimleri: WORM_BAGLE.X (Trend Micro)
Etkilediği sistemler: Windows 95, 98, ME, NT, 2000 ve XP


Virüs Belirtileri: Makinede TCP port 2535’in açılması/dinlenmesi. Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı

Risk Seviyesi: Orta
Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı
Diğer isimleri: WORM_BAGLE.X (Trend Micro)
Etkilediği sistemler: Windows 95, 98, ME, NT, 2000 ve XP

Bu toplu eposta atma solucanı (worm) aşağıdaki karakteristiklere sahip:
* Mesajları göndermede kendi SMTP motorunu kullanıyor
* Bulaştığı makinadan eposta adreslerini topluyor
* Sahte From: (Gönderen) adresi oluşturuyor
* Ek dosya şifreli bir zip dosyası olabiliyor (Şifre mesajın gövdesinde bulunuyor)
* Uzaktan erişim bileşeni içeriyor (Virüs yazarını otomatik haberdar ediyor)
* Kendi kopyalarını içinde shar kelimesi içeren klasörlere kopyalıyor (bazı genel peer-to-peer dosya paylaşım yazılımları bu tip klasörler kullanıyor. ör: KaZaa, Bearshare, Limewire)

Çözüm:
Virüsün sisteminize bulaştığından şüpheleniyorsanız ve sisteminizde bir antivirüs yazılımı yüklü değilse Network Associates’in color=#0000ffStinger aracını indirirek sisteminizi tarayabilirsiniz. Veya Trend Micro’nun ücretsiz online antivirüs tarama/temizleme aracı HouseCall’u kullanabilirsiniz:
color=#0000ffhttp://housecall.trendmicro.com/housecall/start_corp.asp Antivirüs yazılımı kullananlar güncelleme yaptıktan sonra sistemlerini tarayabilirler.

[crazyossie]

W32/Sasser.worm (Yüksek Risk)

Bu kendini yayan virüs Microsoft’un LSASS güvenlik açığını ( MS04-011) kullanıyor. Solucan avserve.exe dosyası ile yayılıyor. Diğer worm’ların (solucan) aksine eposta ile yayılmıyor. Makineye bulaşması için kullanıcı müdahelesi gerektirmiyor.


Solucan etkilenen sistemlerin virüslü kodu indirerek çalıştırmasını sağlıyor.

Semptomları:
Virüs kendisini Windows klasörüne avserve.exe olarak kopyalıyor ve açılışta kendisinin otomatik olarak çalıştırılması için aşağıdaki registry anahtarını yaratıyor:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun "avserve.exe" = C:WINDOWSavserve.exe

Solucan açık için rastgele IP adreslerini tarıyor. TCP port 5554’de FTP sunucusu olarak çalışıyor ve TCP port 9996’da remote shell açıyor.

C sürücüsünün kök dizininde win.log isminde bir dosya yaratıyor. Bu dosya yerel makinenin IP adreslerini içeriyor.

Virüsün kopyaları Windows System klasöründe #_up.exe olarak yaratılıyorlar. örnek:
c:WINDOWSsystem3211583_up.exe
c:WINDOWSsystem3216913_up.exe
c:WINDOWSsystem3229739_up.exe

Solucanın yan etkilerinden biri LSASS.EXE’nin çökmesi ve sonucunda makinenin reboot etmesi.

Diğer İsimleri:
W32.Sasser.Worm (Symantec)
W32/Sasser.A (F-Secure)

Çözüm:
Microsoft Güvenlik Bülteni MS04-011’de belirtilen yamalar geçilmeli:





Antivirüs yazılımları güncellenmeli. Antivirüs yazılımına sahip olmayanlar NAI firmasının Stinger aracını indirerek sistemlerini tarayabilirler ya da Trend Micro’nun ücretsiz online virüs tarama sayfasından sistemlerini tarayabilirler.

Manuel korunma için ağ sınırlarında TCP portları 139, 445, 5554 ve 9996 bloklanmalı.

Kaynakça: