Yeni Virusler: Bilgi & Tanim - Sayfa 4

**crazyossie** · 28.08.09, 21:02

Gaobot.CKP {worm}

Etkileri :

++ 113 nolu portu acarak, sistemi saldırganların uzaktan kontrol etmesine olanak verir.
++ bulastıgı bilgisayarın CPU, RAM, boş alan, işletim sistemi ve paylaşılan dokumanları gibi
bilgileri toplar.
++ bulaştıgı sistemde keylogger olarak calısır
++ bazı oyunların cd keylerini calar
++ bulaştıgı bilgisayardan DDoS atagı gercekleştirir.
++ bazı exe leri yukleyerek, çalıştırır.
++ eger webcam takılıysa resim çeker.

Yayılma stratejisi :

Windows un sistem dizinine DLLMAN.exe yaratır, bu exe worm un bir kopyasıdır.
Ayrıca regedit kayıtlarına;

HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
Windows Online Updater = dllman.exe

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
Windows Online Updater = dllman.exe

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices
Windows Online Updater = dllman.exe

satırlarını ekler..
Bu satırların yardımıyla, sistem basladıgında worm otomatik olarak calısır.

Bulaşma tarzları :

bu worm iP adreslerine saldırır, ve RPC DCOM,WebDAV ve LSASS acıgı bulunan bilgisayara
girmeye calısır. Bunun yanında Bagle.A, Mydoom.A, Optix, NetDevil, Kuang ve SubSeven gibi
zararlı programlardan etkilenmiş bilgisayarlarada bulaşmaya calısır.

Yerel bir agda bulaşmak için paylasıma acık dosyaları dener yada bazı basit kullanıcı adı
ve şifrelerini kendi deneyerek ağda bulunan bilgisayarlara girmeye calısır..

Agda bir bilgisayara girdiğinde kendini direk paylasıma acık dosyalara kopyalar..

Bu worm Visual C++ da yazılmıs ve MEW algoritması ile sıkıstırılmıstır.
Yaklasık dosya boyutu 100 bytedır.

Çıplak virüs’ Wurmark-D’ye dikkat

İnternette yeni yıl mesajı taşıyan Wurmark-D adında bir solucan ortaya çıktı. Bilgisayara bulaşan solucan ekranda çıplak erkek ve kadın fotoğrafı çıkarıyor.

Güvenlik şirketi Sophos Türkiye temsilcisi Bilser Bilgisayar Pazarlama Müdürü Kerem Dörter, e-postalara ekli bir dosya ile yayılan solucanın, yeni yıl kutlama mesajı görünümünde ulaştığı ve linke tıklandığında solucanın kendisini sinsice sisteme yüklediğini söyledi. NTVMSNBC Teknoloji Servisi’ne konuşan Dörter, solucanın bilgisayara yüklendikten sonra kendisini diğer kullanıcılara gönderdiğini belirtti.

ÇIPLAK ‘MUTLU YILLAR’ ALDATIYOR
NTVMSNBC Teknoloji Servisi’ne bağlanan Sophos Türkiye yetkilisi Kerem Dörter, Wurmark-D’nin çalıştırıldığında bilgisayarda bulunan adreslere otomatik olarak e-posta gönderdiği ve aynı zamanda anti-virüs programlarını da devre dışı bıraktığını vurguladı. Dosya açıldığında ekrana kadın ve erkek çıplak vücutlarından oluşan ‘Happy New Year” (MUTLU YILLAR) yazısı çıkıyor. Dörter ayrıca, Türkiye’de solucanın yayılımı ile ilgili olarak henüz ciddi bir risk oluşmadığını ifade etti.

KURBAN BAYRAMINA DİKKAT
Wurmark-D solucanı getirdiği mesajda şöyle diyor: “All the best in new year from our family here is a litle attachment to make you smile in new year email me back haha... Ailemiz size yeni yılda en iyi dileklerini sunar, yeni yıl için yüzünü güldürecek bir ek dosya gönderiyoruz, bize eposta atın ha ha”. Solucan beraberinde zip dosyası olarak, ‘sexy_new_year.scr, HOT_NEW_YEAR.scr, Marry_christmas.scr, with_love.scr, From_my_hart.scr, new_year.scr, and Hot_new_year.scr dosyalarından herhangi birisini gönderiyor.

Dörter, ABD ve Avrupalı kullanıcıların Noel tatili dönüşü e-posta kutularında biriken mesajları okurken yanlışlıkla solucanı bilgisayarlarına bulaştırdıklarını, benzer bir sorunun Türkiye’de Kurban Bayramı sonrasında da yaşanabileceği uyarısında bulundu. Dörter, zararlı kod taşıyıma potansiyeli bulunan .scr, .bat, .pif gibi dosyaların doğrudan ağ geçidi ya da mesajlaşma sistemleri üzerinde bloklamalarının faydalı olacağını sözlerine ekledi

Yeni çıkan Virüs, Solucan, Truvalar hakkında haberler

[VIRUS] Lasco.A

Lasco.A virüsü bluetooth üzerinden yayılıyor ve Symbian Series 60 platformunu etkiliyor.

[VIRUS] MetalGear.a - Symbian akıllı telefonları için yeni bir virüs

Symbian işletim sistemi kullanan mobil telefonları hedefleyen yeni bir truva atı tespit edildi.

[VIRUS] Santy.A virüsü yayılmak için Google’ı kullanıyor

Santy solucanı PHP Bulletin Board (phpBB) yazılımındaki bir açığı kullanarak yayılıyor. Bu açıktan etkilenen phpBB yazılımlarını bulmak için ise Google arama motorunu kullanıyor.
Virüs bulaştığı sunucudaki tüm web sayfalarının içeriğini aşağıdaki yazı ile değiştiriyor:
"This Site is Defaced!!! NeverEverNoSanity."

Hotmail Mcafee’den Trend Micro’ya geçiyor

Pazartesi günü duyurulan yeni anlaşmaya göre Microsoft 187 milyon Hotmail eposta hesabını virüslere karşı korumak için Trend Micro kullanacak. Hotmail’de şu ana kadar Mcafee kullanılıyordu. Microsoft yetkilileri değişikliğin neden yapıldığı konusunda bir açıklama yapmadılar.

[VIRUS] W32/Zafi.d@MM - Orta Risk

Zafi.d virüsü eposta veya P2P paylaşım programları ile yayılıyor. Virüsün bulaşabilmesi için kullanıcının epostadaki ek dosyayı veya P2P ile paylaşılan dosyayı çalıştırması gerekiyor.

Virüsler ve ünlü insanlar: Her tür kötü amaçlı kodu yaymak için etkili formül

Ünlü kişilerin isimlerini kullanmak Virüs yazarlarının virüslerini yaymada kullandıkları yöntemlerden biri.

Paranızı çalmak için yeni yollar geliştiriliyor

Phishing tehditi hakkında bilginiz var ve bankanızdan olduğunu iddia eden bir eposta’nın içinde bir bağlantıya tıklamanız istendiğinde veya kullanıcı ismi ve şifrenizi cevap olarak yazmanız istendiğinde buna gülüp geçerek, epostayıda silerek koruma sağlayacağınızı düşünüyorsanız yanılıyorsunuz.

[VIRUS] W32/Mydoom.s@MM (Orta Risk)

Bulaşma belirtileri: rasor38a.dll ve winpsd.exe dosyalarının varlığı, ve zenandjuice.com sitelerine http bağlantısı, Eposta ile virüs gönderimi

[VIRUS] Eski Bluetooth açığı mobil telefonlar için virüs tehlikesini artırıyor

Geçen sene saldırganların MSBlast-tipi bir solucan yaratarak mobil cihazlara kullanıcı müdahelesi gerektirmeden bulaşabilmesine izin veren güvenlik açıkları keşfedilmişti.

[VIRUS] En son MyDoom varyantı Yahoo’yu etkiledi

MyDoom virüsünün yeni bir çeşidi (MyDOom.Q veya MyDoom.O olarak biliniyor) yeni eposta adresleri bulmak için Yahoo People Search’ü kullanıyor.

Cep telefonunda Outlook kullanımı ve virüsler

Güvenlik uzmanları cep telefonlarınıza virüslerin girmesinin an meselesi olduğunu
söylüyor. Antivirüs firmaları, Vodafone`un cep telefonu ağları üzerinde Microsoft
Outlook sunan Yeni Zelanda servisinin virüs saldırılarını arttırabileceğini söylüyorlar.

Seksizm`e Karşı Savaş Açan Worm

eni çıkan Virüs, Solucan, Truvalar hakkında haberler

[VIRUS] Lasco.A

Lasco.A virüsü bluetooth üzerinden yayılıyor ve Symbian Series 60 platformunu etkiliyor.

[VIRUS] MetalGear.a - Symbian akıllı telefonları için yeni bir virüs

Symbian işletim sistemi kullanan mobil telefonları hedefleyen yeni bir truva atı tespit edildi.

[VIRUS] Santy.A virüsü yayılmak için Google’ı kullanıyor

Santy solucanı PHP Bulletin Board (phpBB) yazılımındaki bir açığı kullanarak yayılıyor. Bu açıktan etkilenen phpBB yazılımlarını bulmak için ise Google arama motorunu kullanıyor.
Virüs bulaştığı sunucudaki tüm web sayfalarının içeriğini aşağıdaki yazı ile değiştiriyor:
"This Site is Defaced!!! NeverEverNoSanity."

Hotmail Mcafee’den Trend Micro’ya geçiyor

Pazartesi günü duyurulan yeni anlaşmaya göre Microsoft 187 milyon Hotmail eposta hesabını virüslere karşı korumak için Trend Micro kullanacak. Hotmail’de şu ana kadar Mcafee kullanılıyordu. Microsoft yetkilileri değişikliğin neden yapıldığı konusunda bir açıklama yapmadılar.

[VIRUS] W32/Zafi.d@MM - Orta Risk

Zafi.d virüsü eposta veya P2P paylaşım programları ile yayılıyor. Virüsün bulaşabilmesi için kullanıcının epostadaki ek dosyayı veya P2P ile paylaşılan dosyayı çalıştırması gerekiyor.

Virüsler ve ünlü insanlar: Her tür kötü amaçlı kodu yaymak için etkili formül

Ünlü kişilerin isimlerini kullanmak Virüs yazarlarının virüslerini yaymada kullandıkları yöntemlerden biri.

Paranızı çalmak için yeni yollar geliştiriliyor

Phishing tehditi hakkında bilginiz var ve bankanızdan olduğunu iddia eden bir eposta’nın içinde bir bağlantıya tıklamanız istendiğinde veya kullanıcı ismi ve şifrenizi cevap olarak yazmanız istendiğinde buna gülüp geçerek, epostayıda silerek koruma sağlayacağınızı düşünüyorsanız yanılıyorsunuz.

[VIRUS] W32/Mydoom.s@MM (Orta Risk)

Bulaşma belirtileri: rasor38a.dll ve winpsd.exe dosyalarının varlığı, ve zenandjuice.com sitelerine http bağlantısı, Eposta ile virüs gönderimi

[VIRUS] Eski Bluetooth açığı mobil telefonlar için virüs tehlikesini artırıyor

Geçen sene saldırganların MSBlast-tipi bir solucan yaratarak mobil cihazlara kullanıcı müdahelesi gerektirmeden bulaşabilmesine izin veren güvenlik açıkları keşfedilmişti.

[VIRUS] En son MyDoom varyantı Yahoo’yu etkiledi

MyDoom virüsünün yeni bir çeşidi (MyDOom.Q veya MyDoom.O olarak biliniyor) yeni eposta adresleri bulmak için Yahoo People Search’ü kullanıyor.

Cep telefonunda Outlook kullanımı ve virüsler

Güvenlik uzmanları cep telefonlarınıza virüslerin girmesinin an meselesi olduğunu
söylüyor. Antivirüs firmaları, Vodafone`un cep telefonu ağları üzerinde Microsoft
Outlook sunan Yeni Zelanda servisinin virüs saldırılarını arttırabileceğini söylüyorlar.

Seksizm`e Karşı Savaş Açan Worm

SAN FRANCISCO, California (Reuters) - Bir güvenlik şirketinin pazartesi günü
yaptığı açıklamaya göre, 17 yaşında olduğunu iddia eden bir kız çocuğu, kadınların
da bilgisayar virüsü yazabileceğini kanıtlamak ve Seksizm`e karşı sesini duyurmak
için Microsoft`un .NET Web servisi platformunu hedef alan yeni bir worm yazdığını
belirtti.

W32/Maldal-I

----------=[ Diğer Adları ]=----------
DAZ2ME Worm
MALDAL.I
MALDAL

VBS/Britney-A

Diğer Adları:
VBS/Breetnee
VBS/BritneyPic@MM
worm/BritneyPic

WORM_YARNER.A

Diğer Adları:
YARNER.A
YAWSETUP
WORM_YARNER.B
WORM_YARNER.GEN
W32.Yarner.A@mm

Yeni Virüs - WORM_YAHA.A

Platform: Windows
Boyutu: 20,992 Byte - UPX ile sıkıştırılmış
Diğer isimleri:
W32/Yaha@mm, YAHA.A

Yeni virüs - JS/Coolnow-A

Diğer isimleri: JS.Menger.worm

Yeni virüs - VBS_NUMGAME.A

Risk oranı: Orta
Virüs tipi: VBScript
Diğer isimleri:
VBS/NumGame@mm, NUMGAME.A
Boyutu: 21,194 Byte (HTML)
12,969 Byte (VBE)

Apple kendi kullanıcılarına virüs gönderdi

Apple`ın İsveçteki merkezi müşterilerine ve bayilerine eposta ile virüs gönderdi.

Yeni virus - W32.Led@mm

Diğer isimleri: W32/Fagled@MM, Win32.Fagled
Tipi: Solucan/Worm

W32/Maldal-I

----------=[ Diğer Adları ]=----------
DAZ2ME Worm
MALDAL.I
MALDAL

VBS/Britney-A

Diğer Adları:
VBS/Breetnee
VBS/BritneyPic@MM
worm/BritneyPic

WORM_YARNER.A

Diğer Adları:
YARNER.A
YAWSETUP
WORM_YARNER.B
WORM_YARNER.GEN
W32.Yarner.A@mm

Yeni Virüs - WORM_YAHA.A

Platform: Windows
Boyutu: 20,992 Byte - UPX ile sıkıştırılmış
Diğer isimleri:
W32/Yaha@mm, YAHA.A

Yeni virüs - JS/Coolnow-A

Diğer isimleri: JS.Menger.worm

Yeni virüs - VBS_NUMGAME.A

Risk oranı: Orta
Virüs tipi: VBScript
Diğer isimleri:
VBS/NumGame@mm, NUMGAME.A
Boyutu: 21,194 Byte (HTML)
12,969 Byte (VBE)

Apple kendi kullanıcılarına virüs gönderdi

Apple`ın İsveçteki merkezi müşterilerine ve bayilerine eposta ile virüs gönderdi.

Yeni virus - W32.Led@mm

Diğer isimleri: W32/Fagled@MM, Win32.Fagled
Tipi: Solucan/Worm

Anti-virüs şirketleri Bagle virüsünün yeni varyantının haftasonunda hızla yayıldığını duyurdu. Kendisini şaka gibi gösteren virüs, bulaştığı bilgisayarları ele geçirerek sistemin güvenlik önlemlerini kapatmaya çalışıyor. Yeni Bağle, en hızlı yayılan virüsler arasına girmesine rağmen, şu ana kadar çok büyük zarara yol açmadığı belirtiliyor.

İlişikte "Price’ ve ’Joke’ başlıklı bir dosya ile birlikte gelen yeni Bagle varyantı, ’Bagle.AT’, ’Bagle.BB’ ve ’Bağle.Au’ olarak adlandırılıyor. Solucanın çok küçük farklılıklar içeren ’Bagle.bd’ ve ’Bagle.bc’ adlı iki ayrı versiyonu daha var. Konu başlığında, ’Re:, Re: Hello, Re: Hi, Re: Thank You! ve Re: Thanks ’ gibi ifadeler yer alan e-postanın mesaj kısmında ise genelde bir gülümseme ikonu dışında başka bir şey bulunmuyor.

Fırewall’u Kapatmaya Çalışıyor
Microsoft’un, Windows 95, 98, ME, NT, 2000 ve XP işletim sistemlerinde etkili olabilen virüs, bulaştığı bilgisayardaki Outlook programındaki e-posta adreslerini ele geçirerek, kendi posta gönderme yazılımını kullanarak başka adreslere yayılıyor. Virüs bunun yanı sıra, bilgisayarın güvenlik duvarını (firewall) ve XP’deki güvenlik merkezi uygulamalarını devre dışı bırakmaya çalışıyor.

Online güvenlik şirketleri, bilgisayar kullanıcılarını bu içerikteki mesajlara karşı dikkatli olmaya çağırırken, anti-virüs yazılımlarını da güncellemelerini öneriyor. Anti-virüs firmalarının çoğu virüsle ilgili uyarı yayınlarken farklı risk dereceleri açıkladı. Amerikalı Panda yeni varyant için kırmızı alarm yayınlarken. Messagelabs ilk ortaya çıktığı cuma günü virüsün 900 bin kopyasına rastladıklarını duyurdu.

Finlandiyalı F-Secure yeni Bagle’a en yüksek ikinci tehdit derecesi verirken, McAfee Bagle’ı orta riskli buldu. Black Spider ise virüsün ortaya çıktığı andan itibaren 1 milyon kopyayı engellediklerini belirtti. Sophos’tan yapılan açıklamada da tüm dünyada çeşitli müşterilerden Bagle ihbarları yağdığı belirtildi.

İlk olarak 19 Ocak’ta ortaya çıkan Bagle solucanının bugüne kadar 40’tan fazla versiyonu bulunmuştu.

W32/Kipis-I

W32/Kipis-I is an email worm for the Windows platform.

The worm harvests email addresses from files with the following file extensions:

ADB
DBX
DOC
EML
HTM
HTML
TBB
TXT
UIN
XLS
XML

The email sent by W32/Kipis-I has the following properties:

Subjects:
Valentine’s day
Present
your
Happy day
Happy Valentine’s day
your love
here
hi
you my love..
Re: My porno

Message texts:

With the coming Valentine’s day! I very much love you. Please see
my flash present.

I congratulate on the coming Valentine’s day! My gift to you.

love you! ,congratulate!"

Thank you!!!

----Original Message----
From: <random address>
To: <random address>
Sent: <time/date>
Subject: My porno

Attached file:

your present
present
flash love
love
Valentine
porn
porno_03
Joke
nude
My nude_04

Attachment extension:

.scr
.exe

From:
<current user>
adam
alex
anna
brenda
dana
dave
linda
liza
maria
mary
mike
rosa
sandra
stan
stiv

Note: The "from" field consists of one of the above names and "@<domain names found when harvesting email addresses>"

W32/Kipis-I will not send emails to addresses which contain any of the following strings:

.edu
.gov
abuse
accoun
antivir
bitdefen
borlan
bugs
cafee
contact
drweb
e-trust-
f-prot
foo.
help
icrosoft
info
iruslis
kaspersky
klamav
listserv
mailer
messagelab
news
newviru
nod32
nodomai
norman
panda
podpiska
privacy
rar
rating
register
ripe.
sales
secur
sendmail
service
soft
software.
sopho
support
sybari
symante
virus
webmaster
winrar
winzip

İlk görüldüğü tarih : 17 February 2005 2143

Takma ismi : Email-Worm.Win32.Kipis.k

Etkilediği İ$letim Sistemleri : Windows/98/2000/NT/XP

Yayılması : E-mail (E-postalar ile)

Seviyesi : Normal - Aktif

Etkileri :

=>> E-mail’inizden bilgisayarınıza bula$ıyor.

=>> E-mail’inizdeki listelerinizi siliyor.

=>> E-mail’inizin geç acılmasina sebeb oluyor.

=>> Kendini Registry’e kaydediyor.

=>> ve her virüs’ün yaptığı gibi bilgisayarınızı yava$latıyor.

Kaynak : Sophos

**crazyossie** · 28.08.09, 21:03

W32/MyDoom-BC

W32/MyDoom-BC is an email worm for the Windows platform.

Email sent by the worm has characteristics similar to the following examples:

Subject line:

hi
error
test
Message could not be delivered

Message bOdy:

Dear user of <domain>
Mail server administrator of <domain> would like to inform you that
We have detected that your e-mail account has been used to send a large
amount of unsolicited e-mail messages during this recent week.
We suspect that your computer had been compromised by a recent virus and now
runs a trojan proxy server.
Please follow our instructions in the attachment file
in order to keep your computer safe.
Virtually yours
<domain> user support team.

Attached file:

attachment.com
letter.zip
<username>.exe

İsmi : MyDoom-BC

Takma İsmi :

W32/Mydoom.db@MM
Worm.Mydoom.M-2
İlk Görüldüğü Tarih : 20 $ubat 2004 / 23:11 TM

Etkilediği Sistemler : Windows

Kısaca Tanımı : Tipik MyDoom virüsü serisinin bir halkasıdır. MyDoom’un etkilerini aynen devam ettirmektedir.

Etkileri :

=>> Kendini registry’e kaydeder.

=>> E-mail ile çoğalır.

=>> Sisteminizi yava$latır.

=>> E-mail’inizi açmanızı engeller.

=>> Explorer’ı açmanızı engeller.

Seviyesi : Normal - Aktif

Not : MyDoom’u durdurabilen her AntiVirüs bu virüsüde durdurabilir.

Kaynak : Sophos

W32/Forbot-EG

Diğer ismi : Backdoor.Win32.PdPinch.gen

Tipi : Trojan

Yayılması : Ağ ve Ağ payla$ımları

Çalı$tığı sistem : Windows

ilk göründüğü zaman : 21 Şubat 2005 14:28

Tanımı(kısaca) : W32/Forbot-EG ağın içine kurdu bırakarak IRC trojanları bilgisayarınıza sokmaktadır. IRC trojanları aktif hale getirmektedir.

Seviyesi : Aktif - Normal

Kaynak : Sophos

W32/Sdranck-A

Diğer ismi :

Trojan-Proxy.Win32.Ranky.bc
W32/Sdbot.worm.gen

Tipi : Ağ’lara saldıran kurt , trojan

Tutunduğu yer : pencere açıkları , e$ikleri

Çalı$tığı sistem : Windows i$letim sistemleri

Yan sonuç : Walware

İlk görüldüğü zaman : 23 Şubat 2005 / 16:28 TM

Seviyesi : Aktif - Saldırgan

Hakkında bilgi : Ağ payla$ımlarından bilgisayarınıza sızıyor. Ağ payla$ımlarınızı etkin hale getiriyor. Trojan ile Ağ’ınızı yok ediyor ya da kullanıcılara aktif hale getiriyor. Bilgisayarınızı yava$latıyor.

Antisi : Bu virüs’ün henüz daha anti’si yok. Ama benzerinin antisi var. Benzerini indirmek ve çalı$tırmak için :

tıklamanız yeterlidir.

Benzer özellikledeki virüslerin antileri de aynidir.

Kaynak : Sophos Güvenlik $irketi

W32/MyDoom-BD

Diğer ismi :

Email-Worm.Win32.Mydoom.am
W32/Mydoom.bd@MM
WORM_MYDOOM.BD
Tipi : Kurt , Solucan

Çalıştığı Sistem : Windows

İlk görüldüğü zaman : 24 Şubat 2005 06:46 PM

Seviyesi : Aktif - Normal

Yayılması : E-mail ile.

Hakkında bilgi :

=>> tipik MyDoom’un devam serisinden bir virüs daha.

=>> Bilgisayarınızda backdoor yani arka kapılar açar.

=>> E-mail’inize yerle$ir.

=>> Email’inizi kullanarak ba$kalarına bula$ır.

=>> Bilgisayarınız ve verileriniz üzerinde deği$iklik yapar.

Sonuç : MyDoom’u durdurabilen bir antivirüs bunda da i$e yarayabilir. Ama genede AntiVirüs’ü için :

=>>

Adresinden yararlanabilirsiniz.

Kaynak : Sophos Güvenlik Şirketi

W32/Codbot- esk

Diğer ismi : yok

Tipi : Trojan , solucan

Çalı$tığı sistem : Windows

İlk görüldüğü zaman : 24 Şubat 2005 10:52

Kendini Güncelle$tirdiği Tarih : 24 Şubat 2005 18:47

Seviyesi : Aktif - Normal

Hakkında Bilgi :

=>> Pencere e$iklerine tutunuyor.

=>> Ağ payla$ımından dağılabiliyor.

=>> Install’deki bilgileri siliyor. Bilgi ekliyor.

=>> Her Trojan gibi bilgisayarınızı yava$latıyor.

Antisi için download :

Kaynak : Sophos Güvenlik $irketi

**LUTFİ 1** · 28.08.09, 21:04

bilgi için sağol..

**crazyossie** · 28.08.09, 21:04

W32/Kelvir-A

Diğer ismi : IM-Worm.Win32.Kelvir.a W32/Kelvir.worm.a

Tipi : Kurt

Çalı$tığı Sistem : Windows

İlk Görüldüğü Zaman : 25 Şubat 2005 12:55

Seviyesi : Aktif - Normal

Hakkında Bilgi :

=>> Mirc vb. internet üzerinden yapılan sohbet ( chat ) programlarindan yayılıyor.

=>> Ayrıca sohbet sitelerinden download ettiğinizde de bilgisayarınıza bula$abiliyor.

=>> Bilgisayarınızı yava$latıyor.

=>> Ba$kalarının girmesini sağlayacak backdoor ( arka kapı ) ’lar bırakıyor.

Antisi : Kurt’un henüz antisi yok. Ama buna benzer bir Kurt’un Antisi için ;

indirerek korunabilirsiniz.

Kaynak : Sophos Güvenlik $irketi

W32/Sdranck-B

Diğer ismi : yok

Tipi : Kurt

Çalı$tığı Sistem : Windows

İlk Görüldüğü Zaman : 25 Şubat 2005 21:40

Seviyesi : Aktif - Yüksek

Hakkında Bilgi :

=>> Internet üzerinden Download’lardan yayılıyor.

=>> E-mail’lerden yayılıyor.

=>> Install’deki yazılımları etkiliyor. Kendini kaydediyor.

=>> Registry’e kaydediyor.

=>> Olağanüstü ba$arılı bir virüs.

=>> Bilgisayarınızda backdoor ( arka kapı ) ’lar bırakır.

=>> Ağ payla$ımlarınızı etkiler.

Antisi : Virüsün’ün Antisi henüz yok! Ama benzerini indirmek ve korunmak için ;
Adresinden Download edebilirsiniz.

Kaynak : Sophos Güvenlik $irketi

W32/Poebot-I

Diğer ismi : Backdoor.Win32.Poebot-I BKDR_POEBOT.B

Tipi : Kurt

Çalı$tığı Sistem : Windows

İlk Görüldüğü Zaman : 26 Şubat 2005 16:10

Seviyesi : Aktif - Normal

Hakkında Bilgi :

=>> Bilgisayarınıza Download’lardan bula$ıyor.

=>> Bilgisayarınız backdoor ( arka kapı ) ’lar bırakıyor.

=>> Bilgisayarınızaki yazılımları etkiliyor, siliyor.

=>> Bilgisayarınızdaki sistem güvenliğini azaltıyor.

Antisi : Antisi henüz yok ! Benzer bir virüsün antisi için download ;
Adresinden download edebilirsiniz.

Kaynak : Sophos Güvenlik $irketi

W32.Sober.Kamm

Diger ismi : W32/Sober.laMM, Sober.M, W32/Sober-K

Tipi : Internet Worm

Calistigi Sistem : Windows

Ilk Görüldügü Zaman : 21 Subat 2005 13.00 bir mail yollandigi zaman gorulmustur

Seviyesi : Yuksek ve Tehlikeli

Hakkinda Bilgi : Sober Kamm virusu toplu bir mesajda yollandan bir virustur. Kendi SMTP serverini kullanarak kendisini cogaltmakta. Eger surekli bir baglanti yoksa telefondan internete otomatikmen baglaniyor.

Bu virusu TCP port 37de surekli trafik oldugunda tanirsiniz. Taniyabileceginiz dosyalar(windows/system dosyasinda asagidaki isimlerin 2 exe. uzantili dosyalarda): 32
crypt, data, diag, dir, disc, expoler, host, log, run, service, smss32, spool, sys, win
--> Yeni Teknik ve teknolojilerle yapilmis bir virus = 15/100

--> Her sistemde calisan bir virus = 50/100

--> Mail, internet uzerinde dolasirken ve benzeri seylerde bulasan bir virus = 20/100

--> Bilgisayara zarar veren ve bulastiginda zor silinen bir virus 15/100

Ortalama olarak bu virusun bulasma tehlikesi yuksek ve bilgisayardan silin

Antisi : Ilk once makinenizi guvenli moduse gecirin. Sonra yukarida yazilan 2 exe. uzantili dosyalari HKEY_LOCAL_MACHINE(calistir-> sonra regedit) burda bulmaniz gerekiyor. Bunlari sildikten sonra makineyi kapataniz ve 30 saniye sonra aciniz. Makinenizi bir virus tarama programindan geciriniz. Bu tarama programini kullandiktan sonra varsa eger daha ust versiyonunu yukleyiniz.

Kaynak : (c) 2005, VirusAlert ()

Bagle bu kez Truva Atı oldu

Bagle’ın Truva Atı yeni versiyonu BagleDl-L internette hızla yayılıyor.

Güvenlik firması Sophos Türkiye uzmanı Kerem Dörter, BagleDl-L’in güvenlik uygulamalarını devre dışı bırakmaya ve kullanıcının bilgisayarını önceden programlanmış internet sitelerine bağladığını belirtti. Truva atının içinde ‘doc_01.exe’ ve ‘prs_03.exe’ veya benzer programlar içeren zip dosyaları ile yayıldığını ifade edildi.

Kaynak : Sophos Güvenlik Şirketi

Paris Hilton virüsü

Hilton otellerinin varisi ve magazin dünyasının son bir yıldır en popüler sosyete mensubu Paris Hilton’un açık resimlerini içerdiğini söyen bir e-mail kurtçuğu yayılmaya başladı.

Sophos, e-mail yoluyla yayılan Sober.K kurtçuğunun şu anda en çok rastlanılan üçüncü kurtçuk olduğunu, son 24 saatte bulunan tüm virüslerin yüzde 10’unu oluşturduğunu rapor etti.

Sophos’da kıdemli teknoloji analisti olan Graham Cluley, “Bu son Sober kurtçuğu türevi, e-mail kutularını açanları gafil avlayabilir” diyor ve ekliyor, “Gerçi geçmişteki virüs deneyimleri, kullanıcıları e-mail eklerini tıklama konusunda biraz bilinçlendirdi, ancak bazıları buna hala direniyorlar. Bütün kullanıcılar, güvenli bilgi işlem için belirli yolları izlemeli ve son antivirüs update’leri ile PC’lerini güvenceye almalılar.”

Yeni Sober türevi Almanca ve İngilizce olarak geliyor ve çeşitli konu başlıkları kullanıyor, bunların arasında "Paris Hilton, pure!" ve "Paris Hilton SexVideos" da var.

Geçen yıl çıkan Zafi.D kurtçuğu ise, son 24 saatte bütün raporların yüzde 27.6’sında yer alarak, Sophos’un en çok karşılaştığı virüs oldu. Harry Potter Netsky.P ise yüzde 22.4’lük oranı ile ikinci sırada yer alıyor.

Hilton, bir Internet olgusu olarak ev video’larının başında geldiğinden, oldukça ilgi çekiyor. Sober.K kurtçuğunun görüldüğü gün, hacker’ların Hilton’un cep telefonunu ve içindeki telefon numaralarını çalarak Internet’te yayınladıkları rapor edildi.

Bu hafta bulunan ikinci en tehlikeli kurtçuk Ahker-C de benzer bir taktik kullanıyor. Ahker-C, antivirüs ve firewall ayarlarını devre dışı bırakıp bazı Web sitelerine erişimi engelliyor. Konu satırında "Paris Hilton...download it!" yazan ve ekinde virüs içeren "ParisXXX.zip" dosyası bulunan bir e-mail ile yayılıyor.

Kaynak : Sophos Güvenlik $irketi / İHA

Bagle” kurdunun yeni versiyonuna dikkat!

Son Güncellenmesi : 03.03.2005 / 08:48 TM

=>> Hakkında Bilgi :

-Secure ve H+BEDV antivirüs yazılımı geliştiricileri kullanıcıları, “Bagle” internet kurdunun yeni bir versiyonuna karşı uyarıyor. Her iki firma da söz konusu zararlı programın e-posta aracılığıyla hızlı bir şekilde yayıldığını tespit etmişler.

Bu zararlının asıl amacı virüs koruma yazılımlarının güncelleme rutinlerini bozmak. Bunun için ilk olarak Windows’un “Hosts” dosyasında değişiklik yapıyor. Kurt, bu dosya içerisinde yaptığı değişiklikleri F-Secure, McAfee, Kaspersky ve Symantec sayfalarını ulaşılmasını engelliyor.

Bunun haricinde “Bagle.BB”, Windows’un kayıt defterindeki “Background Intelligent Transfer Services” hizmetini kontrol eden öğeleri de değiştiriyor. Bu işletim sistemi hizmeti, özellikle güvenlik yamalarının otomatik olarak yüklenmelerini sağlayan Windows Update tarafından kullanılıyor.

Bagle versiyonu kendi oluşturduğu “Winhost.EXE” veya “Wiwhost.EXE” isimli dosyaları da bilgisayarda bulduğu tüm e-posta adreslerine gönderiyor. Etkinleştirilen kurt ayrıca bir çok web sayfasında bulunan “Zo2.JPG” dosyasını da yüklemeye çalışıyor. Bu işlem, söz konusu dosya web sunucularında bulunmadığı için genellikle hata veriyor.

F-Secure ve H+BEDV firmaları, bu kurdu tanıyan ve bulaşmasını engelleyen yeni virüs tanımlama dosyalarını da yayınladılar.

Not : Bu Bagle’nin son bir haftada iki yeni version’u cikti. Birinci version’u Trojan’di Onu sizlere yukarida bahsetmi$tim. Bu’da ikinci version’u henüz Antivirüs’ü yok. Ama Normal BAGLE ’i silen bir antivirüs bununda hakkında gelebilir.

SAYGILARIMLA

**crazyossie** · 28.08.09, 21:04

=>> Hakkında bilgi :

Zafi.d virüsü eposta veya P2P paylaşım programları ile yayılıyor. Virüsün bulaşabilmesi için kullanıcının epostadaki ek dosyayı veya P2P ile paylaşılan dosyayı çalıştırması gerekiyor.

=>> Karakteristikleri:
* Eposta mesajlarını gönderebilmek için Kendi SMTP motorunu kullanıyor.
* From: adresini sahte olarak yaratıyor.
* Bulaştığı makinadan eposta adreslerini topluyor.
* Gönderdiği epostaların gövdesi ya Macarca ya da İngilizce oluyor.
* p2p ile yayılabiliyor.
* güvenlik servislerini kapatabiliyor.

=>> Eposta ile yayılım:
Virüs kendisini ZIP, CMD, PIF, BAT veya COM uzantılarına sahip dosyalarda gönderiyor.
Aşağıdaki uzantılara sahip dosyalardan eposta adreslerini topluyor:
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb

Toplanan eposta adresleri System32 klasörü altında rastgele isimlere sahip DLL uzantılı 5 dosyada tutuluyor:
ör:
c:WINDOWSSYSTEMckolieqt.dll
c:WINDOWSSYSTEMfktnxowp.dll
c:WINDOWSSYSTEMgczomkgr.dll
c:WINDOWSSYSTEMhgtmrsvo.dll

Virüs kendisini aşağıdaki kelimeleri içeren eposta adreslerine göndermiyor:
yaho
google
win
use
info
help
admi
webm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper

Virüsün gönderdiği eposta Yılbaşı tebriği görüntüsünde oluyor. Virüslü mesajın içeriği daha önceki varyantları gibi alıcı adresinin alan adına göre çeşitli dillerde olabiliyor. Ör. alan adı .com ile biten bir alıcıya ingilizce, .de ile biten bir alıcıya almanca olarak gönderiyor.

=>> P2P ile yayılım:
Virüs kendisini C: sürücüsünde aşağıdaki kelimeleri içeren klasörlerin içine kopyalıyor:
share
upload
music

Kendisini aşağıdaki isimlerde kopyalıyor:
winamp 5.7 new!.exe
ICQ 2005a new!.exe

Kendisinin manuel olarak temizlenmesini engellemek için aşağıdaki kelimeleri içeren işlemlerin çalışmasını engelliyor:
reged
msconfig
task

Ayrıca güvenlik duvarı ve Antivirus yazılımı gibi güvenlik servislerini kapatmaya çalışıyor.

=>> Semptomlar:
Virüs çalıştırıldığında aşağıdaki sahte mesajı gösteriyor:

IMG height=118 alt= src= http://www.olympos.org/ezimagecatalogue/catalogue/att5C.tmp.gif">
Zafi.d

%windir%system32 klasörüne aşağıdaki dosyaları bırakıyor:
C:WINNTsystem32 .EXE - 11,745 bytes
C:WINNTsystem32
C:WINNTsystem32Norton Update.exe - 11,745 bytes
C:WINNTsystem32 .DLL - (kendisinin ziplenmiş hali)
C:s.cm - 20,552 bytes (winzip dll module)

Aşağıdaki registry anahtarı yaratılıyor:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWxp4

Etkilenen sistemde TCP 8181 portu açılıyor.

=>> Çözüm:
Antivirüs yazılımlarınızı güncelleyerek sistemlerinizi taratın. Manuel temizleme bilgileri kaynak adresinden temin edilebilir.

W32/Elitper-C

Diğer ismi : WORM_ELITPER.C

İlk Görüldüğü Tarih : 11 Mart 14:01:25

Etkilediği Sistem : Windows

Etkileri :

=>> Chat programlarından bula$ıyor ve çoğalıyor.

=>> Network’unu etkiliyor.

=>> Peer-To-Peer’i ekleniyor.

=>> Bilgisayarınızdaki bilgileri düzenliyor ( kendine göre kod’lar ekliyor. )

=>> Sistem güvenliğinizi en dü$ük seviyeye indiriyor.

=>> Kendini registery’e kaydediyor.

=>> Bilgisayarınıza DDOS ataklarını yönlendiriyor ve bu ataklardan zarar görmenize
neden oluyor.

W32/Elitper-C is a worm for the Windows platform that targets common Peer to Peer (P2P) filesharing applications.
W32/Elitper-C spreads by coping itself with the filename WWE Torrie And Sable Screan Saver.exe to the shared folders of the following P2P utilities:
Edonkey2000
BearShare
Grokster
Morpheus
KaZaA Lite
Kazaa
KMD
W32/Elitper-C modifies an mIRC script.ini file so the worm will be send out on joining the service.
W32/Elitper-C also attempts to copy itself to the root folder of the C, D and E drives on available network shares.

Seviyesi : Aktif - Normal

Tipi : Kurd / Solucan

Anti’si için yükleme adresi :

W32/Rbot-XM

Diğer ismi : Backdoor.Win32.Rbot.gen

İlk Görüldüğü Tarih : 11 Mart 2005 / 09:07:45 PM

Etkilediği Sistem : Windows

Etkileri :

=>> Ağ payla$ımlarınızı etkiliyor.

=>> Bilgisayarınızdaki Anti-Virüs’lerin çalı$masını engelliyor.

=>> Bilgisayarınızda arka kapılar bırakır.

=>> Kendini registery’e kaydeder.

=>> Keystrokes’e kaydediyor ve etkiliyor.

=>> Sistem güvenliğinizi dü$ürüyor.

Tipi : Trojan (arka kapı ) backdoor.

Seviyesi : Aktif - Normal

**crazyossie** · 28.08.09, 21:05

Troj/HideDial-D

Diğer ismi :

Trojan-Downloader.Win32.Tibser.c
Trojan.Downloader.Tibser-3

İlk görüldüğü zaman : 18-Mart-2005 // 13:54:28

Etkilediği sistem : windows

Etkileri :

=>> Kendini registery’e kaydediyor,yazıyor.

=>> malvare’i sıfırlıyor.

=>> Sisteminizi a$ırı yava$latıyor.

Antisi için download adresi :

Kaynak : Sophos Güvenlik $irketi

W32/Rbot-YN

Diğer ismi : Tanımlanamıyor.

İlk görüldüğü zaman : 18 Mart 2004

Güncellenme zamanı : 18 Mart 2005 ( Virüs kendini Uptade etmi$tir )

Etkilediği sistem : Windows

Etkileri :

=>> Anti-Virüs sisteminizi cali$manizi engeller.

=>> Bilgisayarınızda açıklar yaratır.

=>> information’u açar.

=>> Bilgisyarınıza zararlı kod’lar indirir,yazar,çoğaltır.

=>> $ifrelerinizi deği$tirir,siler.

=>> Bilgisayarınızın ses sistemlerini etkiler.

=>> Bilgisayarınızın güvenliğini azaltır.

=>> Sistemizin yava$lamasina neden olur.

Seviyesi : Aktif - Yüksek Risk

Anti-Virüs Uptade için download adresi :

Kaynak : Sophos Güvenlik $irketi

W32/Amus-A -HAMSi ViRUSU

ismi: W32/Amus-A By hamsi

nerden girebilir: Epostadan

windows: butun windows os lerde calisiyor

Registry den silmek bakmak

HKLMSoftwareMicrosoftWindowsCurrentVersionRun\\\
Microzoft_Ofiz=C:WINDOWSKdzEregli.exe.

HKCUSoftwareMicrosoftMasum\\
kim = "OnEmLi_DeGiL"

HKLMSOFTWAREMicrosoftInternet\ ExplorerMain\
başlamak sayfa=Konneting du pepil and dizkoneting you. Anlami: Baglansan ne olacak, baglanmasan ne olacak. Zaten hatlar burada rezalet."

Virus acildiginda karsimiza bir hamsi baligi geliyor. Bu hamsi karsimiza geldiiginde konusmaya basliyor søyle diyor!!
"How are you? I am back. My name is mister hamsi. I am seeing you. Haaaaaaaa. You must come to turkiye. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule." ve virusu harekete geciyor ve pc kapaniyor

İnternette cirit atan bilgisayar virüslerine Bir Türk tarafından yazıldıgı sanılan Amus (Hamsi Bey) adlı yeni bir solucan katıldı. Amus adlı yeni bir solucan internette dolaşıyor. Virüs salgın haline gelmiş olmasa da kurbanlarıyla konusması dikkat çekiyor.. Haberlerde bunlar.

NELERI SILIYOR HAMSI VIRUSU: Butun INI files leri windows dosyasindakileri siliyor. Tarih 2,15 yada 17 i gøsteriyorsa windowsda butun dll dosyalarini siler. Internet exploreri actiginizda anasayfaniz yok ama søyle bir mesaj geliyor

Konneting du pepil and dizkoneting you. Anlami: Baglansan ne olacak, baglanmasan ne olacak. Zaten hatlar burada rezalet. yaziyor.

Hamsi virusunu dinlemek icin buraya bakabilirsiniz

W32/Rbot-DP

Diğer ismi : Tanımlanamıyor.

İlk görüldüğü zaman : 13 - nisan - 2004

Son görüldüğü zaman : 24 - mayıs - 2005

Not : Virüs kendini uptade ile güncellemi$tir.

Etkilediği sistem : Windows

Etkileri :

=>> Kendini registery’e kaydeder.

=>> Bilgisayarınızın güvenliğini sıfırlar.

=>> Anti-Virüs cali$masini engeller.

=>> Bilgisayarınızda arka kapılar yaratır.

Tipi : Kurd/Solucan

Anti’sini Download etmek için adres :

Kaynak : Sophos Güvenlik $irketi

CNN TARAFINDAN DUYURULDU

LÜTFEN DIKKAT !!!!
Dikkat Bugün itibariyle hayatimiza yepyeni yaratilmis
bir virüs girmektedir. Yeni virüs Microsoft tarafindan simdiye
dek sisteminize en büyük zarari verebilecek virüs programi olarak
nitelendirilmistir..! Bu virüs dün ögleden sonra McAfee firmasi
tarafindan bulunmus olup henüz virüse karsi hiç bir savunma
gelistirilememistir.! Virüs basitçe harddisk üzerinde sifir
sektör olarak tanimladigimiz bölümü kullanilamaz hale getirmektedir
ki, bu bölüm bilgisayarinizin tüm sanal belleginin ve sistem
bilgilerinin saklandigi yani bilgisayarinizi kullanmaniza olanak
veren bilgilerin depolandigi kisimdir. Virüs su sekilde aktif
hale gelmektedir: Virüslü dosya aktif hale >geldikten sonra
kontakt listenizdeki tüm alicilara "A Card For You" konu baslikli bir
mail olarak kendi kendini göndermektedir. Eger alici bu sanal karti
açarsa, öncelikle bilgisayari kitlenmekte ve kullanici
bilgisayarini yeniden baslatmak zorunda kalmaktadir.
Ctrl+alt+del tuslari veya reset tusuna basildiginda ise, virüs
islevini göstermekte ve sifir sektörü bozmaktadir, Bu da
harddiskinizin kalici olarak devre disi kalmasi anlamina gelmektedir.
Virüs Dün New York da çok kisa bir süre içinde büyük panik
yaslanmasina sebep oldu, duyurulan bir habere göre; bu mail
Microsoft çalisanlarinca dahil alinmis durumda. "A Virtual Card
for You." konu baslikli bir maili ASLA AÇMAYINIZ. Böyle bir
mail aldiginiz takdirde göndericiyi tanisaniz bile maili açmadan direkt olarak siliniz .

not: nasıl silindiği hakkında bilgim yok

Bobax solucanın iki yeni varyantı bulundu

Bu solucanlar Sasser solucanının bulduğu gibi Windows’un LSASS açığından faydalanarak yayılıyor ve bilgisayarları spam mailler göndermesi için zombilere çeviriyor.

Panda Laboratuarları bir trojan görünümünde olan Ldpinch.W ‘i buldu. Bu Trojan e-mailde “Iraktaki askerlerimiz hakkında önemli bir haber” konulu bir mesaj gizliyor.

Panda Laboratuarları Bobax solucanının B ve C varyantlarını buldu. Bobax.A solucanına dahil olan bu iki yeni zararlı kod birkaç gün önce keşfedildi. Sonuçta Bobax solucanının bir varyantının bilgisayarlara bulaşma olasılığı oldukça yüksek.

Sasser solucan ailesi gibi Bobax solucanının üç varyantı Windows’un LSASS açığından yararlanarak yayılıyor. Bu solucanlar LSASS açığı varolan bilgisayarlarda büyük numaralı IP adreslerine erişmeye çalıştığı görülüyor.

Bu durumda Bobax, etkilenen bilgisayarlara solucanının bir kopyasını yüklemek için emirler gönderir. LSASS açığından yararlanan herhangi Bobax solucanı olduğunda önbellek taşmasına neden olur ve etkilen sistemi yeniden başlatır.

LSASS açığı Windows XP ve 2000 işletim sistemlerini etkiliyor olsa bile Bobax solucanı ve varyantları diğer Windows platformlarına yayılabiliyorlar. Bununla birlikte sonraki durumda solucanlar otomatik bir biçimde bilgisayarlara yayılmıyorlar fakat kullanıcı virüslü sistemlerde Bobax örneği içeren bir dosya çalıştırmalıdır.

Bobax solucanı bilgisayara bir kez yüklendiğinde, etkilenen sistemlerde mail göndermek için kullanılan SMTP sunucu gibi uzak kullanıcının izin verebileceği rasgele haberleşme portları açar. Bu yolla hedefteki bilgisayarlar spam mail göndermek için zombi olabilirler.

Panda Laboratuarları e-mailleri taşıyan Ldpinch.W isminde yeni bir trojan buldu. Bu çok tehlikeli bir zararlı kod olmasa bile haber başlıklarının avantajlarını alır (Irak çatışması) kullanıcıları aldatır ve bilgisayarları etkiler.

Ldpinch.W trojanı aşağıdaki gibi karakterlere sahip olan mesaj taşır:
Konu:
Important news about our soldiers in IRAQ!!!

Mesaj:
Seven officers was lost today,
follow the link to get the full story.
[Internet adresi]

Ekli Dosya:
IMPORTANT INFORMATION.ZIP, fakat açıldığında içeriği IMPORTANT INFORMATION.SCR. olur.

Mesajdaki internet adresi Irak savaşı hakkında bilgi içerdiğini gösterdi. Bununla birlikte eğer kullanıcı ekli dosyayı çalıştırırsa Ldpinch.W trojanı bilgisayara yüklenecektir.
Bu Trojan sistemden gizli bilgileri çalmak ve önceden belirlenen e-mail adreslerine göndermek şeklinde dizayn edildi. Bu yolla virüs yaratıcısı çaldığı gizli bilgileri sahtekar biçimde kullanabiliyor. Bilgisayarınızı herhangi bir Bobax solucanından veya Ldpinch.W trojanından korumak için Panda Software kullanıcılara sıkı güvenlik tedbirleri almaları ve yüklü olan antivirüs programlarını devamlı güncel tutmalarını tavsiye ediyor.

Son zamanlarda bu solucan tarafından bulunan açık için Microsoft tarafından açıklanan bültene ve yamalara (/security/bulletin/MS04-011.mspx)

adresinden ulaşabilirsiniz.

Panda Software’in online destek merkezindende güncellemelere ulaşabilirsiniz ..

( )

kaynak :

W32/MyDoom-BN

=>> Diğer ismi : Email-Worm.Win32.Mydoom.as

=>> İlk Görüldüğü Zaman : 28-Nisan-2005 Saat: 21:43:51

=>> Tipi : Kurd (Solucan)

=>> Etkilediği Sistemler : Windows

=>> Yayılması, Çoğalması : E-mail / peer-to-peer

=>> Etkileri:

++ Bilgisayarınızda açıklar yaratır.

++ E-mail listelerini siler ve erişmenizi etkiler.

++ E-mail’linizdeki bilgileri düzenler,çalar.

=>> Virüs Hakkında daha fazla bilgi ve Anti’sini indirmek için adres :

Kaynak: Sophos Güvenlik Şirketi

**crazyossie** · 28.08.09, 21:05

Troj/PcClient-R

=>> diğer ismi :

Backdoor.Win32.PcClient.x
BackDoor-CKB.dr
=>> ilk görüldüğü zaman : 29 Nisan 2005 Saat: 22:06:19

=>> Tipi : Truva Atı, Arka Kapı

=>> Etkilediği Sistemler: Windows

=>> Etkileri:

++ Sistem güvenliğini azaltır, yok eder.

++ Bilgilerinizi siler. Hard Dısc ’i siler.

++ E-mail ve Bilgisayarınızdaki Şifrelerinizi kendi kompinasyonlarina uygun olarak deği$tirir.

Kaynak: Sophos Güvenlik Şirketi

W32/Mytob-E

=>> Diğer ismi:

Net-Worm.Win32.Mytob.h
W32/Mytob.gen@MM
WORM_MYTOB.J
=>> ilk görüldüğü zaman: 25 Mart 2005 Saat: 08:14:59 Virüs kendini uptade etmi$. Güncellemi$tir.

++ Güncelleme tarihi: 29 Nisan 2005 Saat: 1245

=>> Çalıştığı sistemler: Windows

=>> Tipi: Kurt / Virüs

=>> Seviye: Orta - aktif

=>> Etkileri:

++ Bilgisayarınızdaki açık kapılar yaratır.

++ Bilgilerinizi siler/deği$tirir.

++ E-mail adresinize bula$ır ve çoğalır.

++ Kendini registry’e kaydeder.

W32/Sdbot-XV

=>> Diğer ismi: Bilinmiyor

=>> İlk görüldüğü zaman: 30 Nisan 2005 Saat: 16.01.48

=>> Çalıştığı sistem: Windows

=>> Tipi : Solucan

=>> Seviye : Orta - Aktif

=>> Etkileri :

++ Bilgisayarınızdaki açık kapılar yaratır.

++ Bilgilerinizi siler/deği$tirir.

++ Bilgisayarınıza kodlar indirir.

**crazyossie** · 28.08.09, 21:06

’Cep’te Cabir virüsü

Cep telefonları arasında 1 senedir yayılan Cabir virüsüne 20 ülkede rastlanıldığı rapor edildi. Uzmanlar, virüsün özellikle Bluetooth teknolojisiyle yayıldığını belirtiyor.

F-Secure anti-virüs şirketi tarafından yapılan açıklamada, kendini ilk kez 2004 Haziranında gösteren Cabir virüsünün artık 20 ülkeye yayılmış olduğu belirtildi. Arasında ABD, Çin ve Rusya’nın da bulunduğu bu ülkelere hızla yenilerinin eklenmesinin kaçınılmaz olduğu vurgulanıyor.

Asıl çarpıcı nokta ise virüsün tamamen kablosuz bir şekilde çalışan Bluetooth bağlantı teknolojisine sahip cep telefonları aracılığıyla yayılması. Kısa mesafe radyo dalgalarıyla çalışan Bluetooth’un kapsama alanı 10 metre.

Virüsün bir cep telefonuna bulaşması için alıcının ilk olarak transferi onaylaması gerekiyor. Transfer onaylanınca virüs hemen bulaştığı cep telefonunun kaynaklarını kullanarak kendini kopyalayacak başka telefonlar aramaya başlıyor.

Virüs cep telefonlarına ciddi bir zarar vermese de kendini yaymak için güçlü bir şekilde pil ve sistem kapasitesi tüketiyor. Geçen Mart ayında keşfedilen bir başka cep telefonu virüsü olan CommWarrior ise Cabir’in aksine yayılmak için MMS teknolojisini kullanıyor.

Sober
İsviçre’de, bilgisayar virüsü "Sober"in yeni sürümü yayılıyor.

Elektronik postaları filtreleme konusunda uzmanlaşmış Apexis Cleanmail adlı güvenlik şirketinin bildirdiğine göre, cumartesiyi pazara bağlayan gece elektronik posta mesajlarında görülmeye başlayan "Sober Q" adlı virüs versiyonu, bütün hızıyla yayılmaya devam ediyor.

Virüsü "potansiyel tehlike" olarak nitelendiren şirket yetkililerinin açıklamasına göre, virüs korunmasız bilgisayarları istenmeyen mesaj veya "spam" yağmuruna tutuyor. Şirketin filtreden geçirdiği mesajların yüzde 80’inde virüs bulunduğu belirtildi.

Solucan türündeki virüsün bir önceki sürümü "Worms-Sober.S" mayıs başında ortaya çıkmıştı. Virüs, FİFA’dan gönderilmiş mesaj görüntüsü veriyordu.

Bilgi güvenliği alanında faaliyet gösteren Symantec, bilgisayar kullanıcılarını, dosyaları şifreleyen ve fidye karşılığı açan ’’Trojan.Pgpcoder’’ adlı zararlı yazılım (Truva atı) konusunda uyardı.

Symantec’ten yapılan açıklamada, internette suçluların şifre
yöntemini kullanarak, dosyaları şifrelediği ve ardından para
karşılığında şifreyi açıkladığını bildirdi.
Tehlike seviyesi 5 üzerinden 1 olarak değerlendirilen
Trojan.Pgpcoder’in, şu an için çok hızlı yayılmadığı belirtilen
açıklamada, bu tehlikenin, kötü niyetli kodları yazanlarla, suç
işleyen toplulukların kar için kesiştikleri noktanın yükselen bir
trend olduğunu göstermesi açısından son derece önem taşıdığı
vurgulandı.
Verilen bilgiye göre, yeni Truva atı, şifreleyeceği ortak
dosyaların listesini arıyor ve ardından bunların orijinallerini yok
ederek, ulaşımı engelliyor. Zararlı kodları yazan kişiler, orijinal
dosyaların şifre çözümlerini belirlenen bir ödeme karşılığında vermeyi
talep ediyor.
Bu yöntemin kullanıldığı saldırının ilk olmadığı da ifade edilen
açıklamada, 2000’li yılların başında AIDS virüsü hakkında bilgi
vereceği belirtilen bir disketin 20 bin PC Business abonesine
gönderildiği, bu disketin bilgisayarların diskini şifrelediği ve şifre
çözümü için Panama’daki bir adrese 200 dolar gönderilmesinin istendiği
kaydedildi.

haberTÜRK

WebCam Virüsü’de çıktı !!!
Microsoft’un güvenlik açıklarını kullanarak bulaşan Rbot-GR virüsü ele geçirdiği web kamerası aracılığıyla bilgisayar korsanlarına görüntü ve ses gönderiyor.

CNet’in online güvenlik firması Sophos’un açıklamasına dayanarak verdiği habere göre internette yayılmaya başlayan Rbot-GR yerleştirdiği truva atı sayesinde hacker’ların makinedeki kredi kartı ve şifre gibi bilgilere erişmesini ve sistemi DOS saldırısı için kullanmasına izin veriyor.

Sophos yetkilileri endüstriyel casusluk amacıyla kullanılması mümkün olan yeni virüs sayesinde bilgisayar korsanının insanların yatak odalarına sızabileceğine de dikkat çekti..

Kameranın ışığına dikkat

Sophos’un baş teknoloji danışmanı Graham Cluley, yeni virüsün profesyonel virüs yazarlarının işi olup olmadığını bilmediklerini ifade ederek., "Tek bildiğimiz Rbot’un, tümü kullanıcıların kişisel bilgilerine uzaktan erişim sağlayan bir kaç yüz farklı versiyonu bulunduğu. Bu son versiyon ise daha da ileri giderek görüntü de topluyor" dedi.

Cluley bu virüsün sistemlerine bulaşıp bulaşmadığını anlayabilmeleri için kullanıcılara kameralarının ışıklı göstergelerine bakmalarını önerdi. Kamera kullanımda olduğu sırada bu ışık aktif hale geliyor. Kameralarında bu tür bir göstergesi olmayan kulllanıcılar ise kötü niyetli kişilere ’malzeme’ vermemek için kullanmadıkları zaman web kameralarını kapatabilir.

Cluley’e göre Rbot-GR, virüs yazarlarının ’eserlerine’ birbirinden değişik özellikler eklemeye başladığını gösteriyor.

Virüsün ismi : Troj/Banker-HH

Tipi : Trojan, Truva atı

Etkilediği sistem : Windows

Aliases(takma,yayilma ismi): PWS-Banker.f

Etkileri:

>> Registery ayarlarinizi bozarar,sistmeinizi caliştirilmaaz duruma getiriyor.

>> Sistem güvenliğini yok ediyor.

Trojan’in antisini indirmek için ;

>>

Kaynak: Sophos Güvenlik Şirketi

Michael Jackson virüsüne dikkat! (14:05 10 Haziran 2005 Cuma)

Michael Jackson ’ın intihar ettiğini iddia eden bir virüs internette yayılıyor.

Kullanıcıların e-posta kutularına düşen mesaj Jackson’un intihar mektubuna link şeklinde tanıtılan bir link veriyor. Bu linke tıklandığında ise hacker’ın kullanıcının bilgisayarına sızabileceği bir arkakapı açılıyor.

Michael Jackson’un adının çocuklara taciz iddialarıyla gündeme gelmesini fırsat bilen hacker’lar 80’li yılların pop yıldızını virüs saldırılarında kullanıyor. Daha önce de Osama bin Ladin ve Paris Hilton’u konu alan benzer virüsler yayılmıştı. Kullanıcıların linki kesinlikle tıklamamaları ve mesajı silmeleri gerekiyor.

source:ntv

Virus Adı : WİNFİLE

Uzantıları : .gy,.exe

Virus Pc ye bulaştığında kendini klasörlere aynı klasör ismiyle .exe veya .gy uzantılarıyla klasör görünümünde kopyalıyor tıkladıgınız da sisteminizin bilgisini veren bazı kesimler bulunuyor, ve her tıkladıgınız klasöre aynı isimle bir klasör daha acıyor .exe uzantılı antivirus programlarının hiç biri bu virusu tanımıyor. hiç bi şekilde silemiyorsunuz. Tek çare Format yada Fdisk arkadaşlar. Daha Çok Mail veya disketlerden bulasıyor

Troj/Kelvir-AT

Prevalence: low hig
Name Troj/Kelvir-AT
Type Trojan

Affected operating systems Windows

Side effects Downloads code from the internet

Protection Download virus identity (IDE) file
Protection available since 28 July 2005 20:28:48 (GMT)
Included in our products from September 2005 (3.97)

W32/Bobax-M

Prevalence: low high
Name W32/Bobax-M
Type Virus

How it spreads Infected files

Affected operating systems Windows

Side effects Turns off anti-virus applications
Sends itself to email addresses found on the infected computer
Forges the sender’s email address
Uses its own emailing engine
Downloads code from the internet

Protection Download virus identity (IDE) file
Protection available since 28 July 2005 13:17:18 (GMT)
Included in our products from September 2005 (3.97)

W32/Agobot-ADH

Prevalence: low high
Name W32/Agobot-ADH
Type Spyware Worm

How it spreads Network shares

Affected operating systems Windows

Side effects Turns off anti-virus applications
Allows others to access the computer
Steals information
Downloads code from the internet
Reduces system security
Records keystrokes

Aliases WORM_AGOBOT.ADH

Protection Download virus identity (IDE) file
Protection available since 6 January 2005 22:10:29 (GMT)
Protection history Updated - 28 July 2005 08:26:35 (GMT)
Published - 6 January 2005 22:10:29 (GMT)

Latest protection included in our products from September 2005 (3.97)

Troj/Ablank-AE

Prevalence: low high
Name Troj/Ablank-AE
Type Spyware Trojan

Affected operating systems Windows

Side effects Modifies data on the computer
Steals information
Reduces system security
Installs itself in the Registry
Exploits system or software vulnerabilities

Aliases Trojan.Win32.StartPage.uz
StartPage-DU.dll
Trojan.StartPage

Protection Download virus identity (IDE) file
Protection available since 28 July 2005 04:50:38 (GMT)
Included in our products from September 2005 (3.97)

Name: W32/Hagbard-A

Type: Worm

How it spreads: Chat programs & Peer-to-peer

Affected operating systems: Windows

Side effects: Allows others to access the computer & Installs itself in the Registry

Aliases: P2P-Worm.Win32.VB.dg & W32.SillyP2P

-------------------------------------------------------------

Name: Troj/Badmaca-A

Type: Trojan

Affected operating systems: Windows

Side effects: Downloads code from the internet

Aliases: Trojan-Downloader.Win32.VB.kv

Kaynak=Sophos

Bir dönem Windows’un en büyük baş belası olan "Bilgisayarınız 60 Saniye içinde kapatılacaktır." kabusu Net-Worm.Win32.Bozori.a ile geri döndü.

Amerikadan yayıldığı düşünülen virüsün kısa bir süre önce de Bozori.b sürümünün çıktığı öğrenildi.Fakat bu sürüm şuan için pek yaygın değil.

Bozori.a ile .b yi karşılaştırırsak pek bir farklarının olmadığını görürüz.İkiside 10 Kb büyüklüğünde fakat bozori.a wintbp.exe oluştururken bozori.b wintbpx.exe oluşturuyor.

Bozori.b’nin zMD5 hashi: 7ef9b103143c15563ee386846fd4db77

Virüsün çalışma mantığı ; sisteme girip buffer overflow açığı oluşturarak services.exe yi etkilemesi.Buda bilgisayarın 60 saniye içinde kapanmasına yol açıyor.

60 saniyeyi durdurmak için ; başlat / çalıştır’a "shutdown -a" (tırnaksız) yazıp enterlamanız yeterli.Tabi daha sonra güncel bir antivirüs programıyla virüsü bilgisayarınızdan silmelisiniz.

**crazyossie** · 28.08.09, 21:06

Seviye : kritik / yüksek risk

Tipi : Trojan

Çalıştığı Sistem : Windows Family

Bilgi : Geçen sene çıkan Bagle isimli virüsün , bu sene bir değişik hali olarak piyasaya çıktı ve durdurulamaz şekilde ilerliyor. Zotob’dan sonra en tehlikeli Virüs/Trojan olarak adlandırılıyor. Bagle bir gün içinde internet trafiğini birbirine kattı. ABD’de bir çok kamu kurum ve kuruluş bilgisayarlarina girdi ve felç etti.

Uptade Zamanı :

Updated - 21 September 2005 13:35:10 (GMT)
Updated - 21 September 2005 04:47:06 (GMT)
Updated - 20 September 2005 2003 (GMT)
Updated - 20 September 2005 15:46:52 (GMT)
Updated - 19 September 2005 23:41:57 (GMT)
Updated - 19 September 2005 21:33:36 (GMT)
Updated - 19 September 2005 17:07:44 (GMT)
Published - 19 September 2005 14:38:48 (GMT
Sisteme Bulaştığı Zaman : <Windows system folder>\wiwshost.exe. Both these files are detected as Troj/BagleDl-U.

isminde bulaşıyor.

Regedit’ de(Kayıt Defterinde) :

Locate the HKEY_LOCAL_MACHINE entry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \

and remove any reference to any file you deleted.

Each user has a registry area named HKEY_USERS\[code number indicating user]\. For each user locate the entry:

ismiyle çıkıyor. Regedit’inizi kontrol ederek bu isimli dosyalari silebilirsiniz.

Bagle’den kurtulmak için Anti-Virüslerinizi sürekli olarak güncelleyiniz.

Sophos Güvenlik Firması Bagle için bir AV hazırladı.

>> http://www.sophos.com/downloads/ide/bagled-u.ide adresinden indirerek korunabilirsiniz

Seviye : Çok yüksek

Tipi : virüs/trojan

Çalıştığı Sistem : Windows Xp/2000/Nt

Arkadaşlar virüs bu gün saat 22.00 civarlarında yayılmaya başlamıştır

Virüs çalışma mantığı dünyada ilk olma yolunda çünkü ilk defa hem virüs hemde trojan olarak çalışıyor ve yapay bir zeka sayesinde bilgisayardaki bütün onemli bilgileri yapımcı olan 8 kişiye gonderiyor yapımcı 8 kişi dendi çünkü virüs bilgileri aldıktan sonra bilgisayar format atıyor ve Atmadan onceki ekran penceresinde yapımcıların nickleri bulunuyor.

Virüsün bulaşma mantığı mail ve bir çok ünlü siteye gizlenen activex ler ile bulaşıyor

Ve yapımcılarında birinin türk olduğunu sanılıyor

Nickler:

Yapımcılar:PeGasus/Pinyata/Demonship/Liveundeat/Pinyati/

Testerlar :Ametal/Bunepta/YasinBaba(bunun Türk Olduğu sanılıyor yada öle hava veriliyor)

Birde bir kaç web sitesi adresi vermişler ama hiç biri çalışmıyor.

Selametle

Kaynak:eTrust Antivirus=Yonetici haberleşme bolumunden.Haberleşmelerden alınan bilgi

Virüsün fazla yayılamıyacağı soyleniyor çünkü tamamıya reklam amaçlı yapılmış olduğu soyleniyor

**crazyossie** · 28.08.09, 21:06

Troj/IRCBot-AG

Seviye: Medium(Orta)

Tipi: Trojan

Çalıştığı Sistem: Windows

Tanım: Troj/IRCBot-AG, windows platformları için bir Trojandir. Troj/IRCBot-AG sürekli olarak arka planda çalışarak,IRC kanalları yardımıyla gizli bir servera davetsiz misafirlerin bilgisyarınıza erişmesini ve kontrol etmesini sağlar.

Etkileri: Başkalarının bilgisayarınıza girmelerine olanak sağlar.
İnternetten kod download eder.
Kendisini Registry içerisine install eder.

Updated: 27 Ekim 2005 14:31:57 (GMT)
Yayılma: 27 Ekim 2005 07:59:16 (GMT)
Koruma: Download Virüs Tanıma IDE Dosyası

Kaynak: Sophos

Backdoor.Banito

Seviye : Orta

Tipi : Trojan

Çalıştığı Sistem : Tüm Windows versionları

Ortaya Çıktığı Tarih - 28 Kasım 2005

0510 PM (GMT)

Backdoor.Banito

Bu virus hem trojan hemde keylogger amaçlı yazılmış... Kullandiginiz makinenin sistem özelliklerini hemde donanım özelliklerini kötü amaçlı kullanıcılara yollarak uzaktan makinenize girebilme görevini görüyor...

Sisteme Bulaştığı Zaman : <Windows system folder>"%Windir%\lemonyt.exe" olarak diskte yer aliyor...

Virusu silmek içinse HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ActiveX Key degerini silmek gerekiyor ve de sistem geri yükleme yi kapatmak gerekiyor...

W32/Eyeveg-M

Seviye : Orta

Sınıfı : Spyware Worm

Yayılış Tarzı : E-mail Mesajları

Çalıştığı Sistem : Windows platformları

Ortaya Çıktığı Tarih : 29 Eylül 2005 14:21:55 (GMT)

Takma Adları :

Worm.Win32.Tanatos.p
W32/Eyeveg.worm.gen
W32.Lanieca.H@mm
WORM_WURMARK.P
Daha Falza Bilgi :

Teknik Detay :
W32/Eyeveg-M solucanı windwos işltetim sistemlerinde işe yarayan bir solucandır.W32/Eyeveg-M bilgisayardan bilgisayara e mail gönderme yolu ile bulaşır.Solucan e mail zip dosyası olarak gelmekte ve zip dosyası indirildiği zaman sisteme yerleşmektedir.Solcuna kendini DLL dosyası olarak sistem dosyalarına kayıt etmeyi ve çalışmayı dener.Req edit kayıt ise şöyledir:

Konu Bilgileri
	Konu Başlığı Yeni Virusler: Bilgi & Tanim	Konudaki Cevap Sayısı 52
	Şuan Bu Konuyu Görüntüleyenler	Görüntülenme Sayısı 17530

Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)