|
Virüs nedir? nasıl bulaşır? nasıl temizlenir? virüslerden korunma? Virüs Tanımı Virüs, bir bilgisayara disketler, ağ paylaşımı, Internet (e-mail, dosya indirme) yollarıyla girebilen ve bilgisayarlarda istenmeyen sonuçlara ve zararlara yol açan bir bilgisayar programıdır. Virüslerin en önemli özelliği; girdikleri sistemlere kendilerini, kullanıcı farkında olmadan veya iradesi dışında çalıştırılacağı şekilde yerleştirmesi ve sistemlere zarar vermesidir. Virüsler genel olarak etkilerini diğer çalışan programlara bulaşarak onlarda çeşitli değişiklikler yaparak gösterirler. Virüslerin bir diğer özelliği ise kendilerini çoğaltmaları ve hafızada değişik yerlere kaydetmeleridir. Virüslerin etkileri ekranınıza rahatsızlık veren mesajlar çıkararak çalışmanızı engellemesi olabilabileceği gibi, bilgisayarın hafızasını ve disk alanını kullanarak erişiminizi engellemeleri veya kullandığınız dosyaların içeriklerini bozmaları veya silmeleri gibi oldukça zararlı etkileri de olabilir. Virüs Nasıl Anlaşılır ve Temizlenir? Anti-virüs yazılımı olmadığı şartlarda bilgisayarınızda virüs olduğunu ancak virus etkisini gösterdikten sonra anlayabilirsiniz. Bir virüsün etkileri bilgisayarda yavaşlama, Windows uygulamalarında hata mesajları (system fault, application error, missing files), bilgisayarın kilitlenmesi, DOS işletim sistemine dönmesi, bazı dosyaların açılmaması, değişik sesler veya bilgisayarınızın isteğiniz dışında işlemler yapmaya başlaması şeklinde görülebilir. Bu durumda bir anti-virüs programı kullanarak bilgisayarın virüsten temizlenmesi gerekmektedir. Virüsün bilgisayara geri dönülmez hasarlar vermiş olduğu durumlarda temizleme her zaman başarılı olmayabilir. Kullanılan anti-virüs yazılımlarının buldukları virüsleri silmeleri veya bulaştıkları dosyalardan temizlenmeleri mümkün olmaması da karşılaşılan bir durumdur. Anti-virüs yazılımlarının tarama işlemi sonrasında virüs bulamaması bilgisayarda virüs olmadığını değil, tarama işleminde kullanılan anti-virüs programlarının tanıdığı virüslerin bulunmadığını gösterebilir. Bu durumda kullanılan anti-virüs programının güncellenmesi veya daha güncel başka bir anti-virüs yazılımının kullanılması uygun olacaktır. Virusden Korunma Virüsler bilgisayarınıza bulaşmadan önce önlem almak ve baştan koruma sağlamak için McAfee Anti-Virus, Norton AntiVirus, F-Prot, Dr. Solomon's Anti-Virus Toolkits vs. gibi programları bilgisayarınıza henüz herhangi bir virüs sorunu ile karşılaşmamışken kurmanız gerekmektedir. Ayrıca aşağıdaki sitelerden virüslerle, en yeni virus uyarıları hakkında detaylı bilgi bulabilirsiniz. http://www.virus.com http://www.mcafeeb2b.com/avert/virus-alerts/default.asp http://www.mcafeeb2b.com/naicommon/...us-glossary.asp http://www.symantec.com/avcenter/vinfodb.html http://www.symantec.com/avcenter/ http://www.securityfocus.com/ http://www.microsoft.com/technet/security/virus.asp http://www.antivirus.com Güncel Virusler W32/Gaobot W32/SoberD W32/Bagle.E W32/Netsky.B W32/Mydoom W32/Bagle.A W32/SoberA W32/MimailC W32/Holar W32/Blaster W32/Nachi W32/Sobig.F WW32/Dumaru W32/Mimail W32/Gaobot Virüs Tanımı : Internet solucanı MS03-026, MS03-001, MS03-007 ve MS03-049 açıklarını kullanarak bilgisayarı etkilemektedir. Belirtiler: Beklenmeyen açık portlar kayıt dosyasındaki varlığı Güvenlik programların çalışmaması Korunma Yöntemi: Virüsten korunmak için yapılması gerekenler. Windows işletim sistemi güncelemelerini mutlaka yapınız. Bilgisayarda bulunan her kullanıcının şifresinin en az 8 karakter uzunluğunda olmasına ve içinde büyük harf, küçük harf, rakam ve özel karakterlerin bulunmasına özen gösteriniz. Kullanılmayan windows paylaşımlarının kesinlikle kapatılması gerekmektedir. Bunun yanında varsayılan yönetici paylaşımlaırnın da HKLM\System\CurrentControlSet\Services\LanmanServe r\Parameters\AutoShareWks (REG_DWORD) 0 verisi kayıt dosyasına işlenerek (registry) durdurulmalıdır. Windows paylaşımın kullanımının zorunlu olduğu durumlarda paylaşım parola korumalı olmalıdır. Paylaşımın parolasız olması durumunda bilgisayaraınız virüse karşı korumasızdır. Teknik özellikler: Kendisini %System%\wuamps.exe olarak kopyalıyor. Windows açıldığında kod çalışması için aşağıdaki değeri; kayıt (registry) dosyasında belirtilen yerlere yazıyor; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\ wuamps.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce wuamps.exe Guvenlik yazilimlarini calismasini durduruyor. Asagida belritilen baska Internet solucanlari tafindan kullanilan surecleri duruduruyor taskmon.exe bbeagle.exe d3dupdate.exe winsys.exe ssate.exe i11r54n4.exe rate.exe irun4.exe Ssate.exe wuamps.exe Asağıdaki siteler bağlantı yapılmasını engellemek icin "host" olarak ilgili verileri giriyor. www.trendmicro.com www.rads.mcafee.com www.customer.symantec.com www.liveupdate.symantec.com www.us.mcafee.com www.updates.symantec.com www.update.symantec.com www.nai.com www.secure.nai.com www.dispatch.mcafee.com www.my-etrust.com www.mast.mcafee.com www.ca.com www.networkassociates.com www.kaspersky.com www.avp.com www.f-secure.com www.viruslist.com www.mcafee.com www.sophos.com www.securityresponse.symantec.com www.symantec.com Önceden belirlenmiş IRC sitesine baglanmaya calışıyor ve oradan alacağı komutları uyguluyor. Komutlar asagidaki işlemleri sağlamaktadır: Sistem hakkida bilgi edinmek Dosya indirmek ve calıştırmak FTP sitelerine bağlanıp dosya yüklemek SSH kullanarak baska sistemlere bağlanmak Çalışan programları durdurmak E-posta adresleri toplamak SOCKS proxy olarak calışmak Yukarda belirtilen açıkkları olan bilgisayaları ağda arıyor. Asağıdaki paylaşımlara kullanıcı adı ve parola deniyerek bağlanmaya calışıyor. admin$ c$ d$ e$ print$ W32/SoberD Virüs Tanımı : Toplu e-posta atan bir virustür. Ancak bazı sürümleri virüs içermeyen bozulmuş dosyalar göndermektedir. Aşağıdaki özelliklerde geliyor: Kimden: Info@microsoft.com Center@microsoft.com UpDate@microsoft.com News@microsoft.com Help@microsoft.com Studio@microsoft.com *]Alert@microsoft.com Security@microsoft.com Konu: Microsoft Alarm: Bitte Lessen! Microsoft Alert: Please Read! Metin: Mydoom virüsünün yeni bir varyantından bahsediyor. Eklenti: sys-patch MS-UD MS-Security Patch Update MS-Q .exe ya da .zip uzantılı. Belirtiler: Aşağıdaki dosyaların varlığı. diagwinhost.exe Humgly.lkur Htemp32x.data Hwintmpx33.dat Hyfjq.yqwm Hzmndpgwf.kxx Etkileme Yöntemi: E -posta eklentisinin çalıştırılıması. Teknik özellikler: Virüs çalıştırıldığında: Kendisini %System%\diagwinhost.exe olarak kopyalıyor. Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor %System%\temp32x.data %System%\wintmpx33.dat %System%\mslog32.dll %System%\Humgly.lkur %System%\yfjq.yqwm %System%\zmndpgwf.kxx Windows açıldığında kod çalışması için aşağıdaki değeri; kayıt (registry) dosyasında belirtilen yerlere yazıyor; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ Run\disc32data "spool32" = %SYSDIR%\diagwinhost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ RunOnce "diagdir" = %SYSDIR%\diagwinhost.exe %1 Aşağıdaki mesajı görüntülüyor. This patch has been successfully installed. This patch does not need to be installed on this system. Microsoft Windows STOP: 0x80070725 {FatalSystemError} System File [filename].exe Connection lost or blocked by Firewall Aşağıdaki dosyalardan e-posta adresleri topluyor ve %system%\mslog32.dll dosyasına kaydediyor. .abd .adb .asp .dbx .doc .eml .ini .log .mdb .php .pl .rtf .shtml .tbb .ttt .txt .wab .xls W32/Bagle.E Virüs Tanımı Toplu e-posta gönderen bir virüstür. 25 Mart 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır.Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir. Konu: Accounts department Ahtung! Camila Daily activity report Flayers among us Freedom for everyone From Hair-cutter From me Greet the day Hardware devices price-list Hello my friend Hi! Jenny Jessica Looking for the report Maria Melissa Monthly incomings summary New Price-list Price Price list Proclivity to servitude Registration confirmation The account The employee The summary USA government abolishes the capital punishment Weekly activity report Well... You are dismissed You really love me? he he Mesaj içeriği Boş Eklenti: "Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb Belirtiler: 2745 TCP portunun açık olması Etkileme Yöntemi: E-posta eklentisinin çalıştırılıması. Teknik özellikler: Virüs çalıştırıldığında: Sistem zamanın 24 Mart 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor. Kendisini %system%\i1ru74n4.exe olarak kopyalıyor. notepad.exe'yi çalıştırıyor. Windows açıldığında kod çalışması için aşağıdaki değerleri; HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, rate.exe"="%System%\i1ru74n4.exe HKEY_CURRENT_USER\SOFTWARE\DateTime4, "uid" = "[Random Value]" HKEY_CURRENT_USER\SOFTWARE\DateTime4, "port"="2745" HKEY_CURRENT_USER\SOFTWARE\DateTime4, "frun" = "1" kayıt (registry) dosyasında belirtilen yerlere yazıyor; Aşağıdaki dosyalardan e-posta adresleri topluyor. .wab .txt .htm .html .dbx .mdx .eml .nch .mmf .ods .cfg .asp .php .pl .adb .sht Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor. Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor. permail.uni-muenster.de www.songtext.net/de www.sportscheck.de Aşağıdaki antivirüs güncellemelerini saplayan süreçleri durduruyor. ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVLTMAIN.EXE AVPUPD.EXE AVWUPD32.EXE AVXQUAR.EXE CFIAUDIT.EXE DRWEBUPW.EXE ICSSUPPNT.EXE ICSUPP95.EXE LUALL.EXE MCUPDATE.EXE NUPGRADE.EXE OUTPOST.EXE UPDATE.EXE W32/Netsky.B Virüs Tanımı: Toplu e-posta gönderen bir virüstür. P2P paylaşımıyla da yayılmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir. Kimden: etkilenmiş makineden toplanmış e-posta adreslerinden yaratılmış e-posta adresleri skynet@skynet.de Konu: fake for hello hi immediately information it read something stolen unknown warning you Mesaj içeriği: about me anything ok? do you? that's funny from the chatter greetings here here is the document. here it is here, the cheats here, the introduction here, the serials i found this document about you I have your password! i hope it is not true! i wait for a reply! i'm waiting ok information about you is that from you? is that true? is that your account? is that your name? kill the writer of this document! my hero read it immediately! read the details. reply see you something about you! something is fool something is going wrong something is going wrong! stuff about you? take it easy that is bad thats wrong why? what does it mean? yes, really? you are a bad writer you are bad you earn money you feel the same you try to steal your name is wrong Eklenti: "Eklenti" isimleri de değişken olmaktadır ancak iki uzantılıdır. Belirtiler: Beklenmeyen ağ trafiği Etkileme Yöntemi: E-posta eklentisinin çalıştırılıması. Teknik özellikler: Virüs çalıştırıldığında: Kendisini %Windir%\services.exe olarak kopyalıyor. Windows açıldığında kod çalışması için aşağıdaki değerleri; HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, "service" = "%Windir%\services.exe -serv" kayıt (registry) dosyasında belirtilen yerlere yazıyor; Aşağıdaki kayıt dosyalarından. "Taskmon" ve "Explorer" değerlerini HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunServices "KasperskyAV" ve "System." değerlerini HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run W32/Mydoom arka kapısını kapatmak için HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 siliyor Aşağıdaki dosyalardan e-posta adresleri topluyor. .msg .oft .sht .dbx .tbb .adb .doc .wab .asp .uin .rtf .vbs .html .htm .pl .php .txt .eml Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor. "C"den "Z"ye kadar tüm sürücüleri tarıyıp "Sharing" veya "Share" isimli dizin arıyor. Eğer sürücü CDROM değilse kendisini ağağıdakşi isimlerle dizine kopyalıyor. doom2.doc.pif sex sex sex sex.doc.exe rfc compilation.doc.exe dictionary.doc.exe win longhorn.doc.exe e.book.doc.exe programming basics.doc.exe how to hack.doc.exe max payne 2.crack.exe e-book.archive.doc.exe virii.scr nero.7.exe eminem - lick my pussy.mp3.pif cool screensaver.scr serial.txt.exe office_crack.exe hardcore porn.jpg.exe angels.pif porno.scr matrix.scr photoshop 9 crack.exe strippoker.exe dolly_buster.jpg.pif winxp_crack.exe W32/Mydoom Virüs Tanımı : Toplu e-posta atan bir virustür. Kimden: Konu: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Metin: Eklenti: doc.bat document.zip message.zip readme.zip text.pif hello.cmd body.scr test.htm.pif data.txt.exe file.scr Belirtiler: Aşağıdaki kayıt(registry) dosyalarının varlığı Anlamsız eklentinin içeriği Etkileme Yöntemi: E-posta eklentisinin çalıştırılıması sonucu kendi SMPT motoru yardımı ve P2P paylaşımları yoluyla yayılıyor. Teknik özellikler: Virüs çalıştırıldığında: aşağıdaki dosyaları yaratıyor. "shimgapi.dll" %System% dizininde. "Message" %temp% dizinde. Notepad tarafından açılan tamamen tesadüfi karakterlerden oluşmuş bir metindir. "taskmon.exe" %System% dizinde. Başka bir taskmon.exe varsa üzerine yazıyor. shimgapi.dll arka kapı olarak çalışan proxy programıdır. Shimgapi.dll EXPLORER.EXE tarafından çalıştırılması için aşağıdaki kayıt (registry key) anahtarları girilir: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll Windows açıldığında kod çalışması için aşağıdaki değeri; TaskMon = %System%\taskmon.exe kayıt (registry) dosyasında belirtilen yerlere yazıyor; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ Run Aşağıdaki kayıt dosyalarını yaratır: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ Explorer\ComDlg32\Version KEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Explorer\ ComDlg32\Version Aşağıdaki dosyalardan e-posta adresleri topluyor. ".htm" ".sht" ".php" ".asp" ".dbx" ".tbb" ".adb" ".pl" ".wap" ".txt" Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor. Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor. www.sco.com %KaZaA dizinine iki dosya daha yaratıyor. winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004 aşağıdaki uzantlarla pif scr bat exe W32/Bagle.A Virüs Tanımı: Toplu e-posta gönderen bir virüstür. 28 Ocak 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir. Konu: Hi Mesaj içeriği: Test =) Rastgele karakterler Test, yep. Eklenti: "Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb Belirtiler: 6777 TCP portunun açık olması bbeagle.exe dosyasını Sistem dizinide bulunması. Etkileme Yöntemi: E-posta eklentisinin çalıştırılıması. Teknik özellikler: Virüs çalıştırıldığında: Sistam zamanın 28 Ocak 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor. Kendisini %system%\bbeagle.exe olarak kopyalıyor. Calc.exe'yi çalıştırıyor. Windows açıldığında kod çalışması için aşağıdaki değerleri; HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Run, "d3update.exe" = "%system%\bbeagle.exe" HKEY_CURRENT_USER\Software\Windows98, "uid" = "[Random Value]" HKEY_CURRENT_USER\Software\Windows98, "frun" = "1" kayıt (registry) dosyasında belirtilen yerlere yazıyor; Aşağıdaki dosyalardan e-posta adresleri topluyor. ".wab" ".txt" ".htm" ".html" Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor. Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor. www.elrasshop.de www.it-msc.de www.getyourfree.net www.dmdesign.de 64.176.228.13 www.leonzernitsky.com 216.98.136.248 216.98.134.247 www.cdromca.com www.kunst-in-templin.de vipweb.ru antol-co.ru www.bags-dostavka.mags.ru www.5x12.ru bose-audio.net www.sttngdata.de wh9.tu-dresden.de www.micronuke.net www.stadthagen.org www.beasty-cars.de www.polohexe.de www.bino88.de www.grefrathpaenz.de www.bhamidy.de www.mystic-vws.de www.auto-hobby-essen.de www.polozicke.de www.twr-music.de www.sc-erbendorf.de www.montania.de www.medi-martin.de vvcgn.de www.ballonfoto.com www.marder-gmbh.de www.dvd-filme.com www.smeangol.com W32/SoberA Virüs Tanımı : Toplu e-posta atan bir virustür. Aşağıdaki özelliklerde geliyor: Kimden: Değişken Konu: Neuer Virus im Umlauf! Sie versenden Spam Mails (Virus?) Ein Wurm ist auf Ihrem Computer! Langsam reicht es mir Sie haben mir einen Wurm geschickt! Hi Schnuckel was machst du so ? VORSICHT!!! Neuer Mail Wurm Re: Kontakt RE: Sex Sorry, Ich habe Ihre Mail bekommen Hi Olle, lange niks mehr gehört! Re: lol Viurs blockiert jeden PC (Vorsicht!) Überraschung Ich habe Ihre E-Mail bekommen ! Jetzt rate mal, wer ich bin !? Neue Sobig Variante (Lesen!!) Back At The Funny Farm Ich Liebe Dich New internet virus! You send spam mails (Worm?) A worm is on your computer! Now, it's enough You have sent me a virus! Hi darling, what are you doing now? Be careful! New mail worm Re: Contact RE: Sex Sorry, I've become your mail Hey man, long not see you Viurs blocked every PC (Take care!) Surprise I've become your mail! Advise who I am! New Sobig-Worm variation (please read) I love you (I'm not a virus!) Metin: Değişken, ancak genelde Odin isminde başka bir virüsten bahsediyor Eklenti: .pif .scr .bat .com .exe Belirtiler: Aşağıdaki dosyaların varlığı. Media.dll Similare.exe Etkileme Yöntemi: E-posta eklentisinin çalıştırılıması. Teknik özellikler: Virüs çalıştırıldığında: Kendisini %System%\Similare.exe olarak kopyalıyor. Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor %SysDir%\WINREG.EXE %SysDir%\FILEXE.EXE %SysDir%\ANTIV.EXE %SysDir%\SYSTEMINI.EXE %SysDir%\DRIVERINI.EXE %SysDir%\SYSTEMCHK.EXE Windows açıldığında kod çalışması için aşağıdaki değeri; " Belirtilen dosyalardan birisi" = "Belirtilen konumlardan birsi" kayıt (registry) dosyasında belirtilen yerlere yazıyor; KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\ Run Aşağıdaki dosyalardan e-posta adresleri topluyor ve aşağıdaki dosyaya kaydediyor. %System%\Macromed\Help\Media.dll W32/MimailC Virüs Tanımı : Toplu e-posta atan bir virustür. Aşağıdaki özelliklerde geliyor: Kimden: James@bulundugunuz alan adı Konu: our private photos (Bir miktar boşlıktan sonra bir kaç karakter daha) Eklenti: PHOTOS.ZIP (12,958 bytes) (PHOTOS.JPG.EXE (12,832 bytes) dosyasını içeriyor) Metin: Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James. Belirtiler: vEXE.TMP ve ZIP.TMP dosyalarını varlığı Güvenllik duvarının NETWATCH.EXE Internet bağlantı kurmaya çalışıyor alarmı vermesi. Yüksek ölçekte uzaktaki sunucunun 80.portuna doğru veri akışı. Etkileme Yöntemi: E-posta eklentisinin çalıştırılıması Teknik özellikler: Virüs çalıştırıldığında: Kendisini %Windir%\Netwatch.exe olarak kopyalıyor. Windows açıldığında kod çalışması için aşağıdaki değeri; "NetWatch32" = "%Windir%\netwatch.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion \Run Aşağıdaki dosyalardan e-posta adresleri topluyor. ".bmp" ".jpg" ".gif" ".exe" ".dll" ".avi" ".mpg" ".mp3" ".vxd" ".ocx" ".psd" ".tif" ".zip" ".rar" ".pdf" ".cab" ".wav" ".com" Topladığı e-posta adreslerini %Windir%\eml.tmp dosyasına yazıyor. Internet bağlantısı olup olmadığını kontrol etmek için www.google.com adresine bağlantı kurmayı deniyor. Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor. Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor. www.darkprofits.net www.darkprofits.com %Windir% dizinine iki dosya daha yaratıyor. zip.tmp Exe.tmp W32/Holar Virüs Tanımı : Toplu e-posta gönderen Internet solucanı, P2P dosya paylaşımları yoluyla da yayılmaktadır. E-posta Aşağıdaki özelliklerde geliyor: Kimden: Dispatch@McAfee.com Konu: Bir çok değişik konu ve içerik oluşturabilmekte, bir örnek vermek gerekirse Virus Alert ! Dear User, McAfee.com Has recieved an infected message from you . We believe that you are infected with Win32/HaWawi@MM Virus. Please download the attached tool (ToolAv01w32) which will help you to clean your PC. For more information : *Create an email addressed to virus_research@nai.com. Your name, phone number, address, and email address Operating system: Antivirus program: Anti virus engine version (e.g. 4.1.20) DAT file version (e.g. 4.0.4140) Browser version Nature of problem ALINTIDIR |
eline saglik bilginede |
→ Virüs nedir? nasıl bulaşır? nasıl temizlenir? virüslerden korunma? Ya bizim ana sayfamız 'Heydex' bunu kaç kere düzeltmeye çalıştım düzelmiyor çözümü sizde varsa bir zahmet cevaplayabilirmisiniz artık sıkıldım |
→ Virüs nedir? nasıl bulaşır? nasıl temizlenir? virüslerden korunma? Allah aşkına bir yardım edin bu heydex nedir kardeşim ya siliyoz siliyoz gitmiyo, şimdi söylenmez, ..... karılardan mesajlar geliyo falan? Nooldu beğenmedinmi diyolar yardım edin |
| Bütün Zaman Ayarları WEZ +3 olarak düzenlenmiştir. Şu Anki Saat: 15:06 . |
2000- 2025
Tüm bağışıklıklar ve idelerden bağımsız olan sözcükleri sarfetmeye mahkumdur özgürlük