Virüsler,Trojanlar Ve Diğer Zararlılar.

Zararlı Adı : W32/Virut-M
Etkilenen Sistemler :Windows
Verdiği Zararlar : sisteme diğer bilgisayarlardan giriş için izin verir
Nasıl Korunulur : http://wwwsophoscom/downloads/ide/virut-mide



Zararlı Adı :W32/IRCBot-YC
Etkilenen Sistemler :Windows
Verdiği Zararlar :
-sisteme diğer bilgisayarlardan giriş için izin verir
-bilgi çalar
-internetten kod indirir
-Registry’de kendini kurar
-exploit sistemleri yada yazılımları savunmasız bırakır
Nasıl Korunulur :http://wwwsophoscom/downloads/ide/ircbo-ycide
Nasıl Yayılır :Ağ Paylaşımı



AdwareWebhancer
Yayılma: Düşük
Zarar verme: Düşük
Boyut: ~187000
Bulunma tarihi: 2007 Ekim 01

Belirtileri: Webhancer internet bağlantısına etki eden bir spywaredir Virüs, windows LSP’ni değiştirerek internet browser’inde yardım objesi oluşturur LPS, Katmanlı Hizmet Sağlayıcı (Layered Service Provider) olarak bilinen yazılım Windows TCP/IP’nin içine gömülerek bir zincir içerisinde kullanılır Ancak LSP’nin bozulması veya silinmesi durumunda bu zincir çalışmaz hale gelir ve internet erişimi kesilir Ağ aktivitelerini kontrol ederken ve internet bağlantı geçmişi hakkında bilgi toplarken internetin yavaşlamasına neden olur SP2’li işletim sistemlerden önceki sürümlerde elle bu uygulamanın ağdan kaldırılamaz
Teknik açıklama:
Disk üzerinde şu konumlarda bulunur;

C:\\Program Files\\webHancer\\Programs\\licensetxt
C:\\Program Files\\webHancer\\Programs\\readmetxt
C:\\Program Files\\webHancer\\Programs\\sporderdll
C:\\Program Files\\webHancer\\Programs\\wbhsharedll
C:\\Program Files\\webHancer\\Programs\\whAgentexe
C:\\Program Files\\webHancer\\Programs\\whAgentini
C:\\Program Files\\webHancer\\Programs\\whiehlprdll
C:\\Program Files\\webHancer\\Programs\\whieshmdll
C:\\WINDOWS\\webhdlldll
C:\\WINDOWS\\whAgentinf
C:\\WINDOWS\\whInstallerexe
C:\\WINDOWS\\whInstallerini
Ve şu registry girdilerini oluşturur
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{c90 0b400-cdfe-11d3-976a-00e02913a9e0}
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Interface\\ {C89435B0-CDFE-11D3-976A-00E02913A9E0}
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\TypeLib\\{C 8CB3870-CDFE-11D3-976A-00E02913A9E0}
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WhIeHelperO bjWhIeHelperObj
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WhIeHelperO bjWhIeHelperObj1
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\webHancer
*
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Service s\\WS2IFSL
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Uninstall\\webHancer Agent
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\Browser Helper Objects\\{c900b400-cdfe-11d3-976a-00e02913a9e0}

Temizleme için bitdefender programını kullanabilirsiniz




Zararlı Adı : W32/Hoxe-B
Etkilenen Sistemler : Windows
Verdiği Zararlar : Registry’de kendini kurar
Nasıl Korunulur : http://wwwsophoscom/downloads/ide/hoxe-bide
Nasıl Yayılır : Ağ Paylaşımı




Zararlı Adı: Win32/PinfiA nam-ı diğer Win32/PariteA, Win32/Pariteb, W32/Pateb

Etkilenen Sistemler:Windows

Verdiği Zararlar:
-Sisteme diğer bilgisayarlardan giriş için izin verir
-Bilgi çalar
-Registry de kendini kurar
Virüs ilk aktif olduğunda rastgele bir isimle kendini temporary dosyası olarak kaydeder; C:\\\\WINDOWS\\\\TEMP\\\\gs1905TMP gibi Exe ve scr uzantılı dosyalara bulaşır Şu registry girdisini oluşturması beklenir: HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Wind ows\\\\CurrentVersion\\\\Explorer\\\\PINF

Nasıl Korunulur: CA eTrust Antivirüs virüsü bulup kolayca temizliyor




Win32WormAutorunerCD
Yayılma: Düşük
Zarar verme: Düşük
Boyut: 123
Bulunma tarihi: 2007 Ekim 02

Belirtileri: Bu worm, aşağıda listelenen klasörlerde rasgele isimlerle çalışır
Program Files
Program Files\\Common Files\\System
Program Files\\Common Files\\Microsoft SharedSecurity
İzlenen yazılımı umulmadık bir şekilde sonlandırır
Windows update servisini durdurur Gizli dosyaları önceden görüntülenebildikleri halde Explorer tarafından görüntülenemezler
Teknik açıklama:
Bu zararlı yazılımın iki kötü niyetli davranışı mevcuttur
1- Worm, kendini tüm disklere kopyalayarak yayılmaya çalışır ve kopyalandığı disklerde autoruninf dosyası oluşturur Özellikle o an etkin olarak kullanılan çıkarılabilir disklere etki eder
2- Worm, ikinci bir zararlıyı önceden ayarlanmış bir URL’den download eder ve çalışıtırır Ve birde hazır olarak çalışan güvenlik dosyalarını, izleme programlarını ve bunlara bağlı olarak oluşturulan registry girdilerini bu download ettiği zararlı ile sona erdirir
Sona erdireceği dosyaların listesi aşağıdadır
Rasexe
avpcom
avpexe
runiepexe
PFWexe
FYFireWallexe
rfwmainexe
rfwsrvexe
KAVPFexe
KPFW32exe
nod32kuiexe
nod32exe
Navapsvcexe
Navapw32exe
avconsolexe
webscanxexe
NPFMntorexe
vsstatexe
KPfwSvcexe
RavTaskexe
Ravexe
RavMonexe
mmskexe
WoptiCleanexe
QQKavexe
QQDoctorexe
EGHOSTexe
360Safeexe
iparmoexe
adamexe
IceSwordexe
360rptexe
360trayexe
AgentSvrexe
AppSvc32exe
autorunsexe
avgrssvcexe
AvMonitorexe
CCenterexe
ccSvcHstexe
FileDstyexe
FTCleanerShellexe
HijackThisexe
Iparmorexe
isPwdSvcexe
kabaloadexe
KaScrScnSCR
KASMainexe
KASTaskexe
KAV32exe
KAVDXexe
KAVPFWexe
KAVSetupexe
KAVStartexe
KISLnchrexe
KMailMonexe
KMFilterexe
KPFW32Xexe
KPFWSvcexe
KRegExexe
KRepaircom
KsLoaderexe
KVCenterkxp
KvDetectexe
KvfwMclexe
KVMonXPkxp
KVMonXP_1kxp
kvolexe
kvolselfexe
KvReportkxp
KVScankxp
KVSrvXPexe
KVStubkxp
kvuploadexe
kvwscexe
KvXPkxp
KvXP_1kxp
KWatchexe
KWatch9xexe
KWatchXexe
loaddllexe
MagicSetexe
mcconsolexe
mmqczjexe
nod32krnexe
PFWLiveUpdateexe
QHSETexe
RavMonDexe
RavStubexe
RegCleanexe
rfwcfgexe
RfwMainexe
RsAgentexe
Rsaupdexe
safeliveexe
scan32exe
shcfg32exe
SmartUpexe
SREngEXE
symlcsvcexe
SysSafeexe
TrojanDetectorexe
Trojanwallexe
TrojDiekxp
UIHostexe
UmxAgentexe
UmxAttachmentexe
UmxCfgexe
UmxFwHlpexe
UmxPolexe
UpLiveexe
upieaexe
ASTexe
ArSwpexe
USBCleanerexe
rstruiexe
QQLiveUpdateexe
QQUpdateCenterexe
Timwpexe
QQSCexe

Kayıt defterinde hata ayıklayıcı olarak belirtilen anahtarı oluşturur (sistemimize sık sık virüs bulaşması durumunda karşılaştığımız güya hata ayıklama mesajları için oluşturulur Tabi bu mesajlarda yazılanlarda gene sisteme verilecek bir zararın göstergesidir)
Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\

Ve aşağıda belirtilen güvenlik programlarının bileşenlerini ve Windows Update işleminin açılışta çalışmasını sağlayan registry girdilerinide siler
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\ \{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\ \{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Mini mal\\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Netw ork\\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\\CurrentControlSet\\Services\\wscsvc
SYSTEM\\CurrentControlSet\\Services\\wuauserv
SYSTEM\\CurrentControlSet\\Services\\RSPPSYS
SYSTEM\\ControlSet001\\Services\\wscsvc
SYSTEM\\ControlSet001\\Services\\wuauserv

Worm gizli dosya ayarları ve otomatik çalıştırma seçeneklerini değiştirir bundan dolayı Windows explorer’da gizli dosyalar görüntülenemez ve otomatik çalışma aktif hale gelir

Temizleme için Bitdefender programını kullanabilirsiniz ve yukarıda verilen registry girdilerini silebilirsiniz




WormWin32Skipia

Belirleme tarihi: Eylül 09 2007 18:15 GMT
Açıklama Tarihi: 2 Ekim 2007
Davranış: İnternet worm
Teknik detayları:
Bu worm skype yoluyla yayılır, virüslü mesajlar sykpe yüklü tüm makinalardan gönderilecektir Bu worm bir Windows exe dosyası şeklindedir ve 188,416 byte kapasiteli, C++ dilinde yazılmıştır
Gizli olarak çalışma özelliğine sahip Worm aşağıda belirtilen dosyayı açarak resim izleme programını kullanır
%WinDir%\\Soap Bubblesbmp
Sistem klasörü altında açılışta çalıştırılabilir dosya olarak aşağıda listelenen dosya isimleri ile kopyalanır
%System%\\wndrivsexe
%System%\\mshtml32exe
%System%\\sdrives32exe
%System%\\winlgcverexe
Worm sistem açılışında her biri otomatik olarak çalıştırılabilen dosyalar olarak düzenlenmesi için aşağıdaki registry girdilerini oluşturur

[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunOnce]
"Start Services" = "%WormCopy%"

[HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
"Windows Explorer" = "explorerexe %WormCopy%"
"Logon Data" = "%WormCopy%"

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\policies\\Explorer\\Run]
"Policies Settings" = ""
Ve birde şu registry girdisini oluşturur
[HKLM\\Software\\RMX\\cfg]
Skype yazılımını kullanan bu virüs, kullanan kişilerin listelerine ekli olan kişilere aşağıdaki mesajları gönderir
Hey
how are u ?
look
your photos looks realy nice
where I put ur photo
I used photoshop and edited it
look what crazy photo Tiffany sent to me
haha lol
now u populr
really funny
you checked ?
oops sorry please don’t look there :S
oh sry not for u
u happy ?
this (happy) sexy one
what ur friend name wich is in photo ?
labas
esi?
ziurek kur tavo foto imeciau
kaip as taves noriu
zek kur tavo foto metos isdergta
cia tu isimetei ?
cia biski su photoshopu pazaidziau bet
kas cia tavim taip isderge ? =]]
patinka?
geras ane ?
matai
as net nezinau ka tavo vietoj daryciau
:S
pala biski
Bu mesajların devamında gelen bir link bu worm’u içerir
Aşağıda, bu diyalogla ilgili bir örnek verelim

[17:59:05] User says: how are u ?
[17:59:22] User says: look what crazy photo Tiffany sent to me,looks cool
[17:59:26] User says: http://www%InfectedURL%jpg
[17:59:37] User says: oops sorry please don’t look there :S [17:59:40] User says:

Virüsten etkilenmiş makine internete bağlandığı zaman, aşağıdaki adreslere bağlanmaya çalışır
http://www****meorg/erotic-gallerys/usr5d8c/****jpg (at the time of writing, this link was not working)
http://www****spacenet/erotic-gallerys/usr5d8c/****scr - this file is 188 416 bytes in size, and will be detected by Kaspersky Anti-Virus as WormWin32Skipic
Ve birde makineya bağlanan flash belleklere bulaşarak yayılmaya çalışır Worm kendini açılış klasörüne aşağıdaki dosya isimleriyle kopyalar
gameexe
zjbsexe
Ve flas bellek açılış klasörünün içine “autoruninf” olarak adlandırılan bir dosya oluşturur Dosyanın kapsadığı kodlar aşağıdaki şekildedir
[autorun]
action=Windows Picture and Fax Viewer
open=zjbsexe
icon=zjbsexe
Worm sistemdeki %System%\\drivers\\etc\\hosts dosyasını da değiştirir Bilinen önemli güvenlik sitelerine bağlantı yapılmasına engel olur Ve açılışta çalışan güvenlik programının uygulama dosyalarının çalışmasına engel olur

Temizleme:
KAV antivirüs programını update edin, KAV virüsü silecektir
Ama sisteminde KAV yada baka bir antivirüs olmayan kullanıcılar aşağıdaki işlemleri yaparak virüsü sistemlerinden silebilirler
1- Bilgisayarınızı resetleyin ve güvenli modan açtırın (açılışta F8 tuşuna bastığınızda gelen seçeneklerden güvenli mod seçeneğini seçerek yapabilirsiniz)
2- Orijinal worm dosyasını silin(bu virüs bulaşmış sistemdeki worm’un içine işlediği orijinal program dosyasıdır
3- Worm’un oluşturduğu aşağıdaki tüm dosyaları silin;
%System%\\wndrivsexe
%System%\\mshtml32exe
%System%\\sdrives32exe
%System%\\winlgcverexe

4- Aşağıdaki regedit kayılarını silin (regedite girmek için Başlat >> Çalıştır >> Regedit yazın enterlayın ve herhangi bir soruna karşı yedekleyin Bunun içinde Düzen menüsünden ver seçeneğini seçmeniz yeterli olacaktır)
[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunOnce]
"Start Services" = "%WormCopy%"

[HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
"Windows Explorer" = "explorerexe %WormCopy%"
"Logon Data" = "%WormCopy%"

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\policies\\Explorer\\Run]
"Policies Settings" = "

[HKLM\\Software\\RMX\\cfg]
5- Sistemdeki %System%\\drivers\\etc\\hosts dosyasını değiştirin Dosyanın orijinal şekli aşağıdaki gibidir Notepad ile dosyayı açtıktan sonra aşağıdaki şekilde değiştirip kaydetmeniz yeterlidir
# Copyright (c) 1993-1999 Microsoft Corp
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows
# This file contains the mappings of IP addresses to host names Each
entry should be kept on an individual line
#The IP address should be placed in the first column followed by the
corresponding host name
#The IP address and the host name should be separated by at least one
space
# # Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ’#’ symbol
# For example:
# # 102549497 rhinoacmecom # source server
# 38256310 xacmecom # x client host
127001 localhost
6- Sisteme bağlanan flash bellek içindeki açılış klasöründeki aşağıdaki dosyaları silin Eğer dosyaları göremiyorsanız Denetim masası >> Klasör seçenekleri >> Görünüm menüsünden gizli dosyaları gösteri aktifleştirin ve korunan sistem dosyalarını gizle seçeneğini kaldırın
gameexe
zjbsexe
autoruninf
7- Sisteminizdeki antivirüs yazılımını update yapın ve sisteminizi tekrar taratın

http://wwwviruslistcom/en/viruses/encyclopedia?virusid=21780235





TrojanWin32StartPageau

Diğer isimleri : TrojanWin32StartPageau (Kaspersky Lab) is also known as: StartPage-CH (McAfee), TrojanStartPage (Symantec), TrojanStartPage (Doctor Web), Trojan:Win32/StartPageAU (RAV), TROJ_STARTPAGEO (Trend Micro), TR/StartPageAU (H+BEDV), Win32:Trojan-gen (ALWIL), Startpage3BI (Grisoft), TrojanDropperRute (SOFTWIN), TrojanStartpage-162 (ClamAV), Trojan Horse (Panda), Win32/StartPageNAZ (Eset)
Açıklama Tarihi: 2 Ekim 2007
Davranış: Trojan
Teknik detayları:
Bu trojan bilinçsiz kullanıcıların yada sistemlerine bulaşmış olan kullanıcıların Microsoft İnternet Explorer ayarlarını değiştirir Bir DLL dosyasıdır ve boyutu 5,120 byte’dır
Kurulum:
Bu trojanın etki ettiği makinada diğer trojanlar kurulumuna izin verir Etki ettiği anda sistemde şu dosyayı oluşturur

%WinDir%\\hhhtt

Ve trojanın sistem açılışında çalışması için aşağıdaki regedit kayıtlarını oluşturur

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Run]"Control" = "rundll32exe C:\\WINDOWS\\system32\\ctrlpandll,Restore ControlPanel"
[HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows]"AppInit_DLLs" = "ctrlpandll"
Trojan sistemde şu regedit kayıtlarını oluşturur

[HKLM\\Software\\Microsoft\\Internet Explorer\\Styles]
"Use My Stylesheet" = "1"
"User Stylesheet" = "%WinDir%\\hhhtt"

[HKCU\\Software\\Microsoft\\Internet Explorer\\Main]
"Start Page" = http://aifindinfo/
"Search Page" = http://aifindinfo/
"Search Bar" = http://aifindinfo/

[HKCU\\Software\\Microsoft\\Internet Explorer]
"SearchURL" = http://aifindinfo/

Kullanıcıların sık kullanılanlarına aşağıdaki dosyları ekler;

!!! Exclusive Youngest Porn !!!url
80 old daddies brutally f**king their daughtersurl
CENSORED YOUNGEST PORNurl
Fresh XXX pics & movieurl
f**king Young Virginz !!!url
Innocent Girls Brutally f**kedurl
Little Bitches Getting f**kedurl
MSNcomurl
Virgin Girls in Actionurl
XX yo girls getting brutally f**ked by huge dickurl
Young Masha sucking huge dick until her lips teared openurl
Youngest Girls Onlyurl
Youngest Hardcore Actionurl
Host dosyasına aşağıdaki satırı ekler

20517712466 autosearchmsncom

Temizleme:
KAV antivirüs programını update edin, KAV virüsü silecektir
Ama sisteminde KAV yada baka bir antivirüs olmayan kullanıcılar aşağıdaki işlemleri yaparak virüsü sistemlerinden silebilirler
1- Orijinal Trojan dosyasını silin ( sistemde bulunan orijinal dosyanın içine işlediği dosya)
2-Aşağıdaki regedit kaydını silin (regedite girmek için Başlat >> Çalıştır >> Regedit yazın enterlayın ve herhangi bir soruna karşı yedekleyin Bunun içinde Düzen menüsünden ver seçeneğini seçmeniz yeterli olacaktır)

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Run]
"Control" = "rundll32exe C:\\WINDOWS\\system32\\ctrlpandll,Restore ControlPanel"
3- Aşağıdaki regedit kaydını değiştirin,
[HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows]
"AppInit_DLLs" = "ctrlpandll"
Normalde olması gereken şu şekildedir
"AppInit_DLLs" = " "
4- Ve aşağıdaki kayıtları eski haline çevirin;
[HKLM\\Software\\Microsoft\\Internet Explorer\\Styles]
"Use My Stylesheet" = "1"
"User Stylesheet" = "%WinDir%\\hhhtt"
[HKCU\\Software\\Microsoft\\Internet Explorer\\Main]
"Start Page" = http://aifindinfo/
"Search Page" = http://aifindinfo/
"Search Bar" = "http://aifindinfo/"
[HKCU\\Software\\Microsoft\\Internet Explorer]
"SearchURL" = http://aifindinfo/
5- Aşağıdaki dosyayı silin,
%WinDir%\\hhhtt
6- Sık kullanılanlar’daki aşağıdaki dosyları silin,
!!! Exclusive Youngest Porn !!!url
80 old daddies brutally f**king their daughtersurl
CENSORED YOUNGEST PORNurl
Fresh XXX pics & movieurl
f**king Young Virginz !!!url
Innocent Girls Brutally f**kedurl
Little Bitches Getting f**kedurl
MSNcomurl
Virgin Girls in Actionurl
XX yo girls getting brutally f**ked by huge dickur
Young Masha sucking huge dick until her lips teared openurl
Youngest Girls Onlyurl

7- Sistemdeki %System%\\drivers\\etc\\hosts dosyasını değiştirin Dosyanın orijinal şekli aşağıdaki gibidir Notepad ile dosyayı açtıktan sonra aşağıdaki şekilde değiştirip kaydetmeniz yeterlidir
# Copyright (c) 1993-1999 Microsoft Corp
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows
# This file contains the mappings of IP addresses to host names Each
entry should be kept on an individual line
#The IP address should be placed in the first column followed by the
corresponding host name
#The IP address and the host name should be separated by at least one
space
# # Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ’#’ symbol
# For example:
# # 102549497 rhinoacmecom # source server
# 38256310 xacmecom # x client host
127001 localhost
8-Sisteminizdeki antivirüs yazılımını update yapın ve sisteminizi tekrar taratın

http://wwwviruslistcom/en/viruses/encyclopedia?virusid=38205




Email-WormVBSSmalln
Açıklama Tarihi: 2 Ekim 2007
Davranış: Trojan
Teknik detayları:

Bu worm, enfekte edilmiş mesajların atacment olarak internet üzerinden gönderilmesi ile yayılır Enfekte edilmiş mesajlar, virüsün etki ettiği makinedan e-mail adreslerine toplu olarak gönderilir Worm, 1 310 byte kapasitesindedir Ve Visual Basic Script dili ile yazılmıştır

Sisteme kurulumu:
Sisteme bulaştığı zaman, Windows açılış klasöründe aşağıdaki dosyayı oluşturur
%WinDir%\\Troyanvbs
Otomatik olarak sistem açılışında çalışması için kayıt defterinde aşağıdaki anahtarı oluşturur
[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunServices]
"E-Mail" = "%WinDir%\\Troyanvbs"
Worm, kendisini otomatik olarak adres defterine ekli olan tüm mail adreslerine gönderir Virüs birde uzak kötü niyetli kullanıcılara hedef makinaya bu worm’un bulaştığını bildirir Mesajlarına *pwl uzantılı bir dosya ekler Bu dosya kullanıcı parolalarını içerir

Toplu olarak gönderilen mesajın içeriği aynen şöyledir

Başlık
Prinosim izveneniya
Ve mesajda yazılanlar;
Prinosim izvineniya za lichnoye bespokoistvo Prosim vas vyislat’ Vash login i parol’ (zhelatel’no bez lishnikh simvolov) na adres: support@inboxru dlya povtornoi identifikatsii Zaranee spasibo…"

Mesajı gönderen kötü niyetli kullanıcının e mail adresine örnek olarak (*****Snake@inboxru) verebiliriz
Gönderilen mesaja bir örnekte şu şekildedir
Başlık
Lam grokhnut!!!

Mesaj içeriği
Vot fail s parolyami <imya pol’zovatelya>

Ve atachment dosyası adı
<imya pol’zovatelya>,pwl

Temizleme:
KAV antivirüs programını update edin, KAV virüsü silecektir
Ama sisteminde KAV yada baka bir antivirüs olmayan kullanıcılar aşağıdaki işlemleri yaparak virüsü sistemlerinden silebilirler
1- Orjinal trojan dosyasını silin,
2-Aşağıdaki regedit kaydını silin (regedite girmek için Başlat >> Çalıştır >> Regedit yazın enterlayın ve herhangi bir soruna karşı yedekleyin Bunun içinde Düzen menüsünden ver seçeneğini seçmeniz yeterli olacaktır)
[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunServices]
"E-Mail" = "%WinDir%\\Troyanvbs"
3- Aşağıdaki worm dosyasını silin
%WinDir%\\Troyanvbs
4- Sisteminizdeki antivirüs yazılımını update yapın ve sisteminizi tekrar taratın