Virüsler,Trojanlar Ve Diğer Zararlılar -II |
11-20-2007 | #1 |
RaHaTSiZ
|
Virüsler,Trojanlar Ve Diğer Zararlılar -IIZararlı Adı : W32Deletemusic(Symantec),W32/Deletemp3worm(McAfee) Etkilenen Sistemler : Windows Verdiği Zararlar : Girdiği PC’deki tüm mp3 dosyalarını silme Nasıl Korunulur : Yayılmayı önlemek için sürücülerin otomatik çalışma (autorun) özelliğinin kapatılması ve her zaman olduğu gibi antivirüs yazılımlarının güncel tutulması ------------------------------------------------------------------- Haber// Symantec tarafından W32Deletemusic, McAfee tarafından W32/Deletemp3worm olarak adlandırılan solucan sadece girdiği bilgisayardaki tüm mp3 dosyalarını siliyor Tehlike düzeyi düşük ancak son derece sinir bozucu bu solucan, bilgisayara bağlanan sürücüler üzerinden yayılıyor Buna flash sürücüler ve CD/DVD, disket gibi çıkarılabilir medyalar da dahil Solucan çalıştığında aşağıdaki dosyaları oluşturuyor: %System%\\config\\csrssexe %Windir%\\media\\arenaexe %System%\\logonbat %System%\\config\\àutoruninf W32Deletemusic tüm Windows sürümlerinde etkili Yayılmayı önlemek için sürücülerin otomatik çalışma (autorun) özelliğinin kapatılması ve her zaman olduğu gibi antivirüs yazılımlarının güncel tutulması öneriliyor Link 1 İngilizce http://wwwsymanteccom/security_response/writeupjsp?docid=2007-073010-4123-99&tabid=2 Link 2 İngilizce http://arstechnicacom/newsars/post/20070803-average-pc-is-a-smorgasboard-for-a-new-mp3-eating-trojanhtml Link 3 İngilizce http://mp3aboutcom/b/a/000004htm link-4(Türkçe) http://rss2bildirimnet/2007/08/05/ Link 5 Türkçe http://wwwolymposorg/haberler/mp3/muzik-kutuphanenizi-yiyen-kurtcuk-w32-deletemusic-285424html Zararlı Adı :TrojanPidiefA Etkilenen Sistemler :XP,IE7 Verdiği Zararlar :PDF açılırsa ve güvenlik açığından etkileniliyorsa, Windows’un savunmasını düşürerek başka zararlı kodları indirip yayılıyor Nasıl Korunulur ? : http://wwwadobecom/support/security/bulletins/apsb07-18html Adobe güvenlik açıkları için yama çıkarmıştı: --- Adobe firması Reader ve Acrobate yazılımlarındaki güvenlik açıkları için günler sonra yeni bir Truva atı bu açıklardan yararlanmayı hedefliyor TrojanPidiefA adı verilen zararlı kodun, spesifik firmalara eposta ile gönderildiğini, hedeflenmiş saldırılar gerçekleştirildiğini yazıyor Truva atı konu başlığı "invoice", "statement" veya "bill" gibi yazılar içeriyor ve ekte benzer isimde bir PDF dosyası içeriyor Eğer PDF açılırsa ve güvenlik açığından etkileniliyorsa, Windows’un savunmasını düşürerek başka zararlı kodları indirip yayılıyor Sadece Windows XP ve IE7 kullanıcılarını etkileyen açık ilk olarak 20 Eylül’de Gnucitizen web sitesi tarafından keşfedilmişti Adobe güvenlik açıkları için yama çıkarmıştı http://wwwadobecom/support/security/bulletins/apsb07-18html Kaynak; http://wwwadobecom/support/security/bulletins/apsb07-18html Zararlı Adı : Troj/Dloadr-BEX Etkilenen Sistemler : Windows Nasıl Bulaşır : web tarama Zararları : internetten kod indirmek İlk Görüldüğü Tarih : 27 Ekim 2007 14:50:34 Nasıl Korunulur : http://wwwsophoscom/downloads/ide/dloa-bexide Zararlı Adı : W32/Chilin-A Etkilenen Sistemler : Windows Zararları : - Bilgi Çalar - internetten kod indirmek - Registry de kendine kurmak İlk Görüldüğü Tarih : 27 Ekim 2007 Nasıl Korunulur : http://wwwsophoscom/downloads/ide/chilin-aide AdwareNavipromoBYT Yayılma: Yüksek Zarar verme: Orta Boyut: approx 300K Bulunma tarihi: 2007 Ekim 26 Belirtiler: İnternet Explorer(yada diğer borowserlar) çalışmıyorken pop-up eklentiler olarak görünebilir Teknik Detaylar: AdwareNavipromo, bulaştığı makineda gizlice çalışan, temizlenmesi zor gelişmiş bir adawaredir Sistem hafızasında, dosyalarında ve registry girdilerinde çalışmak için Rootkid teknolojisini kullanır Zararlı, aşağıda belirtilen sitelerden indirilen bazı yazılımlarla paket olarak gelir ve bu yazılımlarla birlikte kurulur <hide>netgameboxcom <hide>ediaplayercom <hide>planetcom <hide>skinnercom <hide>strocom <hide>cordcom <hide>ngerskinnercom Birinci çalışmasında, sistem klasörü içinde rasgele belirlenmiş dosya isimleri ile çalıştırılabilir ve daha sonra gizlilik içinde çalışacaktır Bu gizli işlem, Explorerexe de çalışan kütüphane dosyasına yerleşir (msclockdll or msplockdll ) Adaware, bulaştığı sistemden URL’leri ziyaret eder ve disk üzerinde saklanır ve onları bir servere gönderir Daha sonra bu URL leri eklentiler ile ilişkilendirerek bulaştığı sistemde pop-up pencereler gibi görüntülenmesini sağlar İnternette transfer yapılması esnasında, çeşitli dosyaları sistem klasöründe oluşturur Onların isimleri rasgele olarak belirlenerek aşağıda belirlenen uzantılarla ve herhangi bir kullanıcının görmeyeceği şekilde oluşturulur dat _navdat _navpsdat _navupdat _navtmpdat _m2sxml AdwareNavipromo, aşağıda belirtilen registry anahtarını oluşturabilir HKEY_LOCAL_MACHINE\\Software\\mc Bu adaware hakkında bilgiyi içeren, aşağıdaki registry anahtarını ekler(aynı zamanda gizlidir) [random_name] = "%system%\\[random_name]exe" Ve aşağıdaki anahtarlardan birine HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\C urrentVersion\\Run Temizleme için, Bitdefender programını update ederek kullanabilirsiniz TrojanBATDelSysd Virüs’ün diğer isimleri: TrojanBATDelSysd (Kaspersky Lab) is also known as: QDel146 (McAfee), BatDelsysTrojan (Symantec), TrojanDelSys (Doctor Web), Troj/QDel146 (Sophos), Trojan:BAT/DelSysD (RAV), TROJ_DELSYSD (Trend Micro), TR/BatDelSysD (H+BEDV), BV:DelSys (ALWIL), TrojanVirtoolsGenesis3A (SOFTWIN), Trj/DelSysD (Panda) Tanımlanma tarihi: 26102007 Davranış: Trojan Teknik detaylar: Bu trojan bir payload (zararlı yüklü) bir trojandır BAT uzantılı bir dosyadır ve 4644 byte kapasiteye sahiptir Zarar: Sisteme bulaştığında aşağıdaki mesajı gösterir D I L E M M A ============= You now have the DILEMMA Virus on your computer Any attempt to shut down your system or bypass the virus at this point will cause BOTH options to activate Choose your fate below 1 Randomly Delete Some Files 2 Make A Mess Of Your C:\\ Directory Ve bu trojan sistemdeki c:\\windows\\system adresindeki dll uzantılı tüm dosyaları silecektir Yukarıdaki mesajda geçen 2 seçeneği seçtiğinizde C: sürücüsünde aşağıdaki dosya isimlerindeki dosyaları oluşturur C:\\JAHAJKH C:\\JHDGYD C:\\EWWER C:\\WEWER C:\\WRWERWER C:\\STORMMAKER C:\\AASDAS C:\\BFBB C:\\QQWERD C:\\SDFSV C:\\SFSDFS C:\\WWEWE C:\\FGDFSADA C:\\SDSSTY C:\\ASWDD C:\\QQWERF C:\\VVBGTD C:\\OOIKM C:\\FGTYH C:\\FRCDFR C:\\SWDEXD C:\\VFGRT C:\\RBNHH C:\\QWSXXZ C:\\SDSDTY C:\\UIYUHH C:\\FDGFGDF C:\\DFGDFVFG C:\\JJUIK C:\\MMNHBG C:\\XCDSEW C:\\ERRFDC C:\\QASWX C:\\BVGHYT C:\\TNMJKIU C:\\BGHYTG C:\\BVGTFR C:\\ZZXSW C:\\LLOU C:\\DSSFS C:\\WEWEE C:\\WWEW C:\\SDFSXCX C:\\VBGTFC C:\\NHJUYHG C:\\AASWD C:\\AXDCD C:\\BGVFR C:\\CFGTR C:\\DESXC C:\\EEFDR C:\\FFGTRE C:\\GHJUY C:\\HUJYG C:\\IJKUG C:\\JKNHBG C:\\KIJBGT C:\\LKIJN C:\\MNJHVV C:\\NBHGY C:\\OPLK C:\\PKIJU C:\\QQWSD Ve aşağıdaki mesajın gösterilmesine neden olur C:\\ IS NOW TRASHED !!! Temizleme: Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın 1- Orijinal trojan dosyasını silin 2- C: sürücüsünde oluşturulmuş aşağıdaki dosyaları silin C:\\JAHAJKH C:\\JHDGYD C:\\EWWER C:\\WEWER C:\\WRWERWER C:\\STORMMAKER C:\\AASDAS C:\\BFBB C:\\QQWERD C:\\SDFSV C:\\SFSDFS C:\\WWEWE C:\\FGDFSADA C:\\SDSSTY C:\\ASWDD C:\\QQWERF C:\\VVBGTD C:\\OOIKM C:\\FGTYH C:\\FRCDFR C:\\SWDEXD C:\\VFGRT C:\\RBNHH C:\\QWSXXZ C:\\SDSDTY C:\\UIYUHH C:\\FDGFGDF C:\\DFGDFVFG C:\\JJUIK C:\\MMNHBG C:\\XCDSEW C:\\ERRFDC C:\\QASWX C:\\BVGHYT C:\\TNMJKIU C:\\BGHYTG C:\\BVGTFR C:\\ZZXSW C:\\LLOU C:\\DSSFS C:\\WEWEE C:\\WWEW C:\\SDFSXCX C:\\VBGTFC C:\\NHJUYHG C:\\AASWD C:\\AXDCD C:\\BGVFR C:\\CFGTR C:\\DESXC C:\\EEFDR C:\\FFGTRE C:\\GHJUY C:\\HUJYG C:\\IJKUG C:\\JKNHBG C:\\KIJBGT C:\\LKIJN C:\\MNJHVV C:\\NBHGY C:\\OPLK C:\\PKIJU C:\\QQWSD 3- İşletim sisteminin dosyalarını onarın bunun için Sorunlar-Çözümler (sayfa3) başlığına, nasıl yapıldığına dair bilgi eklemiştim yada şu yöntemi deneyin Başlat >> Çalıştır >> Sfc /scannow yazıp enterların sizden XP CD si istediğinde Cd sürücüsüne yerleştirin Sistem dosyaları onarılacaktır 4- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın TrojanBATDelSysc Virüs’ün diğer isimleri: TrojanBATDelSysc (Kaspersky Lab) is also known as: Bat/qd224 (McAfee), Trojan Horse (Symantec), Troj/Delsys-I (Sophos), Trojan:BAT/DelSysC* (RAV), BAT_DELSYSC (Trend Micro), TR/DelSysC1 (H+BEDV), BV:Ns (ALWIL), BATTrojanDelSysI (SOFTWIN), Trj/DelSysC (Panda) Tanımlanma tarihi: 26102007 Davranış: Trojan Teknik detaylar: Bu trojan bir payload (zararlı yüklü) bir virüstür BAT uzantılı bir dosyadır ve 2087 byte kapasiteye sahiptir Zarar: Trojan, bulaşmak için c:/windows\\command\\mshbios yolunu başlatır Daha sonra c:\\autoexecbat dosyasına bir komut ekleyerek C: sürücüsüne format attırır Ve bir de sistem klasörüne aşağıdaki 1239 byte boyutundaki dosyayı oluşturur %WorkDir%\\Tracetxt Trojan Çince mesaj içeriği olan bir mesaj ekranı görüntüler Temizleme: Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın 1- Orijinal trojan dosyasını silin 2- Sistem klasörü içindeki aşağıdaki dosyayı silin %WorkDir%\\Tracetxt 3- C:\\autoexecbat dosyasındaki format C: komutunu silin 4- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın TrojanBATDelSysb Virüs’ün diğer isimleri: TrojanBATDelSysb (Kaspersky Lab) is also known as: Bat/fff (McAfee), BatDelsysTrojan (Symantec), Troj/Delsys-B (Sophos), Trojan:BAT/DelsysB* (RAV), BAT_DELSYSB (Trend Micro), TR/BatDelSysB (H+BEDV), BAT/DelSys@troj (FRISK), BV:Nj (ALWIL), BATTrojanDelSysB (SOFTWIN), BAT/DelsysB (Panda), BAT/DelSysB (Eset) Tanımlanma tarihi: 26102007 Davranış: Trojan Teknik detaylar: Bu trojan bir payload (zararlı yüklü) bir virüstür BAT uzantılı bir dosyadır ve 523 byte kapasiteye sahiptir Zarar: Trojan, c:\\windows\\system\\ adresinden “dll”, “cpl”, “ocx” ve “vxd” uzantılı dosyaları siler Ve c:\\windows\\ adresinden “exe” ve “ini” Trojan, c:\\progra~1\\intern~1\\ Adresinden dosya ismi“I” harfi ile başlayan dosyaları siler Ve aşağıda belirtilen dosyaları siler c:\\configsys c:\\msdossys c:\\windows\\system\\systemdat c:\\windows\\system\\userdat Ve bu trojan aşağıdaki mesajı içeren bir ekran görüntüler HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA YOUR COMPUTER IS FFFFFFFUUUUCCCCCKKKKKKKKKKKKKEEEEDDDDDDD HAVE A NICE DAY ASSHOLE PRINCE DAVID STRIKES AGAIN Temizleme: Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın 1- Orijinal trojan dosyasını silin 2- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın Trojan-DownloaderVBSSmallfa Keşfedilme tarihi: 24 Eylül 2007 Update kurtarımı: 24 Eylül 2007 Tanımlanma tarihi: 26102007 Davranış: TrojanDownloader Teknik detaylar: Trojan, internet paylaşımı ile bulaştığı sistemdeki kullanıcının bilgisi ve rızası olmadan diğer trojan dosyalarını yükler Bu trojan Visual Basic Script dili ile yazılmıştır Ve boyutu 1506 byte’tır Zarar: Aşağıdaki Url’den ActiveX XMLHTTP’deki açığı kullanan exploiti download eder http://o1o1***com/goto/topexe İndirilen bu dosya 29840 byte kapasitesindedir Trojan-DownloaderWin32Satrayu gibi bu dosyada KAV antivirüs ile temizlenecektir Eğer ilk olarak download edilen dosyanın 2 byte’lik “MZ” trojanı “ADODBStream” daki açığı kullanarak güncel kullanıcıların açılış klasörüne topexe yi kaydeder %Temp%\\topexe Trojan 5 saniye kadar sistemi kilitleyecektir Daha sonra download edilen dosya çalışmaya başlayacaktır Temizleme: Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın 1- Orijinal trojan dosyasını silin 2- Aşağıdaki dosyayı silin %Temp%\\topexe 3- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın AdwareLopBJ Yayılma: Orta Zarar verme: Yüksek Boyut: 1 MB Bulunma tarihi: 2007 Ekim 30 Belirtileri: DoomPlayer %WINDOWS%\\\\Program Files\\\\ klasörü içindedir Teknik detayları: Program, sizin paranızı onlara vermeniz için sosyal muhendislik yöntemlerini kullanır Virüs sisteme şu şekilde bulaşır; Torrent sitelerinden bir videoyu genellikle çok iyi bilinen video isimlerini kullanarak indirmek istersiniz (TV showları yada sahte bir isimde olabilir) ve indirdikten sonra videoyu izlemek istediğinizde size bu videoyu izleyemeyeceğinize ve bu video formatını destekleyen bir media player olan Doomplayer’i indirmeniz gerektiğinie dair bir bilgilendirme gelir Güya bu dosya formatı sadece Doomplayer tarafından açılabiliyor Doomplayer’i indirdikten sonra, şu işlemler gerçekleşir Bu installer aparatı smswakenetse sitesşne bağlanır Bu link şu şekilde olacaktır smswakenetse/sms_purchasephp?AppName=DomPlayer[]MacName=XX-XX-XX-XX-XX-XX (yazılan mac adresi temsili olarak verilmiştir) Sizin konumunuz bulunacak, IP adresiniz kullanılacak ve ülkenize uygun telefon hattına yönlendirecek ve bu hatta SMS göndermenizi sizden isteyecektir Tabi bu SMS size extra ücrete mal olacaktır Eğer ülkeniz bu listede değil ise, size 3wPlayer media izleyicisini indirmenizi önerecektir 3wPlayer programı paket halinde bir trojanla (TrojanFatObfus) gelen bilinen kötü bir media oynatıcı programıdır Temizleme için, Bitdefender programını update ederek kullanabilirsiniz http://wwwbitdefendercom/virus-1000221-en--adwarelopbjhtml |
Cevap : Virüsler,Trojanlar Ve Diğer Zararlılar -II |
11-20-2007 | #2 |
sprc_06
|
Cevap : Virüsler,Trojanlar Ve Diğer Zararlılar -IItşk ler güzel paylaşım bende zaten pc donanım yazılımda calsıyorum bunlar mevcut bızde ama payllaşman ok guzel alıntı galıba :D:sm_sleep::sm_cool: |
|