Virüsler,Trojanlar Ve Diğer Zararlılar.
 

Zararlı Adı : W32/Virut-M
Etkilenen Sistemler :Windows
Verdiği Zararlar : sisteme diğer bilgisayarlardan giriş için izin verir
Nasıl Korunulur : http://www.sophos.com/downloads/ide/virut-m.ide



Zararlı Adı :W32/IRCBot-YC
Etkilenen Sistemler :Windows
Verdiği Zararlar :
-sisteme diğer bilgisayarlardan giriş için izin verir
-bilgi çalar
-internetten kod indirir
-Registry’de kendini kurar
-exploit sistemleri yada yazılımları savunmasız bırakır
Nasıl Korunulur :http://www.sophos.com/downloads/ide/ircbo-yc.ide
Nasıl Yayılır :Ağ Paylaşımı



Adware.Webhancer
Yayılma: Düşük
Zarar verme: Düşük
Boyut: ~187000
Bulunma tarihi: 2007 Ekim 01

Belirtileri: Webhancer internet bağlantısına etki eden bir spywaredir. Virüs, windows LSP’ni değiştirerek internet browser’inde yardım objesi oluşturur. LPS, Katmanlı Hizmet Sağlayıcı (Layered Service Provider) olarak bilinen yazılım Windows TCP/IP’nin içine gömülerek bir zincir içerisinde kullanılır. Ancak LSP’nin bozulması veya silinmesi durumunda bu zincir çalışmaz hale gelir ve internet erişimi kesilir. Ağ aktivitelerini kontrol ederken ve internet bağlantı geçmişi hakkında bilgi toplarken internetin yavaşlamasına neden olur. SP2’li işletim sistemlerden önceki sürümlerde elle bu uygulamanın ağdan kaldırılamaz.
Teknik açıklama:
Disk üzerinde şu konumlarda bulunur;

C:\\Program Files\\webHancer\\Programs\\license.txt
C:\\Program Files\\webHancer\\Programs\\readme.txt
C:\\Program Files\\webHancer\\Programs\\sporder.dll
C:\\Program Files\\webHancer\\Programs\\wbhshare.dll
C:\\Program Files\\webHancer\\Programs\\whAgent.exe
C:\\Program Files\\webHancer\\Programs\\whAgent.ini
C:\\Program Files\\webHancer\\Programs\\whiehlpr.dll
C:\\Program Files\\webHancer\\Programs\\whieshm.dll
C:\\WINDOWS\\webhdll.dll
C:\\WINDOWS\\whAgent.inf
C:\\WINDOWS\\whInstaller.exe
C:\\WINDOWS\\whInstaller.ini
Ve şu registry girdilerini oluşturur.
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{c90 0b400-cdfe-11d3-976a-00e02913a9e0}
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Interface\\ {C89435B0-CDFE-11D3-976A-00E02913A9E0}
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\TypeLib\\{C 8CB3870-CDFE-11D3-976A-00E02913A9E0}
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WhIeHelperO bj.WhIeHelperObj
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WhIeHelperO bj.WhIeHelperObj.1
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\webHancer
*
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Service s\\WS2IFSL
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Uninstall\\webHancer Agent
*
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\Browser Helper Objects\\{c900b400-cdfe-11d3-976a-00e02913a9e0}

Temizleme için bitdefender programını kullanabilirsiniz.




Zararlı Adı : W32/Hoxe-B
Etkilenen Sistemler : Windows
Verdiği Zararlar : Registry’de kendini kurar
Nasıl Korunulur : http://www.sophos.com/downloads/ide/hoxe-b.ide
Nasıl Yayılır : Ağ Paylaşımı




Zararlı Adı: Win32/Pinfi.A nam-ı diğer Win32/Parite.A, Win32/Parite.b, W32/Pate.b

Etkilenen Sistemler:Windows

Verdiği Zararlar:
-Sisteme diğer bilgisayarlardan giriş için izin verir
-Bilgi çalar
-Registry de kendini kurar
Virüs ilk aktif olduğunda rastgele bir isimle kendini temporary dosyası olarak kaydeder; C:\\\\WINDOWS\\\\TEMP\\\\gs1905.TMP gibi. .Exe ve .scr uzantılı dosyalara bulaşır. Şu registry girdisini oluşturması beklenir: HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Wind ows\\\\CurrentVersion\\\\Explorer\\\\PINF

Nasıl Korunulur: CA eTrust Antivirüs virüsü bulup kolayca temizliyor




Win32.Worm.Autoruner.CD
Yayılma: Düşük
Zarar verme: Düşük
Boyut: 123
Bulunma tarihi: 2007 Ekim 02

Belirtileri: Bu worm, aşağıda listelenen klasörlerde rasgele isimlerle çalışır.
Program Files
Program Files\\Common Files\\System
Program Files\\Common Files\\Microsoft SharedSecurity
İzlenen yazılımı umulmadık bir şekilde sonlandırır.
Windows update servisini durdurur. Gizli dosyaları önceden görüntülenebildikleri halde Explorer tarafından görüntülenemezler.
Teknik açıklama:
Bu zararlı yazılımın iki kötü niyetli davranışı mevcuttur.
1- Worm, kendini tüm disklere kopyalayarak yayılmaya çalışır ve kopyalandığı disklerde autorun.inf dosyası oluşturur. Özellikle o an etkin olarak kullanılan çıkarılabilir disklere etki eder.
2- Worm, ikinci bir zararlıyı önceden ayarlanmış bir URL’den download eder ve çalışıtırır. Ve birde hazır olarak çalışan güvenlik dosyalarını, izleme programlarını ve bunlara bağlı olarak oluşturulan registry girdilerini bu download ettiği zararlı ile sona erdirir.
Sona erdireceği dosyaların listesi aşağıdadır.
Ras.exe
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
RavTask.exe
Rav.exe
RavMon.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
upiea.exe
AST.exe
ArSwp.exe
USBCleaner.exe
rstrui.exe
QQLiveUpdate.exe
QQUpdateCenter.exe
Timwp.exe
QQSC.exe

Kayıt defterinde hata ayıklayıcı olarak belirtilen anahtarı oluşturur. (sistemimize sık sık virüs bulaşması durumunda karşılaştığımız güya hata ayıklama mesajları için oluşturulur. Tabi bu mesajlarda yazılanlarda gene sisteme verilecek bir zararın göstergesidir.)
Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\

Ve aşağıda belirtilen güvenlik programlarının bileşenlerini ve Windows Update işleminin açılışta çalışmasını sağlayan registry girdilerinide siler.
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\ \{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\ \{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Mini mal\\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Netw ork\\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\\CurrentControlSet\\Services\\wscsvc
SYSTEM\\CurrentControlSet\\Services\\wuauserv
SYSTEM\\CurrentControlSet\\Services\\RSPPSYS
SYSTEM\\ControlSet001\\Services\\wscsvc
SYSTEM\\ControlSet001\\Services\\wuauserv

Worm gizli dosya ayarları ve otomatik çalıştırma seçeneklerini değiştirir bundan dolayı Windows explorer’da gizli dosyalar görüntülenemez ve otomatik çalışma aktif hale gelir.

Temizleme için Bitdefender programını kullanabilirsiniz ve yukarıda verilen registry girdilerini silebilirsiniz.




Worm.Win32.Skipi.a

Belirleme tarihi: Eylül 09 2007 18:15 GMT
Açıklama Tarihi: 2 Ekim 2007
Davranış: İnternet worm
Teknik detayları:
Bu worm skype yoluyla yayılır, virüslü mesajlar sykpe yüklü tüm makinalardan gönderilecektir. Bu worm bir Windows exe dosyası şeklindedir ve 188,416 byte kapasiteli, C++ dilinde yazılmıştır.
Gizli olarak çalışma özelliğine sahip Worm aşağıda belirtilen dosyayı açarak resim izleme programını kullanır.
%WinDir%\\Soap Bubbles.bmp
Sistem klasörü altında açılışta çalıştırılabilir dosya olarak aşağıda listelenen dosya isimleri ile kopyalanır.
%System%\\wndrivs.exe
%System%\\mshtml32.exe
%System%\\sdrives32.exe
%System%\\winlgcver.exe
Worm sistem açılışında her biri otomatik olarak çalıştırılabilen dosyalar olarak düzenlenmesi için aşağıdaki registry girdilerini oluşturur.

[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunOnce]
"Start Services" = "%WormCopy%"

[HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
"Windows Explorer" = "explorer.exe %WormCopy%"
"Logon Data" = "%WormCopy%"

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\policies\\Explorer\\Run]
"Policies Settings" = ""
Ve birde şu registry girdisini oluşturur.
[HKLM\\Software\\RMX\\cfg]
Skype yazılımını kullanan bu virüs, kullanan kişilerin listelerine ekli olan kişilere aşağıdaki mesajları gönderir.
Hey
how are u ? http://www.cyberprotest.org/Security...ult/smiley.gif
look
your photos looks realy nice
where I put ur photo http://www.cyberprotest.org/Security...ult/cheesy.gif
I used photoshop and edited it
look what crazy photo Tiffany sent to me...
haha lol
now u populr
really funny
you checked ?
oops sorry please don’t look there :S
oh sry not for u
u happy ?
this (happy) sexy one
what ur friend name wich is in photo ?
labas
esi?
ziurek kur tavo foto imeciau http://www.cyberprotest.org/Security...ult/cheesy.gif
kaip as taves noriu
zek kur tavo foto metos isdergta
cia tu isimetei ?
cia biski su photoshopu pazaidziau bet...
kas cia tavim taip isderge ? =]]
patinka?
geras ane ?
matai http://www.cyberprotest.org/Security...ult/cheesy.gif
as net nezinau ka tavo vietoj daryciau...
:S
pala biski
Bu mesajların devamında gelen bir link bu worm’u içerir.
Aşağıda, bu diyalogla ilgili bir örnek verelim.

[17:59:05] User says: how are u ? http://www.cyberprotest.org/Security...ult/smiley.gif
[17:59:22] User says: look what crazy photo Tiffany sent to me,looks cool
[17:59:26] User says: http://www%InfectedURL%.jpg
[17:59:37] User says: oops sorry please don’t look there :S [17:59:40] User says: http://www.cyberprotest.org/Security...ult/smiley.gif

Virüsten etkilenmiş makine internete bağlandığı zaman, aşağıdaki adreslere bağlanmaya çalışır.
http://www.****me.org/erotic-gallerys/usr5d8c/****.jpg (at the time of writing, this link was not working)
http://www.****space.net/erotic-gallerys/usr5d8c/****.scr - this file is 188 416 bytes in size, and will be detected by Kaspersky Anti-Virus as Worm.Win32.Skipi.c
Ve birde makineya bağlanan flash belleklere bulaşarak yayılmaya çalışır. Worm kendini açılış klasörüne aşağıdaki dosya isimleriyle kopyalar.
game.exe
zjbs.exe
Ve flas bellek açılış klasörünün içine “autorun.inf” olarak adlandırılan bir dosya oluşturur. Dosyanın kapsadığı kodlar aşağıdaki şekildedir.
[autorun]
action=Windows Picture and Fax Viewer
open=zjbs.exe
icon=zjbs.exe
Worm sistemdeki %System%\\drivers\\etc\\hosts dosyasını da değiştirir. Bilinen önemli güvenlik sitelerine bağlantı yapılmasına engel olur. Ve açılışta çalışan güvenlik programının uygulama dosyalarının çalışmasına engel olur.

Temizleme:
KAV antivirüs programını update edin, KAV virüsü silecektir.
Ama sisteminde KAV yada baka bir antivirüs olmayan kullanıcılar aşağıdaki işlemleri yaparak virüsü sistemlerinden silebilirler.
1- Bilgisayarınızı resetleyin ve güvenli modan açtırın (açılışta F8 tuşuna bastığınızda gelen seçeneklerden güvenli mod seçeneğini seçerek yapabilirsiniz)
2- Orijinal worm dosyasını silin(bu virüs bulaşmış sistemdeki worm’un içine işlediği orijinal program dosyasıdır.
3- Worm’un oluşturduğu aşağıdaki tüm dosyaları silin;
%System%\\wndrivs.exe
%System%\\mshtml32.exe
%System%\\sdrives32.exe
%System%\\winlgcver.exe

4- Aşağıdaki regedit kayılarını silin (regedite girmek için Başlat >> Çalıştır >> Regedit yazın enterlayın ve herhangi bir soruna karşı yedekleyin. Bunun içinde Düzen menüsünden ver seçeneğini seçmeniz yeterli olacaktır.)
[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunOnce]
"Start Services" = "%WormCopy%"

[HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
"Windows Explorer" = "explorer.exe %WormCopy%"
"Logon Data" = "%WormCopy%"

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\policies\\Explorer\\Run]
"Policies Settings" = "

[HKLM\\Software\\RMX\\cfg]
5- Sistemdeki %System%\\drivers\\etc\\hosts dosyasını değiştirin. Dosyanın orijinal şekli aşağıdaki gibidir. Notepad ile dosyayı açtıktan sonra aşağıdaki şekilde değiştirip kaydetmeniz yeterlidir.
# Copyright (c) 1993-1999 Microsoft Corp.
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
# This file contains the mappings of IP addresses to host names. Each
entry should be kept on an individual line.
#The IP address should be placed in the first column followed by the
corresponding host name.
#The IP address and the host name should be separated by at least one
space.
# # Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ’#’ symbol.
# For example:
# # 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
6- Sisteme bağlanan flash bellek içindeki açılış klasöründeki aşağıdaki dosyaları silin. Eğer dosyaları göremiyorsanız Denetim masası >> Klasör seçenekleri >> Görünüm menüsünden gizli dosyaları gösteri aktifleştirin ve korunan sistem dosyalarını gizle seçeneğini kaldırın.
game.exe
zjbs.exe
autorun.inf
7- Sisteminizdeki antivirüs yazılımını update yapın ve sisteminizi tekrar taratın.

http://www.viruslist.com/en/viruses/encyclopedia?virusid=21780235





Trojan.Win32.StartPage.au

Diğer isimleri : Trojan.Win32.StartPage.au (Kaspersky Lab) is also known as: StartPage-CH (McAfee), Trojan.StartPage (Symantec), Trojan.StartPage (Doctor Web), Trojan:Win32/StartPage.AU (RAV), TROJ_STARTPAGE.O (Trend Micro), TR/StartPage.AU (H+BEDV), Win32:Trojan-gen. (ALWIL), Startpage.3.BI (Grisoft), Trojan.Dropper.Rute (SOFTWIN), Trojan.Startpage-162 (ClamAV), Trojan Horse (Panda), Win32/StartPage.NAZ (Eset)
Açıklama Tarihi: 2 Ekim 2007
Davranış: Trojan
Teknik detayları:
Bu trojan bilinçsiz kullanıcıların yada sistemlerine bulaşmış olan kullanıcıların Microsoft İnternet Explorer ayarlarını değiştirir. Bir DLL dosyasıdır ve boyutu 5,120 byte’dır.
Kurulum:
Bu trojanın etki ettiği makinada diğer trojanlar kurulumuna izin verir. Etki ettiği anda sistemde şu dosyayı oluşturur.

%WinDir%\\hh.htt

Ve trojanın sistem açılışında çalışması için aşağıdaki regedit kayıtlarını oluşturur.

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Run]"Control" = "rundll32.exe C:\\WINDOWS\\system32\\ctrlpan.dll,Restore ControlPanel"
[HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows]"AppInit_DLLs" = "ctrlpan.dll"
Trojan sistemde şu regedit kayıtlarını oluşturur.

[HKLM\\Software\\Microsoft\\Internet Explorer\\Styles]
"Use My Stylesheet" = "1"
"User Stylesheet" = "%WinDir%\\hh.htt"

[HKCU\\Software\\Microsoft\\Internet Explorer\\Main]
"Start Page" = http://aifind.info/
"Search Page" = http://aifind.info/
"Search Bar" = http://aifind.info/

[HKCU\\Software\\Microsoft\\Internet Explorer]
"SearchURL" = http://aifind.info/

Kullanıcıların sık kullanılanlarına aşağıdaki dosyları ekler;

!!! Exclusive Youngest Porn !!!.url
80 old daddies brutally f**king their daughters.url
CENSORED YOUNGEST PORN.url
Fresh XXX pics & movie.url
f**king Young Virginz !!!.url
Innocent Girls Brutally f**ked.url
Little Bitches Getting f**ked.url
MSN.com.url
Virgin Girls in Action.url
XX y.o. girls getting brutally f**ked by huge dick.url
Young Masha sucking huge dick until her lips teared open.url
Youngest Girls Only.url
Youngest Hardcore Action.url
Host dosyasına aşağıdaki satırı ekler.

205.177.124.66 auto.search.msn.com

Temizleme:
KAV antivirüs programını update edin, KAV virüsü silecektir.
Ama sisteminde KAV yada baka bir antivirüs olmayan kullanıcılar aşağıdaki işlemleri yaparak virüsü sistemlerinden silebilirler.
1- Orijinal Trojan dosyasını silin ( sistemde bulunan orijinal dosyanın içine işlediği dosya)
2-Aşağıdaki regedit kaydını silin (regedite girmek için Başlat >> Çalıştır >> Regedit yazın enterlayın ve herhangi bir soruna karşı yedekleyin. Bunun içinde Düzen menüsünden ver seçeneğini seçmeniz yeterli olacaktır.)

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Run]
"Control" = "rundll32.exe C:\\WINDOWS\\system32\\ctrlpan.dll,Restore ControlPanel"
3- Aşağıdaki regedit kaydını değiştirin,
[HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows]
"AppInit_DLLs" = "ctrlpan.dll"
Normalde olması gereken şu şekildedir.
"AppInit_DLLs" = " "
4- Ve aşağıdaki kayıtları eski haline çevirin;
[HKLM\\Software\\Microsoft\\Internet Explorer\\Styles]
"Use My Stylesheet" = "1"
"User Stylesheet" = "%WinDir%\\hh.htt"
[HKCU\\Software\\Microsoft\\Internet Explorer\\Main]
"Start Page" = http://aifind.info/
"Search Page" = http://aifind.info/
"Search Bar" = "http://aifind.info/"
[HKCU\\Software\\Microsoft\\Internet Explorer]
"SearchURL" = http://aifind.info/
5- Aşağıdaki dosyayı silin,
%WinDir%\\hh.htt
6- Sık kullanılanlar’daki aşağıdaki dosyları silin,
!!! Exclusive Youngest Porn !!!.url
80 old daddies brutally f**king their daughters.url
CENSORED YOUNGEST PORN.url
Fresh XXX pics & movie.url
f**king Young Virginz !!!.url
Innocent Girls Brutally f**ked.url
Little Bitches Getting f**ked.url
MSN.com.url
Virgin Girls in Action.url
XX y.o. girls getting brutally f**ked by huge dick.ur
Young Masha sucking huge dick until her lips teared open.url
Youngest Girls Only.url

7- Sistemdeki %System%\\drivers\\etc\\hosts dosyasını değiştirin. Dosyanın orijinal şekli aşağıdaki gibidir. Notepad ile dosyayı açtıktan sonra aşağıdaki şekilde değiştirip kaydetmeniz yeterlidir.
# Copyright (c) 1993-1999 Microsoft Corp.
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
# This file contains the mappings of IP addresses to host names. Each
entry should be kept on an individual line.
#The IP address should be placed in the first column followed by the
corresponding host name.
#The IP address and the host name should be separated by at least one
space.
# # Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ’#’ symbol.
# For example:
# # 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
8-Sisteminizdeki antivirüs yazılımını update yapın ve sisteminizi tekrar taratın.

http://www.viruslist.com/en/viruses/encyclopedia?virusid=38205




Email-Worm.VBS.Small.n
Açıklama Tarihi: 2 Ekim 2007
Davranış: Trojan
Teknik detayları:

Bu worm, enfekte edilmiş mesajların atacment olarak internet üzerinden gönderilmesi ile yayılır. Enfekte edilmiş mesajlar, virüsün etki ettiği makinedan e-mail adreslerine toplu olarak gönderilir. Worm, 1 310 byte kapasitesindedir. Ve Visual Basic Script dili ile yazılmıştır.

Sisteme kurulumu:
Sisteme bulaştığı zaman, Windows açılış klasöründe aşağıdaki dosyayı oluşturur.
%WinDir%\\Troyan.vbs
Otomatik olarak sistem açılışında çalışması için kayıt defterinde aşağıdaki anahtarı oluşturur.
[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunServices]
"E-Mail" = "%WinDir%\\Troyan.vbs"
Worm, kendisini otomatik olarak adres defterine ekli olan tüm mail adreslerine gönderir. Virüs birde uzak kötü niyetli kullanıcılara hedef makinaya bu worm’un bulaştığını bildirir. Mesajlarına *.pwl uzantılı bir dosya ekler. Bu dosya kullanıcı parolalarını içerir.

Toplu olarak gönderilen mesajın içeriği aynen şöyledir.

Başlık
Prinosim izveneniya
Ve mesajda yazılanlar;
Prinosim izvineniya za lichnoye bespokoistvo. Prosim vas vyislat’ Vash login i parol’ (zhelatel’no bez lishnikh simvolov) na adres: support@inbox.ru dlya povtornoi identifikatsii. Zaranee spasibo…"

Mesajı gönderen kötü niyetli kullanıcının e mail adresine örnek olarak (*****Snake@inbox.ru) verebiliriz.
Gönderilen mesaja bir örnekte şu şekildedir.
Başlık
Lam grokhnut!!!

Mesaj içeriği
Vot fail s parolyami <imya pol’zovatelya>

Ve atachment dosyası adı
<imya pol’zovatelya>,pwl

Temizleme:
KAV antivirüs programını update edin, KAV virüsü silecektir.
Ama sisteminde KAV yada baka bir antivirüs olmayan kullanıcılar aşağıdaki işlemleri yaparak virüsü sistemlerinden silebilirler.
1- Orjinal trojan dosyasını silin,
2-Aşağıdaki regedit kaydını silin (regedite girmek için Başlat >> Çalıştır >> Regedit yazın enterlayın ve herhangi bir soruna karşı yedekleyin. Bunun içinde Düzen menüsünden ver seçeneğini seçmeniz yeterli olacaktır.)
[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunServices]
"E-Mail" = "%WinDir%\\Troyan.vbs"
3- Aşağıdaki worm dosyasını silin
%WinDir%\\Troyan.vbs
4- Sisteminizdeki antivirüs yazılımını update yapın ve sisteminizi tekrar taratın.