Virüsler,Trojanlar Ve Diğer Zararlılar -II

RaHaTSiZ · 11-20-2007

Zararlı Adı : W32

Deletemusic(Symantec),W32/Deletemp3

worm(McAfee)
Etkilenen Sistemler : Windows
Verdiği Zararlar : Girdiği PC’deki tüm mp3 dosyalarını silme
Nasıl Korunulur : Yayılmayı önlemek için sürücülerin otomatik çalışma (autorun) özelliğinin kapatılması ve her zaman olduğu gibi antivirüs yazılımlarının güncel tutulması

-------------------------------------------------------------------
Haber//

Symantec tarafından W32

Deletemusic, McAfee tarafından W32/Deletemp3

worm olarak adlandırılan solucan sadece girdiği bilgisayardaki tüm mp3 dosyalarını siliyor

Tehlike düzeyi düşük ancak son derece sinir bozucu bu solucan, bilgisayara bağlanan sürücüler üzerinden yayılıyor

Buna flash sürücüler ve CD/DVD, disket gibi çıkarılabilir medyalar da dahil

Solucan çalıştığında aşağıdaki dosyaları oluşturuyor:

%System%\\config\\csrss

exe
%Windir%\\media\\arena

exe
%System%\\logon

bat
%System%\\config\\àutorun

inf
W32

Deletemusic tüm Windows sürümlerinde etkili

Yayılmayı önlemek için sürücülerin otomatik çalışma (autorun) özelliğinin kapatılması ve her zaman olduğu gibi antivirüs yazılımlarının güncel tutulması öneriliyor

Link 1 İngilizce
http://www

symantec

com/security_response/writeup

jsp?docid=2007-073010-4123-99&tabid=2

Link 2 İngilizce

http://arstechnica

com/news

ars/post/20070803-average-pc-is-a-smorgasboard-for-a-new-mp3-eating-trojan

html

Link 3 İngilizce

http://mp3

about

com/b/a/000004

htm

link-4(Türkçe)

http://rss2

bildirim

net/2007/08/05/

Link 5 Türkçe

http://www

olympos

org/haberler/mp3/muzik-kutuphanenizi-yiyen-kurtcuk-w32-deletemusic-285424

html

Zararlı Adı :Trojan

Pidief

A
Etkilenen Sistemler :XP,IE7
Verdiği Zararlar :PDF açılırsa ve güvenlik açığından etkileniliyorsa, Windows’un savunmasını düşürerek başka zararlı kodları indirip yayılıyor

Nasıl Korunulur ? :

http://www

adobe

com/support/security/bulletins/apsb07-18

html

Adobe güvenlik açıkları için yama çıkarmıştı:

---

Adobe firması Reader ve Acrobate yazılımlarındaki güvenlik açıkları için günler sonra yeni bir Truva atı bu açıklardan yararlanmayı hedefliyor

Trojan

Pidief

A adı verilen zararlı kodun, spesifik firmalara eposta ile gönderildiğini, hedeflenmiş saldırılar gerçekleştirildiğini yazıyor

Truva atı konu başlığı "invoice", "statement" veya "bill" gibi yazılar içeriyor ve ekte benzer isimde bir PDF dosyası içeriyor

Eğer PDF açılırsa ve güvenlik açığından etkileniliyorsa, Windows’un savunmasını düşürerek başka zararlı kodları indirip yayılıyor

Sadece Windows XP ve IE7 kullanıcılarını etkileyen açık ilk olarak 20 Eylül’de Gnucitizen web sitesi tarafından keşfedilmişti

Adobe güvenlik açıkları için yama çıkarmıştı

http://www

adobe

com/support/security/bulletins/apsb07-18

html

Kaynak;

http://www

adobe

com/support/security/bulletins/apsb07-18

html

Zararlı Adı : Troj/Dloadr-BEX
Etkilenen Sistemler : Windows
Nasıl Bulaşır : web tarama
Zararları : internetten kod indirmek
İlk Görüldüğü Tarih : 27 Ekim 2007 14:50:34
Nasıl Korunulur : http://www

sophos

com/downloads/ide/dloa-bex

ide

Zararlı Adı : W32/Chilin-A
Etkilenen Sistemler : Windows
Zararları :
- Bilgi Çalar
- internetten kod indirmek
- Registry de kendine kurmak

İlk Görüldüğü Tarih : 27 Ekim 2007
Nasıl Korunulur : http://www

sophos

com/downloads/ide/chilin-a

ide

Adware

Navipromo

BYT
Yayılma: Yüksek
Zarar verme: Orta
Boyut: approx

300K
Bulunma tarihi: 2007 Ekim 26

Belirtiler:
İnternet Explorer(yada diğer borowserlar) çalışmıyorken pop-up eklentiler olarak görünebilir

Teknik Detaylar:
Adware

Navipromo, bulaştığı makineda gizlice çalışan, temizlenmesi zor gelişmiş bir adawaredir

Sistem hafızasında, dosyalarında ve registry girdilerinde çalışmak için Rootkid teknolojisini kullanır

Zararlı, aşağıda belirtilen sitelerden indirilen bazı yazılımlarla paket olarak gelir ve bu yazılımlarla birlikte kurulur

<hide>netgamebox

com
<hide>ediaplayer

com
<hide>planet

com
<hide>skinner

com
<hide>stro

com
<hide>cord

com
<hide>ngerskinner

com
Birinci çalışmasında, sistem klasörü içinde rasgele belirlenmiş dosya isimleri ile çalıştırılabilir ve daha sonra gizlilik içinde çalışacaktır

Bu gizli işlem, Explorer

exe de çalışan kütüphane dosyasına yerleşir (msclock

dll or msplock

dll )

Adaware, bulaştığı sistemden URL’leri ziyaret eder ve disk üzerinde saklanır ve onları bir servere gönderir

Daha sonra bu URL leri eklentiler ile ilişkilendirerek bulaştığı sistemde pop-up pencereler gibi görüntülenmesini sağlar

İnternette transfer yapılması esnasında, çeşitli dosyaları sistem klasöründe oluşturur

Onların isimleri rasgele olarak belirlenerek aşağıda belirlenen uzantılarla ve herhangi bir kullanıcının görmeyeceği şekilde oluşturulur

dat
_nav

dat
_navps

dat
_navup

dat
_navtmp

dat
_m2s

xml

Adware

Navipromo, aşağıda belirtilen registry anahtarını oluşturabilir

HKEY_LOCAL_MACHINE\\Software\\mc

Bu adaware hakkında bilgiyi içeren, aşağıdaki registry anahtarını ekler(aynı zamanda gizlidir)

[random_name] = "%system%\\[random_name]

exe"

Ve aşağıdaki anahtarlardan birine

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\C urrentVersion\\Run

Temizleme için, Bitdefender programını update ederek kullanabilirsiniz

Trojan

BAT

DelSys

d

Virüs’ün diğer isimleri: Trojan

BAT

DelSys

d (Kaspersky Lab) is also known as: QDel146 (McAfee), Bat

Delsys

Trojan (Symantec), Trojan

DelSys (Doctor Web), Troj/QDel146 (Sophos), Trojan:BAT/DelSys

D (RAV), TROJ_DELSYS

D (Trend Micro), TR/Bat

DelSys

D (H+BEDV), BV:DelSys (ALWIL), Trojan

Virtools

Genesis3

A (SOFTWIN), Trj/DelSys

D (Panda)
Tanımlanma tarihi: 26

10

2007
Davranış: Trojan

Teknik detaylar:
Bu trojan bir payload (zararlı yüklü) bir trojandır

BAT uzantılı bir dosyadır ve 4644 byte kapasiteye sahiptir

Zarar:
Sisteme bulaştığında aşağıdaki mesajı gösterir

D I L E M M A ============= You now have the DILEMMA Virus on your computer

Any attempt to shut down your system or bypass the virus at this point will cause BOTH options to activate

Choose your fate below

1

Randomly Delete Some Files 2

Make A Mess Of Your C:\\ Directory

Ve bu trojan sistemdeki c:\\windows\\system adresindeki dll uzantılı tüm dosyaları silecektir

Yukarıdaki mesajda geçen 2

seçeneği seçtiğinizde C: sürücüsünde aşağıdaki dosya isimlerindeki dosyaları oluşturur

C:\\JAHAJKH C:\\JHDGYD C:\\EWWER C:\\WEWER C:\\WRWERWER C:\\STORMMAKER C:\\AASDAS C:\\BFBB C:\\QQWERD C:\\SDFSV C:\\SFSDFS C:\\WWEWE C:\\FGDFSADA C:\\SDSSTY C:\\ASWDD C:\\QQWERF C:\\VVBGTD C:\\OOIKM C:\\FGTYH C:\\FRCDFR C:\\SWDEXD C:\\VFGRT C:\\RBNHH C:\\QWSXXZ C:\\SDSDTY C:\\UIYUHH C:\\FDGFGDF C:\\DFGDFVFG C:\\JJUIK C:\\MMNHBG C:\\XCDSEW C:\\ERRFDC C:\\QASWX C:\\BVGHYT C:\\TNMJKIU C:\\BGHYTG C:\\BVGTFR C:\\ZZXSW C:\\LLOU C:\\DSSFS C:\\WEWEE C:\\WWEW C:\\SDFSXCX C:\\VBGTFC C:\\NHJUYHG C:\\AASWD C:\\AXDCD C:\\BGVFR C:\\CFGTR C:\\DESXC C:\\EEFDR C:\\FFGTRE C:\\GHJUY C:\\HUJYG C:\\IJKUG C:\\JKNHBG C:\\KIJBGT C:\\LKIJN C:\\MNJHVV C:\\NBHGY C:\\OPLK C:\\PKIJU C:\\QQWSD

Ve aşağıdaki mesajın gösterilmesine neden olur

C:\\ IS NOW TRASHED !!!

Temizleme:

Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun

Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın

1- Orijinal trojan dosyasını silin

2- C: sürücüsünde oluşturulmuş aşağıdaki dosyaları silin

C:\\JAHAJKH C:\\JHDGYD C:\\EWWER C:\\WEWER C:\\WRWERWER C:\\STORMMAKER C:\\AASDAS C:\\BFBB C:\\QQWERD C:\\SDFSV C:\\SFSDFS C:\\WWEWE C:\\FGDFSADA C:\\SDSSTY C:\\ASWDD C:\\QQWERF C:\\VVBGTD C:\\OOIKM C:\\FGTYH C:\\FRCDFR C:\\SWDEXD C:\\VFGRT C:\\RBNHH C:\\QWSXXZ C:\\SDSDTY C:\\UIYUHH C:\\FDGFGDF C:\\DFGDFVFG C:\\JJUIK C:\\MMNHBG C:\\XCDSEW C:\\ERRFDC C:\\QASWX C:\\BVGHYT C:\\TNMJKIU C:\\BGHYTG C:\\BVGTFR C:\\ZZXSW C:\\LLOU C:\\DSSFS C:\\WEWEE C:\\WWEW C:\\SDFSXCX C:\\VBGTFC C:\\NHJUYHG C:\\AASWD C:\\AXDCD C:\\BGVFR C:\\CFGTR C:\\DESXC C:\\EEFDR C:\\FFGTRE C:\\GHJUY C:\\HUJYG C:\\IJKUG C:\\JKNHBG C:\\KIJBGT C:\\LKIJN C:\\MNJHVV C:\\NBHGY C:\\OPLK C:\\PKIJU C:\\QQWSD

3- İşletim sisteminin dosyalarını onarın bunun için Sorunlar-Çözümler (sayfa3) başlığına, nasıl yapıldığına dair bilgi eklemiştim yada şu yöntemi deneyin Başlat >> Çalıştır >> Sfc /scannow yazıp enterların sizden XP CD si istediğinde Cd sürücüsüne yerleştirin

Sistem dosyaları onarılacaktır

4- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın

Trojan

BAT

DelSys

c

Virüs’ün diğer isimleri: Trojan

BAT

DelSys

c (Kaspersky Lab) is also known as: Bat/qd224 (McAfee), Trojan Horse (Symantec), Troj/Delsys-I (Sophos), Trojan:BAT/DelSys

C* (RAV), BAT_DELSYS

C (Trend Micro), TR/DelSys

C1 (H+BEDV), BV:Ns (ALWIL), BAT

Trojan

DelSys

I (SOFTWIN), Trj/DelSys

C (Panda)
Tanımlanma tarihi: 26

10

2007
Davranış: Trojan
Teknik detaylar: Bu trojan bir payload (zararlı yüklü) bir virüstür

BAT uzantılı bir dosyadır ve 2087 byte kapasiteye sahiptir

Zarar:
Trojan, bulaşmak için c:/windows\\command\\mshbios yolunu başlatır

Daha sonra c:\\autoexec

bat dosyasına bir komut ekleyerek C: sürücüsüne format attırır

Ve bir de sistem klasörüne aşağıdaki 1239 byte boyutundaki dosyayı oluşturur

%WorkDir%\\Trace

txt
Trojan Çince mesaj içeriği olan bir mesaj ekranı görüntüler

Temizleme:
Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun

Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın

1- Orijinal trojan dosyasını silin

2- Sistem klasörü içindeki aşağıdaki dosyayı silin

%WorkDir%\\Trace

txt

3- C:\\autoexec

bat dosyasındaki format C: komutunu silin

4- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın

Trojan

BAT

DelSys

b

Virüs’ün diğer isimleri: Trojan

BAT

DelSys

b (Kaspersky Lab) is also known as: Bat/fff (McAfee), Bat

Delsys

Trojan (Symantec), Troj/Delsys-B (Sophos), Trojan:BAT/Delsys

B* (RAV), BAT_DELSYS

B (Trend Micro), TR/Bat

DelSys

B (H+BEDV), BAT/DelSys@troj (FRISK), BV:Nj (ALWIL), BAT

Trojan

DelSys

B (SOFTWIN), BAT/Delsys

B (Panda), BAT/DelSys

B (Eset)
Tanımlanma tarihi: 26

10

2007
Davranış: Trojan
Teknik detaylar: Bu trojan bir payload (zararlı yüklü) bir virüstür

BAT uzantılı bir dosyadır ve 523 byte kapasiteye sahiptir

Zarar:
Trojan, c:\\windows\\system\\

adresinden “

dll”, “

cpl”, “

ocx” ve “

vxd” uzantılı dosyaları siler

Ve c:\\windows\\ adresinden “

exe” ve “

ini”
Trojan, c:\\progra~1\\intern~1\\

Adresinden dosya ismi“I” harfi ile başlayan dosyaları siler

Ve aşağıda belirtilen dosyaları siler

c:\\config

sys
c:\\msdos

sys
c:\\windows\\system\\system

dat
c:\\windows\\system\\user

dat
Ve bu trojan aşağıdaki mesajı içeren bir ekran görüntüler

HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA YOUR COMPUTER IS FFFFFFFUUUUCCCCCKKKKKKKKKKKKKEEEEDDDDDDD HAVE A NICE DAY ASSHOLE PRINCE DAVID STRIKES AGAIN

Temizleme:
Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun

Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın

1- Orijinal trojan dosyasını silin

2- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın

Trojan-Downloader

VBS

Small

fa

Keşfedilme tarihi: 24 Eylül 2007
Update kurtarımı: 24 Eylül 2007
Tanımlanma tarihi: 26

10

2007
Davranış: TrojanDownloader
Teknik detaylar: Trojan, internet paylaşımı ile bulaştığı sistemdeki kullanıcının bilgisi ve rızası olmadan diğer trojan dosyalarını yükler

Bu trojan Visual Basic Script dili ile yazılmıştır

Ve boyutu 1506 byte’tır

Zarar:
Aşağıdaki Url’den ActiveX XMLHTTP’deki açığı kullanan exploiti download eder

http://o1

o1***

com/goto/top

exe

İndirilen bu dosya 29840 byte kapasitesindedir

Trojan-Downloader

Win32

Satray

u

gibi bu dosyada KAV antivirüs ile temizlenecektir

Eğer ilk olarak download edilen dosyanın 2 byte’lik “MZ” trojanı “ADODB

Stream” daki açığı kullanarak güncel kullanıcıların açılış klasörüne top

exe yi kaydeder

%Temp%\\top

exe

Trojan 5 saniye kadar sistemi kilitleyecektir

Daha sonra download edilen dosya çalışmaya başlayacaktır

Temizleme:
Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun

Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın

1- Orijinal trojan dosyasını silin

2- Aşağıdaki dosyayı silin

%Temp%\\top

exe

3- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın

Adware

Lop

BJ
Yayılma: Orta
Zarar verme: Yüksek
Boyut: 1 MB
Bulunma tarihi: 2007 Ekim 30

Belirtileri:
DoomPlayer %WINDOWS%\\\\Program Files\\\\ klasörü içindedir

Teknik detayları:
Program, sizin paranızı onlara vermeniz için sosyal muhendislik yöntemlerini kullanır

Virüs sisteme şu şekilde bulaşır;
Torrent sitelerinden bir videoyu genellikle çok iyi bilinen video isimlerini kullanarak indirmek istersiniz (TV showları yada sahte bir isimde olabilir) ve indirdikten sonra videoyu izlemek istediğinizde size bu videoyu izleyemeyeceğinize ve bu video formatını destekleyen bir media player olan Doomplayer’i indirmeniz gerektiğinie dair bir bilgilendirme gelir

Güya bu dosya formatı sadece Doomplayer tarafından açılabiliyor

Doomplayer’i indirdikten sonra, şu işlemler gerçekleşir

Bu installer aparatı sms

wakenet

se sitesşne bağlanır
Bu link şu şekilde olacaktır

sms

wakenet

se/sms_purchase

php?AppName=DomPlayer[

]MacName=XX-XX-XX-XX-XX-XX
(yazılan mac adresi temsili olarak verilmiştir)
Sizin konumunuz bulunacak, IP adresiniz kullanılacak ve ülkenize uygun telefon hattına yönlendirecek ve bu hatta SMS göndermenizi sizden isteyecektir

Tabi bu SMS size extra ücrete mal olacaktır

Eğer ülkeniz bu listede değil ise, size 3wPlayer media izleyicisini indirmenizi önerecektir

3wPlayer programı paket halinde bir trojanla (Trojan

FatObfus) gelen bilinen kötü bir media oynatıcı programıdır

Temizleme için, Bitdefender programını update ederek kullanabilirsiniz

http://www

bitdefender

com/virus-1000221-en--adware

lop

bj

html

11-20-2007	#1
RaHaTSiZ	Virüsler,Trojanlar Ve Diğer Zararlılar -II Zararlı Adı : W32Deletemusic(Symantec),W32/Deletemp3worm(McAfee) Etkilenen Sistemler : Windows Verdiği Zararlar : Girdiği PC’deki tüm mp3 dosyalarını silme Nasıl Korunulur : Yayılmayı önlemek için sürücülerin otomatik çalışma (autorun) özelliğinin kapatılması ve her zaman olduğu gibi antivirüs yazılımlarının güncel tutulması ------------------------------------------------------------------- Haber// Symantec tarafından W32Deletemusic, McAfee tarafından W32/Deletemp3worm olarak adlandırılan solucan sadece girdiği bilgisayardaki tüm mp3 dosyalarını siliyor Tehlike düzeyi düşük ancak son derece sinir bozucu bu solucan, bilgisayara bağlanan sürücüler üzerinden yayılıyor Buna flash sürücüler ve CD/DVD, disket gibi çıkarılabilir medyalar da dahil Solucan çalıştığında aşağıdaki dosyaları oluşturuyor: %System%\\config\\csrssexe %Windir%\\media\\arenaexe %System%\\logonbat %System%\\config\\àutoruninf W32Deletemusic tüm Windows sürümlerinde etkili Yayılmayı önlemek için sürücülerin otomatik çalışma (autorun) özelliğinin kapatılması ve her zaman olduğu gibi antivirüs yazılımlarının güncel tutulması öneriliyor Link 1 İngilizce http://wwwsymanteccom/security_response/writeupjsp?docid=2007-073010-4123-99&tabid=2 Link 2 İngilizce http://arstechnicacom/newsars/post/20070803-average-pc-is-a-smorgasboard-for-a-new-mp3-eating-trojanhtml Link 3 İngilizce http://mp3aboutcom/b/a/000004htm link-4(Türkçe) http://rss2bildirimnet/2007/08/05/ Link 5 Türkçe http://wwwolymposorg/haberler/mp3/muzik-kutuphanenizi-yiyen-kurtcuk-w32-deletemusic-285424html Zararlı Adı :TrojanPidiefA Etkilenen Sistemler :XP,IE7 Verdiği Zararlar :PDF açılırsa ve güvenlik açığından etkileniliyorsa, Windows’un savunmasını düşürerek başka zararlı kodları indirip yayılıyor Nasıl Korunulur ? : http://wwwadobecom/support/security/bulletins/apsb07-18html Adobe güvenlik açıkları için yama çıkarmıştı: --- Adobe firması Reader ve Acrobate yazılımlarındaki güvenlik açıkları için günler sonra yeni bir Truva atı bu açıklardan yararlanmayı hedefliyor TrojanPidiefA adı verilen zararlı kodun, spesifik firmalara eposta ile gönderildiğini, hedeflenmiş saldırılar gerçekleştirildiğini yazıyor Truva atı konu başlığı "invoice", "statement" veya "bill" gibi yazılar içeriyor ve ekte benzer isimde bir PDF dosyası içeriyor Eğer PDF açılırsa ve güvenlik açığından etkileniliyorsa, Windows’un savunmasını düşürerek başka zararlı kodları indirip yayılıyor Sadece Windows XP ve IE7 kullanıcılarını etkileyen açık ilk olarak 20 Eylül’de Gnucitizen web sitesi tarafından keşfedilmişti Adobe güvenlik açıkları için yama çıkarmıştı http://wwwadobecom/support/security/bulletins/apsb07-18html Kaynak; http://wwwadobecom/support/security/bulletins/apsb07-18html Zararlı Adı : Troj/Dloadr-BEX Etkilenen Sistemler : Windows Nasıl Bulaşır : web tarama Zararları : internetten kod indirmek İlk Görüldüğü Tarih : 27 Ekim 2007 14:50:34 Nasıl Korunulur : http://wwwsophoscom/downloads/ide/dloa-bexide Zararlı Adı : W32/Chilin-A Etkilenen Sistemler : Windows Zararları : - Bilgi Çalar - internetten kod indirmek - Registry de kendine kurmak İlk Görüldüğü Tarih : 27 Ekim 2007 Nasıl Korunulur : http://wwwsophoscom/downloads/ide/chilin-aide AdwareNavipromoBYT Yayılma: Yüksek Zarar verme: Orta Boyut: approx 300K Bulunma tarihi: 2007 Ekim 26 Belirtiler: İnternet Explorer(yada diğer borowserlar) çalışmıyorken pop-up eklentiler olarak görünebilir Teknik Detaylar: AdwareNavipromo, bulaştığı makineda gizlice çalışan, temizlenmesi zor gelişmiş bir adawaredir Sistem hafızasında, dosyalarında ve registry girdilerinde çalışmak için Rootkid teknolojisini kullanır Zararlı, aşağıda belirtilen sitelerden indirilen bazı yazılımlarla paket olarak gelir ve bu yazılımlarla birlikte kurulur <hide>netgameboxcom <hide>ediaplayercom <hide>planetcom <hide>skinnercom <hide>strocom <hide>cordcom <hide>ngerskinnercom Birinci çalışmasında, sistem klasörü içinde rasgele belirlenmiş dosya isimleri ile çalıştırılabilir ve daha sonra gizlilik içinde çalışacaktır Bu gizli işlem, Explorerexe de çalışan kütüphane dosyasına yerleşir (msclockdll or msplockdll ) Adaware, bulaştığı sistemden URL’leri ziyaret eder ve disk üzerinde saklanır ve onları bir servere gönderir Daha sonra bu URL leri eklentiler ile ilişkilendirerek bulaştığı sistemde pop-up pencereler gibi görüntülenmesini sağlar İnternette transfer yapılması esnasında, çeşitli dosyaları sistem klasöründe oluşturur Onların isimleri rasgele olarak belirlenerek aşağıda belirlenen uzantılarla ve herhangi bir kullanıcının görmeyeceği şekilde oluşturulur dat _navdat _navpsdat _navupdat _navtmpdat _m2sxml AdwareNavipromo, aşağıda belirtilen registry anahtarını oluşturabilir HKEY_LOCAL_MACHINE\\Software\\mc Bu adaware hakkında bilgiyi içeren, aşağıdaki registry anahtarını ekler(aynı zamanda gizlidir) [random_name] = "%system%\\[random_name]exe" Ve aşağıdaki anahtarlardan birine HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\C urrentVersion\\Run Temizleme için, Bitdefender programını update ederek kullanabilirsiniz TrojanBATDelSysd Virüs’ün diğer isimleri: TrojanBATDelSysd (Kaspersky Lab) is also known as: QDel146 (McAfee), BatDelsysTrojan (Symantec), TrojanDelSys (Doctor Web), Troj/QDel146 (Sophos), Trojan:BAT/DelSysD (RAV), TROJ_DELSYSD (Trend Micro), TR/BatDelSysD (H+BEDV), BV:DelSys (ALWIL), TrojanVirtoolsGenesis3A (SOFTWIN), Trj/DelSysD (Panda) Tanımlanma tarihi: 26102007 Davranış: Trojan Teknik detaylar: Bu trojan bir payload (zararlı yüklü) bir trojandır BAT uzantılı bir dosyadır ve 4644 byte kapasiteye sahiptir Zarar: Sisteme bulaştığında aşağıdaki mesajı gösterir D I L E M M A ============= You now have the DILEMMA Virus on your computer Any attempt to shut down your system or bypass the virus at this point will cause BOTH options to activate Choose your fate below 1 Randomly Delete Some Files 2 Make A Mess Of Your C:\\ Directory Ve bu trojan sistemdeki c:\\windows\\system adresindeki dll uzantılı tüm dosyaları silecektir Yukarıdaki mesajda geçen 2 seçeneği seçtiğinizde C: sürücüsünde aşağıdaki dosya isimlerindeki dosyaları oluşturur C:\\JAHAJKH C:\\JHDGYD C:\\EWWER C:\\WEWER C:\\WRWERWER C:\\STORMMAKER C:\\AASDAS C:\\BFBB C:\\QQWERD C:\\SDFSV C:\\SFSDFS C:\\WWEWE C:\\FGDFSADA C:\\SDSSTY C:\\ASWDD C:\\QQWERF C:\\VVBGTD C:\\OOIKM C:\\FGTYH C:\\FRCDFR C:\\SWDEXD C:\\VFGRT C:\\RBNHH C:\\QWSXXZ C:\\SDSDTY C:\\UIYUHH C:\\FDGFGDF C:\\DFGDFVFG C:\\JJUIK C:\\MMNHBG C:\\XCDSEW C:\\ERRFDC C:\\QASWX C:\\BVGHYT C:\\TNMJKIU C:\\BGHYTG C:\\BVGTFR C:\\ZZXSW C:\\LLOU C:\\DSSFS C:\\WEWEE C:\\WWEW C:\\SDFSXCX C:\\VBGTFC C:\\NHJUYHG C:\\AASWD C:\\AXDCD C:\\BGVFR C:\\CFGTR C:\\DESXC C:\\EEFDR C:\\FFGTRE C:\\GHJUY C:\\HUJYG C:\\IJKUG C:\\JKNHBG C:\\KIJBGT C:\\LKIJN C:\\MNJHVV C:\\NBHGY C:\\OPLK C:\\PKIJU C:\\QQWSD Ve aşağıdaki mesajın gösterilmesine neden olur C:\\ IS NOW TRASHED !!! Temizleme: Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın 1- Orijinal trojan dosyasını silin 2- C: sürücüsünde oluşturulmuş aşağıdaki dosyaları silin C:\\JAHAJKH C:\\JHDGYD C:\\EWWER C:\\WEWER C:\\WRWERWER C:\\STORMMAKER C:\\AASDAS C:\\BFBB C:\\QQWERD C:\\SDFSV C:\\SFSDFS C:\\WWEWE C:\\FGDFSADA C:\\SDSSTY C:\\ASWDD C:\\QQWERF C:\\VVBGTD C:\\OOIKM C:\\FGTYH C:\\FRCDFR C:\\SWDEXD C:\\VFGRT C:\\RBNHH C:\\QWSXXZ C:\\SDSDTY C:\\UIYUHH C:\\FDGFGDF C:\\DFGDFVFG C:\\JJUIK C:\\MMNHBG C:\\XCDSEW C:\\ERRFDC C:\\QASWX C:\\BVGHYT C:\\TNMJKIU C:\\BGHYTG C:\\BVGTFR C:\\ZZXSW C:\\LLOU C:\\DSSFS C:\\WEWEE C:\\WWEW C:\\SDFSXCX C:\\VBGTFC C:\\NHJUYHG C:\\AASWD C:\\AXDCD C:\\BGVFR C:\\CFGTR C:\\DESXC C:\\EEFDR C:\\FFGTRE C:\\GHJUY C:\\HUJYG C:\\IJKUG C:\\JKNHBG C:\\KIJBGT C:\\LKIJN C:\\MNJHVV C:\\NBHGY C:\\OPLK C:\\PKIJU C:\\QQWSD 3- İşletim sisteminin dosyalarını onarın bunun için Sorunlar-Çözümler (sayfa3) başlığına, nasıl yapıldığına dair bilgi eklemiştim yada şu yöntemi deneyin Başlat >> Çalıştır >> Sfc /scannow yazıp enterların sizden XP CD si istediğinde Cd sürücüsüne yerleştirin Sistem dosyaları onarılacaktır 4- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın TrojanBATDelSysc Virüs’ün diğer isimleri: TrojanBATDelSysc (Kaspersky Lab) is also known as: Bat/qd224 (McAfee), Trojan Horse (Symantec), Troj/Delsys-I (Sophos), Trojan:BAT/DelSysC* (RAV), BAT_DELSYSC (Trend Micro), TR/DelSysC1 (H+BEDV), BV:Ns (ALWIL), BATTrojanDelSysI (SOFTWIN), Trj/DelSysC (Panda) Tanımlanma tarihi: 26102007 Davranış: Trojan Teknik detaylar: Bu trojan bir payload (zararlı yüklü) bir virüstür BAT uzantılı bir dosyadır ve 2087 byte kapasiteye sahiptir Zarar: Trojan, bulaşmak için c:/windows\\command\\mshbios yolunu başlatır Daha sonra c:\\autoexecbat dosyasına bir komut ekleyerek C: sürücüsüne format attırır Ve bir de sistem klasörüne aşağıdaki 1239 byte boyutundaki dosyayı oluşturur %WorkDir%\\Tracetxt Trojan Çince mesaj içeriği olan bir mesaj ekranı görüntüler Temizleme: Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın 1- Orijinal trojan dosyasını silin 2- Sistem klasörü içindeki aşağıdaki dosyayı silin %WorkDir%\\Tracetxt 3- C:\\autoexecbat dosyasındaki format C: komutunu silin 4- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın TrojanBATDelSysb Virüs’ün diğer isimleri: TrojanBATDelSysb (Kaspersky Lab) is also known as: Bat/fff (McAfee), BatDelsysTrojan (Symantec), Troj/Delsys-B (Sophos), Trojan:BAT/DelsysB* (RAV), BAT_DELSYSB (Trend Micro), TR/BatDelSysB (H+BEDV), BAT/DelSys@troj (FRISK), BV:Nj (ALWIL), BATTrojanDelSysB (SOFTWIN), BAT/DelsysB (Panda), BAT/DelSysB (Eset) Tanımlanma tarihi: 26102007 Davranış: Trojan Teknik detaylar: Bu trojan bir payload (zararlı yüklü) bir virüstür BAT uzantılı bir dosyadır ve 523 byte kapasiteye sahiptir Zarar: Trojan, c:\\windows\\system\\ adresinden “dll”, “cpl”, “ocx” ve “vxd” uzantılı dosyaları siler Ve c:\\windows\\ adresinden “exe” ve “ini” Trojan, c:\\progra~1\\intern~1\\ Adresinden dosya ismi“I” harfi ile başlayan dosyaları siler Ve aşağıda belirtilen dosyaları siler c:\\configsys c:\\msdossys c:\\windows\\system\\systemdat c:\\windows\\system\\userdat Ve bu trojan aşağıdaki mesajı içeren bir ekran görüntüler HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA HA YOUR COMPUTER IS FFFFFFFUUUUCCCCCKKKKKKKKKKKKKEEEEDDDDDDD HAVE A NICE DAY ASSHOLE PRINCE DAVID STRIKES AGAIN Temizleme: Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın 1- Orijinal trojan dosyasını silin 2- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın Trojan-DownloaderVBSSmallfa Keşfedilme tarihi: 24 Eylül 2007 Update kurtarımı: 24 Eylül 2007 Tanımlanma tarihi: 26102007 Davranış: TrojanDownloader Teknik detaylar: Trojan, internet paylaşımı ile bulaştığı sistemdeki kullanıcının bilgisi ve rızası olmadan diğer trojan dosyalarını yükler Bu trojan Visual Basic Script dili ile yazılmıştır Ve boyutu 1506 byte’tır Zarar: Aşağıdaki Url’den ActiveX XMLHTTP’deki açığı kullanan exploiti download eder http://o1o1***com/goto/topexe İndirilen bu dosya 29840 byte kapasitesindedir Trojan-DownloaderWin32Satrayu gibi bu dosyada KAV antivirüs ile temizlenecektir Eğer ilk olarak download edilen dosyanın 2 byte’lik “MZ” trojanı “ADODBStream” daki açığı kullanarak güncel kullanıcıların açılış klasörüne topexe yi kaydeder %Temp%\\topexe Trojan 5 saniye kadar sistemi kilitleyecektir Daha sonra download edilen dosya çalışmaya başlayacaktır Temizleme: Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın 1- Orijinal trojan dosyasını silin 2- Aşağıdaki dosyayı silin %Temp%\\topexe 3- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın AdwareLopBJ Yayılma: Orta Zarar verme: Yüksek Boyut: 1 MB Bulunma tarihi: 2007 Ekim 30 Belirtileri: DoomPlayer %WINDOWS%\\\\Program Files\\\\ klasörü içindedir Teknik detayları: Program, sizin paranızı onlara vermeniz için sosyal muhendislik yöntemlerini kullanır Virüs sisteme şu şekilde bulaşır; Torrent sitelerinden bir videoyu genellikle çok iyi bilinen video isimlerini kullanarak indirmek istersiniz (TV showları yada sahte bir isimde olabilir) ve indirdikten sonra videoyu izlemek istediğinizde size bu videoyu izleyemeyeceğinize ve bu video formatını destekleyen bir media player olan Doomplayer’i indirmeniz gerektiğinie dair bir bilgilendirme gelir Güya bu dosya formatı sadece Doomplayer tarafından açılabiliyor Doomplayer’i indirdikten sonra, şu işlemler gerçekleşir Bu installer aparatı smswakenetse sitesşne bağlanır Bu link şu şekilde olacaktır smswakenetse/sms_purchasephp?AppName=DomPlayer[]MacName=XX-XX-XX-XX-XX-XX (yazılan mac adresi temsili olarak verilmiştir) Sizin konumunuz bulunacak, IP adresiniz kullanılacak ve ülkenize uygun telefon hattına yönlendirecek ve bu hatta SMS göndermenizi sizden isteyecektir Tabi bu SMS size extra ücrete mal olacaktır Eğer ülkeniz bu listede değil ise, size 3wPlayer media izleyicisini indirmenizi önerecektir 3wPlayer programı paket halinde bir trojanla (TrojanFatObfus) gelen bilinen kötü bir media oynatıcı programıdır Temizleme için, Bitdefender programını update ederek kullanabilirsiniz http://wwwbitdefendercom/virus-1000221-en--adwarelopbjhtml