Virüs nedir? nasıl bulaşır? nasıl temizlenir? virüslerden korunma?

Virüs Tanımı Virüs, bir bilgisayara disketler, ağ paylaşımı, Internet (e-mail, dosya indirme) yollarıyla girebilen ve bilgisayarlarda istenmeyen sonuçlara ve zararlara yol açan bir bilgisayar programıdır. Virüslerin en önemli özelliği; girdikleri ...


Ağaç Şeklinde Aç1Beğeni
  • 1 gönderen son_emir29

  1. Alt 03-29-2008, 14:27 #1
    Fani 06 Mesajlar: 794
    Virüs Tanımı
    Virüs, bir bilgisayara disketler, ağ paylaşımı, Internet (e-mail, dosya indirme) yollarıyla girebilen ve bilgisayarlarda istenmeyen sonuçlara ve zararlara yol açan bir bilgisayar programıdır. Virüslerin en önemli özelliği; girdikleri sistemlere kendilerini, kullanıcı farkında olmadan veya iradesi dışında çalıştırılacağı şekilde yerleştirmesi ve sistemlere zarar vermesidir. Virüsler genel olarak etkilerini diğer çalışan programlara bulaşarak onlarda çeşitli değişiklikler yaparak gösterirler. Virüslerin bir diğer özelliği ise kendilerini çoğaltmaları ve hafızada değişik yerlere kaydetmeleridir. Virüslerin etkileri ekranınıza rahatsızlık veren mesajlar çıkararak çalışmanızı engellemesi olabilabileceği gibi, bilgisayarın hafızasını ve disk alanını kullanarak erişiminizi engellemeleri veya kullandığınız dosyaların içeriklerini bozmaları veya silmeleri gibi oldukça zararlı etkileri de olabilir.

    Virüs Nasıl Anlaşılır ve Temizlenir?
    Anti-virüs yazılımı olmadığı şartlarda bilgisayarınızda virüs olduğunu ancak virus etkisini gösterdikten sonra anlayabilirsiniz. Bir virüsün etkileri bilgisayarda yavaşlama, Windows uygulamalarında hata mesajları (system fault, application error, missing files), bilgisayarın kilitlenmesi, DOS işletim sistemine dönmesi, bazı dosyaların açılmaması, değişik sesler veya bilgisayarınızın isteğiniz dışında işlemler yapmaya başlaması şeklinde görülebilir. Bu durumda bir anti-virüs programı kullanarak bilgisayarın virüsten temizlenmesi gerekmektedir. Virüsün bilgisayara geri dönülmez hasarlar vermiş olduğu durumlarda temizleme her zaman başarılı olmayabilir. Kullanılan anti-virüs yazılımlarının buldukları virüsleri silmeleri veya bulaştıkları dosyalardan temizlenmeleri mümkün olmaması da karşılaşılan bir durumdur. Anti-virüs yazılımlarının tarama işlemi sonrasında virüs bulamaması bilgisayarda virüs olmadığını değil, tarama işleminde kullanılan anti-virüs programlarının tanıdığı virüslerin bulunmadığını gösterebilir. Bu durumda kullanılan anti-virüs programının güncellenmesi veya daha güncel başka bir anti-virüs yazılımının kullanılması uygun olacaktır.

    Virusden Korunma
    Virüsler bilgisayarınıza bulaşmadan önce önlem almak ve baştan koruma sağlamak için McAfee Anti-Virus, Norton AntiVirus, F-Prot, Dr. Solomon's Anti-Virus Toolkits vs. gibi programları bilgisayarınıza henüz herhangi bir virüs sorunu ile karşılaşmamışken kurmanız gerekmektedir.

    Ayrıca aşağıdaki sitelerden virüslerle, en yeni virus uyarıları hakkında detaylı bilgi bulabilirsiniz.

    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol

    Güncel Virusler

    W32/Gaobot
    W32/SoberD
    W32/Bagle.E
    W32/Netsky.B
    W32/Mydoom
    W32/Bagle.A
    W32/SoberA
    W32/MimailC
    W32/Holar
    W32/Blaster
    W32/Nachi
    W32/Sobig.F
    WW32/Dumaru
    W32/Mimail

    W32/Gaobot

    Virüs Tanımı :

    Internet solucanı MS03-026, MS03-001, MS03-007 ve MS03-049 açıklarını kullanarak bilgisayarı etkilemektedir.

    Belirtiler:
    Beklenmeyen açık portlar
    kayıt dosyasındaki varlığı
    Güvenlik programların çalışmaması
    Korunma Yöntemi:

    Virüsten korunmak için yapılması gerekenler.
    Windows işletim sistemi güncelemelerini mutlaka yapınız.
    Bilgisayarda bulunan her kullanıcının şifresinin en az 8 karakter uzunluğunda olmasına ve içinde büyük harf, küçük harf, rakam ve özel karakterlerin bulunmasına özen gösteriniz.
    Kullanılmayan windows paylaşımlarının kesinlikle kapatılması gerekmektedir. Bunun yanında varsayılan yönetici paylaşımlaırnın da
    HKLM\System\CurrentControlSet\Services\LanmanServe r\Parameters\AutoShareWks (REG_DWORD) 0
    verisi kayıt dosyasına işlenerek (registry) durdurulmalıdır.
    Windows paylaşımın kullanımının zorunlu olduğu durumlarda paylaşım parola korumalı olmalıdır. Paylaşımın parolasız olması durumunda bilgisayaraınız virüse karşı korumasızdır.
    Teknik özellikler:
    Kendisini %System%\wuamps.exe olarak kopyalıyor.
    Windows açıldığında kod çalışması için aşağıdaki değeri;
    kayıt (registry) dosyasında belirtilen yerlere yazıyor;

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\ wuamps.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce wuamps.exe
    Guvenlik yazilimlarini calismasini durduruyor.
    Asagida belritilen baska Internet solucanlari tafindan kullanilan surecleri
    duruduruyor

    taskmon.exe
    bbeagle.exe
    d3dupdate.exe
    winsys.exe
    ssate.exe
    i11r54n4.exe
    rate.exe
    irun4.exe
    Ssate.exe
    wuamps.exe
    Asağıdaki siteler bağlantı yapılmasını engellemek icin "host" olarak ilgili verileri giriyor.

    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol

    Önceden belirlenmiş IRC sitesine baglanmaya calışıyor ve oradan alacağı komutları uyguluyor. Komutlar asagidaki işlemleri sağlamaktadır:
    Sistem hakkida bilgi edinmek
    Dosya indirmek ve calıştırmak
    FTP sitelerine bağlanıp dosya yüklemek
    SSH kullanarak baska sistemlere bağlanmak
    Çalışan programları durdurmak
    E-posta adresleri toplamak
    SOCKS proxy olarak calışmak
    Yukarda belirtilen açıkkları olan bilgisayaları ağda arıyor.
    Asağıdaki paylaşımlara kullanıcı adı ve parola deniyerek bağlanmaya calışıyor.
    admin$
    c$
    d$
    e$
    print$
    W32/SoberD

    Virüs Tanımı :
    Toplu e-posta atan bir virustür. Ancak bazı sürümleri virüs içermeyen bozulmuş dosyalar göndermektedir.

    Aşağıdaki özelliklerde geliyor:

    Kimden:
    Info@microsoft.com
    Center@microsoft.com
    UpDate@microsoft.com
    News@microsoft.com
    Help@microsoft.com
    Studio@microsoft.com
    *]Alert@microsoft.com
    Security@microsoft.com
    Konu:
    Microsoft Alarm: Bitte Lessen!
    Microsoft Alert: Please Read!
    Metin:
    Mydoom virüsünün yeni bir varyantından bahsediyor.
    Eklenti:
    sys-patch
    MS-UD
    MS-Security
    Patch
    Update
    MS-Q
    .exe ya da .zip uzantılı.

    Belirtiler:

    Aşağıdaki dosyaların varlığı.
    diagwinhost.exe
    Humgly.lkur
    Htemp32x.data
    Hwintmpx33.dat
    Hyfjq.yqwm
    Hzmndpgwf.kxx
    Etkileme Yöntemi:
    E -posta eklentisinin çalıştırılıması.
    Teknik özellikler:

    Virüs çalıştırıldığında:
    Kendisini %System%\diagwinhost.exe olarak kopyalıyor.
    Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
    %System%\temp32x.data
    %System%\wintmpx33.dat
    %System%\mslog32.dll
    %System%\Humgly.lkur
    %System%\yfjq.yqwm
    %System%\zmndpgwf.kxx
    Windows açıldığında kod çalışması için aşağıdaki değeri;
    kayıt (registry) dosyasında belirtilen yerlere yazıyor;
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
    Run\disc32data "spool32" = %SYSDIR%\diagwinhost.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
    RunOnce "diagdir" = %SYSDIR%\diagwinhost.exe %1
    Aşağıdaki mesajı görüntülüyor.
    This patch has been successfully installed.
    This patch does not need to be installed on this system.
    Microsoft Windows
    STOP: 0x80070725 {FatalSystemError}
    System File [filename].exe
    Connection lost or blocked by Firewall
    Aşağıdaki dosyalardan e-posta adresleri topluyor ve %system%\mslog32.dll dosyasına kaydediyor.
    .abd
    .adb
    .asp
    .dbx
    .doc
    .eml
    .ini
    .log
    .mdb
    .php
    .pl
    .rtf
    .shtml
    .tbb
    .ttt
    .txt
    .wab
    .xls
    W32/Bagle.E

    Virüs Tanımı

    Toplu e-posta gönderen bir virüstür. 25 Mart 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır.Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.

    Konu:
    Accounts department
    Ahtung!
    Camila
    Daily activity report
    Flayers among us
    Freedom for everyone
    From Hair-cutter
    From me
    Greet the day
    Hardware devices price-list
    Hello my friend
    Hi!
    Jenny
    Jessica
    Looking for the report
    Maria
    Melissa
    Monthly incomings summary
    New Price-list
    Price
    Price list
    Proclivity to servitude
    Registration confirmation
    The account
    The employee
    The summary
    USA government abolishes the capital punishment
    Weekly activity report
    Well...
    You are dismissed
    You really love me? he he
    Mesaj içeriği
    Boş
    Eklenti:
    "Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb
    Belirtiler:
    2745 TCP portunun açık olması
    Etkileme Yöntemi:
    E-posta eklentisinin çalıştırılıması.
    Teknik özellikler:

    Virüs çalıştırıldığında:
    Sistem zamanın 24 Mart 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor.
    Kendisini %system%\i1ru74n4.exe olarak kopyalıyor.
    notepad.exe'yi çalıştırıyor.
    Windows açıldığında kod çalışması için aşağıdaki değerleri;
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, rate.exe"="%System%\i1ru74n4.exe
    HKEY_CURRENT_USER\SOFTWARE\DateTime4, "uid" = "[Random Value]"
    HKEY_CURRENT_USER\SOFTWARE\DateTime4, "port"="2745"
    HKEY_CURRENT_USER\SOFTWARE\DateTime4, "frun" = "1"
    kayıt (registry) dosyasında belirtilen yerlere yazıyor;
    Aşağıdaki dosyalardan e-posta adresleri topluyor.
    .wab
    .txt
    .htm
    .html
    .dbx
    .mdx
    .eml
    .nch
    .mmf
    .ods
    .cfg
    .asp
    .php
    .pl
    .adb
    .sht
    Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
    Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor.
    permail.uni-muenster.de
    Üye Ol
    Üye Ol
    Aşağıdaki antivirüs güncellemelerini saplayan süreçleri durduruyor.
    ATUPDATER.EXE
    AUPDATE.EXE
    AUTODOWN.EXE
    AUTOTRACE.EXE
    AUTOUPDATE.EXE
    AVLTMAIN.EXE
    AVPUPD.EXE
    AVWUPD32.EXE
    AVXQUAR.EXE
    CFIAUDIT.EXE
    DRWEBUPW.EXE
    ICSSUPPNT.EXE
    ICSUPP95.EXE
    LUALL.EXE
    MCUPDATE.EXE
    NUPGRADE.EXE
    OUTPOST.EXE
    UPDATE.EXE
    W32/Netsky.B

    Virüs Tanımı:

    Toplu e-posta gönderen bir virüstür. P2P paylaşımıyla da yayılmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.

    Kimden:
    etkilenmiş makineden toplanmış e-posta adreslerinden yaratılmış e-posta adresleri
    skynet@skynet.de
    Konu:
    fake
    for
    hello
    hi
    immediately
    information
    it
    read
    something
    stolen
    unknown
    warning
    you
    Mesaj içeriği:
    about me
    anything ok?
    do you? that's funny
    from the chatter
    greetings
    here
    here is the document.
    here it is
    here, the cheats
    here, the introduction
    here, the serials
    i found this document about you
    I have your password!
    i hope it is not true!
    i wait for a reply!
    i'm waiting ok
    information about you
    is that from you?
    is that true?
    is that your account?
    is that your name?
    kill the writer of this document!
    my hero
    read it immediately!
    read the details.
    reply
    see you
    something about you!
    something is fool
    something is going wrong
    something is going wrong!
    stuff about you?
    take it easy
    that is bad
    thats wrong why?
    what does it mean?
    yes, really?
    you are a bad writer
    you are bad
    you earn money
    you feel the same
    you try to steal
    your name is wrong
    Eklenti:

    "Eklenti" isimleri de değişken olmaktadır ancak iki uzantılıdır.
    Belirtiler:
    Beklenmeyen ağ trafiği
    Etkileme Yöntemi:
    E-posta eklentisinin çalıştırılıması.
    Teknik özellikler:

    Virüs çalıştırıldığında:
    Kendisini %Windir%\services.exe olarak kopyalıyor.
    Windows açıldığında kod çalışması için aşağıdaki değerleri;
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, "service" = "%Windir%\services.exe -serv"
    kayıt (registry) dosyasında belirtilen yerlere yazıyor;
    Aşağıdaki kayıt dosyalarından.
    "Taskmon" ve "Explorer" değerlerini
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunServices
    "KasperskyAV" ve "System." değerlerini
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    W32/Mydoom arka kapısını kapatmak için
    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
    siliyor
    Aşağıdaki dosyalardan e-posta adresleri topluyor.
    .msg
    .oft
    .sht
    .dbx
    .tbb
    .adb
    .doc
    .wab
    .asp
    .uin
    .rtf
    .vbs
    .html
    .htm
    .pl
    .php
    .txt
    .eml
    Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
    "C"den "Z"ye kadar tüm sürücüleri tarıyıp "Sharing" veya "Share" isimli dizin arıyor. Eğer sürücü CDROM değilse kendisini ağağıdakşi isimlerle dizine kopyalıyor.
    doom2.doc.pif
    sex sex sex sex.doc.exe
    rfc compilation.doc.exe
    dictionary.doc.exe
    win longhorn.doc.exe
    e.book.doc.exe
    programming basics.doc.exe
    how to hack.doc.exe
    max payne 2.crack.exe
    e-book.archive.doc.exe
    virii.scr
    nero.7.exe
    eminem - lick my pussy.mp3.pif
    cool screensaver.scr
    serial.txt.exe
    office_crack.exe
    hardcore porn.jpg.exe
    angels.pif
    porno.scr
    matrix.scr
    photoshop 9 crack.exe
    strippoker.exe
    dolly_buster.jpg.pif
    winxp_crack.exe
    W32/Mydoom

    Virüs Tanımı :

    Toplu e-posta atan bir virustür.

    Kimden:

    Konu:
    test
    hi
    hello
    Mail Delivery System
    Mail Transaction Failed
    Server Report
    Status
    Error
    Metin:

    Eklenti:
    doc.bat
    document.zip
    message.zip
    readme.zip
    text.pif
    hello.cmd
    body.scr
    test.htm.pif
    data.txt.exe
    file.scr
    Belirtiler:
    Aşağıdaki kayıt(registry) dosyalarının varlığı
    Anlamsız eklentinin içeriği
    Etkileme Yöntemi:
    E-posta eklentisinin çalıştırılıması sonucu kendi SMPT motoru yardımı ve P2P paylaşımları yoluyla yayılıyor.
    Teknik özellikler:

    Virüs çalıştırıldığında:
    aşağıdaki dosyaları yaratıyor.
    "shimgapi.dll" %System% dizininde.
    "Message" %temp% dizinde. Notepad tarafından açılan tamamen tesadüfi karakterlerden oluşmuş bir metindir.
    "taskmon.exe" %System% dizinde. Başka bir taskmon.exe varsa üzerine yazıyor.
    shimgapi.dll arka kapı olarak çalışan proxy programıdır.
    Shimgapi.dll EXPLORER.EXE tarafından çalıştırılması için aşağıdaki kayıt (registry key) anahtarları girilir:
    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
    Windows açıldığında kod çalışması için aşağıdaki değeri;
    TaskMon = %System%\taskmon.exe
    kayıt (registry) dosyasında belirtilen yerlere yazıyor;
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
    Run
    Aşağıdaki kayıt dosyalarını yaratır:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
    Explorer\ComDlg32\Version
    KEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Explorer\
    ComDlg32\Version
    Aşağıdaki dosyalardan e-posta adresleri topluyor.
    ".htm"
    ".sht"
    ".php"
    ".asp"
    ".dbx"
    ".tbb"
    ".adb"
    ".pl"
    ".wap"
    ".txt"
    Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
    Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.
    Üye Ol
    %KaZaA dizinine iki dosya daha yaratıyor.
    winamp5
    icq2004-final
    activation_crack
    strip-girl-2.0bdcom_patches
    rootkitXP
    office_crack
    nuke2004
    aşağıdaki uzantlarla
    pif
    scr
    bat
    exe
    W32/Bagle.A

    Virüs Tanımı:

    Toplu e-posta gönderen bir virüstür. 28 Ocak 2004 tarihine kadar aktif olacaktır. Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır. Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir.

    Konu:
    Hi
    Mesaj içeriği:
    Test =) Rastgele karakterler Test, yep.
    Eklenti:
    "Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb
    Belirtiler:
    6777 TCP portunun açık olması
    bbeagle.exe dosyasını Sistem dizinide bulunması.
    Etkileme Yöntemi:
    E-posta eklentisinin çalıştırılıması.
    Teknik özellikler:

    Virüs çalıştırıldığında:
    Sistam zamanın 28 Ocak 2004 olup olmadığını kontrol ediyor. 28 Ocak'tan sonraki günlerde bir şey yapmıyor.
    Kendisini %system%\bbeagle.exe olarak kopyalıyor.
    Calc.exe'yi çalıştırıyor.
    Windows açıldığında kod çalışması için aşağıdaki değerleri;
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
    Run, "d3update.exe" = "%system%\bbeagle.exe"
    HKEY_CURRENT_USER\Software\Windows98, "uid" = "[Random Value]"
    HKEY_CURRENT_USER\Software\Windows98, "frun" = "1"
    kayıt (registry) dosyasında belirtilen yerlere yazıyor;
    Aşağıdaki dosyalardan e-posta adresleri topluyor.
    ".wab"
    ".txt"
    ".htm"
    ".html"
    Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor.
    Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor.
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    64.176.228.13
    Üye Ol
    216.98.136.248
    216.98.134.247
    Üye Ol
    Üye Ol
    vipweb.ru
    antol-co.ru
    Üye Ol
    Üye Ol
    bose-audio.net
    Üye Ol
    wh9.tu-dresden.de
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    vvcgn.de
    Üye Ol
    Üye Ol
    Üye Ol
    Üye Ol
    W32/SoberA

    Virüs Tanımı :

    Toplu e-posta atan bir virustür.

    Aşağıdaki özelliklerde geliyor:

    Kimden:
    Değişken
    Konu:
    Neuer Virus im Umlauf!
    Sie versenden Spam Mails (Virus?)
    Ein Wurm ist auf Ihrem Computer!
    Langsam reicht es mir
    Sie haben mir einen Wurm geschickt!
    Hi Schnuckel was machst du so ?
    VORSICHT!!! Neuer Mail Wurm
    Re: Kontakt
    RE: Sex
    Sorry, Ich habe Ihre Mail bekommen
    Hi Olle, lange niks mehr gehört!
    Re: lol
    Viurs blockiert jeden PC (Vorsicht!)
    Überraschung
    Ich habe Ihre E-Mail bekommen !
    Jetzt rate mal, wer ich bin !?
    Neue Sobig Variante (Lesen!!)
    Back At The Funny Farm
    Ich Liebe Dich
    New internet virus!
    You send spam mails (Worm?)
    A worm is on your computer!
    Now, it's enough
    You have sent me a virus!
    Hi darling, what are you doing now?
    Be careful! New mail worm
    Re: Contact
    RE: Sex
    Sorry, I've become your mail
    Hey man, long not see you
    Viurs blocked every PC (Take care!)
    Surprise
    I've become your mail!
    Advise who I am!
    New Sobig-Worm variation (please read)
    I love you (I'm not a virus!)
    Metin:
    Değişken, ancak genelde Odin isminde başka bir virüsten bahsediyor
    Eklenti:
    .pif
    .scr
    .bat
    .com
    .exe
    Belirtiler:
    Aşağıdaki dosyaların varlığı.
    Media.dll
    Similare.exe
    Etkileme Yöntemi:
    E-posta eklentisinin çalıştırılıması.
    Teknik özellikler:

    Virüs çalıştırıldığında:
    Kendisini %System%\Similare.exe olarak kopyalıyor.
    Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
    %SysDir%\WINREG.EXE
    %SysDir%\FILEXE.EXE
    %SysDir%\ANTIV.EXE
    %SysDir%\SYSTEMINI.EXE
    %SysDir%\DRIVERINI.EXE
    %SysDir%\SYSTEMCHK.EXE
    Windows açıldığında kod çalışması için aşağıdaki değeri;
    " Belirtilen dosyalardan birisi" = "Belirtilen konumlardan birsi"
    kayıt (registry) dosyasında belirtilen yerlere yazıyor;
    KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\
    Run
    Aşağıdaki dosyalardan e-posta adresleri topluyor ve aşağıdaki dosyaya kaydediyor.
    %System%\Macromed\Help\Media.dll
    W32/MimailC

    Virüs Tanımı :

    Toplu e-posta atan bir virustür.

    Aşağıdaki özelliklerde geliyor:

    Kimden:
    James@bulundugunuz alan adı
    Konu:
    our private photos (Bir miktar boşlıktan sonra bir kaç karakter daha)
    Eklenti:
    PHOTOS.ZIP (12,958 bytes) (PHOTOS.JPG.EXE (12,832 bytes) dosyasını içeriyor)
    Metin:
    Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos. Kiss, James.
    Belirtiler:
    vEXE.TMP ve ZIP.TMP dosyalarını varlığı
    Güvenllik duvarının NETWATCH.EXE Internet bağlantı kurmaya çalışıyor alarmı vermesi.
    Yüksek ölçekte uzaktaki sunucunun 80.portuna doğru veri akışı.
    Etkileme Yöntemi:
    E-posta eklentisinin çalıştırılıması
    Teknik özellikler:

    Virüs çalıştırıldığında:
    Kendisini %Windir%\Netwatch.exe olarak kopyalıyor.
    Windows açıldığında kod çalışması için aşağıdaki değeri; "NetWatch32" = "%Windir%\netwatch.exe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
    \Run
    Aşağıdaki dosyalardan e-posta adresleri topluyor.
    ".bmp"
    ".jpg"
    ".gif"
    ".exe"
    ".dll"
    ".avi"
    ".mpg"
    ".mp3"
    ".vxd"
    ".ocx"
    ".psd"
    ".tif"
    ".zip"
    ".rar"
    ".pdf"
    ".cab"
    ".wav"
    ".com"
    Topladığı e-posta adreslerini %Windir%\eml.tmp dosyasına yazıyor.
    Internet bağlantısı olup olmadığını kontrol etmek için Üye Ol adresine bağlantı kurmayı deniyor.
    Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
    Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.
    Üye Ol
    Üye Ol
    %Windir% dizinine iki dosya daha yaratıyor.
    zip.tmp
    Exe.tmp
    W32/Holar

    Virüs Tanımı :

    Toplu e-posta gönderen Internet solucanı, P2P dosya paylaşımları yoluyla da yayılmaktadır.

    E-posta Aşağıdaki özelliklerde geliyor:

    Kimden:
    Dispatch@McAfee.com
    Konu:
    Bir çok değişik konu ve içerik oluşturabilmekte, bir örnek vermek gerekirse
    Virus Alert ! Dear User, McAfee.com Has recieved an infected message from you .
    We believe that you are infected with Win32/HaWawi@MM Virus.
    Please download the attached tool (ToolAv01w32) which will help you to clean your PC.
    For more information : *Create an email addressed to virus_research@nai.com.
    Your name, phone number, address, and email address
    Operating system: Antivirus program: Anti virus engine version (e.g. 4.1.20) DAT file version (e.g. 4.0.4140) Browser version Nature of problem

    ALINTIDIR

  2. Alt 05-21-2008, 00:22 #2
    son_emir29 Mesajlar: 46
    eline saglik bilginede

    Fani 06 bunu beğendi.
  3. Alt 03-08-2013, 16:03 #3
    Ziyaretci
    Heydex Mesajlar: n/a
    Ya bizim ana sayfamız 'Heydex' bunu kaç kere düzeltmeye çalıştım düzelmiyor çözümü sizde varsa bir zahmet cevaplayabilirmisiniz artık sıkıldım

  4. Alt 03-11-2013, 16:34 #4
    Ziyaretci
    Misafir Mesajlar: n/a
    Allah aşkına bir yardım edin bu heydex nedir kardeşim ya siliyoz siliyoz gitmiyo, şimdi söylenmez, ..... karılardan mesajlar geliyo falan? Nooldu beğenmedinmi diyolar yardım edin

Kullanıcı isminiz: Giriş yapmak için Buraya tıklayın
Human Verification


Konu hakkinda benzer etiketler
hey dex nasil kaldirilir , hey dex silme , hey dex nasil kaldiririm , heydex nasil kaldirilir , heydex nasil silinir , heydex nedir , hey dex nasil silinir , viruslerden korunmak icin gerekli olan antivirus programi nedir ,