murtitek
 

Çözüm Merkezi

7/24

Ana Sayfa

Ürünler

Programlar

Hakkımda

İletişim

murtitek.xm.com

  

   |   

 

 

 

 

bilgisayar fiyat pc toplama kamera ses güvenlik guvenlik anakart virus antivirus virüs antivirüs mynet yardım yardim sorun problem ekran klavye mouse lcd ekran Çanakkale Sohbet çanakkale muhabbet çanakkale chat çanakkale çet çanakkale msnleri çanakkale msn kýz msnleri biga sohbet biga muhabbet biga biga sohbet muhabbet biga msn biga kýz msnleri kýz msnleri çanakkale resimleri çanakkale bilgisayar ada bilgisayar çanakkale sonsabah.net son sabah son sabah chat sonsabah sohbet sonsabah muhabbet sonsabah oyun çanakkale oyunlar çanakkale oyun biga oyun biga bilgisayar ada bilgisayar çanakkale bilgisayar fiyat listesi biga çan yenice bayramiç lapseki  biga bilgisayar toplama biga bilgisayar fiyat listesi biga hp biga asus biga vestel bayii biga webcam biga bilgisayar çan sohbet çan muhabbet çan chat çan çet çan bilgisayar çanakkale çan bilgisayar çan ada bilgisayar çan bilgisayar fiyat listesi çan muhabbet çan geyik çan kýz msnleri çanlý kýzlar çanlý sohbet yenice muhabbet yenice sohbet yenice son sabah yenice bilgisayar yenice oyun yenice web yeniceli kýzlar yeniceli kýz resimleri yeniceli kýz msnleri bayramiç sohbet bayramiç muhabbet bayramiç geyik bayramiç kanal bayramiç chat kanal bayramiç bilgisayar bayramiç bilgisayarcý bayramiç bilgisayarcýlýk bayramiç bilgisayar malzemeleri bayramiç bilgisayar toplama bayramiç sonsabahbayramiç son sabah bayramiç ada bilgisayar bayramiç kýz msnleri bayramiç kýz resimleri bayramiç msn kýzlar bayramiç oyun bayramiç siteleri bayramiç sitesi bayramiç sohbet bayramiç arkadaþlýk bayramiç çýtýr kýzlar bayramiç sohbet bayramiç muhabbet bayramiç  elektronik lapseki sohbet lapseki muhabbet lapseki bilgisayar lapseki msn lapseki kýz msnleri lapseki kýz siteleri lapseki sohbet siteleri lapseki muhabbet sitesi lapseki bilgisayar lapseki bilgisayar malzemeleri lapseki lapseki bilgisayar toplama balýkesir sohbet balýkesir MUHABBET balýkesir arkadaslýk balýkesir balýkesir sohbet balýkesir muhabbet balýkesir msn balýkesir resimleri balýkesir kýzlar balýkesir kýz msnleri balýkesir msn listesi balýkesir sohbet kanalý balýkesir sohpet balýkesir bilgisayar balýkesir ada bilgisayar balýkesir bilgisayar malzemeleri çanakkale bandýrma sohbet bandýrma muhabbet bandýrma chat bandýrma çet bandýrma msn bandýrma kýz msnleri bandýrma msn listesi bandýrma bilgisayar bandýrma bilgisayar malzemeleri bandýrma ada bilgisayar bandýrma bilgisayarcýlýk bandýrma xp kurma bandýrma pc toplama bandrma pc sohbet bandýrma sohbet kanalý bandýrma muhabbet kanal  

Menu

Ana Sayfa

Desktop PC & Notebook

Güncel Uyarılar

Programlar

Güvenlik Sistemleri

Çözümler ve Dökümanlar

İletişim

  ip adresiniz

 

 

  
 

W32/Lirva.A

Virüs Tanımı :Toplu e-posta atan Internet solucanı ayını zamanda ICQ, IRC, KaZaa ile de yayılmaya çalışıyor.

Bilgisayara bir şifre çalıcı program da yüklüyor. Aynı zamanda güvenlik programlarının çalışmasını da durduruyor.

Aşağıdaki özelliklerde geliyor:


Konu(Subject):
Aşağıdaki başlılardan birini tercih ediyor.
Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Metin (Body):
Aşağıdaki metinkerden birini yazıyor.

Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
Eklenti (Attachment):
Resume.exe
Download.exe
MSO-Patch-0071.exe MSO-Patch-0035.exe Two-Up-Secretly.exe Transcripts.exe Readme.exe AvrilSmiles.exe AvrilLavigne.exe
Complicated.exe Singles.exe
Sophos.exe Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe Sk8erBoi.exe
IAmWiThYoU.exe

Teknik Özellikler:
Internet solucanı aşağıdaki isimdeki hafızadaki işlemleri durduruyor;

_AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE ANTI-TROJAN.EXE APVXDWIN.EXE AUTODOWN.EXE
AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE
AVKSERV.EXE AVP.EXE AVP32.EXE AVPCC.EXE
AVPDOS32.EXE AVPM.EXE AVPMON.EXE AVPNT.EXE
AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE
BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE
CFIND.EXE CLAW95.EXE CLAW95CT.EXE
CLEANER.EXE CLEANER3.EXE DV95.EXE DV95_O.EXE
DVP95.EXE ECENGINE.EXE EFINET32.EXE ESAFE.EXE
ESPWATCH.EXE F-AGNT95.EXE FINDVIRU.EXE FPROT.EXE F-PROT.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE F-STOPW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMOON.EXE ICSSUPPNT.EXE ICSUPP95.EXE IFACE.EXE IOMON98.EXE
JED.EXE KPF.EXE KPFW32.EXE LOCKDOWN2000.EXE
LOOKOUT.EXE LUALL.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCAN.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVSCHED.EXE NAVW.EXE
NAVW32.EXE NAVWNT.EXE NISUM.EXE NMAIN.EXE
NORMIST.EXE NUPGRADE.EXE NVC95.EXE OUTPOST.EXE
PADMIN.EXE PAVCL.EXE PCCWIN98.EXE
PCFWALLICON.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE
RESCUE.EXE SAFEWEB.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE
SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE
TDS2-98.EXE TDS2-NT.EXE VET95.EXE VETTRAY.EXE
VSECOMR.EXE VSHWIN32.EXE VSSCAN40.EXE VSSTAT.EXE WEBSCAN.EXE WEBSCANX.EXE WFINDV32.EXE ZONEALARM.EXE
Internet solucanı başlıklarında aşağıdaki isimler yazan tüm pencereleri kapatıyor:

anti Anti AVP McAfee Norton virus Virus
Sistemde değişiklikler yapıyor:

Internet solucanı kendisini değişken isimlerle %WINDIR%\SYSTEM32 dizini altına kopyalıyor.

Sistem her yeniden başladığında çalışması için kayıt dosyasına yeni bir anahtar yazıyor:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Avril Lavigne - Muse" = C:\WINDOWS\SYSTEM\A33AAAAgbab.EXE
Başka bir anahtar da sistemin virüs tarafıdan etkilendiğini belirtmek için yartılıyor:

HKEY_LOCAL_MACHINE\Software\HKLM\Software\OvG\Avril Lavigne
Yukarda e-posta eklentileri kısmında belirtilen isimlerinden birisi olarak aşağıdaki dizinlere kopyalıyor.

C:\
%WINDIR%\TEMP
Kendisini aşağıdaki dizinlere kopyalıyor.

%Temporary%\
%Temporary%\.tft
%System%\.exe
%All Drives%\Recycled\.exe
%Kazaa Downloads%\.exe
avril-ii.inf adlı virüs yazarından bir notu da %WINDIR%\TEMP dizinine kopyalıyor.

Internet bağlantısın kontrol ediyor ve bağlantı yoksa varsayılan çevirmeli ağ bağlantısını kurmayı deniyor.

Wİndows Address Book ve uzantıları .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch ve .idx olan dosyalardaki e-posta adreslerine e-posta göndermeyi deniyor.

Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı \Windows\System dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.

mIRC program dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.

Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini \RECYcLED\ dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.

@win .exe
Kendisini \RECYcLED\ dizini altına değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için belirtilen şekilde değiştiriyor.

Kendisini KaZaa dizinine değisken isimlerle kopyalıyor.

Eğer ayın 7si,11i ya da 24 ise, www.arvil-lavigne.com adresine bağlanıp grafik animasyonlar gösteriyor.

Belirtiler:
Yukarıda belirtilen Kayıt anahtarlarının varlığı
Yukarıda belirtilen dosyaların varlığı
E-posta trafiği
IRC trafiği
ICQ trafiği
SMTP sunucusuna ağ trafiği (62.118.249.10 Port 25 TCP).
Etkileme Yöntemi:
Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı \Windows\System dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.

mIRC prgram dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.

Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini \RECYcLED\ dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.

@win .exe

 

 

 

 

 

 

Copyright 2008 murtitek

 
report phishingreport abuse

HTML Counter
stats counter