MYDoom Virüsünün Getirdikleri

W32/Mydoom Virüs Tanımı : Toplu e-posta atan bir virustür. Aşağıdaki özelliklerde geliyor:
Kimden (From): Konu(Subject): test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Metin (Body):

W32/Mydoom
Virüs Tanımı :

Toplu e-posta atan bir virüstür.

Aşağıdaki özelliklerde geliyor:
Kimden (From):
Konu(Subject):

* test
* hi
* hello
* Mail Delivery System
* Mail Transaction Failed
* Server Report
* Status
* Error

Metin (Body):
Eklenti (Attachment):

* doc.bat
* document.zip
* message.zip
* readme.zip
* text.pif
* hello.cmd
* body.scr
* test.htm.pif
* data.txt.exe
* file.scr

Belirtiler:

* Aşağıdaki kayıt(registry) dosyalarının varlığı
* Anlamsız eklentinin içeriği

Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması sonucu kendi SMPT motoru yardımı ve P2P paylaşımları yoluyla yayılıyor.
Teknik özellikler:

Virüs çalıştırıldığında:

* aşağıdaki dosyaları yaratıyor.
o "shimgapi.dll" %System% dizininde.
o "Message" %temp% dizinde. Notepad tarafından açılan tamamen tesadüfi karakterlerden oluşmuş bir metindir.
o "taskmon.exe" %System% dizinde. Başka bir taskmon.exe varsa üzerine yazıyor.
* shimgapi.dll arka kapı olarak çalışan proxy programıdır.
* Shimgapi.dll EXPLORER.EXE tarafından çalıştırılması için aşağıdaki kayıt (registry key) anahtarları girilir:
o HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 "(Default)" = %SysDir%shimgapi.dll
* Windows açıldığında kod çalışması için aşağıdaki değeri;
TaskMon = %System%taskmon.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
* Aşağıdaki kayıt dosyalarının yaratır:
o HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
o HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
* Aşağıdaki dosyalardan e-posta adresleri topluyor.
o ".htm"
o ".sht"
o ".php"
o ".asp"
o ".dbx"
o ".tbb"
o ".adb"
o ".pl"
o ".wap"
o ".txt"
* Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
* Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.
o www.sco.com
* %KaZaA dizinine iki dosya daha yaratıyor.
o winamp5
o icq2004-final
o activation_crack

o strip-girl-2.0bdcom_patches
o rootkitXP
o office_crack
o nuke2004
* aşağıdaki uzantlarla
o pif
o scr
o bat
o exe

Kaynak: http://www.alperbalci.com/

İlgili Yazılar

OpenBSD Paket Süzgeci Türkçe Kullanım Kılavuzu

anonim
12 Mayıs 2005, 1 dakika okuma süresi

PF Tcp/Ip trafiğini süzme ve ağ adres dönüşümü (NAT) sağlayan bir OpenBSD sistemidir. Bu sistemin temel ayarları ile ilgili ilk türkçe doküman yayımlandı. Söz konusu belgeye bu adresten erişilebilir.

GNU/Linux OpenBSD Kadar Güvenli Mi?

Nightwalker
28 Şubat 2003, 1 dakika okuma süresi

Internette dolaşırken tesadüfen rastladığım makale oldukça ilginç. Makalede GNU/Linux'un neden hiçbir zaman OpenBSD kadar güvenli olamayacağı açıklanıyor. Başlıktaki iddaya önce şüpheyle yaklaşsam da savunulan tezler oldukça mantıklı gözüküyor. OpenBSD desktop uygulaması olarak belki Linux'un karşısına kolay kolay çıkamayacak. Ama sunucu hizmetlerinde... Neyse bakalım gelecek kimin olacak?

NetSec Güvenlik Bülteni Sayı:2

parsifal
9 Eylül 2009, 1 dakika okuma süresi

Hilmi ESEN, Huzeyfe ÖNAL, Sertan KOLAT'ın katkılarıyla, NetSec Güvenlik Bülteni sayı 2 çıktı!

Firefox 2.0.0.5 için kritik uzaktan kod çalıştırma açığı

Yns_
28 Temmuz 2007, 1 dakika okuma süresi

Firefox'un yeni çıkan sürümünde ciddi bir açık bulundu, billy'nin bloğundan örnekleri görmek mümkün.

Açık, dinamik sitelerdeki link verme kodlarını da etkiliyebiliyor, regex'i iyi yazılmamış herhangi bir URL bbcode'u ile veya "A" etiketine izin veren herhangi bir sistemde rahatlıkla sömürülebiliyor.

Internet´in En Kara Günü!

sundance
8 Temmuz 2003, 1 dakika okuma süresi

6 Temmuz 2003 muhtemelen Internet'in en kara günlerinden biri olarak tarihe geçecek! Zira bugün, www.defacers-challenge.com, dünya çapında sistem kırıcıları 6,000'e yakın siteyi en kısa sürede kırmaya davet etti.

Eğer medya her zamanki gibi bu habere atlamasaydı, sonuç bu kadar feci olmayabilirdi. Bir delinin kuyuya attığı taş pekala da orada kalabilirdi.

Yarışmayı boykot edip, hakem site zone-h.org'a saldıranlar mı dersiniz, yoksa ünlü olma adına kırdıkları sitelerden haber veren yarışmacılar mı (ikisi de zone-h'a denial-of-service yapmış tamamen zıt sebeplerle :)) Kırılan sitlerin listesi haberde, özellikle Sapık Ferit tarafından re-hack edilmiş pcoyun.net'e dikkat :)))