MYDoom Virüsünün Getirdikleri

W32/Mydoom Virüs Tanımı : Toplu e-posta atan bir virustür. Aşağıdaki özelliklerde geliyor:
Kimden (From): Konu(Subject): test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Metin (Body):

W32/Mydoom
Virüs Tanımı :

Toplu e-posta atan bir virüstür.

Aşağıdaki özelliklerde geliyor:
Kimden (From):
Konu(Subject):

* test
* hi
* hello
* Mail Delivery System
* Mail Transaction Failed
* Server Report
* Status
* Error

Metin (Body):
Eklenti (Attachment):

* doc.bat
* document.zip
* message.zip
* readme.zip
* text.pif
* hello.cmd
* body.scr
* test.htm.pif
* data.txt.exe
* file.scr

Belirtiler:

* Aşağıdaki kayıt(registry) dosyalarının varlığı
* Anlamsız eklentinin içeriği

Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması sonucu kendi SMPT motoru yardımı ve P2P paylaşımları yoluyla yayılıyor.
Teknik özellikler:

Virüs çalıştırıldığında:

* aşağıdaki dosyaları yaratıyor.
o "shimgapi.dll" %System% dizininde.
o "Message" %temp% dizinde. Notepad tarafından açılan tamamen tesadüfi karakterlerden oluşmuş bir metindir.
o "taskmon.exe" %System% dizinde. Başka bir taskmon.exe varsa üzerine yazıyor.
* shimgapi.dll arka kapı olarak çalışan proxy programıdır.
* Shimgapi.dll EXPLORER.EXE tarafından çalıştırılması için aşağıdaki kayıt (registry key) anahtarları girilir:
o HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 "(Default)" = %SysDir%shimgapi.dll
* Windows açıldığında kod çalışması için aşağıdaki değeri;
TaskMon = %System%taskmon.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
* Aşağıdaki kayıt dosyalarının yaratır:
o HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
o HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
* Aşağıdaki dosyalardan e-posta adresleri topluyor.
o ".htm"
o ".sht"
o ".php"
o ".asp"
o ".dbx"
o ".tbb"
o ".adb"
o ".pl"
o ".wap"
o ".txt"
* Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
* Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.
o www.sco.com
* %KaZaA dizinine iki dosya daha yaratıyor.
o winamp5
o icq2004-final
o activation_crack

o strip-girl-2.0bdcom_patches
o rootkitXP
o office_crack
o nuke2004
* aşağıdaki uzantlarla
o pif
o scr
o bat
o exe

Kaynak: http://www.alperbalci.com/

İlgili Yazılar

Hacker`lar İşe Alınır mı?

FZ
25 Ekim 2001, 1 dakika okuma süresi

Yukarıdaki sorunun cevabı nedir diye düşündünüz mü bilmiyorum ama benim cevabım "alınmalıdırlar, tabii haklarında gerekli araştırmalar ve testler yapıldıktan sonra" şeklindeydi.

Bugün okuduğum bir haberde ise yakın zamanda yapılmış bir araştırmaya göre şirket yöneticilerinin görüşlerinin bu konuda olumsuz olduğu anlatılıyor.

Hackerlar işe alınır mı? haberindeki sonuçların ilginç olan kısmı ise genel eğilimin hackerları tam zamanlı şirket elemanı olarak değil de daha çok aralıklarla başvurulacak bir tür danışman statüsünde yönünde olması.

Gerçekçi bir bilgisayar hikayesi!

sundance
30 Ekim 2005, 1 dakika okuma süresi

Bilişim güvenliği konusunda seyrettiğiniz filmleri, okuduğunuz kitapları bir hatırlayın. Hollywood bu alanda genelde ipe sapa gelmez örneklere, (bkz. Swordfish, Hackers, Operation Takedown vs.), çok nadiren de gerçekçi sahnelere Matrix Reloaded Matrix Reloaded2 sahne olmuştur.

Yazın dünyasında ise bu alanda en iyi örneklerden biri Neal Stephenson'un Cryptonomicon'udur. Gerçek bir EMP cihazının nasıl olduğundan, laptop monitörünün yaydığı dalgalar sayesinde ekrana yazılanların okunmasını engellemek isteyen kahramanın bir Xscreensaver yazmasına kadar oldukça gerçekçi, ayakları yere basan detaylara sahiptir. Başlangıçta Komut Satırı Vardı!'yı yazan bir yazardan da başka türlüsü beklenemezdi...

Kötü adamlar ve arka kapılar

sundance
27 Nisan 2003, 17 dakika okuma süresi

Uzun bir süreden beri (Truvalılardan bu yana ;) hileli oyuncaklar hep güncelliğini korumuşlardır. Truva şehrinin düşmesinden, James Bond numaraları ile çeşitli sırları ele geçiren casuslara kadar tarih boyunca, asıl amacını gizleyen aletler hep büyük avantaj olmuştur.

Son yirmi yılda ise, bilgisayarın ve ağların yaygınlaşması ile, bu eski hileli savaş araçlarının yerini sistemdeki zayıflıklar, belli bir işi görüyormuş gibi davranan ama arka planda başka numaralar çeviren programlar almıştır. Tacettin Karadeniz arkadaşımız da, sözkonusu zayıflıkları sağlayan Arkakapıları [Backdoor] anlatan enfes bir makale yazmış, ilgi ile okuyoruz.

NetCat, Telnet, Reverse Telnet ve türlü numaralar :)

sundance
6 Mart 2003, 19 dakika okuma süresi

Bu yazıda Unix'in efsanevi komutlarından belki de en gençlerinden birine sistem yöneticilerinin ve hackerların daim dostu NetCat'e basitçe değinmeyi amaçladım.

Her ne kadar basitçe değinecek olsam da networkle ilgilenenlerin işe yarar bir şeyler bulacağınıza inanıyorum bu yazıda. Özellikler Reverse Telnet birçok download meraklısının (ve evinden firewall'lu işyeri makinasına bağlanmak isteyen adamın) ilgisini çekecektir ;)

Gmail Problemi(!)

e2e
20 Haziran 2004, 1 dakika okuma süresi

Gmail'in "kişisellik"i ihlal etmesi, sınırsız disk alanı gibi özelliklerinden daha fazla tartışılmıştı. Ama tartışmalar bir süre sonra yerini tam bir sessizliğe bıraktı. Ama SecurityFocus'taki yazıdan sonra bu tartışmaların kolay kolay bitmeyeceği anlaşılıyor.

Google, mail mesajı-reklam ilişkisinde kişisel hakların gözardı edildiği, gizlilik ilkesinin yok sayıldığı eleştirilerine, "Mesajları insanlar değil, bilgisayarlar tarayacak" cevabını veriyordu. SecurityFocus'ta yazan Mark Rasch ise yazısında, "bir insan ya da insanlar tarafından yazılmış bir program; ikisi de aynı şey" diyor. Yazar, ayrıca bu tarz tarama sistemlerinin yeni bir Echelon işlevi taşıyabileceğini belirtiyor. Ve Google'ın bu politikasının ABD yasalarına da ters düştüğünü belirtiyor.