MYDoom Virüsünün Getirdikleri

W32/Mydoom Virüs Tanımı : Toplu e-posta atan bir virustür. Aşağıdaki özelliklerde geliyor:
Kimden (From): Konu(Subject): test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Metin (Body):

W32/Mydoom
Virüs Tanımı :

Toplu e-posta atan bir virüstür.

Aşağıdaki özelliklerde geliyor:
Kimden (From):
Konu(Subject):

* test
* hi
* hello
* Mail Delivery System
* Mail Transaction Failed
* Server Report
* Status
* Error

Metin (Body):
Eklenti (Attachment):

* doc.bat
* document.zip
* message.zip
* readme.zip
* text.pif
* hello.cmd
* body.scr
* test.htm.pif
* data.txt.exe
* file.scr

Belirtiler:

* Aşağıdaki kayıt(registry) dosyalarının varlığı
* Anlamsız eklentinin içeriği

Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması sonucu kendi SMPT motoru yardımı ve P2P paylaşımları yoluyla yayılıyor.
Teknik özellikler:

Virüs çalıştırıldığında:

* aşağıdaki dosyaları yaratıyor.
o "shimgapi.dll" %System% dizininde.
o "Message" %temp% dizinde. Notepad tarafından açılan tamamen tesadüfi karakterlerden oluşmuş bir metindir.
o "taskmon.exe" %System% dizinde. Başka bir taskmon.exe varsa üzerine yazıyor.
* shimgapi.dll arka kapı olarak çalışan proxy programıdır.
* Shimgapi.dll EXPLORER.EXE tarafından çalıştırılması için aşağıdaki kayıt (registry key) anahtarları girilir:
o HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 "(Default)" = %SysDir%shimgapi.dll
* Windows açıldığında kod çalışması için aşağıdaki değeri;
TaskMon = %System%taskmon.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
* Aşağıdaki kayıt dosyalarının yaratır:
o HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
o HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
* Aşağıdaki dosyalardan e-posta adresleri topluyor.
o ".htm"
o ".sht"
o ".php"
o ".asp"
o ".dbx"
o ".tbb"
o ".adb"
o ".pl"
o ".wap"
o ".txt"
* Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
* Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.
o www.sco.com
* %KaZaA dizinine iki dosya daha yaratıyor.
o winamp5
o icq2004-final
o activation_crack

o strip-girl-2.0bdcom_patches
o rootkitXP
o office_crack
o nuke2004
* aşağıdaki uzantlarla
o pif
o scr
o bat
o exe

Kaynak: http://www.alperbalci.com/

İlgili Yazılar

Gündem: Email servisleri (ve güvenlik)

e2e
26 Haziran 2004, 1 dakika okuma süresi

FM'nin gündemi "web tabalı e-posta" servisleriyle devam ediyorken, (FZ'nin bir yorumunda yazdığı, "kendi mail sunucunuzu kurun" önerisinden de esinlenerek) güvenli bir mail servisi kurmanın yöntemlerini öğrenmek fena olmaz.

POP destekli bir mail sunucusu için belki daha ayrıntılı bir araştırma yapmak gerekir. Ama web tabanlı bir mail servisi için gerekli güvenlik adımları Secure Web Based Mail Services başlıklı bu makaleden öğrenilebilir.

AnkaSEC 10 Bilgi Güvenliği Konferansı Aktif Katılım Çağrısı

honal
11 Ekim 2010, 2 dakika okuma süresi

Ülkemizde gerçekleştirilen bilgi/bilişim güvenliği çalışmalarına katkı olmak amacıyla her yıl düzenli olarak gerçekleştirilen Ankaraya özel bilgi güvenliği etkinliği AnkaSEC konferansı bu yıl 23 Aralık 2010 tarihinde Ankara TÜBİTAK Başkanlık binasında gerçekleştirilecektir.

Konferans kayıt olan herkese açık ve ücretsizdir.

Internet Üzerinden Bir Takip Öyküsü

FZ
6 Kasım 2002, 1 dakika okuma süresi

Geçen gün bir arkadaşımla yazışırken ilginç bir hikaye dinledim ve sizinle paylaşmak istedim:

Arkadaşım Internet üzerinden ICQ aracılığıyla birisi ile yazışıyormuş. Alışıldığı üzere karşısındakine ismini sormuş ancak karşı taraf ismini söylememekte ısrar edince arkadaşım bu inatçı şahsiyeti biraz şaşırtmaya karar vermiş. Önce ICQ programını kontrol etmiş ve yazıştığı kişinin IP numarası gösterme özelliğinin açık olduğunu görmüş (hata 1). Buradan makinanın IP adresini öğrenmiş ve ardından Essential Net Tools isimli programı kullanarak makinanın NetBIOS sisteminin açık olduğunu tespit etmiş (hata 2). Böylece makinanın MS Windows ağındaki makina ismini öğrenmiş: xxxxxx-24 gibi bir isim (hata 3). Bu bilgileri edindikten sonra tüm zamanların en faydalı sitesi Google arama sitesine girip "xxxxxx" ismini aratmış ve karşısına "xxxxxx internet cafe, adres:....." şeklinde bilgiler çıkmış.

Bu bilgilerle donanmış olan arkadaşım karşısındakine şöyle bir mesaj göndermiş: "Şu anda falanca adreste, falanca telefonlu Internet Kafe'de, 24 numaralı makinanın başındasın, hala ismini söylemek istemiyorsan sen bilirsin ;-)". Karşı tarafın küçük çaplı bir şok geçirip dumura uğraması üzerine muhabbeti fazla uzatmamış ;-)

Kıssadan hisse: Windows ortamında, Internet Kafe'de falan yazışırken dikkatli olun. Ya inatçılık etmeyin, ya da edecekseniz gereksiz servisleri kapatın, işletim sisteminizi kontrol edin, vs. vs. ;-)

Network Penetrasyon Testleri Eğitimi / Haziran 2009

butch
28 Mayıs 2009, 1 dakika okuma süresi

13 Haziran 2009 tarihinde İstanbul Bilgi Üniversitesi, Dolapdere kampüsünde başlayacak 20 saat süreli Network Penetrasyon Testleri Eğitimi, 3 hafta boyunca Cumartesi günleri, Bilgi ve Sistem Güvenliği konularında sertifikalı eğitmenler tarafından, birçok uygulamalı örnekler eşliğinde gerçekleştirilecektir.

İstanbul´da Siber Savaş (Hacking) Yarışması!

FZ
14 Aralık 2002, 1 dakika okuma süresi

SİBER SAVAŞ OYUNLARI 2002 Başlıyor!

Sizleri, bilgisayarları korumak ya da güvenlik önlemlerini aşmak konusundaki becerilerinizi bir eğlenceye dönüştürecek "Siber Savaş Oyunları 2002"ye katılmaya davet ediyoruz.

Bilgisayar güvenliği alanındaki deneyiminizi göstermeye hazır mısınız?

19-21 Aralık 2002 tarihlerinde Istanbul Harbiye Kültür Merkezi (Askeri Müze)'de gerçekleştirilecek "VIII. Türkiye'de Internet Konferansı" (inet-tr'02) kapsamında düzenlenecek Siber Savaş Oyunları yarışmasında iki seçeneğiniz var: