2007 Virüsleri ; Bilgi ve Korunma Yolları

# Sisteme verdiği zararlar nelerdir ?
# Nasıl ve ya hangi yollarla sızarlar ?
# Nasıl temizlenirler (silinirler) ?

Sun Solaris Telnet Kurtçuğu (Worm)
Yeni bir kurtçuk (worm) Sun Solaris telnet daemon’daki (in.telnetd) bir güvenlik açığını (VU#881872) kullanıyor. Güvenlik açığı kurtçuğun (veya saldırganların) telnet ile (23/tcp) yüksek imtiyazlar ile login olmasına izin veriyor.
Açıktan yararlanmak kolay olduğu için ve yeterli teknik bilgi herkese açık olduğu için herhangi bir saldırgan veya bu kurtçuk etkilenen sistemlere kolaylıkla girebiliyor.
Kurtçuğun karakteristiklerinden bazıları:

* VU#881872’den yararlanıp telnet kullanarak adm veya lp kullanıcısı ile login olmak
* /var/adm/wtmpx izinlerini -rw-r--rw- ye çevirmek
* /var/adm/sa altında .adm klasörünü yaratmak
* /var/adm/ ve /var/spool/lp/ altında .profile dosyalarını yaratmak
* port 32982/tcp üzerinde bir arkakapı (backdoor) kurmak
* adm ve lp kullanıcıları için crontab kayıtlarında değişiklik yapmak
* telnet (23/tcp) servisi veren diğer sistemleri taramak
Çözüm:

Sun kurtçuk ile ilgili bilgiyi ve telnet daemon’unu kapatarak kurtçuğun yaptığı değişiklikleri düzelten bir script’i yayınladı.
Açığı kapatmak için Sun Alert Notification 102802’ye göz atınız.
Geçici Çözüm:

Telnet’i kapatın
Telnet aşağıdaki komutu root olarak çalıştırarak kapatılabilir
# /usr/sbin/svcadm disable telnet
Telnet erişimini kısıtlayın
Telnet (23/tcp) servisine Internet gibi güvenilmeyen ağlardan erişimi kısıtlayın.
Telnet yerine SSH kullanın
SSH uzaktan sistemlere girişte telnet’ten daha güvenli bir metod sunar. Genel bir tavsiye olarak SSH kullanımı öneriliyor.
Kaynak: http://www.us-cert.gov/cas/techalerts/TA07-059A.html
Referanslar:

* US-CERT Vulnerability Note VU#881872
* Recovering from an Incident
* Sun Alert Notification 102802
* Solaris in.telnetd worm seen in the wild + inoculation script
* inoculate.local
* CVE-2007-0882

Etkilenen Sistemler
* Sun Solaris 10 (SunOS 5.10)
* Sun "Nevada" (SunOS 5.11)
Hem SPARC hem de Intel (x86) mimarisi etkileniyor.

Linux.Jac.8759
Linux.Jac.8759 Linux altındaki dosyaları etkileyen bir virüstür. Virüs, bulunduğu dizindeki ELF çalıştırılabilir dosyalarını etkilemektedir.
Açıklama
Risk Faktörü: Düşük
Etkilenen Sistem: Linux

Linux.Jac.8759 çalıştırıldığında, bulunduğu dizinlerdeki çalıştırılabilir dosyalara yazabilme izni olup olmadığını kontrol eder ve bulduğu dosyaları enfekte etmeye çalışır. Virüs, ps uzantısı olan dosyaları ve x86 (Intel) platformu için yaratılmamış dosyaları etkilemeyecektir.
İlgili virüs dosyanın headerındaki birçok alanı modifiye etmektedir ve bu modifikasyonlardan biri dosyanın etkilenmiş olduğunu belirlemek için kullanılmakta, bu sayede aynı dosyanın birden fazla kez virüsten etkilenmesi engellenmektedir.

Çözüm
www.symantec.com adresinden edinebileceğiniz Norton Antivirüs programı bu virüsü güvenli bir şekilde temizleyebilmektedir. Ayrıca önceki kullanıcılar, LiveUpdate fonksiyonunu kullanarak bu virüs için gerekli güncellemeleri indirebilirler.

ref: http://securityresponse.symantec.com/avcenter/venc/data/linux.jac.8759.html



Tayvan’da MSN virüsü keşfedildi
MSN bağımlıları dikkat! Taipei Times, Tayvan’da binlerce insanın, saldırganlar tarafından kullanıcıların bilgisayarlarının kontrol altına alınabilmesine olanak tanıyan, MSN vasıtasıyla iletilen bir virüsün etkisi altında olduğunu bildirdi.
Kulllanıcıların çoğu, kişiler listesinde düzenli olarak kayıtlı bulunan arkadaşlarından bir link aldı. Linke tıkladıklarında, bir backdoor virüsün bilgisayarlarına kurulduğunu fark ettiler.
Çoğu kullanıcı, ilk olarak kişi listelerinin yok olduğunu ve MSN Messenger’ı kapatmanın imkansız olduğunu bildirdi. Bir kısmı, Messenger Linkine tıkladıktan sonra ters olan hiçbir şey olmadığını kabul ederken, bazı kullanıcılar da bilgisayarlarında veri kaybı olduğunu belirtti.
Virüsün özellikleri ve ne kadar yaygın olduğu hakkında net bir bilgi yok, Doğrusu, bir taraftan MSN temsilcileri BKDR_RINBOT.A isminde bir backdoor virüsü tespit ettiklerini iddia ederken, diğer yandan Symantec Çin bölgesi uzmanları virüsün Backdoor.irc.Bot virüsü olarak tanımlanabileceğini belirtti.
Symantec’e göre, virüs, alıcının korumasını kaldırmak için linkleri göndermede kişi listesini kullanıyor.
Bu tür bir saldırının amacı hem virüsü yaymaya devam etmek için daha fazla kişiye ulaşmak, hem de virüsün bulaştığı bilgisayarlara tam kontrol kazanmak. Bunun yanında, virüsün bulaşmış olduğu bilgisayarların her yeniden başlatıldığında virüsü çalıştıracağı ve bir IRC sohbet odası sunucusuna bağlanmaya çalıştığı, bu sayede bu sunucuya bağlanan bütün bilgisayarların virüsten etkileneceği doğrulandı.

Tomtom virüsleri
Geçtiğimiz günlerde Reuters haber ajansının bildirdiği üzere “uzman bir web sitesi” son zamanlarda TomTom uydu rota tertibatında virüslerin olduğunu açığa çıkardı.
Belirtilmeyen ise, yukarıdaki web sitesinin gerçekte Davey Winder’ın virüsler hakkında derin analiz ve TomTom’un cevaplarını tamamen sağladığı Daniweb’deki blog sayfası olduğu.
Orada şöyle yazıyor: “endişeli bir kullanıcıdan gelen bir email ile başladı. Kaygısının nedeni olan yeni aldığı TomTom GO 910 satnav unit’in bilgisayarına bağlandıktan sonra, aniden anti virüs yazılımının uyarı vermesi. Bir değil, aslında iki uyarı…”
Evet, iki virüs, ancak TomTom’a göre müşterilerinin bilgisayarlarına olan risk son derece düşük.
Maalesef, Sophos uzmanları aynı fikirde değil ve diyorlar ki: “TomTom SatNav cihazları Linux tabanlı, ve zararlı yazılım tarafından etkilenemezler. Ancak, cihaza USB portları vasıtasıyla bağlanan Windows kullanıcıları zararlı kodları çalıştırmayı risk ediyorlar ve masa üstü bilgisayarlarına buşaştırıyorlar.”
TomTom, virüslerin virüs tarama yazılımları ile güvenle kaldırılabileceği üzerinde duruyor, peki ya bilgisayarlarındaki dijital bulaşmayı fark etmemiş olan kullanıcılar?
Fakat, Sophos’a göre, bu hikayenin en endişe verici yanı anti virüs yazılımı olmayan müşteriler ve “Windows bilgisayarlarına virüs bulaştırdıklarının farkında olmayan müşteriler.”
Esasında virüsler neredeyse şans eseri keşfedildi, örneğin TomTom GO bilgisayara bağlandığında ve cihaz üzerindeki içeriği depolama başladığında.
İlk olarak, TomTom soruna önem vermedi fakat Winder’ın hareketinin çıkardığı gürültünün ardından firma, kendi resmi web sitesinde bu virüsler hakkında tavsiyeler gösteren bir sayfayı yayınlamayı seçti. Sayfada tam olarak Winder’ın virüs hakkındaki düşünceleri belirtiliyor.
Kaynak

Virüs Adı : Troj/Paproxy-D
Türü : Trojan
Etkilediği sistemler : Windows ailesi

Sisteme Veridiği Zararlar ve Etkileri :
Sisteme uzaktan izinsiz girişleri olanak sağlar
Registry kayıtlarıyla oynar-değiştirir
Bilgisayarta güvenlik zaaflarına neden olur, açık alın anti-virüs programlarına etkisiz hale getirmeyi dener.
Takma Adları :
- Trojan-Proxy.Win32.Agent.ay
- BackDoor-CUX

Güvenlik-Temizleme Dosyası :
[ http://www.sophos.com/downloads/ide/paprox-d.ide ]
# Bazı Bilgiler

Troj/Paproxy-D kendisini sistem dosyalarının için kopyalar ve <System>\\lsrss.exe adında bir dosya oluşturur. Dosya oluştuktan sonra kendisi ;
<System>\\software.inf
<System>\\mslogsvr.ini
<Windows>\\msnextlog.dll
şeklinde yan dosyalar oluşturur. lsrss.exe dosyası explorer.exe çalıştığı zaman aktif hale gelir ve harekete geçer.Troj/Paproxy-D HTTP alt yapsını kullanan bir trojan türüdür. Çalıştığı zaman sistemin trojanın sahibi olan kişinin eline geçmesini sağlar.

Registry oynamalar :

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Run
LogService
<System>\\lsrss.exe
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunServices
LogService
<System>\\lsrss.exe
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Policies\\Explorer\\Run
LogService
<System>\\lsrss.exe
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
Shell
Explorer.exe <System>\\lsrss.exe
Kaynak : www.sophos.com


Podloso - Linux çalıştıran iPod’lar için ilk virüs - Oslo Virus




Kaspersky Lab iPod taşınabilir medya aygıtları için tasarlanmış bir virüsü tespit ettiklerini duyurdu.
Podloso olarak adlandırılan virüs gerçek bir tehdit oluşturmayan, daha çok yapılabileceğinin kanıtı niteliğinde bir virüs.
Virüsün çalışabilmesi için iPod’un linux kullanıyor olması gerekiyor. Virüs iPod’a bulaştığında programların demo sürümlerinin olduğu klasöre kendisini kopyalıyor. Virüs kullanıcının müdahelesi olmadan otomatik olarak çalışmıyor.
Çalıştırıldığında virüs cihazın disk sürücüsünü tarayarak tüm çalıştırılabilir .elf formatındaki dosyalara bulaşıyor. Bu dosyalardan biri çalıştırıldığında ekranda "You are infected with Oslo the first iPodLinux Virus" yazısını çıkartıyor.
Podloso tipik bir yapılabileceğinin-kanıtı türünde virüs. Bu tip virüsler spesifik bir platforma virüs bulaştırmanın mümkün olabildiğini gösterme amaçlı olarak yaratılıyorlar. Kötü amaçlı aktiviteler gerçekleştirmiyorlar. Ek olarak, Podloso yayılamıyor. Cihaza bulaşabilmesi için kullanıcının virüsü iPod hafızasına kaydetmesi gerekiyor.
Kaynak: http://www.kaspersky.com/news?id=207575511
Kaynak 2: http://www.viruslist.com/en/weblog?weblogid=208187356


Yeni Hızlı Mesajlaşma Virüsü Skype Kullanıcılarını Hedefliyor - Psykse.A
F-Secure pazartesi günü yeni bir instant-messaging virüsünün Skype’ın chat özelliğini kullanarak yayıldığını duyurdu.
Pykse.A olarak adlandırılan kurtçuk (worm) hızlı mesajlaşma uygulamarını etkileyen diğer tehditlere benziyor. Hedef Skype kullanıcısı bir yazı ve JPEG dosyasına gidiyor görünen bağlantı adresi içeren bir chat mesajı alıyor.
Bağlantı adresine tıklandığında kullanıcı kötü amaçlı dosyaya yönlendiriliyor. Bu dosya çalıştırıldığında kullanıcının Skype listesindeki bütün kullanıcılara gönderiliyor. Ek olarak kullanıcının Skype durum mesajını "Do Not Disturb" olarak değiştiriyor.
Pykse çeşitli web sitelerini de otomatik olarak ziyaret ediyor fakat bu sitelerde kötü amaçlı dosyalar yok. Virüs bulaşan makineleri saymak için kullanılıyor gibi görünüyor.
Pykse Windows sistemlerde Skype çalıştıran kullanıcıları etkiliyor.

Warezov Virüsünün Yeni Versiyonu Salgın Halinde Yayılıyor


Güvenlik çözümleri konusunda dünya çapındaki önde gelen firmalardan biri olan Kaspersky Lab, 19 Nisan 2007 sabahı Warezov isimli e-posta solucanının son versiyonu olan Warezov.nf’nin salgın halinde yayıldığını bildirdi. Salgın en üst düzeye ulaştığında, zararlı e-posta trafiğinde %75 ila %80 düzeyine ulaşmıştı.
Bu solucan internet üzerinde mesajlara eklenti halinde yayılıyor. Mesaj eklentisinde solucanın kendisi olmamakla birlikte, zararlı kodu internet üzerinden bilgisayara indirerek çalıştıran bir bileşen mevcut. Bu solucan aynı zamanda bilgisayarda mevcut antivirüs programlarını da devre dışı bırakıp siliyor. Warezov.nf solucanı, internet üzerindeki bir siteden başka zararlı programlar da indiriyor ve bu zararlı programlar sayesinde solucanın bulaştığı bilgisayar, internet üzerinden uzaktaki kullanıcılara erişim hakkı verilmesine neden oluyor.


Salgının en üst düzeye ulaştığı anda Warezov.nf, zararlı e-posta trafiğinin %10 civarında artmasına neden oldu. Başka bir deyişle her 10 zararlı mesajdan birisi Warezov.nf içeriyordu. Ancak 19 Nisan akşamı e-posta trafiğindeki Warezov.nf hacmi oldukça düştü.


Bu solucanla ilgili ilk örneğin ele geçirilmesinden yarım saat kadar sonra Kaspersky Lab, bu virüsü tespit eden ve temizleyen güncellemeyi 19 Nisan sabahı yaptı. Kişisel ürünlerimiz olan Kaspersky Antivirus 6.0 ve Kaspersky Internet Security 6.0 kullanıcıları programlarında "koruma önlemleri" (proactive security) seçeneğini işaretledikleri taktirde güncelleme olmadan dahi Warezov.nf solucanına karşı koruma altındalar. Kaspersky Lab Türkiye distribütörü 64K Bilgisayar olarak tüm internet kullanıcılarına antivirüs programlarının veritabanını güncellemelerini ve tanımadıkları kişilerden gelen e-postaları açmamalarını tavsiye ediyoruz.


http://www.64k.net
http://www.kaspersky.com.tr
http://www.kaspersky.com
http://www.viruslist.com/en/viruses/encyclopedia?virusid=156735
Virüs Adı : Trojan-PSW.Win32.Kesk.a


Diğer versiyonu : color=#0000ffTrojan-PSW.Win32.Kesk
Tür : PSW Trojans


Bulunma Tarihi : 19 Nisan 2007
Diğer İsimler :
Trojan-PSW.Win32.Kesk.a ( color=#0000ffKaspersky Lab)
PWS-Zimenok ( color=#0000ffMcAfee)
PWSteal.Trojan ( color=#0000ffSymantec)
Trojan.PWS.Zimenok.6 ( color=#0000ffDoctor Web)
Troj/Zimenok ( color=#0000ffSophos)
PWS:Win32/Kesk.A ( color=#0000ffRAV)
TROJ_ZIMENOK.06 ( color=#0000ffTrend Micro)
TR/KeskPSW.B ( color=#0000ffH+BEDV)
Win32:Trojan-gen. ( color=#0000ffALWIL)
Trojan.PSW.Kesk.A ( color=#0000ffSOFTWIN)
Trojan Horse ( color=#0000ffPanda)
Win32/PSW.Kesk.A ( color=#0000ffEset)
Açıklama : Bu trojan kullanıcı şifrelerini çalmak için design edilmiştir.
dosya ismi pe.exe dir.Boyutu 12 mb dır.Trojan i çalıştırdıgınızda kendisini windows sistem klasörlerine orjinal ismiyle kopyalamaktadır.Ayrıca bu trojan kendisini kayıt defterine de atmaktadır.Trojan çalıştırıldıgı anda regeditde aşadaki directory e kopyalanmaktadır
[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Run]
"Kernel.Tsk" = "<path to Trojan executable file>"
Bilgisayarınızı yeniden başlattıgınızda trojan otomatik olarak çalışcaktır.
Trojan bütün şifreleri sistem belleğinde çalışan "WNetEnumCachedPasswords" isimli dosyada saklamaktadır.Ve bu şifreleri
zim***ov8@mail.ru adresine göndermektedir.



Temizleme : Bilgisayarınızda herhangi bir virüsprogramı bulunmuyor ise veya virüs programlarınız güncel değil ise trojan i silmek için aşağıdaki adımları izleyiniz...
<LI class=large>
Görev yöneticisi altında bulunan dosyaları öldüren programları kullanınız
<LI class=large>
Orjinal trojan dosyasını Güvenli Mod Da İnternet Bağlantısı Olmadan arama yaptırarak Bulunuz Ve Siliniz.
<LI class=large>
Sistem Klasörlerinden De Aynı Şekilde Kaldırınız.
<LI class=large>
Aşağıdaki parametreleri Kaldırınız.
[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Run]
"Kernel.Tsk" = "<path to Trojan executable file>"
Virüs Programınızı Update Ediniz.
Güncel Virüs Programı Edinmek İsterseniz :
http://www.kaspersky.com/trials
Adresinden trial sürümünü indirerek deniyebilirsiniz.

GooGled.exe ve domzost.exe Virüsleri

Son zamanlarda kullanıcıların başına bela olan bu exploid türündeki malwareden kurtulmanın yolunu aşağıda bulabilirsiniz.

Dikkat! Öncelikle Registery (kayıt defteri) ile ilgili bilgisi olmayan kullanıcıların bu işleme başlamadan önce deneyimli birisinden yardım almaları gerektiğini belirtelim. Malum Registery yani kayıt defteri işletim sisteminin kalbidir ve bozulması durumunda sistemde hatalara yol açabilir.

1- Windows XP kullanan arkadaşlar öncelikle Sistem Geri Yükleme özelliğini kapatmalılar. Bunu yapmak için bilgisayarım ikonuna sağ tıklayın -> özellikler tıklayın -> Sistem Geri Yükleme Tabına geçin -> Bütün Sürücülerdeki Sistem Geri Yüklemeyi Kapat Kutucuğunu işaretleyip ok tıklayın.

2- ilk adım probleme yol açan dosyalardan birincisi olan C:\\WINDOWS\\system32\\GooGLed.exe ve C:\\WINDOWS\\system32\\dllcache\\domzost.exe dosyalarını bulun ve silin. Eğer dosya kullanımda hatası alıp silemiyorsanız Unlocker tarzı programları deneyin.

3- Başlat -> Çalıştır -> Regedit komutu ile Kayıt Defterini açın ve aşağıdaki girdileri silin

O4 - HKLM\\..\\Run: [Windows Update] GooGLed.exe
O4 - HKLM\\..\\RunServices: [Windows Update] GooGLed.exe
O4 - HKCU\\..\\Run: [Windows Update] GooGLed.exe
O4 - HKCU\\..\\Run: [Windows Update] GooGLed.exe
O4 - HKUS\\S-1-5-18\\..\\RunServices: [Windows Update] GooGLed.exe (User ’SYSTEM’)
O4 - HKUS\\.DEFAULT\\..\\RunServices: [Windows Update] GooGLed.exe (User ’Default user’)
O23 - Service: Microsoft Agent - Unknown owner - C:\\WINDOWS\\system32\\dllcache\\domzost.exe

4- Kayıt Defterinde GooGled.exe ve domzost.exe olarak arama yapın ve bulunan tüm kayıtları silin.

5- Son olarak sistemi güncel bir antivirüs programı ile taratın.


KAYNAK


Skype Solucanı MSN ve ICQ’da


Skype ağında yayılan bir internet solucanı, gelişerek ICQ ve MSN Messenger (WLM) ağlarına da sıçradı. Pek sık karşılaşılmayan bu durum için önlemler burada.


Geçtiğimiz yıl içinde Skype kullanıcılarının başının belası olan Stration solucanının yeni bir versiyonu artık kendini ICQ ve MSN’deki kullanıcılara da göndermeye çalışıyor. Geçen hafta ortaya çıkan yeni tür, Skype yoluyla bilgisayara girdikten sonra sistemde yüklü olan MSN ve ICQ programlarını tarayıp, bulması halinde kişi listesindekilere kullanıcının bilgisi dışında bir bağlantı gönderiyor. Bağlantıyla birlikte "Şunu bir dene, görüşlerini bana aktar." benzeri bir mesaj da iletiliyor.

]
Solucanın bilgisayara girebilmesi için gönderilen bağlantıdaki dosyanın indirilip çalıştırılması gerekiyor. Daha sonra aynı işlem sizin kişi listenizdekiler için uygulanıyor. Bu, bir solucanın bir ağdan diğerine ilk sıçraması değil, ancak ilk kez Skype’tan başka bir ağa sıçrama yaşanıyor.

Paniğe Gerek Yok

Stration adlı solucan fazla yaygın değil ve düşük riskli olarak nitelendiriliyor, bu nedenle de endişelenmeye gerek yok; ancak yüzlerce çeşidinin olması ve sürekli değiştirilmesi antivirüsler tarafından yakalanmasını zorlaştırıyor. Solucan "Warezov" ve "Stratio" adlarıyla da biliniyor. Solucanın arkasında kimin olduğu belirlenemese de, gönderilen bağlantıdaki virüslü dosyanın bulunduğu adres Çin’deki bir internet firması kullanılarak kayıt ettirilmiş.

Ne Yapmalı?

Tavsiyemiz, hangi mesajlaşma programını kullanırsanız kullanın, herhangi bir dosya ya da adres gönderildiğinde gönderen kişi babanız bile olsa güncel bir antivirüsle taradıktan sonra dosyayı açmanız. Ayrıca gönderen kişiye ne gönderdiğini sorduğunuzda, "Bir şey yollamadım ki" cevabı almak da şüphelenmeniz için yeterli olacaktır. İndirilen dosyayı açmadan önce şu haberimizde anlatıldığı gibi Virus Total kullanarak taratmak da mantıklı bir seçenek.

PE_CORELINK.C
Tipi: File infector
Diğer ismi: Yok
Zararlı: Evet
Dil: İngilizce
İşletim sistemleri: Windows 98, ME, NT, 2000, XP, Server 2003
Tam olarak risk oranı: Düşük
Raporlanan bulaşma: Düşük
Zarar verme potansiyeli: Yüksek
Yayılma potansiyeli: Yüksek
Teknik Bilgi: Virüs Windows klasörü içinde linkinfo.dll dosyasına yerleşerek bulaşır.
Sonuç olarak, rutin zararlı yazılımlar gibi bulaştığı sistemin bilgilerini teşhir eder.
Söylenen DLL dosyası normal olarak sistemde bulunan bir dll dosyası olduğu için, zararlının hangi işlemleri yaptığını bulmak ve temizlemek zordur.
Tanımlandığı tarih: 2007-06-04
Temizleme : İlk olarak sistem geri yükleme işleminizi kapatın. Bunun için, Bilgisayarım simgesine sağ tıklayın ve gelen menüden özellikler seçeneğini seçin , gelen pencereden sistem geri yükleme sekmesine gelip, bütün sürücülerdeki sistem geri yükleme noktasını kapat seçeneğini aktifleştirip tamam’ı tıklatın.
Güvenli moda bulunan kullanıcılar, normal moda geçmeden önce, trendmicro antivirüs yazılımı ile yazılım bulunmayan diğer kullanıcılarda online virüs tarama yaparak sistemlerini taratsınlar ve gelen sonucu silsinler.

Kaynak: www.trendmicro.com



PE_CORELINK.C-O
Tipi: File infector
Diğer ismi: Yok
Zararlı: Evet
Dil: İngilizce
İşletim sistemleri: Windows 98, ME, NT, 2000, XP, Server 2003
Tam olarak risk oranı: Düşük
Raporlanan bulaşma: Düşük
Zarar verme potansiyeli: Yüksek
Yayılma potansiyeli: Yüksek
Teknik Bilgi:Bu file infector ulaştığı sisteme PE_CORELINK.C adı ile yerleşir.
İşletim sisteminde, Windows klasörü altındaki driver klasöründeki NVMINI.SYS adlı dosyaya yerleşir. Bileşen dosyası trendmicro tarafından yakalanan TROJ_AGENT.THK’tır. Bunun sonucu olarakta etkilediği sistemdeki bilgileri teşhir eder.
Kullandığı söylenen SYS dosyası kendini gizler ve bu dosya LINKINFO.DLL’dir.
Sistemde normal olarak bulunan Explorer.exe ye bulaştığında sistemden kolayca kaldırılmasını ve bulunmasını engeller.
Virüs bulaşıp etki ettiği network ağlarındaki kullanıcıların kullanıcı adları ve şifrelerini aşağıdaki listelediğimiz şifreleri girmeye çalışarak dener.
• !@#$%
• 12345
• 123456789
• 654321
• abc123
• admin
• admin123
• asdfgh
• letmein
• monkey
• mypass123
• owner
• password
• password1
• qwerty
• test123
Bu zararlı dosya bulaştığı exe dosyalarına cod ekler ama bulaştığı dosyaların bulunduğu klasörler şunlardır.

LOCAL SETTINGS\\TEMP
WINDOWS
WINNT
Bu virüsün sonlandırdığı uygulamalar aşağıda sıralanmıştır. Eğer bu bulup etkilediği sistemde çalışırsa, bu uygulamaların çalışmasını engeller.
• asktao.exe
• au_unins_web.exe
• audition.exe
• autoupdate.exe
• c0nime.exe
• ca.exe
• cabal.exe
• cabalmain.exe
• cabalmain9x.exe
• cmdbcs.exe
• config.exe
• ctmontv.exe
• dbfsupdate.exe
• dk2.exe
• dragonraja.exe
• explorer.exe
• flyff.exe
• f**kjacks.exe
• game.exe
• gc.exe
• hs.exe
• iexpl0re.exe
• iexplore.exe
• internat.exe
• kartrider.exe
• logo1_.exe
• logo_1.exe
• lsass.exe
• lying.exe
• main.exe
• maplestory.exe
• meteor.exe
• mhclient-connect.exe
• mjonline.exe
• msdccrt.exe
• msvce32.exe
• mts.exe
• nbt-dragonraja2006.exe
• ncscv32.exe
• neuz.exe
• nmcosrv.exe
• nmservice.exe
• nsstarter.exe
• nvscv32.exe
• patcher.exe
• patchupdate.exe
• realschd.exe
• rpcs.exe
• run1132.exe
• rundl132.exe
• sealspeed.exe
• smss.exe
• spo0lsv.exe
• spoclsv.exe
• ssopure.exe
• svch0st.exe
• svhost32.exe
• sxs.exe
• sysbmw.exe
• sysload3.exe
• tempicon.exe
• trojankiller.exe
• upxdnd.exe
• userpic.exe
• wb-service.exe
• wdfmgr32.exe
• woool.exe
• wooolcfg.exe
• wsvbs.exe
• xlqy2.exe
• xy2.exe
• xy2player.exe
• zfs.exe
• zhengtu.exe
• ztconfig.exe
• zuonline.exe
Tanımlandığı Tarih: 2007-06-06
Temizleme: İlk olarak sistem geri yükleme işleminizi kapatın. Bunun için, Bilgisayarım simgesine sağ tıklayın ve gelen menüden özellikler seçeneğini seçin , gelen pencereden sistem geri yükleme sekmesine gelip, bütün sürücülerdeki sistem geri yükleme noktasını kapat seçeneğini aktifleştirip tamam’ı tıklatın.
trendmicro antivirüs yazılımı ile yazılım bulunmayan diğer kullanıcılarda online virüs tarama yaparak sistemlerini taratsınlar ve gelen sonucu silsinler.
Bu işlemleri yaptıktan sonra sisteminizi güvenli modan açtırın ve Başlat >> Ara >> Dosya yada klasör seçeneği ile gelen arama kutusuna verilen dosya adlarını yazın ve gelen tüm sonuçları silin.
NOT: Bu zararlı yazılımlar bulaştıkları sisteme Trend Microda ki zararlı yazılımların ana bileşenleri olarak kopyalanabiliyorlar. Eğer bu bileşenlerden biri sisteminize bulaştı ise, trendmicroda anlatılan temizleme işlemleri ile sisteminizi temizleyin

TROJ_DELF.HKM
Tipi: Trojan
Diğer ismi: Yok
Zararlı: Evet
Dil: İngilizce
İşletim sistemleri: Windows 98, ME, NT, 2000, XP, Server 2003
Tam olarak risk oranı: Düşük
Raporlanan bulaşma: Düşük
Zarar verme potansiyeli: Yüksek
Yayılma potansiyeli: Düşük
Teknik Bilgi: Bu trojan bağlandığı siteden diğer zararlı yazılımların sisteme download edilmesine neden olur.
Bunun sonucu olarakta, bu trojan Windows sistem klasörüne SERVEV.EXE olarak yerleşir.
Sistem ayarlarını değiştirerek açılışında otomatik olarak çalışır. Sistemdeki kayıt düzenleyicisinde şu değişiklikleri yapar
HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\
CurrentControlSet\\\\Services\\\\Windowsupdate
DisplayName = "Telephonyl"
ImagePath = "%System%\\\\servev.exe"
Sonuç olarak aşağıdaki site adreslerine bağlanarak diğer zararlı yazılımların sisteme yüklenmesine neden olacaktır. Linkler aşağıdaki şekildedir ve yüklediği diğer zararlı yazılımlarda aşağıda sıralanmıştır.

• http://{BLOCKED}te.uiiiu.com/bt1.exe - TSPY_INFOSTEA.BZ
• http://{BLOCKED}te.uiiiu.com/bt2.exe - TROJ_AGENT.JEJ
• http://{BLOCKED}te.uiiiu.com/bt3.exe - TROJ_AGENT.KQX
• http://{BLOCKED}te.uiiiu.com/bt4.exe - TSPY_LINEAGE.EKZ
• http://{BLOCKED}te.uiiiu.com/bt5.exe - TSPY_ONLINEG.XG
• http://{BLOCKED}te.uiiiu.com/bt6.exe - TROJ_AGENT.AAKA
• http://{BLOCKED}te.uiiiu.com/bt7.exe - TROJ_AGENT.TGL
• http://{BLOCKED}te.uiiiu.com/bt8.exe - TSPY_ONLINEG.AXB
• http://{BLOCKED}te.uiiiu.com/bt9.exe - TSPY_LINEAGE.CYY
• http://{BLOCKED}te.uiiiu.com/bta.exe - TSPY_LINEAGE.FQS
• http://{BLOCKED}te.uiiiu.com/btb.exe - TSPY_LEGMIR.AUY
• http://{BLOCKED}te.uiiiu.com/btc.exe - TSPY_ONLINEG.CDX
• http://{BLOCKED}te.uiiiu.com/btd.exe - TROJ_SMALL.GOU
• http://{BLOCKED}te.uiiiu.com/bte.exe - TROJ_AGENT.TVW
• http://{BLOCKED}te.uiiiu.com/btf.exe - TSPY_ONLINEG.CGS
• http://{BLOCKED}te.uiiiu.com/btg.exe - TSPY_FRETHOG.NW
• http://{BLOCKED}te.uiiiu.com/bth.exe - TSPY_QQPASS.AVG
• http://{BLOCKED}te.uiiiu.com/bti.exe - TSPY_ONLINEG.XN
Bu trojan Windows 98, ME, NT, 2000, XP, ve Server 2003 işletim sistemlerinde çalışır.

Tanımlandığı Tarih: 2007-06-12

Temizleme: XP ve ME işletim sistemini kullananlar, sistemlerindeki sistem geri yüklemeyi kapatıp . bunun için, Bilgisayarım simgesine sağ tıklayın ve gelen menüden özellikler seçeneğini seçin , gelen pencereden sistem geri yükleme sekmesine gelip, bütün sürücülerdeki sistem geri yükleme noktasını kapat seçeneğini aktifleştirip tamam’ı tıklatın. Bu zararlıları temzilemek için sisteminiz güvenli modan açtırın. Daha sonra sisteminizi tam olarak virüs taramadan geçirin.
Daha sonra
1- Başlat >> Çalıştır >> regedit yazın ve gelen pencereden
2- HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Servic es kısmına gelin ve
3- Sol tarafta bulunan Windowsupdate girdisini sağ tıklayıp gelen menüden silin.
Eğer hala güvenli modda iseniz, sistemi resetleyip normal mod’a geçin.
Ve trendmicro antivirüs ile yada bu antivirüsü olmayanlar için online virüs tarama yaparak sisteminizi taratın ve TROJ_DELF.HKM, TROJ_AGENT.JEJ, TROJ_AGENT.KQX, TSPY_LINEAGE.EKZ, TSPY_ONLINEG.XG, TROJ_AGENT.AAKA, TROJ_AGENT.TGL, TSPY_ONLINEG.AXB, TSPY_LINEAGE.CYY, TSPY_LINEAGE.FQS, TSPY_ONLINEG.CDX, TROJ_SMALL.GOU, TSPY_ONLINEG.CGS, TSPY_ONLINEG.XN, TSPY_LEGMIR.AUY, TROJ_AGENT.TVW, TSPY_FRETHOG.NW, TSPY_QQPASS.AVG, ve TSPY_INFOSTEA.BZ. ismindeki tüm sonuçları silin.

Kaynak


BKDR_PCCLIENT.ZA
Tipi: Backdoor
Diğer ismi: Yok
Zararlı: Evet
Dil: İngilizce
İşletim sistemleri: Windows 98, ME, NT, 2000, XP, Server 2003
Tam olarak risk oranı: Düşük
Raporlanan bulaşma: Düşük
Zarar verme potansiyeli: Yüksek
Yayılma potansiyeli: Düşük
Teknik Bilgi: Bu açık masum kullanıcıların kötü niyetli web sitelerini ziyaret etmeleri ile oluşur. Bunun sonucu olarak sisteme şu isimler ile yerleşirler.
• {Random}.doc – zararsız bir doc dosyası gibi sistemdeki bir klasöre yerleşir
• %System%\\prefos – zararsız bir text dosyası gibi
• %System%\\prefos.exe - BKDR_PCCLIENT.ZA
Not: %System%\\ klasörü işletim sistemlerinde genellikle Windows adlı klasördür, Windows 98 ve ME’de C:\\WINNT\\System32, NT, XP, 2003 yada 2000 ‘de C:\\WINNT\\System32 klasörüleridir.
Backdoor , PREFOS.EXE yerleşerek bu dosyayı çalıştırır ve yerleştiği .DOC uzantılı dosyayı açar, backdoor EXPLORER.EXE dosyasına kendini inject ederek sistem hafızasına yerleşir. Bu backdoor, kayıt düzenleyicisinde, aşağıda gösterilen girdiyi ekler ve rutin olarak çalışır.
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Active Setup\\
Installed Components\\{037340ED-2A4B-4841-0605-010000060607}
StubPath = "%System%\\prefos.exe"
Backdoor’un yapabildikleri şunlardır.
Rastgele bir port açarak kötü niyetli kullanıcıların, sisteme bağlanmasını sağlar ve bu kullancılar sistemde
• Bilgilerin ekran görüntülerini alırlar
• Sistem bilgilerini ele geçirirler
• Klavye loglarını tutarlar.
Bu backdoor Windows 98, ME, NT, 2000, XP, ve Server 2003 işletim sistemlerinde çalışır

Tanımlandığı Tarih: 2007-06-12

Temizleme: ] XP ve ME işletim sistemini kullananlar, sistemlerindeki sistem geri yüklemeyi kapatıp, bunun için, Bilgisayarım simgesine sağ tıklayın ve gelen menüden özellikler seçeneğini seçin , gelen pencereden sistem geri yükleme sekmesine gelip, bütün sürücülerdeki sistem geri yükleme noktasını kapat seçeneğini aktifleştirip tamam’ı tıklatın. Bu zararlıları temzilemek için sisteminiz güvenli modan açtırın. Daha sonra sisteminizi tam olarak virüs taramadan geçirin.
Daha sonra Başlat >> Çalıştır >> regedit ile gelen kayıt düzenleyicisinin yedeğini alarak (Bunun için kayıt düzenleyicisi penceresinden önce sol tarafta bulunan Bilgisayarım seçeneğini seçip dosya menüsüne gelip ver seçeneğini seçip, yedek reg dosyasını kaydedeceğimiz ismi ve yeri belirledikten sonra, kaydet demeniz yeterli olacaktır) daha sonra aşağıdaki şu değişiklikleri yapın.
HKEY_LOCAL_MACHINE>SOFTWARE>
Microsoft>Active Setup>Installed Components kısmına gelip sol bölmede bulunan {037340ED-2A4B-4841-0605-010000060607} anahtarını silin. Ve regediti kapatın.
Eğer hala güvenli modda iseniz, sistemi resetleyip normal mod’a geçin.
Ve trendmicro antivirüs ile yada bu antivirüsü olmayanlar için online virüs tarama yaparak sisteminizi taratın ve BKDR_PCCLIENT.ZA isimli virüsleri silin.
Daha sonra Başlat >> Ara >> Dosya ve klasörler kısmını seçip >> Gelen ara kutusuna prefos yazıp arama yapın ve gelen tüm sonuçları Shift+ Del ile silin.

Kaynak


YouTube’de Virüs

Secure Computing Corp firması, YouTube sitesinde video dosyası gibi gözüken yeni bir "zlob" raporladı. Zlob kullanıcı bilgisayarında arka kapı açan Trojan’lara verilen ad.

Kullanıcı bu özel zlob’a tıkladığı zaman, reklamlarla bombalanmaya başlıyor. Secure Computing, bu reklamların da kötü kod yüklediğini bildiriyor.

Sahte videonun adı "YouTube - Afterworld Episode 6 - Hibakusha." Afterworld, web için yapılmış animasyonlu bir kurgu bilim serisi, modern uygarlığın esrarengiz bir olay ile yok olmasından sonrayı anlatıyor.

Afterworld’ün potansiyeli çok yüksek. Electric Farm Entertainment tarafındna yaratılmış 16 bölüm (webisodes) YouTube ve Afterworld siteleri üzerinde yer alıyor. Şubat ayında, Sony Pictures Television International bu serinin, TV, oyun ve mobil platformlar da dahil tüm platformlardaki uluslararası haklarını satın aldı.

Sony’ye göre multimedya sitesi, arşivlenmiş bir kaç bölüm, bloglar, online oyunlar ve interaktif içerik uygulamaları ile daha çok ziyaretçi almaya başladı.

Secure Computing şirketi, dosyanın kullanıcılara, çalıştırılacak bir .EXE dosyası indirmeyi gerektirmediğini bildiriyor.

YouTube sözcüsü, Secure Computing tarafından gönderilen linki tıkladığında kötü bir şey olmadığını belireterek, YouTube’ün güvenliğe büyük önem verdiğini hatırlattı: “Birilerinin bizim markamızı ya da sitemizi başka bir noktadan virüs yüklemek amaçlı olarak kullandığını görürsek, araştırmaya başlar ve önlem alırız.”

Secure Computing’den Paul Henry ise bu tür kötü kodların kısa bir süre kaldığını belirtirken, Bu kötü adamların YouTube gibi ziyaretçi sayısı fazla olan siteleri tercih ettiklerini de not etti: “YouTube’e virüsü ancak bir kaç saatliğine yerleştiriyorlar. Ama yine de yeterince etkili olabiliyorlar.”

İstemeden pop-up’ların açılması belki sadece rahatsız olabiliyor ama key-logger yüklenmesi durumunda çok daha tehlikeli durumlar ortaya çıkabiliyor.

Secure Computing, çoğu firewall’un, dış sunuculardan gelen kodları bloklamada başarılı olamadığını da hatırlatıyor.

Trend Micro’dan David Perry ise sızma kodlarının yerleştirilmesi açısından bugünlerde web sitelerinin çokca kullanıldığını söylüyor : “Çünkü artık e-maillere güvenmeyi bıraktık. Çok az insan bankadan geldiğini iddia eden maile güvenebiliyor.

Trend Micro da geçen hafta, Afterworld videolarının arkasında saklanan bir Trojan raporlamıştı. TROJ_BANLOAD.CZE isimli kodun online banka hırsızlığında kullanılan bir virüsü yüklediği bildiriliyor.

Perry dünkü açığın 10,000’den fazla bilgisayarı kötü kodların yüklendiği sitelere yönlendirdiğini açıkladı

Arama Motorları ve Virüs

İnternetin beş büyük arama motoru tehlike saçıyor. Uzmanlar uyarıyor. İnternette bu kelimelerden uzak durun!
Bilgisayar güvenliği uzmanları, bir internet arama motorundan bulunan siteye tıklandığında yüzde 4 casus yazılım veya bilgisayar virüsü bulaşma ihtimali bulunduğu uyarısı yaptılar.

Anti virüs yazılım şirketi McAfee tarafından yapılan bir araştırmada, sadece ABD’deki kullanıcıların kendilerini online güvenlik sitelerine götürmesi amacıyla ayda 276 milyon civarında arama yaptıkları ortaya çıktı.

Virüsle mücadele şirketinin, internetin beş büyük arama motoru, webdeki aramaların yüzde 93’ünü oluşturan Google, Yahoo, MSN, AOL ve Ask’da yaptığı araştırmada, American On Line (AOL) şirketi en güvenli, Yahoo ise en riskli çıktı. AOL’de yapılan aramalarda sitelerin yüzde 2,9’u, Yahoo’da ise yüzde 5,4’ünün riskli olduğu belirlendi.

McAfee şirketinin araştırmasında, webde yapılacak en tehlikeli aramaların da dijital müzik paylaşımının olduğu P2P siteleri olduğu ortaya çıktı.

"Bearshare" P2P sitesi yüzde 45,9 ile en riskli sonucu verirken, bunu yüzde 37,1 "Limewire", yüzde 34,9 ile "Kazaa" ve yüzde 32 ile "Winmix" izledi.

Diğer riskli arama kelimelerinin de yüzde 42 ile "screensavers" (ekran koruyucu) ve yüzde 31,1 ile "wallpapers" (duvar kağıdı) olduğu belirlendi.

Kaynak



Hosmnot.exe Virüsü

2007 yılı 2.çeyreği itibariyle PC dünyasındaki en yeni virüs! Şuan için Hiç bir antivirüs tanıyamıyor!

Açıklama


Dosya Yolu: C:\\WINDOWS\\system32\\dllcache\\hosmnot.exe

Kendini system başlangıcında çalıştırıyor yani bir win hizmeti gibi.
Regedit in run klasörü veya başlangıç klasörüne kendini atamıyor.
Kendini hizmet gibi gösterip, görev yöneticisinden işlemler sekmesinde Hosmnot.exe adlı dosya SYSTEM kullanıcı grubunda gözüküyor. işlemi sonlandırmaya kalktığınızda. virüs, kendini tekrar çalıştırıyor.

Görüntü Adı>Microsoft Agent

Açıklaması>Enable Microsoft Agent Service.

Virüs Tanısı

Modemde ışıklar yanıp sönüyorsa ve net bağlantınız olduğu halde hiç bağlantıyı kullanmıyorsanız
ve port swich te (çoğaltıcı) ışık devamlı kullanıyor gösteriyorsa
görev yöneticisini açıp, işlemler sekmesinden, adlı dosyanın çalışıp çalışmadığını kontrol edebilirsiniz.
Bu isimde dosya mevcut ise, PC’nize hosmnot.exe virüs’ü bulaşmış.

Etkileri

Yerel ağdan diğer pclere bulaşmaya çalışıyor. Trafiği çok meşgul ederek interneti kesiyor. pc’yi paylaşıma açıyor


Nasıl Temizlenir ?


Başlat> Çalıştır/ services.msc yazıp enter’a basın.
Karşınıza Hizmetler çıkacak
Ad , Açıklaması , Durum ,Başlangıç sekmeleri var
Ad : Microsoft Agent
Durum: Enable Microsoft Agent Service. olan hizmeti bulun
üstüne sağ tıklayın. Çıkan pencereden ayarları seçiyoruz.
Başlangıç Türünü > Devre Dışı Yapın -- Windows çalıştığında çalışmasını engelliyoruz
Hizmet Durumu denilen yerde > Durdur butonuna tıklayın. Burdada şu an çalışırken hizmeti durduruyoruz.
İşlemi sonlandıramadığınız dosyaya Uygula deyip tamama basıp çıkın , hizmetlerden de çıkın.
Sonra başlat çalıştıra cmd yazıp komut satırına
erase C:\\WINDOWS\\system32\\dllcache\\hosmnot.exe yazıp enter’a basın
ve dosyayı silmiş oluyosunuz.
PC’yi yeniden başlatın virüs temizlenmiş oldu.


Referans



W32/Hairy-A Solucanı

Kötü bir bilgisayar solucanı, dünya çapındaki Harry Potter çılgınlığından faydalanarak PC’lere bulaşmaya çalışıyor.
Harry Potter’ın son romanının bir gala ile tüm dünyaya tanıtılmasıyla birlikte, kendisini 21 Temmuzda raflarda yerini alacak olan serinin son romanı Harry Potter/Deathly Hallows’un bir kopyası gibi gösteren W32/Hairy-A Solucanı ortaya çıktı.
Solucan sisteme bulaştıktan sonra öncelikli olarak ulaşabildiği USB bellek var ise kendini belleğe kopyalıyor, böylece diğer bilgisayarlara yayılması kolaylaşıyor.
Bulaştığı bilgisayarlarda ’HarryPotter-TheDeathlyHallows.doc’ isimli bir dosya kopyalıyor. Açıldığında yazlnızca "Harry Potter is dead." (Harry Potter Öldü.) yazısıyla karşılaşılıyor.
Fakat solucanın yaptıkları bununla sınırlı değil.
Ayrıca JK Rowling’in popüler kitaplarının ana karakterlerinin (Harry Potter, Hermione Grainger and Ron Weasley) adlarını kullanarak birkaç Windows kullanıcısı oluşturuyor.
Oluşturulan bu kullanıcılardan herhangi biriyle oturum açıldığında Harry Potter serisinin kötü karakteri Lord Voldemort kullanıcının karşısına çıkarak "Read and repent, the end is near, repent from your evil ways O Ye folks lest you burn in hell . . . JK Rowling especially". (Oku ve Pişman Ol, Son yakın, kötülüklerinden pişmanlık duy, Cehennemde yanmamak için... JK Rowling) diyerek seslenebilir.
Solucan Amazon.com’un Harry Potter kitapları satış sayfasını Internet Explorer ana sayfası yapabilir.
İyisimi siz USB bellek kullanmadan önce root dizinine bir göz atın; Heran Harry Potter çıkıp büyü yapabilir.

Plexus.A Worm Virüsü


Rus anti-virüs şirketi Kaspersky Labs, Plexus.A kurtçuğunun makinalara 3 yoldan birden girebildiğini raporladı; e-mail eklentisi, P2P (peer-to-peer) networkler (yani MP3 yükleme, ICQ gibi bağlantılar) ya da yerel güvenlik yetkilendirme altsistemi (Local Security Authority Subsystem Service - LSASS) açığı. Bu sonuncu açık için hatırlanacağı gibi nisan ayında Microsoft tarafından yama yayınlanmıştı (13 nisanda yayınlanan LSASS yaması için MS04-011 güvenlik yaması adresini tıklayınız). Bu açığı hedefleyen diğer bir virüs zaten yayılıyor (Bkz : Korgo Kurtçuğu LSASS Açığını Hedefliyor).





Kapersky Labs yeni kurtçuğun Sasser ve Lovesan kurtçuklarının da kullandıkları RPC DCOM açığını da kullanabildiğini bildiriyor. (Bkz : Sasser Engellendi ama Varyantları Yayılıyor) Şirket "Plexus port 1250’yi açıyor ve izliyor. Bu da virüs yazarının makinaya dosya yüklemesi ve çalıştırması için uygun bir port oluyor" diyor. Kurtçuğu analiz edenler geçen yıl mail networklerine sızan MyDoom kitlesel mailing virüsünün yeniden yazılması ile oluştuğunu söylüyorlar. Virüs yazarları makinalarda açık bir arka kapı bırakarak milyonlarca makinanın kontrolünü ellerine geçirmeyi hedefliyor olabilirler. Böylece saldırganların spam göndermesi ya da denial-of-service (dDOS) saldırıları düzenlemesi mümkün olabilir. . Kapersky Labs, Plexus.A’nın orta düzey risk taşıdığını belirterek, kendisini, Windows/Systems 32 directory’si altına upu.exe olarak kopyaladığını ve sonra sistem registry’lerinde otomatik çalışmak için tanım yaptığını böylece de yerel ağ ve dosya paylaşımlı networkler üzerinden yayıldığını bildiriyor. Kurtçuk kendisini paylaşımlı klasörlere .EXE uzantılı bir dosya şeklinde kopyalıyor ve ondan sonra Microsoft’un 2 güvenlik açığını kullanarak yayılıyor.


Kaynak




Kardphisher Adında Yeni Bir Truva Atı Keşfedildi


Kardphisher adında yeni bir truva atı keşfedildi. En inandırıcı dolandırıcılık yazılımı olmaya aday truva atı hakkındaki bilgiler ve korunma yolları için okumaya devam edin.
Kardphisher, Windows XP’deki etkinleştirme zorunluluğundan yararlanarak kullanıcının bilgilerini ele geçirmeyi hedefliyor. Truva atı bulaştığı bilgisayarlarda Windows’unuzun başka bir bilgisayarda etkinleştirildiğini ve tekrar etkinleştirmeniz gerektiğini belirten bir uyarı gösteriyor.


Daha sonra kredi kartı bilgileri de dahil olmak üzere bazı kişisel bilgiler sizden isteniyor. Kredi kartınızdan para çekilmeyeceğini de belirten Kardphisher, bu bilgileri vermemeniz halinde bilgisayarınızı baştan başlatıyor. Bilgileri girmeniz halinde ise doğal olarak truva atını oluşturan bilgisayar korsanına ulaştırılıyor.


Mühendislik Harikası Olarak Görülüyor


İlk olarak 26 Nisan’da görülen bu truva atına, Symantec, 27 Nisan’da karşılık vererek bir paket hazırladı. Kardphisher’ın yeni bir tehdit olmasının yanısıra kullanıcıları kolayca ağına düşürmek için önemli bir kozu daha var: Arayüzü çok iyi yapılmış. Açıklamalara göre bu truva atını silmek çok kolay. Bu açıklama sonucu aklımıza takılan bir soruyu araştırma gereği hissettik.


Yapımı Yarıda Kalmış


Truva atları herkesin bildiği gibi çok kolay bir şekilde silinemiyor. Peki neden bu truva atı kolay temizlenebiliyor? Bu sorunun cevabının araştırmalarımız sonucu basit bir nedende bulduk: Bu truva atını yapan kişi ya da kişiler yazılımın yapımını bitirememişler. Sanırız en çok üzerinde durdukları noktanın arayüzü olması sebebiyle istedikleri bazı "özellikleri" ekleyememişler.


Truva Atı İçin .Net Kullanılmış


Biraz daha detaya indiğimizde çıkan sonuçlar şaşırtıcı hale geliyor. Trojanın yaklaşık 50 IP numarsı ile 10 internet adresi kullandığı ve yapanların da bazı kaynaklara göre İtalyan olduğu söyleniyor. Ayrıca arayüzün bu kadar iyi olmasının sebebini ise .Net kullanılmasından kaynaklandığını, bunun yanında birçok programlama dilinin de kullanıldığını öğreniyoruz. Bu truva atının en iyi dolandırıcı yazılımıları içinde gösterilmesinin en önemli sebebi ise kredi kartı bilgileri öğrenmek için yapılan sahte e-postalara benzemesi. Yalnız bu yöntemin tek farkı bir .exe kullanılarak yapılıyor olması. Yani bu truva atına bir phishing yazılımı diyebiliriz.


Bulaştığı Sistemler


Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP bulaşmasının dışında truva atının ilk olarak 26 Nisan’da görüldüğü ele alınırsa, Windows Vista’ya da bulaşma riskinin yakın olduğu söylenebilir. Raporlarda belirtilen açıklamalarda da yakında Vista kullanıcılarının da bu trojanla karşılaşabileceği belirtiliyor.


İnce Ayrıntılar


Türkçe Windows kullanıcılarının bu tuzağa düşmeleri uzak bir ihtimal, çünkü uyarılar İngilizce veriliyor. Uyarıların İngilizce olarak verilmesi sizi tedbir almamaya yönlendirmemeli. Ayrıca uyarı metni küçük bir dilbilgisi hatası içeriyor, ki bu da dikkatli kullanıcıların gözünden kaçmayacaktır. Yayılma oranı düşük olan Kardphisher, zararlı yazılımların geldiği inandırıcılık noktasını göstermesi açısından önem taşıyor. Symantec’in İngilizce olan sayfasında teknik bilgiler ve yazılımı elle silme yolları bulunabilir

Attack Spammy Trojan keyifleri kaçırdı



Spamcılar geleneksel 4 Temmuz kutlamalarını Bitdefender tarafından Trojan Peed oo olarak algılanan tehlikeli bir trojanı yaymak için kullandılar. Kullanıcılar gelen e-postalardaki 4 Temmuz kutlama kartlarını görmek için linki tıkladıklarında basit bir siteye yönlenerek linkin arızalı olduğu, executable çalıştırarak kartı görebileceği söylenerek aldatıldılar.

Bitdefender Antivirus laboratuarı yöneticisi Viorel Canja :"Geleneksel günleri saldırı için kullanmak çok popular bir taktik. Insanlar isimlerini bilmedikleri kişilerden gelen epostalar aldıklarında daha az dikkat gösteriyorlar." dedi.



Bitdefender, ürünlerine, bu yeni ve tehlikeli trojana karşı algılama kurallarını ekleyen birkaç firmadan biridir.

E-postalar Bitdefender antispam motorları tarafından spam olarak algılanmıştır.

Kaynak


Yeni ve tehlikeli bir virüs: Virus.Win32.Gpcode.ai

Yıllardır sakladığımız dosyalara virüslerin zarar vermesi, en çok korktuğumuz şeylerin başında gelir herhalde. Virus.Win32.Gpcode.ai adlı virüs, eğer sistem tarihi 10 ile 15 Temmuz arasında ise, aralarında rar, zip, gif, jpeg, doc, xls gibi dosyalarında bulunduğu yüzlerce farklı uzantılı dosyayı RSA algoritması ile şifreliyor ve dosyalar açılamaz hale geliyor.

Virüs, zararı verdikten sonra sisteme readme.txt adında bir dosya bırakıyor. Dosya içerisinde şunlar yazıyor:

Hello, your files are encrypted with RSA-4096 algorithm
http://en.wikipedia.org/wiki/RSA

You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxx@xxxx.com and provide us your personal code -XXXXX. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Adamlar kısaca şöyle diyor:

Dosyalarınız RSA-4096 algoritması ile şifreledik, bizim yazılım olmadan açmanız yıllar alır. Son 3 aylık özel bilgilerinizi aldık.

Dosyaları tekrar kullanılır hale getirmek istiyorsanız, yazılımımız 300$.

Yazılımı satın almak için bizimle kişisel kodunuz ile irtibata geçin. Satın alma işleminden sonra size çözücü yazılımı göndereceğiz. Eğer 15’ine kadar irtibata geçmezseniz, bilgilerinizi kaybedecek ve bilgilerinizi başkalarıyla paylaşacağız"

Zorla yazılım satmak için farklı bir yol olamazdı; ya da yazılım satma olayı da mı sahte acaba?

Bu yazıyı okuyorsanız zaten virüs muhtemelen yapacağını yapmıştır. Bir Windows kullanıcısı iseniz, antivirüs yazılımı kullanmayı ihmal etmemeniz, kullanıyorsanız da sürekli virüs tanımlamalarını güncel tutmanız gerekiyor.

Antivirüs yazılımları ve alternatifleri hakkında bilgi için forumdaki bu konumuza bakabilirsiniz.

Bu virüs hakkında detaylı bilgi almak ve nasıl sileceğinizi öğrenmek için buraya tıklayın.

Güncelleme: Kaspersky’den aldığımız e-posta, şifrelemenin virüs yazarının bıraktığı dosyada belirttiği RSA-4096 algoritması ile değil de, RCA algoritması ile şifrelendiğini belirtiyor. Kasperksy, bu şifreyi çözecek kodu geliştirmiş ve yakında tanım yükleme paketi ile sistemlere yükleneceğini belirtmiş. Diğer antivirüs yazılımlarının da benzer bir şekilde bu şifreyi çözecek algoritmayı yapılarına ekleyeceğini tahmin edebiliriz.

Kaynak


Yeniden Skype Virüsü

Websense in bildirdiğine göre Skype ağında yine bir zararlı kod "turlamakta". Daha önce F-Secure’un Şubat sonunda bildirdiği vakaya çok benzeyen yeni zararlı yine Skype kullanıcılarına "Check up this" yazan ve bir adet link içeren mesaj şeklinde geliyor. Tek fark dosyaların ve linklerin bir önceki saldırıdan farklı olması. Gelen linke tıklandığında file_01.exe, gdi32.exe, ndis.exe, sk.exe isimlerinden birine sahip dosya kullanıcıya "ikram ediliyor". Gaflet edip çalıştırılırsa linki barındıran aynı mesaj Skype listenizdeki diğer kullanıcılara da sizin üzerinizden sizin adınızla servis ediliyor. Ayrıca tanımlanan adreslerden başka dosyalar da sisteminize indiriliyor ve muhtemelen makinenin ele geçirildiğini haber verme amaçlı olarak bir Yahoo mail sunucusuna bağlantı yapılıyor. Websense sunucunun inaktif olduğunu not düşmüş ve indirilen dosyaların da birer Warezow/Stration *türevi olduğu kanaatinde.

Bu değindiğimiz gibi Skype ağındaki ilk zararlı değil. Keza Skype yazılımından da kaynaklanan bir problem değil: her zamanki gibi "bilmediğin dosyayı sistemine indirme" prensibine kaç kişinin riayet etmediğini sınayan klasik bir saldırı. Ne yazık ki ister gafletle ister meraktan o kadar kullanıcı bu tuzağa düşebiliyor ki yakında böyle bir mesaj sizin de kapınızı çalarsa şaşırmayın.


*Ekim 2006’da virüs listelerine giren kodun kendi eposta sunucu bulunmakta. Minimum 30 dakikada bir internetteki sunuculardan yeni türevlerini çekerek kendini güncelleyebildiği için "imzaya" bakıp tespit edilmesi oldukça güç.

OpenOffice Virüs

OpenOffice kullanıcılarını hedefleyen ilk solucan ortaya çıktı ancak son kullanıcıya herhangi bir zararı bulunmuyor. Bu solucan, OpenOffice için StarBasic script diliyle yazılmıi bir solucan ve Windows, MacOS ve Linux platformlarındaki OpenOffice kurulumlarını etkiliyor. Solucan, OpeOffice için böyle bir virüsün yazılabileceğini ispat etmek üzere yazılmış bir virüs.

BadBunny (kötü tavşan) solucanı, tavşan kostümü giymiş birisinin resmini ekranda gösteriyor. Kendisini dağıtmak için ise XChat ve mIRC gibi yazılımlarla kendisini karşıdaki kişiye dosya transferi ile göndermeye çalışıyor.

Bu solucanı yazan vatandaşlar Sophos’a incelenmesi için bizzat solucanı (yani kodları ) teslim etmiş ve Sophos, bunun sistemlerden bilgi çalmak amaçlı değil, sadece OpenOffice için StarBasic script diliyle zararlı kod yazılabileceğini ispatlamak için ortaya çıkarılan bir solucan (virüs) olduğunu belirtmiş. Ancak bu solucan, OpenOffice ile zararlı bir kodun dağıtılabileceğini, bilgilerin çalınabileceğini ortaya koymuş oluyor.

OpenOffice’de bir döküman açtığınızda, makroları etkinleştip etkinleştirmeyeceğinizi sorar; eğer makroları varsayılan olarak kapattıysanız, herhangi bir sorun oluşmuyor. OpenOffice kullanıcıları, "seçenekler" kısmından Makro güvenliği "maksimum" seviyeye getirebilir.

Windows altında virüs, kendisi javascript dosyası olarak kaydediyor (.js). Linux altında ise sistemde Perl ve XChat’in yüklü olması ve kullanıcının perl dosyasına "x" bitini eklemesi gerekiyor; ancak bu şekilde virüs kendisini dağıtmaya başlıyor.

Dolayısı ile, başkasınında aldığınız bir döküman içerisinde makroları çalıştırmamak her zaman iyi bir fikir. Bunu her ne kadar çoğu kişi dinlemese de, tehlikenin olduğu açık. OpenOffice’in yaygın olmaması sayesinde olası bir OO makro virüsünün de yaygınlaşması engellenmiş oluyor. Tek endişe var: Olası bir OO makro virüsü ve saldırısı sonrasında OpenOffice yüzünden açık kaynak kod camiasının kazandığı güvenilirlik imajının zarar görmesi.

Kaynak: VirüsGüvenlik


Lanet bir virüs daha.

Virus.Win32.Hidrag.a

Sistemdeki bütün dosyalara bulaşıyor.Ben viruslistdeki yazanları çevirici ile çevirdim ama saçma oldu

Sistemden nasıl kaldırabilirim? (Kaspersky 7 İnternet Security kurulu)

Hidrag, bellekte yerleşik asalak Win32 virüsü bir tehlikeli-sizdir. Virüs, Win32 PE EXE dosyalarını bulaşır. Virüsü bulaşmak, kurban dosyalarının bir blokunu şifrelerken.

Hidrag virüsü çalıştırdığında o, ad svchost.exe’sini kullanan Windows dizinde boyut ve yerlerde 36K hakkında olduğu kendisinin bir kopyasını oluşturur. Sistem kayıt defter oto-koşu anahtarında bu dosya sonraki Hidrag kayıtları:


HKLM\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Software\\\\\\ \\\\\\\\\\\\\\\\\\\\\\\\\\Microsoft\\\\\\\\\\\\\\\ \\\\\\\\\\\\\\\\\Windows\\\\\\\\\\\\\\\\\\\\\\\\\\ \\\\\\CurrentVersion\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \\RunServices.
= %WindowsDir%\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\SVCHOS T.EXE’si powermanager.

Onlar - ve bulaşmalar : Sürücü C ile bütün Sürücü’lerde EXE dosyaları için aramalar, - başlatmak bir aktif işlem diği gibi Windows belleğinde sonra sebatlar hidrag.

Virüs, herhangi bir yolda kendisi açıkça göstermez.

Virüs, şifrelenmiş metin dizelerini izlemeyi içerir:


Saklanan Ejderha virüsü. Tropikal bir bataklıkta doğulmuş.
Powermanagermutant.


53m!h ;

Virus.Win32.Hidrag.a Kaspersky sitesi üzerinden yapılan online taramalar sonucunda en çok rastlanan 20 zararlı virüs listesinde 13. sırasında yer almaktadır.

Bu programı download ettikten sonra bilgisayarı güvenli modda çalıştır ardından vcleaner.exe programını çalıştır. Virüsü bulup temizlemesi gerekmektedir. Bu program bir remover programıdır.