W32/Israz-A, yayılmak için kendi SMTP motorunu kullanan e-posta kurtçuğu türünde bir virüs. W32/Israz-A kurtçuğu KaZaA dosya paylaşım aracını de hedef alıyor. Uygulama haline geçen kurtçuk Windows system klasöründe vShell.exe ve Win32.exe adlı kopyalarını üretiyor.
Bu kurtçuk ayrıca Fun.exe, FAQ.exe, Q322593.exe, Support.exe, ToolBar.exe ve Wizard.exe adları altında da Windows temp klasöründe kendi kopyalarını üretiyor.
W32/Israz-A kurtçuğu, freeware bir SMTP Bileşeni olan ossmtp.dll dosyasını ve ikincil kurtçuk bileşeni olan vUser.exe dosyasını Windows’un system klasöründe oluşturuyor. W32/Israz-A virüsü Windows Address Defteri’ndeki e-posta adreslerini topluyor ve kendi kendisini ataşlanmış dosya olarak, belli bazı karakterlerle beraber, bu adreslere postalıyor. Bunları Sophos’un bu sayfasında görebilirsiniz.
Antivirüs yazılım satıcısı Trend Micro, bu kötü yazılımı Worm_Izra diye adlandırıyor. Bu virüs Microsoft Outlook adres defterinde irtibat bilgisi bulunan herkese bazı özelliklerini içeren e-postalar gönderiyor. Bunları, Trend Micro’nun bu sayfasında görebilirsiniz.
Worm_Spybot.Gen Hem bir Kurtçuk hem de bir Arka Kapı
Bu Spybot kötü yazılımının çeşitli varyantları hakkında yaptığı tespit. Bu kötü yazılım hem bir kurtçuk hem de bir arkakapı özelliğine sahip. Virüs, Kazaa kullanıcıda-kullanıcıya dosya paylaşım ağı üzerinden yayılıyor. Virüs aynı zamanda bir arka kapı gibi de davranıyor ve belli başlı bazı IRC ya da Internet canlı Sohbet sunucularına bağlanıyor.
Bu virüs, IRC üzerinden, kumanda edici programa sahip bilgisayar tarafından uzaktan talimat alabiliyor. Ayrıca bu kurtçuk Windows 95, 98, ME, NT, 2000 ve XP sistemlerinde çalışıyor. Teknik ayrıntıları Trend Micro’nun bu sayfasında bulabilirsiniz.
Kurtçukların Arka-kapıdan Giren Truva Virüsü Özellikleri Var
W32.HLLW.Warpigs, arkakapıdan giren Truva işlevine sahip bir kurtçuk. Virüs, zayıf yönetim şifreleri olan bilgisayarlara kendi kopyalamayı deneyerek yayılıyor. Bilgisayarınızda Discworld.exe dosyasının varlığı, olası bir bulaşmışlığın belirtisidir.
Bu arka-kapı işlevi, belirli mIRC sunucularına bağlanarak ve talimatları almak için belirli kanallara bağlanarak gerçekleştiriliyor. Özel ayarlama yapılmamışsa kullanılan portlar 6666 ve 6667.
Warpigs hakkındaki teknik ayrıntıları Symantec’in bu sayfasında bulabilirsiniz.
W32.HLLW.Warpigs.B de arkakapıdan giren Truva işlevine sahip. Virüs kendisini zayıf yönetim şifreleri olan bilgisayarlar kopyalamayı deneyerek yayılıyor. Bu arka-kapı işlevi, belirli mIRC sunucularına bağlanarak ve talimatları almak için belirli kanallara bağlanarak gerçekleştiriliyor. Özel ayarlama yapılmamışsa kullanılan portlar 6666 ve 6667.
Teknik ayrıntıları Symantec’in bu sayfasında bulabilirsiniz.
Kendisini Adres Defterinde İrtibat Bilgisi Olan Herkese Yollamak için Outlook’u kullanan Kurtçuk
W32.Jantic@mm, kendisini Adres Defterinde İrtibat Bilgisi olanlara yollamak için Microsoft Outlook Express’i kullanan bit kitlesel-postalama kurtçuğudur. W32.Jantic@mm ayrıca yerel kodda derlenmiş bir Visual Basic uygulama yazılımıdır.
Yollanan e-postanın belirleyici özellikleri şunlardır:
Konu: Size Bir ecard Var!
Metin: Bir E-Card aldınız! Ataşlanan dosyaya bakın!
Ataşlanan Dosya: attachment.exe (36, 864 byte)
Daha fazla bilgi için Symantec’in bu sayfasına bakabilirsiniz.
Mevcut Klasördeki tüm .exe Dosyalarını Etkileyen Kurtçuk
Mevcut klasördeki tüm .exe dosyalarını etkileyen W32.Sadon.dr, W32.Sadon.867’nin damlalığıymış gibi davranır. Şunu da belirtelim ki, 10 Temmuz 2003’ten eski tarihli virüs tanımlamaları bu tehdidi W32.MutantQSix.dr olarak saptayabilir.
Daha fazla bilgi için Symantec’in bu sayfasına bakabilirsiniz.
Çalıştırıldığında ‘Valentina’ Başlıklı İleti Gösteren Kurtçuk
W32.Zokrim.V@mm, W32.Zokrim@mm’in bir varyantıdır. Bu varyant da kendi kendisini Outlook’un Adres Defterinde irtibat bilgisi bulunanlara yollamak için Microsoft Outlook’u kullanan bir kitlesel-postalama kurtçuğu. Bu kurtçuk çalıştırıldığında “Valentina” başlıklı bir ileti gösteriyor.
Bu e-postanın belirleyici özellikleri şunlardır:
Konu: “” ve SİZ
İleti: Dammi il tuo amore…..
Ataşlanan Dosya: vale.exe
Bu tehdit edici yazılım Microsoft Visual Basic (VB) programlama dilinde yazılmış. Teknik ayrıntılar Symantec’in bu sayfasında.
Dosyaları Silmeye ve Programları Bloke Etmeye Çalışan Truva Atı
W32.Laorenshen.Trojan, dosyaları silmeye ve bilgisayarın normal programlarının kullanımını bloke etmeye çalışan bir Truva atıdır. Bu yazılım UPX ve ASPack ile sıkıştırılmıştır.
Daha fazla bilgi için Symantec’in bu sayfasına bakabilirsiniz.
Kullanıcıların Faaliyetlerini İzleyen Keylogger
Keylogger.Cone.Trojan, çeşitli kullanıcı faaliyetlerini izleyen bir keylogger yazılımıdır. Bu yazılım izleme kayıtlarını dönemsel olarak, e-posta ya da ftp kullanarak uzaktaki saldırgan bilgisayara göndermektedir.
Daha fazla bilgi için Symantec’in bu sayfasına bakabilirsiniz.
W32/Lovgate varyantı, aşağıdakileri yaparak, W32/Lovgate.j@M ile çok yakın benzerlikler sergiler:
- Kendi kendisini ağ paylaşımları üzerinden kopyalar
- Microsoft Outlook ve Outlook Express gelen kutularındaki okunmamış mesajları yanıtlayarak kendisini yollar
- Bir arka kapı bileşeni bırakır (bu bileşen BackDoor-AQJ olarak saptanmıştır)
Ayrıca, bu varyant mağdur olan makinedeki (ve ağ sürücülerindeki) yürütülebilir yazılımlara asalak bir şekilde bulaşır.
Bu kurtçuk Microsoft Outlook ve Outlook Express gelen kutusundaki okunmamış mesajları yanıtlamaktadır. E-posta mesajları W32/Lovgate.f@M’ye göre oluşturulurlar. Daha fazla bilgi için McAfee’nin bu sayfasına bakın.
Bazı Uzaktan Kumanda Özellikleri olan Arkakapı-CY Programı
Bu arka-kapı programı, Alıcı, Sunucu, Derleyici ve Bağlayıcı programlardan oluşur.
Server.exe – Bu dosya çalıştırılmak üzere kullanılmadan önce derlenmelidir. Sunucu arka-planda alıcıdan gelecek uzaktan bağlantıları dinler ve kendisine gönderilen komutları yerine getirir. Bu sunucu mağdur olan makinede bir çalışmaya başladı mıydı, hacker artık alıcı bileşenini kullanarak makineye bağlanabilir (ve onu yönetebilir).
Client.exe – Bu, uzaktaki kullanıcı tarafından, sunucu bileşenini çalıştıran ana bilgisayara bağlanmak için kullanılır. Ana bilgisayara bağladıktan sonra uzaktaki kullanıcı birçok komut verebilir.
Compiler.exe – Bu program sunucu programını derleme işlevi görür.
Binder.exe (Multidropper diye saptanır) – Bu program, kendisini ana bilgisayardan gizlemek için türlü türlü dosyalarla birleşirler. Örneğin, bu program NOTEPAD.EXE dosyasını sunucu bileşenine bağlar. Hedeflenen kullanıcı sunucu programını çalıştırınca NOTEPAD çalışır ve bu esnada sunucu programı kendi kendisini sisteme kurar ve arka-planda çalışmaya başlar.
Daha fazla bilgi için McAfee’nin bu sayfasına bakınız.
Kaynak : 