Bu kurtçukla ilgili olarak Symantec sitesinden aldığımız bilgiler şöyle;
W32.Friendgreet.worm ilk defa 25 Ekim 2002’de tespit edildi. eKart (e-card) şeklinde bir mail ile geliyor. eKart’ı açmak istediğinizde, kitlesel mail gönderme özelliği olan bir program gözüküyor ve download etmenizi istiyor. Eğer download etmez ve CANCEL tuşuna basarsanız, virüs bulaşmıyor.
eKartın yüklenmesi için verilen link’te www.friendgreetings.com adında bir site var ama bu site arada bir yokoluyor. Virüsün yokedilme talimatı da sitede bulunuyor (Bkz : www.friendgreetings.com/contact.htm). Ancak Symantec şirketi bu sitedeki talimatın doğru talimat olduğu şeklinde bir garanti vermiyor.
Ayrıca aşağıdaki sitelerin herbirinde W32.Friendgreet.worm kurtçuğunun yüklenmesine yarayan programın bulunduğu bildirildi (benzer adlı başka sitelerin de olabileceği söyleniyor)
www.friend-card.com
www.friend-card.net
www.friend-cards.com
www.cool-downloads.com
www.cool-downloads.net
www.friend-greet.com
www.friend-greeting.com
www.friend-greeting.net
www.friend-greetings.com
www.friend-greetings.net
www.friend-cards.net
www.laugh-mail.com
Virüs WORM_FRIENDGRT.A, WORM_FRIENDGRT.B, Friend Greeting application ve Friend Greeting application adlarıyla da biliniyor ve Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me sistemlerini etkiliyor.
Windows 3.x, Macintosh, OS/2, Unix ve Linux sistemler ise bu virüsten etkilenmiyor.
Mektubun içeriği şu şekilde;
Subject: [ALAN KİŞİ] you have an E-Card from [GÖNDEREN KİŞİ]
Message: Greetings!
[GÖNDEREN KİŞİ] has sent you an E-Card — a virtual postcard from FriendGreetings.com. You can pickup your E-Card at the FriendGreetings.com by clicking on the link below.
http:/ /www.friendgreetings.com/pickup/pickup.aspx?
Message:
——————————————————-
[ALAN KİŞİ]
I sent you a greeting card. Please pick it up.
[GÖNDEREN KİŞİ]
————————————————————
Yukarıdaki link tıklandığında önünüze bir program download kutusu geliyor. Eğer bu programı yüklerseniz, kartı görebileceğiniz yazılı.
Program download kutucuğunu kabul ettiğinizde, önünüze bir Son Kullanıcı Lisans Anlaşması geliyor. Bu anlaşmayı kabul etmezseniz hiçbir şey olmuyor. Ederseniz, yazılımı, mail programınızda mevcut tüm adreslere kart yollaması için yetkilendirmiş oluyorsunuz.
Yazılımı kabul etmiş ve yüklemişseniz şunlar oluyor;
- Registry Key’lere aşağıdaki satırlar ekleniyor;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
explorerBrowser Helper Objects{7011471D-3F74-498E-88E1-C0491200312D}
HKEY_LOCAL_MACHINESoftwareCLASSESIEEvtCatcher.IEEvtCatcherObj.1
HKEY_LOCAL_MACHINESoftwareCLASSESIEEvtCatcher.IEEvtCatcherObj
HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib{3972ADCE-8737-45DE-A6E2-A253348E5A1E}
HKEY_LOCAL_MACHINESoftwareCLASSESInterface{059D8C85-A00F-40AF-8078-7692A0A79F19}
HKEY_LOCAL_MACHINESoftwareCLASSESCLSID{7011471D-3F74-498E-88E1-C0491200312D}
HKEY_LOCAL_MACHINESoftwareCLASSESCLSID{7677C920-9CC3-4621-AF8C-AD45402DC2FD}
HKEY_LOCAL_MACHINESoftwareCLASSESIEMsgSvr.IEMsgSvrObj
HKEY_LOCAL_MACHINESoftwareCLASSESIEMsgSvr.IEMsgSvrObj.1
Aşağıdaki değerler ;
DisplayName WinSrv Reg
UninstallString C:Program FilesCommon FilesMediaUNINSTAL.EXE C:Program Files
Common FilesMediaINSTALL.LOG WinSrv Reg Uninstall
Registry key’e ekleniyor.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
UninstallWinSrv Reg
Aşağıdaki değer;
PMedia C:Program FilesCommon FilesMediawinsrvc.exe
Register key’lere ekleniyor
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Ve bu dosyaları yaratıyor;
C:Program FilesCommon FilesMediaInstall.log
C:Program FilesCommon FilesMediaOtdock.dll
C:Program FilesCommon FilesMediaOtglove.dll
C:Program FilesCommon FilesMediaOtms.exe
C:Program FilesCommon FilesMediaOtupdate.exe
C:Program FilesCommon FilesMediaUninstal.exe
C:Program FilesCommon FilesMediaWinsrvc.dat
C:Program FilesCommon FilesMediaWinsrvc.exe
C:Program FilesCommon FilesMediaNewBinary2.exe
C:Program FilesCommon FilesMediaNewBinary3.exe
C:Program FilesCommon FilesMediaNewBinary4.exe
NewBinary4.exe içinde kurtçuğun kitlesel yayılma rotası bulunuyor. Önce C:Progra~1Common~1As.ini dosyasını kontrol ediyor. NewBinary4.exe kitlesel mail atma hareketini ancak bu dosya yoksa yapabiliyor. Kitlesel dağılımı yaptıktan sonra bu sefer, 0 byte büyüklüğündeki C:Progra~1Common~1As.ini dosyasını yaratıyor.
Nasıl Yok Edeceksiniz?
5. Sistemi scan edin. W32.Friendgreet.worm olarak tespit edilen tüm dosyaları silin.
6. Sisteme eklenen (yukarıda listesi verilen) tüm programları da silin.
7. Registry’e yapılmış değişiklikleri, silip asıllarını yazın.
Kaynak : 