Bu kurtçuğun geldiği mail;
Konu / Subject : New Visual Tool for U
Ek / Attachment : Visual_tool.exe
Boyutu / Size : 9,216 bytes
özelliklerini taşıyor. Unix ve Linux sistemleri etkilemiyor. Çok çabuk bulaşıyor ama kolaylıkla yokedilebiliyor. Ek tıklanarak açılırsa bulaşıyor ve çalışmaya başlıyor. Kendisini adres defterinizde bulunan tüm adreslere gönderiyor.
Subject of email: New Visual Tool for U
Name of attachment: Visual_tool.exe
Size of attachment: 9,216 bytes
W32.Pet_ticky.gen programı çalıştırıldığında; “desktop.ini” yazılı bir ufak kutucuk görülüyor. Bu sırada C:Backup klasörü yaratılıyor ve kurtçuk kendisini bu klasöre rastgele bir dosya ismi ile kopyalıyor. Bu arada kendisini
C:My DocumentsDesktop.iniold_.exe and C:%System%Kern32dll.exe olarak da kopyalıyor.
NOT: %System% bir değişken Yani kurtçuk kendisini WindowsSystem folder (default olarak bu C:WindowsSystem ya da C:WinntSystem32’dır) altına kopyalıyor.
Sonra registry key altına
kern32dll C:%system%kern32dll.exe
değerini ekliyor.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
Böylece kendisini Microsoft Outlook Adres defterindeki herkese gönderir. Gönderdiği e-mail’in özellikleri şöyledir;
Konu : New Visual Tool for U
Mesaj: Look at this new tool by clicking on attached file.
Ekler : Visual_tool.exe
Yoketmek için neler yapılmalı
- Virüs programınızı güncelleyin. Scan çalıştırıp W32.Pet_ticky.gen bulaşmış tüm dosyaları silin.
- Registry Key’den
kern32dll C:%system%kern32dll.exe
ve HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
satırlarını silin.
Kaynak : 