WinNT/2K/XP işletim sistemlerinde bu tehlike etkili değildir. Windows 9x tabanlı işletim sitemlerinde etkilidir.
Ağ-üstünde ilerliyen solucan kendisini bir kopyasını açık paylaşımlar (parola koruması olmayan) sayesinde Startup (Başlangıç) dizinine yazmaya çalışmaktadır.
Çalıştırıldığında ya da başlangıçta bilgisayar tarafından çalıştırıldığında bir sonraki açlışlarda da otomatik çalıştırılmak için kayıt dosyalarında aşağıdaki değişikliği yapmaktadır: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "ScrSvr" = %WinDir%ScrSvr.exe
Bunların yanı sıra aşağıdaki dosyayı da değiştirip, cwindowswin.ini tmp.ini okumasını; run= c: mp.ini komutuyla sağlar, kendi yarattığı; c mp.ini dosyasını açılışlarda çalışır hale getirir. Dosyanın içeriği aşağıdaki gibidir. run= c:windowsscrsvr.exe
Linux/Slapper
Linux/Slapper Aphace web sunucunlarında OpenSSL bileşenleri kullanan SSL özelliği çalışır durumda olanları bellek taşamsı zayıflığından yararlanarak bilgisayarları etkileyen bir Internet solucanı. Aktif olduktan sonra DoS saldırısı başlatabilen bilen bir arka kapı oluşturuyor.
Linux/Slapper sistemler arasında TCP port 443 (SSL) kullanarak yayılıyor. Bu porta bağlanmadan önce TCP port 80 (HTTP) ile bağlantı kurup sunucu makinenin kullandığı Aphace web sunucusunun sürümünü öğrenmeye çalışır. Eğer web sunucusu Apache dışında bir programsa bilgisayarı etkilemeyi denemiyor.
Internet solcanın aradığı sürümler:
Red Hat Apache 1.3.6, 1.3.9, 1.3.12, 1.3.19, 1.3.20, 1.3.22, 1.3.23, 1.3.26.
SuSE running Apache 1.3.12, 1.3.17, 1.3.19, 1.3.20, 1.3.23.
Mandrake running Apache 1.3.14, 1.3.19, 1.3.20, 1.3.23.
Slackware running Apache 1.3.26.
Debian running Apache 1.3.26.
Gentoo herhangi bir Apache sürümü.
Daha ayrıntılı liste için aşağıdaki web sitesini ziyaret ediniz:
http://online.securityfocus.com/bid/5363/info/Eğer ki işletim sistemi ya da Apache sürümünü belirliyemezse, İşletim sistemi olarak Red Hat ve Aphace sürümü olarak da Apache 1.3.23 varsayrak işlemelerine başlıyor.
Linux/Slapper TCP port 443 (SSL) ile uzaktaki sisteme bağlanıp kendisine bellek taşaması açığından faydalanarak bir kabuğa(./bin/sh) ulaşmaya çalışıyor. Linux/Slapper yayılmakta kullandığı OpenSSL açığı 30 Temmuz 2002 tarihinde çözümü ile birlikte
http://www.openssl.org/news/secadm_20020730.txt adresinde yayınlandı.
Eğer Linux/Slapper uzaktaki makineyi kırabildiyse, ulaştığı kabuğa bir betik yükler. Bu betik Internet solcanın uuencoded kaynak kodu kopyasını içermektedir. Betik /tmp/.unlock.c dosyanın içine kaynak kodunu açar ve çalıştırır. Bir daemon işlem olarak gözükecek olan .unlock başlatılır.
Unutulmamalıdır ki Linux/Slapper yayılması ve etkilemesi, gcc derleyicisinin saldırıyı alan makinede var olmasına ve bu derleyicinin Apache tarafından çalıştırılabiliyor olmasına dayanmaktadır. Bazı sınırlandırmalar getirilerek derleyicinin web sunucusu tarafından çalıştırılmamamsı iyi bir güvenlik önlemi olacaktır.
Bir defa aktif hale geçtikten sonra, Linux/Slapper UDP port 4156 üstünden bağlantı kurulacak bir arka kapı yaratıyor. Bu arka kapı diğer virüsten etkilenmiş bilgisayarlar tarafından başlatılan bir çok değişik saldırı oluşmasını sağlıyor. Örneğin: herhangi bir kodun çalıştırılması, TCP taşkını., DNS taşkını, diskte e-posta adreslerin aranması gibi.
Temizlenmesi:
Aşağıdaki işlemi arayın ve çalışmasını durdurun (kill):
.unlock
Aşağıdaki dosyaları (eğer varsa) silin:
/tmp/.unlock
/tmp/.unlock.c
/tmp/.unlock.uu
/tmp/.update.c
/tmp/update
Daha detaylı bilgi için:
http://online.securityfocus.com/bid/5363/solution/ VBS/Neiber.A
VBS.Neiber.A virüsü Microsoft Windows Adres Defteri'ndeki kayıtlara toplu e-posta atan bir Internet solucanıdır. Eklentisi ve görünür bir içeriği olmamasına rağmen metin içine gömülü HTML kodu sayesinde virüslü %Windir%Bernie.vbs dosyasını oluşturup çalıştırmaktadır.
Konu (Subject):
Attention virus
Mesaj:
Metin bölümü boş gözükse de, içeriğinde virüsün HTML kodu var.
Ek (Attachment):
Yok
Belirtiler:
Bernie.vbs çalıştırıldıktan sonra aşağıdakileri sırasıyla yapmakta:
Kendisini %Sistem%Bernie.vbs olarak kopyalıyor.
Windows'un her açılışında çalışmak için HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun değerine "Bernie wscript.exe %system%Bernie.vbs" ekliyor
"HKEY_CURRENT_USERsoftwareBernie" değerinin 1 olup olmadığını kontrol ediyor. 1 değilse Microsoft Windows Adres Defteri'ndeki tüm kayıtlar e-posta gönderiyor.
E-postaları gönderdikten sonra yerel ve bağlantılı disklerde *.vbs ve *.vbe dosyalarını arayıp üstlerine kendisini yazıyor.
En son olarak da bilgisayar çakılıncaya kadar Notepad açıyor.
W32/Manymize
W32.Manymize@mm virüsü kendisi ile birlikte üç dosyayı da Microsoft Windows Adres Defteri'ndeki e-posta adreslerine gönderen (toplu e-posta atan) bir virüstür.
Konu (Subject):
Internet solucanı aşağıdaki seçeneklerden birini konu olarak seçiyor.
Hi (alıcının e-posta adresi)
Dear (alıcının e-posta adresi)
Hello (alıcının e-posta adresi)
My friend, (alıcının e-posta adresi)
How are you !! (alıcının e-posta adresi)
Mesaj:
Mesaj dört kelime veya kelime grubunun birleşmesinden oluşuyor.
1. Grup
Hi (alıcının e-posta adresi)
Dear (alıcının e-posta adresi)
Hello (alıcının e-posta adresi)
My friend, (alıcının e-posta adresi)
How are you !! (alıcının e-posta adresi)
2. Grup
, See this
, This is
, Open the
, Attached is my
, Watch my
3. Grup
funny
interesting
cute
amusing
special
4. Grup
video.
movie.
penguin.
clip.
tape.
Ek (Attachment):
Mi2.htm
Mi2.chm
Mi2.wmv
Mi2.exe
Belirtiler:
Virüs okunduğunda veya ön izleme ile bakıldığında bilgisayarı otomatik etkileyebilmek için IFRAME ve MIME açığından , yararlanmaktadır.
Ek olarak, Mi2.wmv otomatik olarak çalıştırıldığında kullandığı açık Windows Media Dosyasının Mi2.htm çalıştırılmasına izin verilmesini sağlıyor.
Internet solucanı e-posta adreslerini C rogram FilesCommon FilesSystemWab32.dll veya D rogram FilesCommon FilesSystemWab32.dll dosyalarını kullanarak Microsoft Windows Addres defterinden alıp kullanır. Eğer belirtilen iki dosya da yoksa 120 tane e-posta adresi arasından rastgele seçtiği ve "@pchome.com.tw." ile biten adreslere kendini gönderiyor
W32/Yaha.E
Yerel diskteki e-posta adreslerine SMTP ile e-posta gönderen Internet solucanın özellikleri:
Konu (Subject): humour you care ur friend Who is ur Best Friend make ur friend happy
True Love to enjoy Free Screen saver Friendship Screen saver
Bullshit Need a friend? Find a good friend war Againest Loneliness
I am For u Life for enjoyment Nothink to worryy Ur My Best Friend
LoveGangs to ur lovers Best Friends Send This to everybody u like
Enjoy Romantic life to watch to share How sweet this Screen saver
Let's Laugh One Way to Love Learn How To Love Are you looking for Love
Interesting Enjoy friendship Shake it baby Shake ur friends
One Hackers Love Origin of Friendship The world of lovers The world of Friendship
Love Friendship how are you U r the person?
Hi U realy Want this Romantic searching for true Love
New Wonderfool excite Looking for Friendship
charming Idiot Nice Wowwww check it
One Funny Great Easy Way to revel ur love
Shaking powful Joke Let's Dance and forget pains
Interesting Screensaver Friendship Say 'I Like You' To ur riend
relations stuff to ur friends Check ur friends Circle
for you to see to check love speaks from the heart
Mesaj:
"Hi Check the Attachment ..See u"
"Attached one Gift for u.."
"wOW CHECK THIS" "Enjoy this friendship Screen Saver and Check ur friends circle... Send this screensaver from to everyone you consider a FRIEND, even if it means sending it back to the person who sent it to you. If it comes back to you, then you'll know you have a circle of friends.
"To remove yourself from this mailing list, point your browser to: [web address]"
"Enter your email address ([sender's address]) in the field provided and click "Unsubscribe".
"Reply to this message with the word "REMOVE" in the subject line. This message was sent to address [sender's address] X-PMG-Recipient: [sender's address]"
Ek (Attachment):
screensaver screensaver4u screensaver4u screensaverforu
freescreensaver love lovers lovescr
loverscreensaver loversgang loveshore love4u
lovers enjoylove sharelove shareit
checkfriends urfriend friendscircle friendship
friends friendscr friends friends4u
friendship4u friendshipbird friendshipforu friendsworld
werfriends passion bullshitscr shakeit
shakescr shakinglove shakingfriendship passionup
rishtha greetings lovegreetings friendsgreetings
friendsearch lovefinder truefriends truelovers
fucker loveletter resume biodata
dailyreport mountan goldfish weeklyreport
report love
Uzantı:
.doc .txt .bmp .zip
.mp3 .jpg .htm .pif
.xls .gif .mpg .bat
.wav .dat .mdb .scr
Belirtiler:
Bilgisayarınızda yüklü ise aşağıdaki programların çalıştırılamaması.
ATRACK F-PROT95 LUCOMSERVER NISSERV RESCUE32
ANTIV FP-WIN MCAFEE IR NISUM SAFEWEB
AVCONSOL F-STOPW NAVAPSVC NMAIN SCAM32
AVP.EXE IAMAPP NAVAPW32 NORTON SIRC32
AVP32 ICMON NAVLU32 NVC95 SYMPROXYSVC
AVSYNMGR IOMON98 NAVRUNR PCCWIN98 VSHWIN32
CFINET LOCKDOWN2000 NAVW32 POP3TRAP VSSTAT
CFINET32 LUALL NAVWNT PVIEW95 WEBSCANX
WEBTRAP WINK ZONEALARM
Virüs eklentili dosya açıldığında aşağıdaki metinleri içeren ekran koruyucularının çalışması.
Ur My Best Friend!!
No Configuration is availabile Now
Config
madd
U r so cute today #!#!
True Love never ends
I like U very much!!!
U r My Best Friend
W32/Frethem.f@MM
Microsoft Outlook Express posta kutuları dosyaları (.DBX dosyaları), ve Windows Address Book (.WAB dosyası) içindeki e-posta adreslerini topladıktan sonra bu adreslere SMTP aracılığı ile e-posta gönderen internet solucanının özellikleri:
Konu (Subject):
Re: Your password!
Mesaj:
"ATTENTION! You can access very important information by this password."
"DO NOT SAVE password to disk use your mind now press cancel."
Ek (Attachment):
decrypt-password.exe (35,840 bytes)
password.txt (31 bytes)
Internet solucanı Incorrect MIME Header Can Cause IE to Execute E-mail Attachment Microsoft Internet Explorer (ver 5.01 or 5.5 without SP2), açığından yaralanarak otomatik olarak çaıştırılıp sistemi etkilemektedir.
Exe dosyası kendisini bilgisayarın her açılışında çalışmak için Start MenuProgramsStartupsetup.exe konumuna kopyalar.
Belirtiler:
Aşağıdaki dosyaların bilgisayarınızda bulunması
Start MenuProgramsStartupsetup.exe
%WinDir%status.ini
%WinDir%Win64.ini
JS/SQLSpida
Internet solucanı MS SQL sunucularını hedefliyor. Varsayılan SQL administrator hesabının (SA) zayıflığını kullanarak bilgisayar bulaşıyor. SQL yöneticileri SA hesabının zayıflığını kapatmak için gerekli önlemleri almaları gerekmektedir. SQL sunucusunu güvenli hale getirme konusunda daha detaylı bilgi almak için:
http://support.microsoft.com/default...;EN-US;Q313418Belirtiler:
Aşağıdaki dosyaların bilgisayarınızda bulunması:
%WinDir%system32driversservices.exe
%WinDir%system32sqlexec.js
%WinDir%system32clemail.exe
%WinDir%system32sqlprocess.js
%WinDir%system32sqlinstall.bat
%WinDir%system32sqldir.js
%WinDir%system32
un.js
%WinDir%system32 imer.dll
%WinDir%system32samdump.dll
%WinDir%system32pwdump2.exe
W32/Klez
Microsoft Internet Explorer (vers. 5.01/5.5 SP2 kurulmamış) "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" açığından yaralanarak bulaşıyor. E-posta'nın kimden kısmını değişitirebiliyor. Gönderen adresi virüs tarafında etkilenmiş herhangi bir sistemin kullanıcınısını adresi olabiliyor. Gelen e-posta bu nedenle başka biri tarfından gönderilmiş gibi gözükebilen virusun özellikleri:
Konu (Subject):
Internet solucanı e-posta mesajını Konu ve İçerik kısımlarını rastgele belirliyor. Konu kısımı aşağıdaki kuralların birisine gore rastgele yaratılıyor:
1. "Hi,", "Hello," "Re:", Fw:", ya da boşlukla birlikte "Very", "special" ya da boşluk olarak ilk kelime ve "New", "funny", "nice", "humour", "excite", "good", "powful", "WinXP" ve "IE 6.0" ikinci kelime olacak şekilde aşağıdaki şekilde bir cümle kuruyor. "A %s %s game." "A %s %s tool." "A %s %s website." "A %s %s patch." "A special powful tool"
2. "W32.Elkern" ya da "W32.Klez.E" ile birlikte "removal tools" kullanarak konu belirliyebiliyor. "W32.Klez.E removal tools"
3. Aşağıdaki listeden herhangi birini de seçebiliyor:
how are you
let's be friends
darling so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
Sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert japanese lass'
sexy pictures
Undeliverable mail
Returned mail
4. En son olarak da "Worm Klez.E immunity" konusunu seçiyor.
Mesaj:
İçerik virüs tarafından rastgele belirlenebileniyor veya boş da olabiliyor. Eğer konu kısmı "Worm Klez.E immunity" ise e-posta içeriği aşağıdaki gibi oluyor: "Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti -anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as fake Klez to fool the real worm ,so me AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question, please mail to me."
Ek (Attachment):
.BAT / .EXE / .SCR / .PIF.
Gerekli izinler olduğu sürece ağ paylaşımları yardımı ile de kendisini diğer biligisayarlara tek ya da çift tıklamayla çalışacak bir ya da iki uzanıtılı dosyalar olarak kopyalıyor.
350.bak.scr
bootlog.jpg
ALIGN.pif
User.bat
line.bat
user.xls.exe
Internet solucanı kendisini RAR dosyaları gibi de kopyalıyabiliyor.
HREF.mpeg.rar
HREF.txt.rar
lmbtt.pas.rar
Belirtiler:
Bir çok antivirüs programının sistemdeki çalışmasını durabilir.
Rastgele isimlendirilmiş ağ paylaşımları olması.
WINKxxx.EXE dosyasının aşağıda beliritilen Registry dosyalarına anahtar olması:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun
W32/Fbound.C
Toplu e-posta atan internet solucanı kulanıcının Windows Adres Defterindeki (WAB) tüm e-posta adreslerine kendini yollamaktadır.
Konu (Subject):
Important (japonca terim de olabilir)