cenkut blog

Backdoor virüslerinin vazgeçilmez unsuru olan rootkitler virüslerin önemli bölümlerinden biridir.Symantec tespit ettiği GrayBird Rootkit şuana kadar Çin meşeiyli 99 , İngiltere meşeiyli 2 , Brezilya 1 ve Almanya’da 1 farklı virüste tespit edilmiştir.
Devamını oku »

Sinowal Virüsü Nedir ?

Sinowal virüsü bilgi çalmayı hedefleyen bir virüs çeşididir.Bulaştığı bilgisayara diğer zararlı yazılımları atar.Kendini DLL dosyalarına adapte ederek Görev Yöneticisi çalışan yazılımları hedef almaktadır.

Devamını oku »

Autoit Virüsü ” Funny UST Scandal avi” yada “xmss.exe”  Virüsünü Temizlemek

Flash disklere ile yayılımını sağlayan bu virüs gerçekten epey uğraştıran bir virüstür.

Devamını oku »

2009 Haziran Worm- Virus Raporu

Listede görüldüğü üzere Kido virüs yayılımına devam ediyor ve sürekli olarak artıyor.Artık çok bilinen fakat halen etkin olarak yayılımını devam ettiren Sality virüsde listede yer almaktadır.Windows açığını kullanarak İnternet Exlorer üzerinden yayılan Downloader virüsleri 3-4 sıralarda yer almaktalar.Listede 5-6 ise Autorun virüsleri mevcut malum usb diskler üzerinden hızlı bir şekilde yayılmaktalar.Son zamanların eskimeyen virüsü Alman.NAB ise halen 12 sırada ve birçok bilgisayarı etkilemiş durumda..

Kaynak: Kasperksy – VirusList

Flash diskimin içine attığım dosyalarımı göremiyorum boş gösteriyor fakat başka bilgisayara takıyorum dosyalar görünüyor ?

Devamını oku »

VBS/Autorun.worm.zo
2009 yılının yeni virüslerinde olan Autorun.Worm.Zo virüsü bilgisayarınıza web siteleri üzerinden bulaşır.Genel olarak exploit ve scriptleri kullanarak zararlı sitelerden bulaşır.
Autorun.Worm.Zo virüsünün kendini kopyaladığı dosyalar ;
%UserProfile%\Local Settings\Temp\[Herhangi bir isim].tmp (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)
%UserProfile%\Local Settings\Temp\auto.exe (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)
%UserProfile%\Local Settings\Temp\Yuyun.Q  (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)

Kopyaladığı dosyalardan bazıları
%UserProfile%\My Documents\database.mdb (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)
%Windir%\:Microsoft Office Update for Windows XP.sys (%WinDir% = C:\Windows klasörünü ifade eder)
%UserProfile%\Local Settings\Temp\v.doc (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)

KAYIT DEFTERİ’ne aşağıdaki kayıtları ekler;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Explorer” = “Wscript.exe //e:VBScript
“%UserProfile%\My Documents\database.mdb”"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “WinUpdate” = “Wscript.exe //e:VBScript
“%Windir%\:Microsoft Office Update for Windows XP.sys”" HKEY_CURRENT_USER\Software

Aynı zaman da birçok klasöre ve diske thumb.db isimli dosyayı kopyalar.Aşağıda listesi bulunan kısayolları dosyaların içine ekler.
Microsoft.lnk
New Harry Potter and….lnk
New Folder.lnk
SuratQ.lnk
Rahasia.lnk
Game.lnk
Zvnita.lnk
Download.lnk
DataQ.lnk
[altdizin ismi].lnk

Dökümanları dosyalarının bulunduğu klasöre ve klasörlere aşağıdakileri kopyalar;

Baca AQ.rtf
My name is Yuyun.rtf

Kurtulmak için Regedit’teki kayıtlarını silin ve gpedit.msc üzerinden Autorun Kapatınız, msconfig üzerinden bilgisayar başlangıçında bilmediğiniz yazılımları kaldırınız …

PWS-Gamania.gen.a Virüsü
Genel olarak EXE ve DLL’ler üzerinde yayılan bu virüs en büyük özelliği 2007 Ağustosunda NASA bulaşmış olmasıdır.NASA sistemine bulaşan bu virüs ile ilgili iddalar bununla da sınırlı değil, Gamania ‘nın NASA tüm uzay seyahat sisteminde ki tüm cihazları etkilediği söylenenler arasında.Fakat Virüs herhangi bir veri aktarımı yapmadığı için düşük bir güvenlik seviyesinde tutuluyor.

AMACI NEDİR ?
Şifre çalmayı amaçlayan bu virüs aynı zamanda Autorun.inf ile USB Disk’lerde kendini kopyalamaktadır.Böylece usb disk taktığınız anda Windows Otomatik açma özelliğiyle virüs direk bilgisayarınıza bulaşmaktadır.Autorun Özelliğini kapatma yöntemini görmek için sitemizdeki diğer konulara bakabilirsiniz.(AUTORUN KAPAT!)
tavo0.dll dosyası ile bilgisayarınızda oynadığınız online oyunların Kullanıcı adı ve Şifrelerini Gamania bulaştıran SALDIRGAN’a gönderdiği gelen bilgiler arasındadır.
Gamania Virüsünün kendini kopyaladığı bazı yerler ;

%windir%\system32\tavo.exe
%windir%\system32\tavo0.dll
%temp%\lawb.dll

Gamania Virüsünün farklı varyasyonlarında ise aşağıdaki klasörlerde bulunabilirler
Windows Klasörü : %windir% , Sistem Diski : %systemdrive% isimlendirilmiştir.Direk Çalıştır’a yazdığınızda bu dosyaları görebilirsiniz.
%windir%\system32\tavo.exe
%windir%\system32\tavo1.dll
%windir%\system32\kavo0.exe
%windir%\system32\kavo0.dll
%systemdrive%\l1.com
%systemdrive%\autorun.inf
%windir%\xmg.exe
%windir%\tt.exe
%windir%\rb.exe
%windir%\system32\mmvo.exe
%windir%\system32\mmvo0.dll
%windir%\system32\ckvo.exe
%windir%\system32\ckvo0.dll
Aynı zamanda Registery altına da kendini kopyalayan virüs aşağıdaki Regedit kayıtlarında bulunmaktadır.
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run “kava”
Data: %windir%\system32\kavo.exe HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run “tava”
Data: %windir%\system32\tavo.exe

Görev yöneticisinde işlem yaptırdığı EXE’ler birkaçı ;

Kav.exe
Rav.exe
Avp.exe
Kavsvc.exe

GAMANİA Virüse AntiVirüs Programlarının Verdiği İsimler ;

PANDA AntiVirüs : Trj/Lineage.BZE
KasperSky AntiVirüs : Trojan.Win32.Vaklik.bkh
Microsoft Security : Trojan:Win32/Meredrop
Symantec Security : W32.Gammima.AG
Sophos AntiVirüs : W32/Autorun-CL

 
Hüseyin Cenkut ÖZKAN