7 Temmuz 2008 Pazartesi 13:28:40
  Ana Sayfa
  Haberler
  Finans
  Oyun
  Astroloji
  Mizah
  Sinema
  Sağlık
  Alışveriş
 
  Webmail
  Yeni Üye Kaydı
  Üye Bilgileri
  Hizmetlerimiz
  Teknik Destek
  Anket
  Bağlantı Programı
  Bağlantı Numaraları
Yeni Virüs - WORM_GONE.A - Yüksek Risk!

Diğer isimleri : GONE.A, WORM_GONER.A, W32/Gone.A-mm
Yük 1               : Dosyaları silme
Yük 2               : Mesaj gösterme
Tetikleme durumu: Çalıştırıldığında
Dil                    :  İngilizce
Platform           : Windows
Kriptolanmış    : Hayır
Virüsün boyutu : 38,912 Byte

Bu worm (solucan) kendi kopyalarını Microsoft Outlook ve ICQ ile yayan Visual Basic'te derlenmiş bir windows çalıştırılabilir dosyası. Hafızada belirli bazı dosyaları buluyor ve bu dosyaların işlemlerini kapatıyor. Sonra dosyaları silme görevini gerçekleştiriyor.

YAYILMA:

Saat 18:00'daki sonuçlara göre worm'un yayılma bilgisi aşağıdaki gibi:
İlk görülme       Ülke      Kopya
- ---------------   -------   ------
2001-12-04 10:49  US        43
2001-12-04 10:58  GB        49
2001-12-04 11:55  FR        10
2001-12-04 13:02  DE         1
2001-12-04 13:30  NL         7
2001-12-04 13:34  CH        33
2001-12-04 14:08  AR         2

DETAY:
Bu worm eposta ile ekte GONE.SCR dosyası olarak geliyor. Dosya Visual Basic ile derlenmiş ve UPX packer programı ile sıkıştırılmış.

WORM'LU EPOSTANIN İÇERİĞİ:
Subject: Hi
Message Body: How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!
Attachment: GONE.SCR
Bir Outlook Application Object yaratıyor ve etkilenen kullanıcının adres defterindekilere kendisini eposta ile göndermek için MAPI script komutlarını kullanıyor. Daha sonra bu epostaları siliyor. Çalıştırıldığında aşağıdaki mesajı içeren bir pencere gösteriyor:

pentagone

coded by: suid

texted by: ThE_SKuLL and |satan|
greetings to: TraceWar, k9_unit, stef16 ^Reno

greetings also to nonick2 out
there where ever you are

Daha sonra worm dosyasını %System%\GONE.SCR dosyasına yazıyor. Windows her açıldığında kopyasının otomatik olarak çalıştırılması için aşağıdaki registry anahtarını yaratıyor: 
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\%System%\gone.scr = %System%\gone.scr

Ayrıca bir arkakapı (backdoor) kurmak için mIRC uygulamasını kullanıyor. mIRC uygulaması her başlatıldığında yüklenen bir script içeren REMOTE32.INI dosyası yaratıyor. Daha sonra Worm'un yazarı bu worm eklentisini kullanarak IRC kanallarına yada etkilenen kullanıcı ile aynı kanalda bulunan kullanıcılara DoS saldırıları düzenleyebiliyor. Worm ayrıca ICQ chat uygulaması ile de yayılıyor. ICQAPI'yi kullanarak kendisinin bir kopyasını ICQ kullanıcılarına gönderiyor.

YAPTIKLARI:
Worm'un hafızadaki tüm işlemleri etkileyen zarar verici işlevleri var.

Aşağıdaki dosya isimleri ile alakalı işlemleri durduruyor:
IAMAPP.EXE 
IAMSERV.EXE
CFINET.EXE 
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE 
CFIADMIN.EXE 
CFIAUDIT.EXE 
CFINET32.EXE 
PCFWALLICON.EXE 
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE 
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE

Dosyanın işlemini durdurduktan sonra dosyayı ve aynı dirde bulunan tüm dosyaları siliyor. Bu uygulamaların düzgün çalışmasını etkili bir şekilde durduruyor.

GİZLİLİK RUTİNİ:
Worm'un ana penceresi "pentagon" ismini taşıyor. Windows 9x'de kendisini Task listesinde görünmeyen bir servis işlemi olarak kayıt (register) ediyor. Kendisi Task listesinde görünmese de açtığı Outlook Application Object task listesinde görünüyor. Daha sonra yakalanmamak için kendisinin o an çalışan kopyasını silmeyi sağlayacak komutları içeren bir kayıdı WININIT.INI dosyasına ekliyor.

ÇÖZÜM:

Windows 95/98/Me Sistemlerden manuel olarak temizlenmesi:

1. Bilgisayarı reboot edin:
2. Başlangıç logo'su görünmeden F8'e basın.
3. “Command prompt only” (Sadece komut satırı) seçeneğini seçin.
4.  %System% dizinine gidin. %System% bir değişkendir. Genelde
     C:\Windows\System'dir.
5. Komut satırında aşağıdaki satırı yazıp enter'a basın:
    attrib –s –h –r gone.scr
6. Aşağıdaki komutu yazıp Enter'a basarak worm dosyasını silin:
    del gone.scr
7. Bilgisayarı tekrar başlatın.
8. Registry editöründe aşağıdaki anahtara gidin:
    HKEY_LOCAL_MACHINE>Software>Microsoft >Windows>CurrentVersion>Run>%System%
9.  Aşağıdaki kayıt girişini bulun ve silin: gone.scr
 

Windows NT/2000 Sistemlerden manuel olarak temizlenmesi:

1. Windows 2000 CD'sinden boot edin ve "repair install console"u seçin.
2. %System% dizinine gidin. %System% bir değişkendir. Genelde  C:\Winnt\System'dir
3.  Komut satırında aşağıdaki satırı yazıp enter'a basın: 
     attrib –s –h –r gone.scr
4. Aşağıdaki komutu yazıp Enter'a basarak worm dosyasını silin:
    del gone.scr
5. Bilgisayarı tekrar başlatın.
6. Registry editöründe aşağıdaki anahtara gidin:
    HKEY_LOCAL_MACHINE>Software>Microsoft >Windows>CurrentVersion>Run>%System% 
7. Aşağıdaki kayıt girişini bulun ve silin:
    gone.scr

Daha detaylı bilgi icin http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_GONE.A web adresini ziyaret ediniz.
 

Geri Dön
Şirket | Arama | Program Arşivi | Hizmetlerimiz | İş Olanakları | Reklam | Sıkça Sorulan Sorular | Ana Sayfa
Copyright 2001 TR.NET Tel: (0312) 295 9000 Fax: (0312) 295 9090