7 Temmuz 2008 Pazartesi 13:31:18
  Ana Sayfa
  Haberler
  Finans
  Oyun
  Astroloji
  Mizah
  Sinema
  Sağlık
  Alışveriş
 
  Webmail
  Yeni Üye Kaydı
  Üye Bilgileri
  Hizmetlerimiz
  Teknik Destek
  Anket
  Bağlantı Programı
  Bağlantı Numaraları
Yeni virüs - WORM_ZOHER.A

Risk               : Düşük
Virus tipi       : Worm (Solucan)
Platform        : Windows
Virüs boyutu : 6,656 Bytes
Diğer isimleri : ZOHER.A, ZOHER, W32/Sheer.A@mm, W32.Zoher@mm.html

WORM.ZOHER.A Assembly dilinde yazılmış hafızada-kalıcı bir worm. Konu başlığı "Fw: Scherzo!" olan bir eposta ile geliyor ve ekte  "JAVASCRIPT.EXE" isminde bir dosya bulunduruyor. Worm'un çalışması için eposta alcısının ekteki dosyayı çalıştırması gerekmiyor. Worm ekteki dosyayı otomatik olarak çalıştırmak için Internet Explorer
tabanlı eposta istemcilerinin bilinen bir açığını kullanıyor. Bu açık aynı zamanda "Gömülü MIME tiplerinin otomatik çalıştırılması" olarak da biliniyor.
Epostanın ekindeki çalıştırılabilir dosya audio/x-wav içerik tipine (content-type) sahip olduğundan alıcılar virüslü mesajı görüntülediklerinde ses dosyaları ile ilişkilendirilmiş olan
uygulama, ki genelde Windows Media Player, açılıyor.

Detay:
Çalıştırıldığında worm kendisini servis olarak kayıt ediyor. Daha sonra varsayılan eposta adresini ve Windows adres defterinin (WAB) içeriğini alıyor.
http:// banners.interfree.it/list.txt web sitesine bağlanıyor ve eposta mesajının içeriği olacak bilgileri indiriyor. Eğer internet bağlantısı yoksa worm 60 saniye bekliyor ve tekrar deniyor.
Daha sonra dada.com web sitesine bağlanıyor ve SMTP sunucu olarak kullanmaya çalışıyor. Worm sadece Outlook Express ile yayılıyor.
Eposta mesajının içeriği ise aşağıdaki gibi:
FROM: (etkilenen kullanıcının varasyılan eposta adresi)
TO: (etkilenen kullanıcının adres defterinden seçilen adres)
SUBJECT: Fw: Scherzo!
ATTACHMENT:JAVASCRIPT.EXE
BODY:Con questa mail ti e stata spedita la FortUna; non la fortuna e basta, e neanche la Fortuna con la Fmaiuscola, ma addirittura la FortUna con la F e la U maiuscole. Qui non badiamo a spese. Da oggi avrai buona fortuna, ma solo ed esclusivamente se ti liberi di questa mail e la spedisci a tutti quelli che conosci. Se lo farai potrai: - - produrti in prestazioni sessuali degne di King Kong
per il resto della tua vita - - beccherai sempre il verde o al massimo il giallo ai semafori - - catturerai tutti e centocinquantuno i Pokemon incluso l'elusivo Mew - - (per lui) quando andrai a pescare, invece della solita trota tirerai su una sirena tettona nata per sbaglio con gambe umane - - (per lei) lui sara talmente innamorato di te che ti come una sirena tettona nata per sbaglio con le gambe Se invece non mandi questa mail a tutta la tua list entro quaranta secondi,allora la tua esistenza diventera una grottesca sequela di eventi tragicomici, una colossale
barzelletta che suscitera il riso del resto del pianeta, e ticondurra ad una morte orribile, precoce e solitaria... No, dai, ho esagerato: hai sessanta secondi. Cascaci: e' tutto vero.
Puddu Polipu, un grossista di aurore boreali cagliaritano, spedi' questa mail a tutta la sua lista ed il giorno dopo vinse il Potere Temporale della Chiesa alla lotteria della parrocchia.
Ciccillo Pizzapasta, un cosmonauta campano che soffriva di calcoli, si preoccupo di diffondere questa mail: quando fu operato si scopri' che i suoi calcoli erano in realta diamanti grezzi.
GianMarco Minaccia, un domatore di fiumi del Molise che non aveva fatto circolare questa mail, perse entrambe le mani in un incidente subito dopo aver comprato un paio di guanti.
Erode Scannabelve, un pediatra mannaro di Trieste,non spedi a nessuno questa mail: dei suoi tre figli uno comincio a drogarsi, il secondo entro in Forza Italia e il terzo si iscrisse a Ingegneria.

Korunma:
Worm Internet Explorer'ın "Gömülü MIME tiplerinin otomatik çalıştırılması" açığını kullanıyor. Microsoft güvenlik bültenini (http://www.microsoft.com/windows/ie/downloads/critical/patch9/default
.asp) okuyarak en son yamaları kurduğunuza emin olun.

Internet Explorer 5.01 SP2 güncellemesi
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/def
ault.asp

IE 5.5 SP2 güncellemesi
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/defa
ult.asp

IE 6.0 güncellemesi
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
Sisteminizi tekrar çalıştırın.

Sisteminizi antivirüs programı ile tarayın ve WORM_ZOHER.A olarak
tanınan dosyaları silin. Trend Micro kullanıcıları en son pattern
dosyasını aşağıdaki adreslerden çekebilirler:

http://www.infonet.com.tr/lpt$vpn.zip (191)
http://www.olympos.org/lpt$vpn.zip (191)

Antivirüs programı olmayanlar http://housecall.antivirus.com yada http://housecall.olympos.org adreslerinde online olarak virüs taramasından geçirebilirler.
 
 

Geri Dön
Şirket | Arama | Program Arşivi | Hizmetlerimiz | İş Olanakları | Reklam | Sıkça Sorulan Sorular | Ana Sayfa
Copyright 2001 TR.NET Tel: (0312) 295 9000 Fax: (0312) 295 9090