Frmacil

[size=medium]Virüs Tanımı
Virüs, bir bilgisayara disketler, ağ paylaşımı, Internet (e-mail, dosya indirme) yollarıyla girebilen ve bilgisayarlarda istenmeyen sonuçlara ve zararlara yol açan bir bilgisayar programıdır Virüslerin en önemli özelliği; girdikleri sistemlere kendilerini, kullanıcı farkında olmadan veya iradesi dışında çalıştırılacağı şekilde yerleştirmesi ve sistemlere zarar vermesidir Virüsler genel olarak etkilerini diğer çalışan programlara bulaşarak onlarda çeşitli değişiklikler yaparak gösterirler Virüslerin bir diğer özelliği ise kendilerini çoğaltmaları ve hafızada değişik yerlere kaydetmeleridir Virüslerin etkileri ekranınıza rahatsızlık veren mesajlar çıkararak çalışmanızı engellemesi olabilabileceği gibi, bilgisayarın hafızasını ve disk alanını kullanarak erişiminizi engellemeleri veya kullandığınız dosyaların içeriklerini bozmaları veya silmeleri gibi oldukça zararlı etkileri de olabilir

Virüs Nasıl Anlaşılır ve Temizlenir?
Anti-virüs yazılımı olmadığı şartlarda bilgisayarınızda virüs olduğunu ancak virus etkisini gösterdikten sonra anlayabilirsiniz Bir virüsün etkileri bilgisayarda yavaşlama, Windows uygulamalarında hata mesajları (system fault, application error, missing files), bilgisayarın kilitlenmesi, DOS işletim sistemine dönmesi, bazı dosyaların açılmaması, değişik sesler veya bilgisayarınızın isteğiniz dışında işlemler yapmaya başlaması şeklinde görülebilir Bu durumda bir anti-virüs programı kullanarak bilgisayarın virüsten temizlenmesi gerekmektedir Virüsün bilgisayara geri dönülmez hasarlar vermiş olduğu durumlarda temizleme her zaman başarılı olmayabilir Kullanılan anti-virüs yazılımlarının buldukları virüsleri silmeleri veya bulaştıkları dosyalardan temizlenmeleri mümkün olmaması da karşılaşılan bir durumdur Anti-virüs yazılımlarının tarama işlemi sonrasında virüs bulamaması bilgisayarda virüs olmadığını değil, tarama işleminde kullanılan anti-virüs programlarının tanıdığı virüslerin bulunmadığını gösterebilir Bu durumda kullanılan anti-virüs programının güncellenmesi veya daha güncel başka bir anti-virüs yazılımının kullanılması uygun olacaktır

Virusden Korunma
Virüsler bilgisayarınıza bulaşmadan önce önlem almak ve baştan koruma sağlamak için McAfee Anti-Virus, Norton AntiVirus, F-Prot, Dr Solomon's Anti-Virus Toolkits vs gibi programları bilgisayarınıza henüz herhangi bir virüs sorunu ile karşılaşmamışken kurmanız gerekmektedir

Ayrıca aşağıdaki sitelerden virüslerle, en yeni virus uyarıları hakkında detaylı bilgi bulabilirsiniz

http://wwwviruscom
http://wwwmcafeeb2bcom/avert/virus-alerts/defaultasp
http://wwwmcafeeb2bcom/naicommon/us-glossaryasp
http://wwwsymanteccom/avcenter/vinfodbhtml
http://wwwsymanteccom/avcenter/
http://wwwsecurityfocuscom/
http://wwwmicrosoftcom/technet/security/virusasp
http://wwwantiviruscom

Güncel Virusler

W32/Gaobot
W32/SoberD
W32/BagleE
W32/NetskyB
W32/Mydoom
W32/BagleA
W32/SoberA
W32/MimailC
W32/Holar
W32/Blaster
W32/Nachi
W32/SobigF
WW32/Dumaru
W32/Mimail

W32/Gaobot

Virüs Tanımı :

Internet solucanı MS03-026, MS03-001, MS03-007 ve MS03-049 açıklarını kullanarak bilgisayarı etkilemektedir

Belirtiler:
Beklenmeyen açık portlar
kayıt dosyasındaki varlığı
Güvenlik programların çalışmaması
Korunma Yöntemi:

Virüsten korunmak için yapılması gerekenler
Windows işletim sistemi güncelemelerini mutlaka yapınız
Bilgisayarda bulunan her kullanıcının şifresinin en az 8 karakter uzunluğunda olmasına ve içinde büyük harf, küçük harf, rakam ve özel karakterlerin bulunmasına özen gösteriniz
Kullanılmayan windows paylaşımlarının kesinlikle kapatılması gerekmektedir Bunun yanında varsayılan yönetici paylaşımlaırnın da
HKLMSystemCurrentControlSetServicesLanmanServe rParametersAutoShareWks (REG_DWORD) 0
verisi kayıt dosyasına işlenerek (registry) durdurulmalıdır
Windows paylaşımın kullanımının zorunlu olduğu durumlarda paylaşım parola korumalı olmalıdır Paylaşımın parolasız olması durumunda bilgisayaraınız virüse karşı korumasızdır
Teknik özellikler:
Kendisini %System%wuampsexe olarak kopyalıyor
Windows açıldığında kod çalışması için aşağıdaki değeri;
kayıt (registry) dosyasında belirtilen yerlere yazıyor;

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun wuampsexe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRunOnce wuampsexe
Guvenlik yazilimlarini calismasini durduruyor
Asagida belritilen baska Internet solucanlari tafindan kullanilan surecleri
duruduruyor

taskmonexe
bbeagleexe
d3dupdateexe
winsysexe
ssateexe
i11r54n4exe
rateexe
irun4exe
Ssateexe
wuampsexe
Asağıdaki siteler bağlantı yapılmasını engellemek icin "host" olarak ilgili verileri giriyor

wwwtrendmicrocom
wwwradsmcafeecom
wwwcustomersymanteccom
wwwliveupdatesymanteccom
wwwusmcafeecom
wwwupdatessymanteccom
wwwupdatesymanteccom
wwwnaicom
wwwsecurenaicom
wwwdispatchmcafeecom
wwwmy-etrustcom
wwwmastmcafeecom
wwwcacom
wwwnetworkassociatescom
wwwkasperskycom
wwwavpcom
wwwf-securecom
wwwviruslistcom
wwwmcafeecom
wwwsophoscom
wwwsecurityresponsesymanteccom
wwwsymanteccom

Önceden belirlenmiş IRC sitesine baglanmaya calışıyor ve oradan alacağı komutları uyguluyor Komutlar asagidaki işlemleri sağlamaktadır:
Sistem hakkida bilgi edinmek
Dosya indirmek ve calıştırmak
FTP sitelerine bağlanıp dosya yüklemek
SSH kullanarak baska sistemlere bağlanmak
Çalışan programları durdurmak
E-posta adresleri toplamak
SOCKS proxy olarak calışmak
Yukarda belirtilen açıkkları olan bilgisayaları ağda arıyor
Asağıdaki paylaşımlara kullanıcı adı ve parola deniyerek bağlanmaya calışıyor
admin$
c$
d$
e$
print$
W32/SoberD

Virüs Tanımı :
Toplu e-posta atan bir virustür Ancak bazı sürümleri virüs içermeyen bozulmuş dosyalar göndermektedir

Aşağıdaki özelliklerde geliyor:

Kimden:
Info@microsoftcom
Center@microsoftcom
UpDate@microsoftcom
News@microsoftcom
Help@microsoftcom
Studio@microsoftcom
*]Alert@microsoftcom
Security@microsoftcom
Konu:
Microsoft Alarm: Bitte Lessen!
Microsoft Alert: Please Read!
Metin:
Mydoom virüsünün yeni bir varyantından bahsediyor
Eklenti:
sys-patch
MS-UD
MS-Security
Patch
Update
MS-Q
exe ya da zip uzantılı

Belirtiler:

Aşağıdaki dosyaların varlığı
diagwinhostexe
Humglylkur
Htemp32xdata
Hwintmpx33dat
Hyfjqyqwm
Hzmndpgwfkxx
Etkileme Yöntemi:
E -posta eklentisinin çalıştırılıması
Teknik özellikler:

Virüs çalıştırıldığında:
Kendisini %System%diagwinhostexe olarak kopyalıyor
Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
%System%temp32xdata
%System%wintmpx33dat
%System%mslog32dll
%System%Humglylkur
%System%yfjqyqwm
%System%zmndpgwfkxx
Windows açıldığında kod çalışması için aşağıdaki değeri;
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersion
Rundisc32data "spool32" = %SYSDIR%diagwinhostexe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersion
RunOnce "diagdir" = %SYSDIR%diagwinhostexe %1
Aşağıdaki mesajı görüntülüyor
This patch has been success¤¤¤¤y installed
This patch does not need to be installed on this system
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename]exe
Connection lost or blocked by Firewall
Aşağıdaki dosyalardan e-posta adresleri topluyor ve %system%mslog32dll dosyasına kaydediyor
abd
adb
asp
dbx
doc
eml
ini
log
mdb
php
pl
rtf
shtml
tbb
ttt
txt
wab
xls
W32/BagleE

Virüs Tanımı

Toplu e-posta gönderen bir virüstür 25 Mart 2004 tarihine kadar aktif olacaktır Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadırInternet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir

Konu:
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well
You are dismissed
You really love me? he he
Mesaj içeriği
Boş
Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb
Belirtiler:
2745 TCP portunun açık olması
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması
Teknik özellikler:

Virüs çalıştırıldığında:
Sistem zamanın 24 Mart 2004 olup olmadığını kontrol ediyor 28 Ocak'tan sonraki günlerde bir şey yapmıyor
Kendisini %system%i1ru74n4exe olarak kopyalıyor
notepadexe'yi çalıştırıyor
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun, rateexe"="%System%i1ru74n4exe
HKEY_CURRENT_USERSOFTWAREDateTime4, "uid" = "[Random Value]"
HKEY_CURRENT_USERSOFTWAREDateTime4, "port"="2745"
HKEY_CURRENT_USERSOFTWAREDateTime4, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki dosyalardan e-posta adresleri topluyor
wab
txt
htm
html
dbx
mdx
eml
nch
mmf
ods
cfg
asp
php
pl
adb
sht
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor
Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor
permailuni-muensterde
wwwsongtextnet/de
wwwsportscheckde
Aşağıdaki antivirüs güncellemelerini saplayan süreçleri durduruyor
ATUPDATEREXE
AUPDATEEXE
AUTODOWNEXE
AUTOTRACEEXE
AUTOUPDATEEXE
AVLTMAINEXE
AVPUPDEXE
AVWUPD32EXE
AVXQUAREXE
CFIAUDITEXE
DRWEBUPWEXE
ICSSUPPNTEXE
ICSUPP95EXE
LUALLEXE
MCUPDATEEXE
NUPGRADEEXE
OUTPOSTEXE
UPDATEEXE
W32/NetskyB

Virüs Tanımı:

Toplu e-posta gönderen bir virüstür P2P paylaşımıyla da yayılmaktadır Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir

Kimden:
etkilenmiş makineden toplanmış e-posta adreslerinden yaratılmış e-posta adresleri
skynet@skynetde
Konu:
fake
for
hello
hi
immediately
information
it
read
something
stolen
unknown
warning
you
Mesaj içeriği:
about me
anything ok?
do you? that's funny
from the chatter
greetings
here
here is the document
here it is
here, the cheats
here, the introduction
here, the ¤¤¤¤¤¤s
i found this document about you
I have your password!
i hope it is not true!
i wait for a reply!
i'm waiting ok
information about you
is that from you?
is that true?
is that your account?
is that your name?
kill the writer of this document!
my hero
read it immediately!
read the details
reply
see you
something about you!
something is fool
something is going wrong
something is going wrong!
stuff about you?
take it easy
that is bad
thats wrong why?
what does it mean?
yes, really?
you are a bad writer
you are bad
you earn money
you feel the same
you try to steal
your name is wrong
Eklenti:

"Eklenti" isimleri de değişken olmaktadır ancak iki uzantılıdır
Belirtiler:
Beklenmeyen ağ trafiği
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması
Teknik özellikler:

Virüs çalıştırıldığında:
Kendisini %Windir%servicesexe olarak kopyalıyor
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun, "service" = "%Windir%servicesexe -serv"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki kayıt dosyalarından
"Taskmon" ve "Explorer" değerlerini
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurre ntVersionRunServices
"KasperskyAV" ve "System" değerlerini
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun
W32/Mydoom arka kapısını kapatmak için
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
siliyor
Aşağıdaki dosyalardan e-posta adresleri topluyor
msg
oft
sht
dbx
tbb
adb
doc
wab
asp
uin
rtf
vbs
html
htm
pl
php
txt
eml
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor
"C"den "Z"ye kadar tüm sürücüleri tarıyıp "Sharing" veya "Share" isimli dizin arıyor Eğer sürücü CDROM değilse kendisini ağağıdakşi isimlerle dizine kopyalıyor
doom2docpif
sex sex sex sexdocexe
rfc compilationdocexe
dictionarydocexe
win longhorndocexe
ebookdocexe
programming basicsdocexe
how to hackdocexe
max payne 2¤¤¤¤¤exe
e-bookarchivedocexe
viriiscr
nero7exe
eminem - lick my pussymp3pif
cool screensaverscr
¤¤¤¤¤¤txtexe
office_¤¤¤¤¤exe
hardcore pornjpgexe
angelspif
pornoscr
matrixscr
photoshop 9 ¤¤¤¤¤exe
strippokerexe
dolly_busterjpgpif
winxp_¤¤¤¤¤exe
W32/Mydoom

Virüs Tanımı :

Toplu e-posta atan bir virustür

Kimden:

Konu:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Metin:

Eklenti:
docbat
documentzip
messagezip
readmezip
textpif
hellocmd
bodyscr
testhtmpif
datatxtexe
filescr
Belirtiler:
Aşağıdaki kayıt(registry) dosyalarının varlığı
Anlamsız eklentinin içeriği
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması sonucu kendi SMPT motoru yardımı ve P2P paylaşımları yoluyla yayılıyor
Teknik özellikler:

Virüs çalıştırıldığında:
aşağıdaki dosyaları yaratıyor
"shimgapidll" %System% dizininde
"Message" %temp% dizinde Notepad tarafından açılan tamamen tesadüfi karakterlerden oluşmuş bir metindir
"taskmonexe" %System% dizinde Başka bir taskmonexe varsa üzerine yazıyor
shimgapidll arka kapı olarak çalışan proxy programıdır
Shimgapidll EXPLOREREXE tarafından çalıştırılması için aşağıdaki kayıt (registry key) anahtarları girilir:
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 "(Default)" = %SysDir%shimgapidll
Windows açıldığında kod çalışması için aşağıdaki değeri;
TaskMon = %System%taskmonexe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersion
Run
Aşağıdaki kayıt dosyalarını yaratır:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr entVersion
ExplorerComDlg32Version
KEY_CURRENT_USERSoftwareMicrosoftWindowsCurren tVersionExplorer
ComDlg32Version
Aşağıdaki dosyalardan e-posta adresleri topluyor
"htm"
"sht"
"php"
"asp"
"dbx"
"tbb"
"adb"
"pl"
"wap"
"txt"
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor
Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor
wwwscocom
%KaZaA dizinine iki dosya daha yaratıyor
winamp5
icq2004-final
activation_¤¤¤¤¤
strip-girl-20bdcom_patches
rootkitXP
office_¤¤¤¤¤
nuke2004
aşağıdaki uzantlarla
pif
scr
bat
exe
W32/BagleA

Virüs Tanımı:

Toplu e-posta gönderen bir virüstür 28 Ocak 2004 tarihine kadar aktif olacaktır Kayıt dosyalarına bir çok veri girmekte ve uzaktan web sitelerine bağlanmaktadır Internet solucanı kendisini, etkilediği makinede bulunan e-posta adreslerine göndermektedir

Konu:
Hi
Mesaj içeriği:
Test =) Rastgele karakterler Test, yep
Eklenti:
"Eklenti" isimleri de değişken olmakla birlikte boyutu 16Kb
Belirtiler:
6777 TCP portunun açık olması
bbeagleexe dosyasını Sistem dizinide bulunması
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması
Teknik özellikler:

Virüs çalıştırıldığında:
Sistam zamanın 28 Ocak 2004 olup olmadığını kontrol ediyor 28 Ocak'tan sonraki günlerde bir şey yapmıyor
Kendisini %system%bbeagleexe olarak kopyalıyor
Calcexe'yi çalıştırıyor
Windows açıldığında kod çalışması için aşağıdaki değerleri;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersion
Run, "d3updateexe" = "%system%bbeagleexe"
HKEY_CURRENT_USERSoftwareWindows98, "uid" = "[Random Value]"
HKEY_CURRENT_USERSoftwareWindows98, "frun" = "1"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
Aşağıdaki dosyalardan e-posta adresleri topluyor
"wab"
"txt"
"htm"
"html"
Yukarda belirtilen yapıda e-posta hazırlıyıp gönderiyor
Aşağıdaki sitelerden rastgele seçtiği birisine bağlantı kurmaya çalışıyor
wwwelrasshopde
wwwit-mscde
wwwgetyourfreenet
wwwdmdesignde
6417622813
wwwleonzernitskycom
21698136248
21698134247
wwwcdromcacom
wwwkunst-in-templinde
vipwebru
antol-coru
wwwbags-dostavkamagsru
www5x12ru
bose-audionet
wwwsttngdatade
wh9tu-dresdende
wwwmicronukenet
wwwstadthagenorg
wwwbeasty-carsde
wwwpolohexede
wwwbino88de
wwwgrefrathpaenzde
wwwbhamidyde
wwwmystic-vwsde
wwwauto-hobby-essende
wwwpolozickede
wwwtwr-musicde
wwwsc-erbendorfde
wwwmontaniade
wwwmedi-martinde
vvcgnde
wwwballonfotocom
wwwmarder-gmbhde
wwwdvd-filmecom
wwwsmeangolcom
W32/SoberA

Virüs Tanımı :

Toplu e-posta atan bir virustür

Aşağıdaki özelliklerde geliyor:

Kimden:
Değişken
Konu:
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr gehört!
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, it's enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
RE: Sex
Sorry, I've become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise
I've become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
I love you (I'm not a virus!)
Metin:
Değişken, ancak genelde Odin isminde başka bir virüsten bahsediyor
Eklenti:
pif
scr
bat
com
exe
Belirtiler:
Aşağıdaki dosyaların varlığı
Mediadll
Similareexe
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması
Teknik özellikler:

Virüs çalıştırıldığında:
Kendisini %System%Similareexe olarak kopyalıyor
Kendisinin iki kopyasını da aşağıdaki konumlara kopyalıyor
%SysDir%WINREGEXE
%SysDir%FILEXEEXE
%SysDir%ANTIVEXE
%SysDir%SYSTEMINIEXE
%SysDir%DRIVERINIEXE
%SysDir%SYSTEMCHKEXE
Windows açıldığında kod çalışması için aşağıdaki değeri;
" Belirtilen dosyalardan birisi" = "Belirtilen konumlardan birsi"
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurre ntVersion
Run
Aşağıdaki dosyalardan e-posta adresleri topluyor ve aşağıdaki dosyaya kaydediyor
%System%MacromedHelpMediadll
W32/MimailC

Virüs Tanımı :

Toplu e-posta atan bir virustür

Aşağıdaki özelliklerde geliyor:

Kimden:
James@bulundugunuz alan adı
Konu:
our private photos (Bir miktar boşlıktan sonra bir kaç karakter daha)
Eklenti:
PHOTOSZIP (12,958 bytes) (PHOTOSJPGEXE (12,832 bytes) dosyasını içeriyor)
Metin:
Hello Dear!, Finally, i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're withou ur bh) photos are great! This evening i'll come and we'll make the best SEX Right now enjoy the photos Kiss, James
Belirtiler:
vEXETMP ve ZIPTMP dosyalarını varlığı
Güvenllik duvarının NETWATCHEXE Internet bağlantı kurmaya çalışıyor alarmı vermesi
Yüksek ölçekte uzaktaki sunucunun 80portuna doğru veri akışı
Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması
Teknik özellikler:

Virüs çalıştırıldığında:
Kendisini %Windir%Netwatchexe olarak kopyalıyor
Windows açıldığında kod çalışması için aşağıdaki değeri; "NetWatch32" = "%Windir%netwatchexe" kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersion
Run
Aşağıdaki dosyalardan e-posta adresleri topluyor
"bmp"
"jpg"
"gif"
"exe"
"dll"
"avi"
"mpg"
"mp3"
"vxd"
"ocx"
"psd"
"tif"
"zip"
"rar"
"pdf"
"cab"
"wav"
"com"
Topladığı e-posta adreslerini %Windir%emltmp dosyasına yazıyor
Internet bağlantısı olup olmadığını kontrol etmek için wwwgooglecom adresine bağlantı kurmayı deniyor
Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor
Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor
wwwdarkprofitsnet
wwwdarkprofitscom
%Windir% dizinine iki dosya daha yaratıyor
ziptmp
Exetmp
W32/Holar

Virüs Tanımı :

Toplu e-posta gönderen Internet solucanı, P2P dosya paylaşımları yoluyla da yayılmaktadır

E-posta Aşağıdaki özelliklerde geliyor:

Kimden:
Dispatch@McAfeecom
Konu:
Bir çok değişik konu ve içerik oluşturabilmekte, bir örnek vermek gerekirse
Virus Alert ! Dear User, McAfeecom Has recieved an infected message from you
We believe that you are infected with Win32/HaWawi@MM Virus
Please download the attached tool (ToolAv01w32) which will help you to clean your PC
For more information : *Create an email addressed to virus_research@naicom
Your name, phone number, address, and email address
Operating system: Antivirus program: Anti virus engine version (eg 4120) DAT file version (eg 404140) Browser version Nature of problem [/size]

Virüs Nedir Nasıl BulasırVirüs Tanımı