 |
| Kayıt ol | Yardım | Üye Listesi | Oyun | Ajanda | Forumları Okundu Kabul Et |
|
Binlerce video onbinlerce resim. Aradığın herşeyi bulabileceğin dünyaya girmek için
üye olmalısın Sen de bugün aramıza katıl, şanslı kişiler arasında yerini al ;) Eğer üye iseniz aşağıdan giriş yapabilirsiniz. |
PayLaşmaK GüZeLDiR!!!!
18-01-2007, 04:01 PM
|
#12 (permalink) |
 |
W32/Sasser.worm (Yüksek Risk) Bu kendini yayan virüs Microsoft’un LSASS güvenlik açığını ([Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...]) kullanıyor. Solucan avserve.exe dosyası ile yayılıyor. Diğer worm’ların (solucan) aksine eposta ile yayılmıyor. Makineye bulaşması için kullanıcı müdahelesi gerektirmiyor. Solucan etkilenen sistemlerin virüslü kodu indirerek çalıştırmasını sağlıyor. Semptomları: Virüs kendisini Windows klasörüne avserve.exe olarak kopyalıyor ve açılışta kendisinin otomatik olarak çalıştırılması için aşağıdaki registry anahtarını yaratıyor: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun "avserve.exe" = C:WINDOWSavserve.exe Solucan açık için rastgele IP adreslerini tarıyor. TCP port 5554’de FTP sunucusu olarak çalışıyor ve TCP port 9996’da remote shell açıyor. C sürücüsünün kök dizininde win.log isminde bir dosya yaratıyor. Bu dosya yerel makinenin IP adreslerini içeriyor. Virüsün kopyaları Windows System klasöründe #_up.exe olarak yaratılıyorlar. örnek: c:WINDOWSsystem3211583_up.exe c:WINDOWSsystem3216913_up.exe c:WINDOWSsystem3229739_up.exe Solucanın yan etkilerinden biri LSASS.EXE’nin çökmesi ve sonucunda makinenin reboot etmesi. Diğer İsimleri: W32.Sasser.Worm (Symantec) W32/Sasser.A (F-Secure) Çözüm: Microsoft Güvenlik Bülteni MS04-011’de belirtilen yamalar geçilmeli: [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] Antivirüs yazılımları güncellenmeli. Antivirüs yazılımına sahip olmayanlar NAI firmasının [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] aracını indirerek sistemlerini tarayabilirler ya da Trend Micro’nun ücretsiz [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] sistemlerini tarayabilirler. Manuel korunma için ağ sınırlarında TCP portları 139, 445, 5554 ve 9996 bloklanmalı. Kaynakça: [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] Lider : Doğru İşleri Yapar Yönetici : İşleri Doğru Yapar мєνzυ-υ вαнιѕ ναтαηѕα gєяιѕι тєƒєяяυαттıя PayLaşmaK GüZeLDiR!!!![Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] |
|
|
|
|
18-01-2007, 04:01 PM
|
#13 (permalink) |
|
|
Sasser’ın izinden Dabber İnternetten yayılan Sasser virüsündeki bir açıktan istifade eden yeni bir internet virüsü ortaya çıktı. Dabber adı verilen virüs, Sasser’daki FTP sunucusundaki bir açığı kullanarak Sasser’dan sonra binlerce bilgisayara bulaştı. Uzmanlar, Dabber’ın bir başka virüsün açığını kullanarak yayılan ilk virüs olduğunu belirtiyorlar. Chicago merkezli güvenlik şirketi LURHQ, Dabber’ın Sasser ile beraber yayıldığını bildirdi. Dabber bilgisayara bulaştığında, önce Sasser’i devre dışı bırakıyor, Windows’a kendini yüklüyor ve ‘arkakapı’ açıyor. kaynakça : [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] Lider : Doğru İşleri Yapar Yönetici : İşleri Doğru Yapar мєνzυ-υ вαнιѕ ναтαηѕα gєяιѕι тєƒєяяυαттıя PayLaşmaK GüZeLDiR!!!![Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] |
|
|
|
|
18-01-2007, 04:01 PM
|
#14 (permalink) |
|
|
TrojanProxy.Win32.Bobax.a + bu trojen bulastıgı bilgisayarları bir proxy server gibi kullanıyor ++ Microsoft LSASS acıgını kullanarak yayılıyor. ++ bu torjen Microsoft Visula C++ da yazılmıs olup, bOdy kısmı şifrelenmiştir. + Windows altında calısmakta olup, 20480 byte buyukluğundedir. acıldıgı zaman şifreli bOdy kısmını acar ve kendini gecici klasore (temp) ~xxxx.tmp olarak kopyalar burdaki xxxx rastgele uretilmiş hexadecimal sayılardan olusur. bu dll torjenin asıl bolumu olup bu dll paketi UPX kullanır ve boyutu 17920 byte kadardır. acıldıktan sonra bu dll kendini windows dizinine kopyalar ve rastgele uretilmiş isimler kullanır. bilgisayar hafızasında 00:24:03:54A9D mutex i yaratır, ve sistemde hazır durumda bekler. ve registry e otomatik calısan soyle bir anahtar koyar [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServices] "[Rastgele anahtar adı]" = "[dosyayı calıstırmak için gerekli yol]" anahtar adı rastgele olup, hexadecimaldir. Trojen netten ; kendini guncelliyecek bilgileri, kurban bilgisayara netten her hangi bir program indirim, acmayı, net yardımı ile Microsoft LSASS acıgı olan diğer bilgisayarlara yayılmayı, kurban bilgisayardan gereksiz emaillar gondermeyi, ve son olarak kurban bilgisayar hakkında bilgi edinmeyi sağlar. kaynakca : [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] Lider : Doğru İşleri Yapar Yönetici : İşleri Doğru Yapar мєνzυ-υ вαнιѕ ναтαηѕα gєяιѕι тєƒєяяυαттıя PayLaşmaK GüZeLDiR!!!![Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] |
|
|
|
|
18-01-2007, 04:03 PM
|
#16 (permalink) |
|
|
Plexus.a Worm u hakkında MS Visual C++ da Mydoom un yeniden geliştirilmiş hali olan bu worm (FSG ile sıkıstırılmıs hali 16208 byte yada 57856) 3 farklı yol ile yayılıyor, birincisi emailların yanında ataclanmıs olarak, diğeri dosya paylaşımı bulunan ağlarda sonuncu olarakta LSASS ve RPC DCOM acıgını kullarak (aynı Sasser ve Lovesan da oldugu gibi) ve ana kodları encrypted edilmiştir. Plexus bir kez acıldıktan sonra kendini Windows/System32 e upu.exe, ve regadit e de [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun] "NvClipRsv"=[acılacak dosya yolu] olarak kopyalar ve yazar.Ve kendini sisteme tanıtmak için ’expletus’ adında bir tanıtıcı kullanır. Örnekler ++ Yerel ağ ve dosya paylaşımı bulunan ağlarda AVP5.xcrack.exe hx00def.exe ICQBomber.exe InternetOptimizer1.05b.exe Shrek_2.exe UnNukeit9xNTICQ04noimageCrk.exe YahooDBMails.exe Kendini bu isimlerle ağ uzerinde ulasım izni olan yerlere kopyalar ++ MS Windows ve LSASS acıklarında Bunu anlatmaya gerek yok cunku MS Windows bunun patch ini çıkarttı. Bu worm Mydoom un geliştirilmişi oldugu için burdan yayılması soz konusu değil ++ Email eklentileri halinde Bu uzantılı lokal disk içinde arar htm, html, php, tbb, txt Ve bu dosyalarda bulunan tum email adreslerine kendi kopyasını gonderir. Worm un bulastıgı mail su sablonları içerebilir; *** Olasılık 1 Mesaj baslıgı RE: order Mesaj icerigi Hi. Here is the archive with those information, you asked me. And don’t forget, it is strongly confidencial!!! Seya, man. P.S. Don’t forget my fee ;) Eklenmiş dosya SecUNCE.exe *** Olasılık 2 Mesaj baslıgı For you Mesaj icerigi Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza Eklenmiş dosya AtlantI.exe *** Olasılık 3 Mesaj baslıgı Hi, Mike Mesaj icerigi My friend gave me this account generator for [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] I wanna share it with you :) And please do not distribute it. It’s private. Eklenmiş dosya Agen1.03.exe *** Olasılık 4 Mesaj baslıgı Good offer Mesaj icerigi Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me... Eklenmiş dosya demo.exe *** Olasılık 5 Mesaj baslıgı RE: Mesaj icerigi Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve Eklenmiş dosya release.exe ++ Trojan olarak özelliği 1250 nollu portu virus yazarına acarak, sahibine dosya yukleme yada acma hakkı saglar. kaynakca : [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] ceviri : MMx Lider : Doğru İşleri Yapar Yönetici : İşleri Doğru Yapar мєνzυ-υ вαнιѕ ναтαηѕα gєяιѕι тєƒєяяυαттıя PayLaşmaK GüZeLDiR!!!![Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] |
|
|
|
