ßyşк ® Hacking
Guncel virusler
Bilgisayara bir şifre çalıcı program da yüklüyor. Aynı zamanda güvenlik programlarının çalışmasını da durduruyor.
Aşağıdaki özelliklerde geliyor:
Konu(Subject):
Aşağıdaki başlılardan birini tercih ediyor.
Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Metin (Body):
Aşağıdaki metinkerden birini yazıyor.
Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
Eklenti (Attachment):
Resume.exe
Download.exe
_AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE ANTI-TROJAN.EXE APVXDWIN.EXE AUTODOWN.EXE
AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE
AVKSERV.EXE AVP.EXE AVP32.EXE AVPCC.EXE
AVPDOS32.EXE AVPM.EXE AVPMON.EXE AVPNT.EXE
AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE
BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE
CFIND.EXE CLAW95.EXE CLAW95CT.EXE
CLEANER.EXE CLEANER3.EXE DV95.EXE DV95_O.EXE
DVP95.EXE ECENGINE.EXE EFINET32.EXE ESAFE.EXE
ESPWATCH.EXE F-AGNT95.EXE FINDVIRU.EXE FPROT.EXE F-PROT.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE F-STOPW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMOON.EXE ICSSUPPNT.EXE ICSUPP95.EXE IFACE.EXE IOMON98.EXE
JED.EXE KPF.EXE KPFW32.EXE LOCKDOWN2000.EXE
LOOKOUT.EXE LUALL.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCAN.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVSCHED.EXE NAVW.EXE
NAVW32.EXE NAVWNT.EXE NISUM.EXE NMAIN.EXE
NORMIST.EXE NUPGRADE.EXE NVC95.EXE OUTPOST.EXE
PADMIN.EXE PAVCL.EXE PCCWIN98.EXE
PCFWALLICON.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE
RESCUE.EXE SAFEWEB.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE
SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE
TDS2-98.EXE TDS2-NT.EXE VET95.EXE VETTRAY.EXE
VSECOMR.EXE VSHWIN32.EXE VSSCAN40.EXE VSSTAT.EXE WEBSCAN.EXE WEBSCANX.EXE WFINDV32.EXE ZONEALARM.EXE
Internet solucanı başlıklarında aşağıdaki isimler yazan tüm pencereleri kapatıyor:
anti Anti AVP McAfee Norton virus Virus
Sistemde değişiklikler yapıyor:
Internet solucanı kendisini değişken isimlerle %WINDIR%SYSTEM32 dizini altına kopyalıyor.
Sistem her yeniden başladığında çalışması için kayıt dosyasına yeni bir anahtar yazıyor:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Avril Lavigne - Muse" = C:WINDOWSSYSTEMA33AAAAgbab.EXE
Başka bir anahtar da sistemin virüs tarafıdan etkilendiğini belirtmek için yartılıyor:
HKEY_LOCAL_MACHINESoftwareHKLMSoftwareOvGAvril Lavigne
Yukarda e-posta eklentileri kısmında belirtilen isimlerinden birisi olarak aşağıdaki dizinlere kopyalıyor.
C:
%WINDIR%TEMP
Kendisini aşağıdaki dizinlere kopyalıyor.
%Temporary%
%Temporary%.tft
%System%.exe
%All Drives%Recycled.exe
%Kazaa Downloads%.exe
avril-ii.inf adlı virüs yazarından bir notu da %WINDIR%TEMP dizinine kopyalıyor.
Internet bağlantısın kontrol ediyor ve bağlantı yoksa varsayılan çevirmeli ağ bağlantısını kurmayı deniyor.
Wİndows Address Book ve uzantıları .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch ve .idx olan dosyalardaki e-posta adreslerine e-posta göndermeyi deniyor.
Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı WindowsSystem dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.
mIRC program dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.
Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini RECYcLED dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.
@win .exe
Kendisini RECYcLED dizini altına değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için belirtilen şekilde değiştiriyor.
Kendisini KaZaa dizinine değisken isimlerle kopyalıyor.
Eğer ayın 7si,11i ya da 24 ise, www.arvil-lavigne.com adresine bağlanıp grafik animasyonlar gösteriyor.
Belirtiler:
Yukarıda belirtilen Kayıt anahtarlarının varlığı
Yukarıda belirtilen dosyaların varlığı
E-posta trafiği
IRC trafiği
ICQ trafiği
SMTP sunucusuna ağ trafiği (62.118.249.10 Port 25 TCP).
Etkileme Yöntemi:
Yaması yapılmamış Outlook Expressler gelen e-postanın eklentisini otomatik çalıştırıyor. Gerekli yama ve hakkındaki bilgi http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
ICQ programını durudurak, Icqmapi.dll dosyasını arıyor. Bulduğunda, bu dosyayı WindowsSystem dizinine kopyalıyor ve kendisini tüm ICQ bağlantılarına gönderiyor.
mIRC prgram dizinine Script.ini dosyası yaratıyor. Bu dosya #avrillavigne kanalına bağlantıyı sağlıyor ve kullanıcın üye olduğu tüm kanallardaki kullanıcılara kendisini gönderiyor.
Tüm ağ kaynaklarını kullanarak C paylaşımı arıyor. Bulduğunda kendisini RECYcLED dizini altıen değişken isimle kaydediyor ve Autoexe.bat dosyasını sistem her açıldığında virüs aktif hale gelebilmesi için aşağıdaki gibi değiştiriyor.
@win .exe
bulmaya çalışıyor. Son çıkan Perrun virüsü de bulaşmak için JPG uzantılı resim dosyalarını kullanıyor. Bu tekniği sayesinde de türünün ilk örneği sayılıyor. Verdiği hasar fazla olmasa bile, yöntemine bakıldığında hemen hemen her dosya tipinin virüs barındırabileceğinin ispatı olmuş durumda. Perrun, resim dosyalarına bulaşıyor ve bulaştığı resim açıldığı anda bilgisayardaki diğer resimlere bulaşıyor ve böylece sürüp gidiyor. Dosyalara herhangi bir zarar vermiyor ancak güvenlik uzmanları Perrun'un başarısının, zarar verici bir benzerinin yapılması için yeterli olacağı endişesini taşıyor. Antivirüs yazılımınızı güncellemeyi unutmayın.
GeçersAntivirus sistemi olan Norton ve McAfee Virusu bulamıyor.
Virus 14 gün aktif bir halde bilgisayarlarda kalıyor ve tüm sistemi yok
ediyor. Bilgisayarınza zarar vermeden aşağıdaki yazılanları yapın lütfen.
Start tuşuna basın Ara veya bul seçeneğine JDBGMGR.EXE arayın
C: arandığından emin olun
Ara veya bul tuşuna basın
Şayet ekranınızda Virus bulunmuş ve ufak bir ayı sembolu görünüyorsa
SAKIN AÇMAYIN.
Mousunuzun sol tuşuna basıp ayının üzerine tıklayın (bold-koyu oluyor)
Ondan sonra da delete - Çöp kutusuna atın.
Ayıcık Virüsü ekranınıza göründüyse şimdiye kadar kime mesaj çektiyseniz
(kayıtlı olan isimler-email'leri) haberdar edin lütfen.iz mailin içerigi:
ÖNEMLI Bilgisayarlarımızda jdbgmgr.exe isimli Virus bulunmuştur. Virusun kendisi e-mail adres listesinde bulunan tüm (isimleri) kayıtları otomatik olarak gönderiyor.
i worm W32 Klez
Mail attachment'larla yayilip (Kimden geldiği konusunda sizi yanıltabilir) exe'lere (programlara) bulaşan yeni bir virüs. W32.Klez.E@mm, W32.Klez.H@mm gibi variant'ları bulunuyor. Çoğu zaman yanında W32.ElKern adında bir virüs daha getirip bulaştığı sisteme bunu da bulaştırıyor. Girdiği bilgisayardaki antivirus programlarını etkisiz hale getirip, yeni antivirüs kurulmasını da engelliyor.
Klez ve ElKern virüsünden 4 adımda kurtulabilirsiniz. Bu işlemleri yaparken Outlook programını kesinlikle çalıştırmayınız.
1. Bu virüsten kurtulmak için öncelikle aktif haldeyken virüsü durdurmak gerekiyor, bunun için symantec'in bu virüs'e karşı çıkardığı temizleme programını (FixKlez.com) sisteminize indirip çalıştırınız. Bu program virüsü bulup temizler fakat ileriye dönük bir bağışıklık sağlamaz.
Not: Windows ME ve Windows XP kullanıcılarının FixKlez programını çalıştırmadan önce windows'un System Restore özelliğini iptal etmeleri gerekmektedir, aksi halde temizlenen sistem dosyaları tekrar eski (virüslü) hallerine döneceklerdir. Ayrıntılı bilgi için tıklayınız.
2. Virüsü temizledikten sonra bilgisayarınızı restart ediniz. windows ME ve XP kullanıcıları bu adımda System Restore özelliğini tekrar açabilirler.
3. Bu ve benzeri virüslerin bilgisayarınıza tekrar bulaşmaması için antivirüs programınızın güncellenmesi gerekir. (bilgisayarınızda antivirüs programı kurulu değilse mutlaka kurmalısınız, kibris.net olarak abonelerimize kullanımı kolay bir antivirüs programı Norton Antivirus 2002'i tavsiye ediyoruz). Norton antivirüs kullanıyorsanız, LiveUpdate'i çalıştırıp en son güncellemeleri yapınız. LiveUpdate yapamıyorsanız, en son norton update'ini norton update sayfamızdan indirip çalıştırabilirsiniz.
4. Antivirüs güncellemesini yaptıktan sonra sistem'e genel bir virüs taraması yaptırmanızı tavsiye ederiz.
Açıklamaya göre, konu kısmında ‘Happy New Year’ yazan bir e-posta’ya iliştirilmiş dosyanın adı ise ‘Christmast.exe’. Ancak kullanıcıların şüphelenmemesi için dosya Flash programı olarak değiştirilmiş.
SİSTEM DOSYALARINI SİLİYOR
Virüs aktif hale geldiğinde bilgisayarın klavyesinde bazı tuşları etkisiz hale getirirken, Windows Sistem dizinindeki tüm dosyaları silerek, bilgisayarı işlemez hale getiriyor. Her solucan da olduğu gibi Noel virüsü de kendini kopyalayarak, ‘kurbanın’ adres defterindekilere e-posta olarak yolluyor.
İlk olarak İngiltere’de ortaya çıkan virüs daha sonra ABD’de de yayılmaya başladı. Virüsün şu ana kadar binlerce kullanıcıyı etkilediği söyleniyor.
Computer Associates International Reeezak’ın risk derecesini ortadan yükseğe çevirdi.
Happy New Year başlığıyla gelen e-postanın mesaj kısmında ise şu ifadeler yer alıyor:
“Hii
I can’t describe my feelings
But all i can say is
Happy New Year
bye”
Virüs bulaştığı bilgisayarda hacker'ların......devamı İlk olarak 24 Kasım 2001 de ortaya çıktığı tahmin edilen yeni virüs "Badtrans.b internette yayılmaya başladı.
Biyolojik virüslerden esinlenerek ortaya çıkarılan bilgisayar virüslerinin önemli bir eksikliği olan (?!) Şarbon virüsü de geçtiğimiz günlerde yazıldı ve kullanıma (!?) sunuldu. Geleneksel e-mail virüslerine benzeyen bu virüsü (daha doğrusu solucan) taşıyan e-mail, Şarbon ile ilgili bilgiler vermek üzere gönderilmiş bir "post"a bürünüyor. Mail'in ekindeki dosya açıldığında ise virüs aktif hale gelip, kendisini adres listesindeki potansiyel yeni kurbanlara postalıyor.
Asıl adı VBS.VBSWG.AF olan bu virüs, konu kısmında "Antrax Info" yazan ve ekindeki Antraxinfo.vbs çalıştırıldığında aktif hale gelen bir solucan. Aktif hale geldiğinde bilgisayardaki dosyaları da silmek üzere programlanmış. Fakat virüs kodundaki hatalardan dolayı genellikle bu işlemi yerine getiremediği için henüz önemli bir zarar verebilmiş değil.
e-mailin içeriği:
Hi - This looks like a bad one that's coming.
Forward this to others.
Please read and forward to everyone you know......
Açtığınız taktirde bu virüs C sürücünüze yerleşecek, birisine gönderdiğiniz zaman ise adres defterinize yerleşecektir.
Geçtiğimiz hafta ortaya çıkan Sircam virüsü ülkemizde de hızla yayılmaya devam ediyor. E-mail yoluyla yayılan bu "solucan"a karşı çok dikkatli olmak gerekiyor. Virüsün geldiği mail'larin konu ve içeriği ile ekteki dosya adları devamlı değişiyor. Bu virus
size tanıdıgınız birisinden bildiginiz bir konuda e-mail göndermiş gibi davranmaktadır.
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
Birisinden İngilizce mesaj içeren ve ekinde bir dosya olan mail'lari açmadan önce içeriğine alttaki pencereden mutlaka bakın.
KAK Virüsünü nasıl temizleyebilirsiniz?
WIN95 CIH---Windows 9x üzerinde rahatlıkla çoğalabilen bu virüs EXE dosyalara bulaşarak yayılmakta. Özellikle Internet'ten imdirilen EXE dosyaları ile makinenize bulaşabilecek Win95 CIH, ülkemizde satılmakta olan Carmageddon II oyunu ile de özellikle oyun sevenleri tehdit ediyor. Her ayın 26'sında kullanılan bilgisayarın BIOS'undaki bilgilere zarar verme gibi bir kötü yanı olan virüsten kurtulmak için en performanslı olarak Antiviral Toolkit Pro başta olmak üzere F-Prot programı da kullanılabiliyor. Daha Geniş Biligi İçin
2) calcu18r.exe
3) deathpr.exe
4) einstein.exe
5) happ.exe
6) girls.exe
7) happy99.exe
8) japanese.exe
9) keypress.exe
10) kitty.exe
11) monday.exe
12) teletubb.exe
13) The Phantom Menace
14) prettypark.exe
15) UP-GRADE INTERNET2
16) perrin.exe
17) I love You
18) CELCOM Screen Saver or CELSAVER.EXE
19) Win a Holiday (e-mail)
20) JOIN THE CREW O PENPALS
21) Kak.htm veya kak.hta
UYARI 1
Eger size bir CELCOM Ekran Koruyucu Programi gonderilirse, sakin bilgisayariniza yuklemeyiniz.
Cok iyi gorunuslu (bir NOKIA cep telefonu resimli) bir ekran koruyucu
olmakla birlikte, aktif hale getirildikten sonra bilgisayariniz cok yavas
calismaya baslayacaktir ve virus bilgisayarinizin hard diskine zarar verecektir. Dosya adi:CELLSAVER.EXE
UYARI 2
Eger adi SandName olan biri size kendi sayfasina girmenizi isterse sakin girmeyin. Sayfanin adresi
www.geocities.com/vienna/6318
Bu sayfaya girmeniz durumunda bilgisayariniz zarar gorecektir.
UYARI 3
Eger 'Win A Holiday - Bir Tatil Kazanin' baslikli
bir e-posta mesaji alirsaniz, sakin acmayin ve hemen silin. Microsoft dun bu mesajin cok kotu bir virus tasididigini ve bilgisayarlarin hard disklerini sildigini acikladi.
''Çıplak eş'' adlı yeni virüsün ABD'de en az 30 büyük kuruluş ve devlet dairesinin bilgisayarlarını etkilediği bildiriliyor. Etkilenen kuruluşlar arasında 2 büyük telekomünikasyon firması ile uluslararası kuruluşlar da bulunuyor. Virüsün ayrıca, Kanada ve Avrupa ülkelerinde görüldüğü ''Norton'' şirketi yetkililerince açıklandı.
Norton anti-virüs araştırma bölümü müdürü Steve Trilling, ''yeni virüsün bilgisayarların tüm yaşamsal sistem dosyalarını sildiğini ve işletim programını yokederek bilgisayarı kullanılmaz hale getirdiğini'' ifade etti. Virüs ayrıca, kullanıcının adres defterindeki tüm kişilere e-mail şeklinde yayılıyor.
Trilling, ''virüsün Brezilya'dan geldiğinin sanıldığını'' da sözlerine ekledi.
Virüsün ''nakedwife.exe'' adlı bir dosya açıldığı zaman aktif hale geldiğini belirten uzmanlar, anti-virüs firmalarının bu virüse karşı hazırladıkları programı internette yayınladıklarını belirttiler