|
Solucan, bilgisayar açıldığında otomatik çalışması için registry anahtarı yaratıyor:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "NetMon" = %WinDir%\netmon.exe
W32/Swen@MM
Antivirüs uygulamalarını Regedit uygulamasını kapatır. Kendisini e-posta yolu ile, Dosya paylaşım aracı olan Kazaa aracı ile kendisini paylaştırmaya ekleme ile, Ağ paylaşımı ile, IRC'den kendisini göndererek yayılır.
E-posta ile yayılmak için sistemdeki .html, .asp, .eml, .dbx, .wab, ve .mbx uzantılı dosyalardan e-posta adreslerini araklayarak kendisini bünyesinde barındırdığı mail motoru aracılığıyla gönderir. Solucan analiz edildiğinde sistemden hangi dosyalarda e-posta adreslerini araklamaya çalışıldığı anlaşılmaktadır.
004079B6 . 68 D41A4100 PUSH SHOWLETT.00411AD4 ; ASCII "ht"
....
004079CD . 68 D01A4100 PUSH SHOWLETT.00411AD0 ; ASCII "asp"
....
00407A0F > 68 C81A4100 PUSH SHOWLETT.00411AC8 ; ASCII ".mbx"
....
00407A20 . 68 C01A4100 PUSH SHOWLETT.00411AC0 ; ASCII ".dbx"
....
00407A31 . 68 B81A4100 PUSH SHOWLETT.00411AB8 ; ASCII ".wab"
....
00407A42 . 68 B01A4100 PUSH SHOWLETT.00411AB0 ; ASCII ".eml"
....
Solucan kendisini ağda bulduğu startup klasörlerine kopyalıyor. Dosya ismini rastgele yaratıyor.
Ağ paylaşımlarında hedefteki klasörlerinden bazıları:
windows\all users\start menu\programs\startup
windows\start menu\programs\startup
...
winnt\profiles\default user\start menu\programs\startup
winnt\profiles\administrator\start menu\programs\startup
P2P üzerinden yayılmak için Solucan temp klasörü içinde rastgele isimde yaratılan bir klasöre kendi kopyalarını yerleştiriyor.
Örneklerden bazı isimleri:
XboX Emulator
Yahoo Hacker
Hallucinogenic Screensaver
Emulator PS2
XP update
AOL hacker
....
W32/Blaster[LovSan]
W32/Blaster solucanı Microsoft'un DCOM RPC arabirimindeki bir zaaflıktan yararlanarak yayılmıştır.
Lovsan olarak da adlandırılan solucan yamaları yüklenmemiş Microsoft Windows NT, Windows 2000, Windows XP ve Windows Server 2003 işletim sistemlerine tesir etmektedir.
Solucan, DCOM/RPC açığı için ağdaki diğer sistemleri tarıyor. Sistem tarihi 15 ağustos olduğunda windowsupdate.com sitesine bir DoS atak gerçekleştirmektedir.
Solucanın otomatik çalışması için registry anahtarına;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
"windows auto update"="msblast.exe" değerini ekliyor.
Ayrıca solucan içerisinde Solucan'ın içerisinde aşağıdaki yazı bulunuyor (hiç görüntülenmiyor):
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
W32.Wuno.Irc
Bu solucan mIRC kullanıcıları arasında yayılmıştır. Microsoft Visual Basic programlama dili ile yazılmıştır.
Kendisini sistemde Windows dizinine WinUninst32.exe ve <rastgele dosya isimleri>.exe olarak kopyalamaktadır.
Sistemde otomatik olarak çalışması için registry ayarlarında değişiklik yapar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
"WinUninst3" "C:\%Windir%\WinUninst32.exe"
Sistemde mIRC klasörlerini arayarak bulduğu mIRC klasörüne script.ini isimli dosya yaratarak bu dosyaya IRC üzerinden yayılmak için gerekli kodu ekler(mIRC.ini ile ayni yere dosyayı yaratır).
|