[CeSaRCripS]

Yeni bir Win32/Injector türevi olarak ilk defa 29.04.2012 tarihinde görülen bu solucan şu an itibari ile 644 kez görüldü. Bir gün içinde yükselen virüs tehlike saçmaya ve daha çok bilgisayara bulaşmaya devam etmekte. Windows işletim sistemleri için yazılmış olan solucan, işletim sistemi açıklarından faydalanmaktadır. Windows güncellemeri ve antivirüs programı güncellemelerini yapmanız önerilir. Tipik bir solucan örneği gösteren Win32/Injector.QTE sistem dosyalarına ulaşmakta, kayıt defterini değiştirmekte ve kendini yaymak için farklı yollar denemektedir. Virüs yeni olduğu için daha ayrıntılı bilgi daha sonra sizlerle paylaşılacaktır.

WİN32/İnjector

Son 24 Saatin En Yaygın Virüsü
Son 24 saatin en yaygın virüsü: 30.04.2012

Adı: Win32/Injector.QTE Solucanı (türevi)

Risk Derecesi: Orta

İlk Görülme Tarihi: 29.04.2012

Son Yakalanma Tarihi : 30.04.2012

An İtibariyle Yakalanma Sayısı: 644

En Aktif Ayı: 04.2012

En Aktif Günü: 30.04.2012

Etkileme Yüzdesi (30.04.2012): %0.011 Her 100000(yüzbin) bilgisayarın 11’inde görüldü.



WİN32/BALGE.HE

Son 24 saatin en yaygın virüsü: 28.04.2012

Adı: Win32/Bagle.HE Solucanı

Risk Derecesi: Orta

İlk Görülme Tarihi: 06.30.2009

Son Yakalanma Tarihi : 28.04.2012

An İtibariyle Yakalanma Sayısı: 26 199

En Aktif Ayı: 07.2009

En Aktif Günü: 06.07.2009

Etkileme Yüzdesi (21.09.2010): %0.003 Her 100000(yüzbin) bilgisayarın 3’ünde görüldü.


Son 24 saatin en tehlikeli tehditi olan Win32/Bagle.HE solucanı şu ana kadar 107 kez tespit edildi. Virüs şu adlarla da bilinmektedir: Email-Worm.Win32.Bagle.gt – Kaspersky, W32/Bagle.gen – McAfee , Trojan.Tooso!gen – Symantec

E-posta yoluyla yayılan solucan 40565 B büyüklüğündedir. Solucan çalıştırıldığında kendini şu dizinlere kopyalamaktadır:

Documents and Settings\All Users\Application Data\hidn\hldrrr.exe

Documents and Settings\All Users\Application Data\hidn\hidn2.exe

Bilgisayarın her açılışında kendini çalıştırabilmek için kayıt defterine şu kaydı girmektedir:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\drv_st_key

Kayıt defterinden şu kaydı silmektedir:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot

Windows uygulaması olan Notepad’te “Text decoding error” hatası gözükmektedir.

Solucan şu uzantıları aramaktadır: “adb - asp – cfg – cgi – dbx – dht – eml – htm – jsp – mbx – mdx – mht – msg – nch – nmf – ods – oft – php – pl – sht – shtm – stm – tbb – txt – uin – wab – wsh – xls – xml”

Solucan yukarda incelediği ve içlerinde bulduğu tüm e-posta adreslerine kendini ek olarak göndermektedir, sadece şu kelimelerden kaçınarak: “.. – .@ – @. – @avp.- @foo – @[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]a – abuse – admin – anyone@ – bsd – bugs@ – cafee – certific – contract@ – f-secur – feste – free-av – gold-certs@ – google – help@ – icrosoft – info@ – kasp – linux – listserv – local – news – nobody@ – noone@ – noreply – ntivi – panda – pgp – postmaster@ – rating@ – root@ – samples – sopho – spam – support – unix – update – winrar – winzip.”

Solucanın gönderdiği e-postanın konusu şunlardan biridir: “pric – price – price_ – price-”

Solucan kendini “zip” dosyası şeklinde e-postaya eklemektedir. Ek dosyasının adı şunlardan biridir: “latest_price – new_price – price”. Zip dosyasının içinde bulunan exe dosyasının ismi tamamen rastgeledir.

Solucanın içerisinde 60 web sitesi adresi bulunmaktadır ve bu sitelerden dosya indirip çalıştırmaktadır.



WİN32/TrojanDownloader.Agent.RAG Solucanı

Son 24 saatin en yaygın virüsü: 22.04.2012

Adı: Win32/TrojanDownloader.Agent.RAG Solucanı

Risk Derecesi: Orta

İlk Görülme Tarihi: 01.03.2012

Son Yakalanma Tarihi : 22.04.2012

An İtibariyle Yakalanma Sayısı: 1919

En Aktif Ayı: 04.2012

En Aktif Günü: 22.04.2012

Etkileme Yüzdesi (21.09.2010): %0.069 Her 100000(yüzbin) bilgisayarın 69’unda görüldü.


İlk defa 1 Mart tarihinde görülen bu solucan bugün rekor bir sayıda 1919 kez görüldü. Virüs şu adlarla da bilinmektedir: TrojanDownloader.Agent.RAG – Kaspersky, TROJ_GEN.R06C1A7 – TrendMicro, Win32:Agent-ANRJ – Avast, Gen:Variant.Kazy.51928 – BitDefender, TR/Dldr.Deliver.sp




WİN32/Mydoom.Q Solucanı

Son 24 saatin en yaygın virüsü: 21.04.2012

Adı: Win32/Mydoom.Q Solucanı

Risk Derecesi: Orta

İlk Görülme Tarihi: 30.06.2009

Son Yakalanma Tarihi : 21.04.2012

An İtibariyle Yakalanma Sayısı: 23 684

En Aktif Ayı: 09.2009

En Aktif Günü: 21.09.2010

Etkileme Yüzdesi (21.09.2010): %0.005 Her 100000(yüzbin) bilgisayarın 5’inde görüldü.


Win32/Mydoom.Q karşılıklı indirme (peer to peer) programları, paylaşım klasörleri ve e-postayla bulaşmaktadır. C++ yazılım diliyle yazılmıştır ve boyutu 21008 bytes’dır. Solucan çalıştırıldığında kendini Windows klasörünün içine “Isaas.exe” adıyla kopyalar, ayrıca farklı isimlerle, uzantısı “.txt” olan dosyaları “temp” klasöründe oluşturur. “HKLMSoftwareMicrosoftWindowsCurrentVersionRun Traybar” = “%WINDOWS%lsass.exe” kaydını girer ve böylelikle Windows her açıldığında çalışır. “HKCUSoftwareMicrosoftWindowsCurrentVersionPOSIX” ve “HKLMSoftwareMicrosoftWindowsCurrentVersionPOSIX” adında iki kayıt değeri oluşturur.

Solucan sabit diskte “download, incoming, share, ftproot” kelimeleri içeren klasörleri arar; ve bu klasörlerin içine kendini “index, Kazaa Lite, Harry Potter, ICQ 4 Lite, WinRAR.v.3.2.and.key, Winamp 5.0 (en) Crack, Winamp 5.0 (en)” isimleriyle kendini kopyalar.

Solucan şu uzantıları aramaktadır: “.doc , .htm , .htm , .txt”

Solucan yukarda incelediği ve içlerinde bulduğu tüm e-posta adreslerine kendini ek olarak göndermektedir, sadece şu kelimelerden kaçınarak: “gov, .mil, abus, accoun, admi, anyone, arin., avp, bar., bug, contact, crosoft, domain, example, feste, foo. ,gmail, gnu., gold-certs, google, gov., help, hotmail, info, james, john, labs, listserv, master, math, Microsoft, msn., nobody, noone, not, nothing, ntivi, ophos, page, panda, privacycertific, rarsoft, rating, ripe., root, sales, sample, sarc., seclist, secur, service, sf.net, site, soft, someone, sourceforge, spam, spersk, submit, suppor, syma, the.bat, update, uslis, winzip, you, your”

Solucan çok çeşitli e-posta konusu ve mesajları kullanarak kendini e-posta eki olarak gönderir.

Solucanın içindeki arkadapı bileşeni ile 1042 numaralı portu dinlemektedir. Ayrıca solucan klavye kaydediciliği yapabilmektedir.



WİN32/Kryptik.AEIP Trojan

Tam adı “a variant of Win32/Kryptik.AEIP trojan” olan bu tehlike ilk defa dün (18.04.2012) tarihinde görüldü. Çok hızlı bir yükselişi olduğunu belirtmekte fayda var. İlk gün 29 olan görülme sayısı, bugün şu ana kadar 1607′ye kadar çıkmış durumda. Antivirüs programlarınızı acil olarak güncellemenizi öneririm.

Son 24 saatin en yaygın virüsü: 19.04.2012

Adı: Win32/Kryptik.AEIP

Risk Derecesi: Orta

İlk Görülme Tarihi: 18.04.2012

Son Yakalanma Tarihi : 19.04.2012

An İtibariyle Yakalanma Sayısı: 1607

En Aktif Ayı: 04.2012

En Aktif Günü: 19.04.2012

Etkileme Yüzdesi (19.04.2010): 0.057 % Her 100000(yüzbin) bilgisayarın 57’sinde görüldü.



WİN32.Zafi.B Solucanı

Win32.Zafi.B solucanı tekrar en yaygın virüsler listesinde ilk sırada yer buldu. An itibariyle son 24 saatteki görülme sayısı 210‘dur. Dikkat edilmesi gereken hususlar ve virüs hakkında teknik bilgi almak için yazının sonundaki bağlantıya tıklayabilirsiniz.

Son 24 saatin en yaygın virüsü: 15.04.2012

Adı: Win32/Zafi.B Solucanı

Risk Derecesi: Orta

İlk Görülme Tarihi: 30.06.2009

Son Yakalanma Tarihi : 31.03.2012

An İtibariyle Yakalanma Sayısı: 893 648

En Aktif Ayı: 04.2010

En Aktif Günü: 13.04.2010

Etkileme Yüzdesi (2010-04-13): 0.076 % Her 100000(yüzbin) bilgisayarın 76’sında görüldü.




WİN32/NetSky.Q Solucanı

Win32/NetSky.Q solucanı en yaygın virüsler listesinde NetSky.C’ye büyük bir fark atarak son 24 saatte ilk sırayı tekrar ele geçirdi. An itibariyle son 24 saatteki görülme sayısı 803‘dür. Dikkat edilmesi gereken hususlar ve virüs hakkında teknik bilgi almak için yazının sonundaki bağlantıya tıklayabilirsiniz.

Son 24 saatin en yaygın virüsü: 14.04.2012

Adı: Win32/NetSky.C Solucanı

Risk Derecesi: Orta

İlk Görülme Tarihi: 30.06.2009

Son Yakalanma Tarihi : 14.04.2009

An İtibariyle Yakalanma Sayısı: 741 907

En Aktif Ayı: 02.2011

En Aktif Günü: 11.05.2011

Etkileme Yüzdesi (28.02.2011): 0.063 % Her 100000(yüzbin) bilgisayarın 63’ünde görüldü.


NOT : Tarihler eski diye " ya bişey olmaz " demeyin bu virüsler en yaygın virüsler seçilmiştir uyarması benden .