MYDoom Virüsünün Getirdikleri

W32/Mydoom Virüs Tanımı : Toplu e-posta atan bir virustür. Aşağıdaki özelliklerde geliyor:
Kimden (From): Konu(Subject): test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Metin (Body):

W32/Mydoom
Virüs Tanımı :

Toplu e-posta atan bir virüstür.

Aşağıdaki özelliklerde geliyor:
Kimden (From):
Konu(Subject):

* test
* hi
* hello
* Mail Delivery System
* Mail Transaction Failed
* Server Report
* Status
* Error

Metin (Body):
Eklenti (Attachment):

* doc.bat
* document.zip
* message.zip
* readme.zip
* text.pif
* hello.cmd
* body.scr
* test.htm.pif
* data.txt.exe
* file.scr

Belirtiler:

* Aşağıdaki kayıt(registry) dosyalarının varlığı
* Anlamsız eklentinin içeriği

Etkileme Yöntemi:
E-posta eklentisinin çalıştırılıması sonucu kendi SMPT motoru yardımı ve P2P paylaşımları yoluyla yayılıyor.
Teknik özellikler:

Virüs çalıştırıldığında:

* aşağıdaki dosyaları yaratıyor.
o "shimgapi.dll" %System% dizininde.
o "Message" %temp% dizinde. Notepad tarafından açılan tamamen tesadüfi karakterlerden oluşmuş bir metindir.
o "taskmon.exe" %System% dizinde. Başka bir taskmon.exe varsa üzerine yazıyor.
* shimgapi.dll arka kapı olarak çalışan proxy programıdır.
* Shimgapi.dll EXPLORER.EXE tarafından çalıştırılması için aşağıdaki kayıt (registry key) anahtarları girilir:
o HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 "(Default)" = %SysDir%shimgapi.dll
* Windows açıldığında kod çalışması için aşağıdaki değeri;
TaskMon = %System%taskmon.exe
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
* Aşağıdaki kayıt dosyalarının yaratır:
o HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
o HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
* Aşağıdaki dosyalardan e-posta adresleri topluyor.
o ".htm"
o ".sht"
o ".php"
o ".asp"
o ".dbx"
o ".tbb"
o ".adb"
o ".pl"
o ".wap"
o ".txt"
* Yukarda belirtilen yapıda e-postalar hazırlıyor ve topladığı e-posta adreslerine gönderiyor.
* Aşağıdaki sitelerden rastgele seçtiği birisine DoS (Denial of Service) saldırısı yapıyor.
o www.sco.com
* %KaZaA dizinine iki dosya daha yaratıyor.
o winamp5
o icq2004-final
o activation_crack

o strip-girl-2.0bdcom_patches
o rootkitXP
o office_crack
o nuke2004
* aşağıdaki uzantlarla
o pif
o scr
o bat
o exe

Kaynak: http://www.alperbalci.com/

İlgili Yazılar

CIA'den Open Source Center

sundance
5 Aralık 2005, 1 dakika okuma süresi

Geçen hafta yayınlanan bir habere göre CIA, topluma açık bilgilerden istihbarat amacıyla yararlanmak için bir organizasyon kurmuş.

Open Source Center ismiyle anılacak olan bu merkez, Internet, ticari veritabanları, periyodik yayınlar, radyo, video, haritalar ve diğer basılı kaynaklar üzerinden bilgi edinip bunları ülke çıkarları doğrultusunda kullanacak.

Klasik kaynakları daha önce kullanmakta olan, dünya çapında dinleme operasyonlarına sahip organizasyonun, sokaktaki insanın erişebileceği bilgilerden ne gibi sonuçlar çıkartabileceği merakla bekleniyor.

Internet`i dinleyenlere bombardıman girişimi

conan
18 Mayıs 2001, 1 dakika okuma süresi

LoveBug virusunun bir degişkeni olan ve Sophos tarafından VBS/LoveLet-CL olarak adlandırılan yeni virus NSA'in dünya iletişimini dinleme projesini aşırı yüklemek amacıyla yazılmışa benziyor! Email yoluyla kendini kopyalayan virüs kendini kopyalarken icinde "NSA national security agency code PGP GPG satellite cia yemen toxin botulinum mi5 mi6 mit kgb .mil mil base64 us defence intelligence agency admiral diplomat alert! BATF" gibi anahtar kelimeler taşıyor. Amaç iletişimi dinleyen Echelon'u aşırı yüklemek. Gerçi projenin asıl çalisma prensibi anahtar kelime yakalamak degil. Pattern yakalamak uzerine kurulu bir sistemi bu sekilde flood etmek bana yararsızmış gibi gözüküyor.

SHA-1 kırıldı!

abakana
17 Şubat 2005, 1 dakika okuma süresi

Bruce Schneier blogunda Şandung Üniversitesinden bir grup aratırmacının SHA- 1 algoritmasını kırdığını belirtti.

SHA-0 ve SHA-1'e yönelik daha önceki kırma girişimlerinden üretilen yeni metod büyük bir kripto-analitik sonuç olarak belirtilmiş.

Internet Tarayıcınız Ne Kadar Güvenli?

FZ
8 Mart 2003, 1 dakika okuma süresi

Sizi bilmem ama scanit firmasının Browser Security Test sistemi ile Windows 2000 Pro Service Pack 2 ve IE 5.0 yüklü sistemimi kontrol (Start The Test linkine tıklayarak) ettiğimde (yaklaşık 3-4 dakika süren ve bir sürü popup pencere açan bir test, panik yapmayın :) aşağıdaki sonuçları elde ettim:

Güvenlikte En Zayıf Halka: İnsan

ts
12 Ekim 2005, 4 dakika okuma süresi

İnsanlar konuşur. Konuşmalarımız, davranışlarımız sonuçlar doğurur ve bu sonuçlar yaşamımızı yönlendirir, gelişmelere zemin hazırlar.

Bilgi güvenliği gibi bir konu her ne kadar teknik gibi gözükse de içerisinde insan ögesi bulunan sosyal yansımaları içeren bir konu. Bilgi güvenliği insanlardan ve onların ürünü olan zararlı kodlardan korunmayı içerdiği bir gerçek. Konu böyle olunca sistemlerini korumak için uğraşan sistem yöneticileri ve diğer yanda yeni zayıflıklar keşfedip yöntemler bulan hackerlar, bir çarkın dişlileri gibi bu endüstrinin gelişimine on ayak oluyorlar. Fakat bazen insanlardan birşeyler öğrenmenin en iyi yolu sistemlerine sizip kritik bilgilerine ulaşmaktan öte bir hal alabiliyor. Onlarla birebir iletişime geçmek ya da zaten göz önünde olan şeyleri incelemek risksiz, saf bilgi akışını kolaylaştiriyor. Bu yönteme ise kısaca Sosyal Mühendislik adı veriliyor.