win32bridamm

independence
sayin kullanicilarimiz,

yeni bir virus hizla yayilmaktadir.

win32/brid.a@mm

bu virusle ilgili bilgileri asagida bulabilirsiniz:
virus adi: win32/brid.a@mm
virus tipi: i_worm
diger adlari: win32/braid@mm, i-worm.bradex, pe_brid.a

tanimi : win32/brid.a@mm hizla yayilan bir internet kurtcugudur. visual basic 6 ile yazilmis olup 114k uzunlugundadir.

kurtcuk bulastigi bilgisayara win32/funlove.4099’u da kopyalar, boylece bilgisayar hem win32/brid.a@mm hem de win32/funlove.4099 ile etkilenir. hatta kurtcugun kendisine bile funlove bulasabilir boylece dosyanin buyuklugu 118787 byte’a kadar cikabilir (funlove bulasan bir dosyanin buyuklugu 4099 byte artar).

win32/brid.a@mm kurtcugu tarafindan olusturulup gonderilen e-posta aslinda bilinen html/iframe exploit acigini kullanmaktadir. bu yuzden sadece bu exploit icin olan yamanin kurulu olmadigi sistemler bu kurtcuktan etkilenirler. zira yamanin uygulanmadigi sistemler, gelen e-posta acilmadan sadece onizleme penceresinde goruntulense bile kurtcugu aktif hale getirirler.

viruslu postanin icerigi asagidakilerden biridir:

"hello,
product name: microsoft windows 98
product id: [the product id]
product key: [the product key]
process list: [the list of running processes]
thank you."


postanin ekindeki readme.exe dosyasi 114687 byte uzunlugundadir.

kurtcuk calistirildiginda calistigi bilgisayarin windows surumu hakkinda bilgi almaya (product id, product key ve calisan prosesler) calisacaktir. bu bilgi kurtcuk tarafindan uretilen mesajlarda kullanilacaktir.

win32/brid@mm kurtcugu adinda "mst", "ms_", "-s", "_np", "view", "irmon", "smtpsvc", "moniker" ve "program" gecen butun windows servislerini durduracaktir. ayni zamanda kendisini windows system klasorune "regedit.exe" ismiyle kopyalayacaktir. windows her acildiginda aktif hale gecebilmek icin registry’e asagidaki satiri da ekleyecektir.

"hkey_local_machine\software\microsoft\windows\
currentversion\run\regedit=c:\windows\system\regedit.exe" win32/funlove ise kendisini "msconfig.exe" ismiyle kaydedecektir. kullanicinin bilgisayarindaki e-posta adreslerini alabilmek icin brid kurtcugu uzantisi ".dbx" ve ".htm" olan butun dosyalari tarayacaktir. kendisini posta ile gondermesi sirasinda kendi smtp servisini kullanip, ".htm" ve ".dbx" dosyalarinda bulunan tum adreslere e-posta gonderecektir. bununla beraber sonu "@microsoft.com" olarak biten e-posta adresleri bu kurtcuk tarafindan kullanilmamaktadir.

brid tarafindan bulastirilan win32/funlove.4099 kullanicinin bilgisayarindaki ".exe", ".scr" ve ".ocx" uzantili tum dosyalarin buyukluklerini 4099 byte arttirarak bulasir.

bu virusten etkilenmemek icin rav antivirus programinizin virus tanimlarini hemen guncellemenizi oneririz.

saygilarimizla,

hacettepe universitesi, bilgi islem dairesi http://www.bidb.hacettepe.edu.tr/duyurular/yenivirus.shtml

neden bekliyorsun?


bu sözlük, duygu ve düşüncelerini özgürce paylaştığın bir platform, hislerini tercüme eden özgür bilgi kaynağıdır.
katkıda bulunmak istemez misin?

üye ol