Yeni Kayıt
Konudaki Resimler
|
Hızlı 
Bildirim
lovgate mahvediyor
Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla 
Bu Konudaki Kullanıcılar:
Daha Az 
3 Misafir (1 Mobil) - 2 Masaüstü, 
1 Mobil
1 Mobil
Giriş
Mesaj
-
-
http://bilisim.istanbul.edu.tr/body1/virus/virus.html
adresinden temizleme aracını indirebilirsin
Aslında bir solucan (worm) olan W32/Lovgate.ad@MM e-mail yolu ile bilgisayarınıza bulaşıyor. Sonra, bir arka kapı açarak hacker'ın bilgisayarınıza ulaşıp istediğini yapmasını sağlıyor. Çalışan dosyalara (.EXE) bulaşıyor. Anti-virüs ve firewall'ı etkisiz hale getirmeye çalışıyor. Kendisini e-posta'nızdaki adreslere göndermeye çalışıyor. Böyle yayılıyor.
Konusu; "hi, hello, Hello, Mail transaction Failed, mail delivery system" gibi olan e-posta'lara dikkat!!!. Bunlarla bulaşıyor. Okumadan silin. Mesaj içeriğinde "Mail failed. For further assistance, please contact!" olması tehlikeli !!! Aslında bu yazıyı okuduğunuzda iş işten geçmiş olabilir. Mesaj ekinde unicode karakterlerle oluşturulmuş ikili (binary) ".bin" dosyalar (attachment) geliyor. Rastgele bir şekilde .EXE, .PIF, .SCR, .ZIP dosya tiplerinde mesaj ekleri (attachment) yeralıyor.
Aşağıdaki dosyalar solucanın ilk aşamada bulaştığı ve kullandığı dosyalardır;
%WinDir%\System32\IEXPLORE.EXE
%WinDir%\System32\KERNEL66.DLL
%WinDir%\System32\RAVMOND.exe
%WinDir%\System32\HXDEF.EXE
%WinDir%\System32\UPDATE_OB.EXE
%WinDir%\System32\TKBELLEXE.EXE
%WinDir%\SYSTRA.EXE
%WinDir%\SVCHOST.EXE.EXE
C:\COMMAND.EXE
%WinDir%\System32\MSJDBC11.DLL
%WinDir%\System32\MSSIGN30.DLL
%WinDir%\System32\ODBC16.DLL
%WinDir%\System32\LMMIB20.DLL
Solucan kendini arşivleyerek (ZIP'leyerek gibi) COM, EXE, PIF veya SCR gibi dosya tiplerinde ve password, email, book, letter, bak, work, important gibi dosya adı ile saklıyor. örneğin; important.scr gibi...
Sistemin açılışında çalışması için;
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows "run" = RAVMOND.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "Hardware Profile" = %SysDir%\HXDEF.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "WinHelp" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
gibi registry'e ilaveler yapıyor.
Solucan ilave servisleri için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
runServices "SystemTra" = %WinDir%\SYSTRA.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
runServices "COMM++System" = %WinDir%\SVCHOST.EXE
gibi registry'e kayıtlar ilave ediyor.
Arka kapı açmak için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
gibi registry'e kayıtlar ilave ediyor.
Solucanın ilave ettiği iki servis;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)
başlıkları altında yeralıyor ve bu servisler ile ilgili detay bilgi;
Service 1
Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
Service 2
Display name: Windows Management Protocol v.0 (experimental)
Description: Windows Advanced Server. Performs scheduled scans for LANguard.
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
şeklinde oluyor.
Solucan kendini .EXE uzantılı dosyalara kopyalıyor ve asıl dosyanın ismini .ZMX olarak değiştiriyor.
Aşağıdaki kelimeleri içeren servisleri ya da bellekte çalışan programları durduruyor;
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
Duba
Şimdilik manuel (elle) ve otomatik silme yöntemi bulunamadı, ancak bazı antivirüs firmaları kendi yazılımlarının bu solucanı durdurabildiğini söylüyor.
-
dostum teşşekkür ediyorum bilgilendirdiğin için bizi(ANGEL&SLAYER)..senden öğrenmek istediğim bişi war.bu worm temizleme araçlarının hepsini indirdim ben şimdi.Peki bunların çalışması nasıl olacak.Yani worm bulaştıktan sonramı çalıştırıcaz.Hangi wormun bulaştığını, hangi worm temizleme aracını kullanacağımızı nasıl anlayacaz.Bunların hepsi XP uyumlumu yoksa hem XP hem 98 de çalışırmı.Yada hepsini indirdikten sonra, hepsini çalıştırıcazmı sırayla.Mantık nasıl yani.Yardımcı olursan sevinirim. 
-
eğer bilgisayarına hangi virüsün bulaştığını biliyorsan onu çalıştır... çalıştırdığın anda o kendisi taramaya başlar zaten ve temizler..... hepsini kullanmana gerek yok kısacası.... ama taratmanın bir sakıncasıda olmaz..... eğer worm temizlemek istiyorsan adaware ve spy sweeper programlarını kullanabilirsin... güzel programlardır..... sistemini temizler...
virüs ve worm lar birbirinden farklı şeylerdir..... topicte geçen lovgate worm mantığıyla çalışıyor....
Dediğim gibi yukarda adını verdiğim programları bir kurup kullan... baya temizlik yaparsın
< Bu mesaj bu kişi tarafından değiştirildi angel&slayer -- 8 Ocak 2005, 9:00:00 > -
zaten hepsini indirdim verdiğin linkten.ama hiç birini başlatmadım daha.bi deneyeyim ozaman.Spy sweeper kullanıyorum.güzel.
-
dostum ben ben bu sorunu hastane labaratuvarındaki ağda yaşadım yaklasık 45 makinayı esir aldı ve tam 1 hafta uğraştım sonunda bana ilaç olan sey STİNGER.EXE programı oldu http://vil.nai.com/vil/stinger/ burdan download et ve sistemi tara xp sistemlerde ilk önce sistem izlemeyi kapatman lazım sonra gerisini stinger exe halleder ama kalıcı bi çözüm için
microsoft tan gerekli patch i bulup yükle yoksa 1 saate kalmaz tekrar tüm makinelere bulasır yaşadım ordan biliyorum :))
diğer antivirüs programlarını deneme bile norton panda hepsi sıctı deneme bile boşa zaman kaybı hadi sana kolay gelsin
bu arada bu stinger.exe 45 ayrı worm ve varyantına karsı etkili mcaffenin cıkardıgı küçük bi program yaklasık 958 kb kadar cok işini görür marifetlidir ..
< Bu mesaj bu kişi tarafından değiştirildi brute_force -- 5 Ocak 2005, 14:38:57 > -
arkadaşlar bilgileriniz için cok teşekür ederim.
birincisi stenger i kullandım hatta microsoftun altını üstüne getirdim yamalarıda indirdim. şimdi bana bulaşan lovgate.x ve formatda dahil aklınıza gelebilecek her şeyi denedim.
artık başka carem kalmadı hepsine birden formatı bascam ve tekrar updateleri denicem. ama hala içimde bir kuşku war. bu sistamatik in güncel olarak yayınladığı wormlara karşı fix programlarını bile denedim. hadi hayırlısı arkadaşlar haftaya kaldı artık şu an sadece 60 sn olayını durdurdum. ama worm sürekli kendni coğaltıyor ve bu beni deli ediyor.
dediğim gibi kan davası haline geldi artık.
reg kayıtları ile ilgli meseleye gelince sistamatik in fix programları reg kayıtlarını da temizliyor. ama malum bir şekilde tekrrar merhaba diyip karşıma geliyor.
ben sadece format atmadan bu olaydan nasıl kurtulurum onun için uğraşıyorum.
ve çözümünü bulmak için elimden gelen herşeyi yapacağım.
bunca senedir bilgisayarla uğraşıyorum ama bu kadar pislik bir wormla daha önce hiç karşılaşmadım
fikirlerinize hala acığım arkadaşlar.
gelin el ele verip sunu bir şekilde çözüm yolunu bulalım....
(formatsız şeklini)
-
format attın yine bulaşıyosa ağ baglantı kablosunu çıkar ve tekrar format at. veya yuklediğin programların içinde de olabilir
Sayfa:
1
Benzer içerikler
- et işareti yapamıyorum
- video sinyali yok uyku moduna geçiyor çözümü
- akıllı tahta açılmıyor ışık yanıp sönüyor
- disk hataları onarılıyor tamamlanması bir saatten fazla sürebilir çözüm
- wmı provider host nedir
- root kaldırma
- komut istemi
- video boyutu küçültme
- suya düşen telefon
- windows ekran görüntüsü alma
Ip işlemleri
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
