MSSIGN30.DLL nedir?

kanarya233
12-06-2006, 10:13   |  #1  
OP Yeni Üye
Teşekkür Sayısı: 0
23 mesaj
Kayıt Tarihi:Kayıt: Kas 2005

merhaba arkadaşlar mssign30.dll nedir nasıl bulabilirim bunu yardımcı olursanız sevinirim simdiden herkese tesekkürler?

X-BuRNeR
12-06-2006, 13:48   |  #2  
Yeni Üye
Teşekkür Sayısı: 0
45 mesaj
Kayıt Tarihi:Kayıt: Haz 2006

Kendisi virüstür. W32/Lovgate adında.
Googleden taratsan ne olduğunu bulabilrden ama ben sana alıntı yaparak ordan gerekli açıklamayı vereyim...

Aslında bir solucan (worm) olan W32/Lovgate.ad@MM e-mail yolu ile bilgisayarınıza bulaşıyor. Sonra, bir arka kapı açarak hacker'ın bilgisayarınıza ulaşıp istediğini yapmasını sağlıyor. Çalışan dosyalara (.EXE) bulaşıyor. Anti-virüs ve firewall'ı etkisiz hale getirmeye çalışıyor. Kendisini e-posta'nızdaki adreslere göndermeye çalışıyor. Böyle yayılıyor.

Konusu; "hi, hello, Hello, Mail transaction Failed, mail delivery system" gibi olan e-posta'lara dikkat!!!. Bunlarla bulaşıyor. Okumadan silin. Mesaj içeriğinde "Mail failed. For further assistance, please contact!" olması tehlikeli !!! Aslında bu yazıyı okuduğunuzda iş işten geçmiş olabilir. Mesaj ekinde unicode karakterlerle oluşturulmuş ikili (binary) ".bin" dosyalar (attachment) geliyor. Rastgele bir şekilde .EXE, .PIF, .SCR, .ZIP dosya tiplerinde mesaj ekleri (attachment) yeralıyor.

Aşağıdaki dosyalar solucanın ilk aşamada bulaştığı ve kullandığı dosyalardır;
%WinDir%\System32\IEXPLORE.EXE
%WinDir%\System32\KERNEL66.DLL
%WinDir%\System32\RAVMOND.exe
%WinDir%\System32\HXDEF.EXE
%WinDir%\System32\UPDATE_OB.EXE
%WinDir%\System32\TKBELLEXE.EXE
%WinDir%\SYSTRA.EXE
%WinDir%\SVCHOST.EXE.EXE
C:\COMMAND.EXE
%WinDir%\System32\MSJDBC11.DLL
%WinDir%\System32\MSSIGN30.DLL
%WinDir%\System32\ODBC16.DLL
%WinDir%\System32\LMMIB20.DLL

Solucan kendini arşivleyerek (ZIP'leyerek gibi) COM, EXE, PIF veya SCR gibi dosya tiplerinde ve password, email, book, letter, bak, work, important gibi dosya adı ile saklıyor. örneğin; important.scr gibi...

Sistemin açılışında çalışması için;
HKEY_CURRENT_USER\Software\Microsoft\Windows NTCurrentVersion\Windows "run" = RAVMOND.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun "Hardware Profile" = %SysDir%\HXDEF.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun "WinHelp" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun "Program In Windows" = %SysDir%\IEXPLORE.EXE
gibi registry'e ilaveler yapıyor.

Solucan ilave servisleri için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionrunServices "SystemTra" = %WinDir%\SYSTRA.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionrunServices "COMM++System" = %WinDir%\SVCHOST.EXE
gibi registry'e kayıtlar ilave ediyor.

Arka kapı açmak için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
gibi registry'e kayıtlar ilave ediyor.

Solucanın ilave ettiği iki servis;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)
başlıkları altında yeralıyor ve bu servisler ile ilgili detay bilgi;

Service 1
Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic

Service 2
Display name: Windows Management Protocol v.0 (experimental)
Description: Windows Advanced Server. Performs scheduled scans for LANguard.
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic

şeklinde oluyor.

Solucan kendini .EXE uzantılı dosyalara kopyalıyor ve asıl dosyanın ismini .ZMX olarak değiştiriyor.

Aşağıdaki kelimeleri içeren servisleri ya da bellekte çalışan programları durduruyor;

rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
Duba

Şimdilik manuel (elle) ve otomatik silme yöntemi bulunamadı, ancak bazı antivirüs firmaları kendi yazılımlarının bu solucanı durdurabildiğini söylüyor.

Hızla yayılmaktadır, birkaç gün olmasına rağmen bu tip elektronik postaların sayısı artmıştır, Aldığınız elektronik postalara aman dikkat, şüphelendiklerinizi açmadan silin.

...::: Alıntı :::...

Uzantı olarakta *.pif *.scr *.bat ve tabi *.exe gelen dosyalara dikkat edeceksin.Sağlam bir Av kullanıosan sorun olacağını sanmıyorum.Herzaman güncellemeni tavsiye ederim Av ni...

Kolay Gelsin...

samedceran
25-07-2007, 16:55   |  #3  
Taze Üye
Teşekkür Sayısı: 0
10 mesaj
Kayıt Tarihi:Kayıt: Şub 2007
X-BuRNeR
Kendisi virüstür. W32/Lovgate adında.
Googleden taratsan ne olduğunu bulabilrden ama ben sana alıntı yaparak ordan gerekli açıklamayı vereyim...

Aslında bir solucan (worm) olan W32/Lovgate.ad@MM e-mail yolu ile bilgisayarınıza bulaşıyor. Sonra, bir arka kapı açarak hacker'ın bilgisayarınıza ulaşıp istediğini yapmasını sağlıyor. Çalışan dosyalara (.EXE) bulaşıyor. Anti-virüs ve firewall'ı etkisiz hale getirmeye çalışıyor. Kendisini e-posta'nızdaki adreslere göndermeye çalışıyor. Böyle yayılıyor.

Konusu; "hi, hello, Hello, Mail transaction Failed, mail delivery system" gibi olan e-posta'lara dikkat!!!. Bunlarla bulaşıyor. Okumadan silin. Mesaj içeriğinde "Mail failed. For further assistance, please contact!" olması tehlikeli !!! Aslında bu yazıyı okuduğunuzda iş işten geçmiş olabilir. Mesaj ekinde unicode karakterlerle oluşturulmuş ikili (binary) ".bin" dosyalar (attachment) geliyor. Rastgele bir şekilde .EXE, .PIF, .SCR, .ZIP dosya tiplerinde mesaj ekleri (attachment) yeralıyor.

Aşağıdaki dosyalar solucanın ilk aşamada bulaştığı ve kullandığı dosyalardır;
%WinDir%\System32\IEXPLORE.EXE
%WinDir%\System32\KERNEL66.DLL
%WinDir%\System32\RAVMOND.exe
%WinDir%\System32\HXDEF.EXE
%WinDir%\System32\UPDATE_OB.EXE
%WinDir%\System32\TKBELLEXE.EXE
%WinDir%\SYSTRA.EXE
%WinDir%\SVCHOST.EXE.EXE
C:\COMMAND.EXE
%WinDir%\System32\MSJDBC11.DLL
%WinDir%\System32\MSSIGN30.DLL
%WinDir%\System32\ODBC16.DLL
%WinDir%\System32\LMMIB20.DLL

Solucan kendini arşivleyerek (ZIP'leyerek gibi) COM, EXE, PIF veya SCR gibi dosya tiplerinde ve password, email, book, letter, bak, work, important gibi dosya adı ile saklıyor. örneğin; important.scr gibi...

Sistemin açılışında çalışması için;
HKEY_CURRENT_USER\Software\Microsoft\Windows NTCurrentVersion\Windows "run" = RAVMOND.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun "Hardware Profile" = %SysDir%\HXDEF.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun "WinHelp" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun "Program In Windows" = %SysDir%\IEXPLORE.EXE
gibi registry'e ilaveler yapıyor.

Solucan ilave servisleri için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionrunServices "SystemTra" = %WinDir%\SYSTRA.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionrunServices "COMM++System" = %WinDir%\SVCHOST.EXE
gibi registry'e kayıtlar ilave ediyor.

Arka kapı açmak için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
gibi registry'e kayıtlar ilave ediyor.

Solucanın ilave ettiği iki servis;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)
başlıkları altında yeralıyor ve bu servisler ile ilgili detay bilgi;

Service 1
Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic

Service 2
Display name: Windows Management Protocol v.0 (experimental)
Description: Windows Advanced Server. Performs scheduled scans for LANguard.
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic

şeklinde oluyor.

Solucan kendini .EXE uzantılı dosyalara kopyalıyor ve asıl dosyanın ismini .ZMX olarak değiştiriyor.

Aşağıdaki kelimeleri içeren servisleri ya da bellekte çalışan programları durduruyor;

rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
Duba

Şimdilik manuel (elle) ve otomatik silme yöntemi bulunamadı, ancak bazı antivirüs firmaları kendi yazılımlarının bu solucanı durdurabildiğini söylüyor.

Hızla yayılmaktadır, birkaç gün olmasına rağmen bu tip elektronik postaların sayısı artmıştır, Aldığınız elektronik postalara aman dikkat, şüphelendiklerinizi açmadan silin.

...::: Alıntı :::...

Uzantı olarakta *.pif *.scr *.bat ve tabi *.exe gelen dosyalara dikkat edeceksin.Sağlam bir Av kullanıosan sorun olacağını sanmıyorum.Herzaman güncellemeni tavsiye ederim Av ni...

Kolay Gelsin...