Kurt Sürüsü: MyDoom ve MiMail versiyonları

Son günlerde yeni kurtlar oldukça hızlı bir şekilde yayılıyorlar. En hızlı şekilde kurt ise “MyDoom”. Bu, e-posta ile geliyor ve BAT, EXE, CMD, PIF, SCR veya ZIP uzantılarından bir tanesini kullanan dosya eklentisi içeriyor.

Kurt Sürüsü: MyDoom ve MiMail versiyonları

Symantec’in virüs uzmanlarının incelemelerine göre MyDoom, bulaştıktan sonra 3127 ile 3198 arasındaki TCP/IP portlarını kullanarak sistemde arka kapılar açıyor. Kurt, 1 Şubat’ta başlayacak olan bir DoS saldırısı olarak hazırlanmış ve SCO grubunun web sayfasını hedef almış. Sahip olduğu entegre bir yok edici ise kurdun yayılımını 12. Şubat tarihinde sonlandıracak.

Network Associates’in açıklamalarına göre bu kurt kendisini Kaza paylaşım aracının “My Shared” klasörüne de kopyalıyor. Ayrıca sabitdiskteki e-posta adreslerini arıyor ve bulduğu adreslere, kendi SMTP motorunu kullanarak farklı konular altında kendisini gönderiyor.

MiMail’in farklı versiyonları
Internet kurdu MiMail’in çok sayıdaki farklı versiyonları da karışıklık yaratmaya çalışıyorlar. Kurt, geçtiğimiz Ağustos ayından beri devamlı olarak biçim değiştirerek zarar vermeye devam ediyor. En son versiyon “Mimail.Q” adını taşıyor. Bunun özelliği ise bulaştığı bilgisayarda kendisinin değiştirilmiş bir versiyonunu Sys32.EXE ve Outlook.EXE’nin tam bir kopyası olarak kaydetmesi.

Trojan’lı Dumaru
İki versiyonu bulunan ve bir ZIP dosyası içerisinde e-posta eklentisi olarak webde dolaşan internet kurdu “Dumaru” tam iki gündür yollarda. Bu eklentinin ismi “Myphoto.ZIP” ve yaklaşık 17 KB büyüklüğünde.

Kurt, çaldığı parolalar ve kaydettiği klavye hareketleri yardımıyla bulaştığı ve internete bağlı olan bilgisayarda arka kapı açan bir trojan bileşenine sahip.

Sadece Windows etkileniyor
Yukarıda bahsedilen internet kurtlarının tamamı Windows sistemlerini kullanıyor ve Windows 9x, Me, NT, 2000 ve XP versiyonlarını etkiliyor. Mimail.Q ve MyDoom aynı zamanda Windows Server 2003 için de tehlike yaratıyor.

Tespit etme ve temizleme
Anti virüs yazılımı üreticileri imza dosyalarını çoktan güncellediler bile. Yani güvenlik programlarını her zaman güncel tutanlar söz konusu zararlılardan olumsuz yönde etkilenmeyecekler. Sistemi bu üç kurttan birinden etkilenenler ise Network Associates’in ücretsiz olarak sunduğu Avert Stinger aracını kullanabilirler.

Avert Stinger:
http://vil.nai.com/vil/stinger/

Okuyucu Yorumları