Konu Bilgileri
  • Yazar: ebicom
  • Okunma: 6387
  • Yorumlar: 0
Konu Kalitesi: % 0
Paylaş:

Konuyu Okuyanlar

Şu anda bu konuyu okuyanlar: 2 Ziyaretçi

Konu içi Arama..

Hızlı Menü
Hızlı Menü:

Öneriler
Paylaşım Platformu
Mybb Destek Ekibi

Yeni Yorum Gönder 
flyhigh.exe Virüsü ve korunma yöntemleri
Yazar Konu
ebicom Çevrimdışı
Administrator
*******


Yorum Sayısı: 1,007
Üyelik Tarihi: 17.01.2008

Rep Puanı: 23
Teşekkürler: 46
48 Mesajına, 56 Teşekkür edildi.
Yorum: #1
Uyari flyhigh.exe Virüsü ve korunma yöntemleri
Malware tipi: Sonsuz
Yıkıcı: Hayır
Platform: Windows 98, ME, NT, 2000, XP, Server 2003
Şifreli: Hayır
Vahşi: Evet
Genel bakış

Enfeksiyon Kanal: anında mesajlaşma uygulamaları yoluyla çıkarılabilir sürücüler, peer-to-peer ağlar aracılığıyla yayar, yayar yoluyla yayar

Bu malware, bağımsız medya kaynakları ve / veya diğer güvenlik şirketlerinin dikkatini çekmiştir.

Bu Solucan davranışının tek bakışta kapsamlı bir görünümünü elde etmek için, aşağıda gösterilen Tehdit Diyagram bakın.


Bu solucan aynı zamanda hedef sistem servis (DoS) saldırıları reddi gerçekleştirme yeteneğine sahiptir. Bu hedef sistemleri karşı SYN saldırıları gerçekleştirmek için kötü niyetli bir kullanıcı tarafından kontrol edilir uzak bir sunucudan komutları alır.

Aynı zamanda bu diğer kötü amaçlı yazılım yüklemeye kendisinin güncelleştirmeleri indirme gibi diğer eylemleri gerçekleştirmek için uzak sunucudan komutları alır.

Bu solucan çıkarılabilir sürücüleri ile geliyor. Diğer kötü amaçlı yazılım / grayware / casus uzak alanlardan tarafından indirilebilir. Uzak sitelerdeki diğer malware / grayware tarafından indirilebilir. Kötü niyetli web sitelerini ziyaret ederken bilmeden bir kullanıcı tarafından yüklenebilir.

Çok kolay algılama ve buna bağlı olarak kaldırma önlemek için bazı uygulamaların dosya simgeleri taşımaktadır.

Her sistem başlangıcında da otomatik olarak yürütülmesini sağlamak için kayıt defteri girdilerini ekler.

Tüm fiziksel ve çıkarılabilir sürücüler klasör oluşturur. Otomatik olarak bir kullanıcı etkilenen sistemin sürücüleri eriştiğinde onu bırakır kopya yürütmek için bir AUTORUN.INF dosyası düşüyor.

Onu kötü niyetli bir kullanıcının uzaktan aldığı bazı komutları çalıştırır. Bu işlemi yapmak büyük bir risk altındadır coomputer bulunan etkilenen bilgisayar ve bilgi koyar.

Teknik Detaylar
Dosya boyutu: Değişir
Dosya türü: PE
Hafıza sakini: Evet
Tarih alınan ilk örnekler: 3 Mayıs 2010
Yükü: görüntüler grafik / resim, DoS / DDoS saldırıları başlatır, Bozukluklarını sistem güvenliği

Ulaşım Detayları

Bu solucan çıkarılabilir sürücüleri ile geliyor.

Diğer kötü amaçlı yazılım / grayware / casus uzak alanlardan tarafından indirilebilir.

Uzak siteleri şu kötü amaçlı yazılım / grayware tarafından indirilebilir:

  • SWF_PALEVO.KK

Kötü niyetli web sitelerini ziyaret ederken bilmeden bir kullanıcı tarafından yüklenebilir.

Aşağıdaki kötü niyetli web sitelerini ziyaret ederken bilmeden bir kullanıcı tarafından indirilebilir:

  • http://www. {} BLOKE com.com/FlashPlayer10.0.45.2.exe

Montaj

Bu solucan şu klasörleri ekler:

  • % System Root% \ Recycler
  • % System Root% \ Recycler \ {SID}

(Not:% System Root% genelde C kök klasörü vardır:. \ Bu işletim sisteminin nerede olduğunu da.)

Bu etkilenen sistemi içine kendisini aşağıdaki kopya damla:

  • % System Root% \ Recycler \ {SID} \ recycle.exe
  • \ Setup32temp.exe% Kullanıcı Temp%

(Not:% System Root% genelde C kök klasörü vardır:. \ Bu işletim sisteminin bulunduğu da ..% Kullanıcı Temp% genelde C geçerli kullanıcının Temp klasörünü, şudur: \ Documents and Settings \ {kullanıcı adı} \ Local Settings \ Windows 2000, XP ve Server 2003 Temp.)

Bu aşağıdaki dosyaları düşer:

  • % System Root% \ Recycler \ {SID} \ Desktop.ini
  • {} Sürücü harfi: \ U3ROM \ Desktop.ini

(Not:% System Root% genelde C kök klasörü vardır:. \ Bu işletim sisteminin nerede olduğunu da.)

Bu aşağıdaki uygulamalardan dosya simgeleri taşımaktadır:

  • Geri Dönüşüm Kutusu

Autostart Tekniği

Bu solucan, her sistem başlangıcında onun otomatik yürütme etkinleştirmek için aşağıdaki kayıt defteri girdilerini ekler:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \
Windows NT \ CurrentVersion \ Winlogon
Taskman = "% System Root% \ Recycler \ {SID} \ recycle.exe"

Yayılma

Bu solucan, tüm fiziksel ve çıkarılabilir sürücüleri aşağıdaki klasörleri oluşturur:

  • {} Sürücü harfi: \ U3ROM

Bu peer-to-peer (P2P) ağlar kullanılan aşağıdaki klasörlerden Kendi kopyalarını düşer:

  • Ares
  • BearShar
  • iMesh
  • Shareaza
  • Kazaa
  • DC + +
  • eMule
  • LimeWire

Tüm çıkarılabilir sürücüler kendisini aşağıdaki kopyası (ler) düşer:

  • {} Sürücü harfi: \ U3ROM \ flyhigh.exe

Otomatik olarak bir kullanıcı etkilenen sistemin sürücüleri eriştiğinde onu bırakır kopya yürütmek için bir AUTORUN.INF dosyası düşüyor.

. INF dosyası şu dizeleri içerir söyledi:

; {Çöp karakterler}
[AutoRun
; {Çöp karakterler}
açık = U3ROM/flyhigh.exe
; {Çöp karakterler}
: Jmp0
;} {Çöp karakterler simgesi =% System% \ shell32.dll 4; {çöp karakterler}; {çöp karakterler} jmp3
action = klasörü aç Windows Explorer'ı kullanarak dosyaları görüntülemek için
; {Çöp karakterler}
Shell \ Open \ Command = U3ROM/flyhigh.exe
; {Çöp karakterler}
Shell \ Explore \ Command = U3ROM/flyhigh.exe
; {Çöp karakterler}
useautoplay = 1
; {Çöp karakterler}
: NUL GOTO

(Not:% System% genelde C Windows sistem klasörü,: \ Windows \ System Windows 98 ve ME üzerinde, C: \ WINNT \ Windows NT ve 2000 System32 veya C: \ Windows \ System32 Windows XP ve Server 2003.)

Bu bahsedilen Instant Messaging uygulamalarını kullanarak aşağıdaki mesajı gönderir;

MSN Messenger

Backdoor Rutin

Bu solucan uzak bir kötü niyetli bir kullanıcı aşağıdaki komutu (lar) yerine getirmektedir:

  • Diğer malware indirin
  • Kendisini güncellemek
  • Hedef sistemleri karşı Service (DoS) saldırıları Denial of başlatın

Diğer Detaylar

Bu solucan şu görüntüler:

Çözüm
Minimum tarama motoru: 8.900
VSAPI OPR Desen Sürüm: 7.151.00
VSAPI OPR Desen Yayım Tarihi: 7 Mayıs 2010

Adım 1

Windows ME ve XP kullanıcıları için, herhangi bir tarama yapmadan önce, emin olun Sistem Geri Yükleme devre dışı bilgisayarınıza tam tarama izin vermek.

Adım 2

Düştü / WORM_PALEVO.KK indirilen kötü amaçlı yazılım / grayware dosyayı kaldırın

  • SWF_PALEVO.KK

Adım 3

Tanımlayın ve başlangıç ​​diski veya Kurtarma Konsolu'nu kullanarak WORM_PALEVO.KK olarak algılanan dosyaları silmek

Adım 4

Bu kayıt defteri değerini silin

Önemli: Windows Kayıt Defteri Düzenleme yanlış sistem arızası geri dönüşümsüz yol açabilir. Eğer sistem yöneticinizden yardım talebinde nasıl biliyorsanız veya yalnızca bu adımı geçiniz. Değilse, bu kontrol Microsoft makalesini bilgisayarınıza "kayıt defteri değiştirmeden önce ilk.


  • HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon içinde
    • Taskman =% System Root% \ Recycler \ {SID} \ recycle.exe

Adım 5

Bu klasörleri arama ve silme

Eğer arama sonucunda tüm gizli klasörleri dahil etmek için daha fazla gelişmiş seçenekler seçeneği Gizli Dosya ve Klasörleri onay kutusunu işaretleyin emin olun.
  • % System Root% \ Recycler
  • {} Sürücü harfi: \ U3ROM

Adım 6

Bu dizeler içeren WORM_PALEVO.KK tarafından oluşturulan AUTORUN.INF dosyaları arama ve silme

; {Çöp karakterler}
[AutoRun
; {Çöp karakterler}
açık = U3ROM/flyhigh.exe
; {Çöp karakterler}
: Jmp0
;} {Çöp karakterler simgesi =% System% \ shell32.dll 4; {çöp karakterler}; {çöp karakterler} jmp3
action = klasörü aç Windows Explorer'ı kullanarak dosyaları görüntülemek için
; {Çöp karakterler}
Shell \ Open \ Command = U3ROM/flyhigh.exe
; {Çöp karakterler}
Shell \ Explore \ Command = U3ROM/flyhigh.exe
; {Çöp karakterler}
useautoplay = 1
; {Çöp karakterler}
: NUL GOTO

Adım 7

Tespit dosyalar zaten temizlenmiş silinmiş veya Trend Micro ürün tarafından karantinaya kaldıysanız WORM_PALEVO.KK olarak algılanan dosyaları temizlemek için Trend Micro ürün ile bilgisayarınızı tarayın,


Kaynak:
http://about-threats.trendmicro.com/Malw..._PALEVO.KK
ebicom

Herkesin değeri, niyetinin enginliği kadardır.
Kendinle mutlu değilsen, başkalarının seninle mutlu olmasını bekleyemezsin. Her şey seninle başlar!

Undecided

13.03.2012 01:45
Web Sitesini Ziyaret Et Tüm Mesajlarına Bak Alıntı ile Cevapla
Yeni Yorum Gönder 


Hızlı Menü:


Şu anda bu konuyu okuyanlar: 2 Ziyaretçi

 Hızlı Tema Değiştir:


ip numaram