Yeni bir virüs : Mimail.R

doubt · 27.01.2004

Yeni bir virüs alarmı: Mimail.R

Antivirüs şirketleri internette son derece hızlı yayılan yeni bir virüsün ortaya çıktığı uyarısında bulunuyorlar.

ASSOCIATED PRESS

27 Ocak 2004 — Ağustos ayında tüm interneti kaplayan SoBig.F kadar hızlı yayıldığı kaydedilen virüs Mydoom, Shimgapi, Novarg ve Mimail.R başlıklarıyla deşifre edilebilir. Virüs, amacını açık kaynak kodları üzerine açtığı telif hakları davasıyla gündeme gelen Unix şirketi SCO’nun ana sunucusunu çökertmek olarak açıklıyor.

Anti virüs şirketi Network Associates VP’si Vincent Gullotto virüsün çok hızlı yayılmasından dolayı bazı şirketlerin kurumsal ağlarını kapattıklarını açıkladı. Uzmanlar başlık satırı ve göndericisi kullanıcılara garip gelen tüm emaillerin açılmadan silinmesi yönünde uyarıyorlar. Anti virüs şirketleri, virüse karşı gerekli güncellemelerin yapıldığını ve virüsün listelere eklendiğini bildirdiler.
Uzmanlar hızla yayılan virüsün (Mydoom, Shimgapi, Novarg ve Mimail.R) kısa zamanda milyonlarca email üretebileceğini ve yüzbinlerce makineye bulaşabileceği tahmininde bulunuyorlar.

KAZAA DOSYALARINA GİRİYOR
Virüsü tayışan emaillerde .exe,.scr,.zip, ya da .pif dosya ekleri görünüyor. Virüslü email genelde bir hata raporu veya ‘test’ başlığıyla beliriyor; açıldığında ise mesajın ek dosyada olduğu ve bu ek dosyanın açılması gerektiğini belirtiyor. Virüs de ek dosyanın açılmasıyla kullanıcının bilgisayarına bulaşıyor. Virüs daha sonra kullanıcının adres defterindeki tüm adreslere kendini yeniden gönderiyor. Eğer kurbanın bilgisayarında Kazaa dosyası bulunuyor ise, o durumda dosya paylaşımı yoluyla yayılmak üzere virüs bir kopyasını da buraya bırakıyor.
Virüsün hedefi konumundaki SCO şirketi sözcüsü de kurumsal web sitelerinin yavaşladığını ancak kurumlarına karşı bir saldırı olasılığından söz etmek için erken olduğunu belirtti.

İNTERNETTEKİ DİĞER VİRÜSLER
Öte yandan düşük güçte yayılan iki adet daha virüsün internette dolandığı tespit edildi; Mimail.Q ve Dumaru virüslerine de dikkat edilmesi gerekiyor. Mimail.Q virüsünün “Hi my sweet Nancy” başlığıyla, Dumaru virüsünün ise “Important information for you. Read it immediately!” başlığıyla göründüğü ve Dumaru virüsünün ‘myphoto.zip’ ek dosyası taşıdığı bildirildi.

Kaynak : NTVMSNBC

blackinwhite · 29.01.2004

Yazanı bilmiorum ama şöyle bir mail geldi:

Alıntı:

KIRMIZI ALARM: W32/Mydoom.A.worm

Yeni Worm MyDoom.A Birkaç Saat İçinde kurumsal Firmalarda Sayısız Yıkıma Sebep Oluyor!!

-********* Mydoom.A’nin patlak vermesiyle, binlerce kullanıcı sosyal mühendislik tekniklerini kullanan ve yüksek yayılma kapasitesine sahip bu worm’un etkisi altına girdi.
-********* Virüsler üstündeki son eğilimlere rağmen, bu yeni worm, bilgisayarları etki altına almak için* hiçbir Microsoft savunmasızlığını kullanmıyor.
-********* Yeni worm* TCP port 3127 açan ve bilgisayar harici kontrolüne izin veren bir dosya ile etki altındaki bilgisayara kuruluyor.

MADRID,* virüs laboratuarına göre, yeni worm W32/Mydoom.A.worm çoktan kırmızı alarm konumuna ulaştı ve birçok ülkede binlerce kullanıcıyı etkisi altına aldı. W32/MyDoom.A’un çok çabuk yayılma özelliğinin yanısıra, arkasında bıraktığı zarar açısından ciddiyeti geçen yazın Bugbear ve* Blaster wormlarını aratmıyor.

W32/Mydoom.A worm etki altındaki bilgisayarlardaki tüm adreslere kendini forward ediyor.Diğer ülkeler normal çalışma gününe başladıklarında bilgisayar aktivitesi artıyor ve bu virüsün çoğalmaya başlaması bekleniyor.

W32/Mydoom.A worm ataçlanmış bir dosya ile birlikte e-mail mesajı olarak geliyor.Son zamanlardaki diğer virüs salgınları gibi, sosyal mühendislik teknikleri ile kullanıcıları açılması gerekli bir dosyaymış gibi kandırıyor.Virüs sadece bilgisayarı etki altına almakla kalmıyor, aynı zamanda bilgisayara gelen e-maillerden adreslere ulaşarak kendisini gönderiyor.

Son olarak, bu worm etki altındaki bilgisayarda TCP port 3127 açılıyor ve bilgisayarı uzaktan kumanda durumuna getiriyor.Bunun anlamı; herhangi kötü niyetli bir hacker bilgisayar geçiş sağlayabilir,bilgisayarda saklanan bilgilerde değişiklik yapabilir, çalabilir veya altüst edebilir.

W32/Mydoom.A worm bilgisayar dosyalarındaki şu uzantılarla .htm, .sht, .PHP, ..ASP, .dbx, ..tbb, .adb, .pl, .wab, .txt. e-mail adreslerini araştırır ve kendini kendi SMTP motorunu kullanarak e-mail yoluyla gönderir.

Mesajın içeriği değişiyor ve aşağıdaki cümleleri taşıyabilmesi olasılığı var:

Subject(Konu):

test

hi

hello

mail Delivery System

mail Transaction Failed

server Report

Status

Error

*

Body(Mesajın kendisi):

mail Transaction Failed.* Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

*

Attached file name(Ataçlı dosya ismi):

document

readme

doc

text

file

data

test

message

body

*

File extension(Dosya uzantıları):

.pif

.scr

.exe

.cmd

.bat

.zip

*

Virüs bilgisayara girdiğinde, peer-to-peer ile paylaşılmış dosya KaZaa networkünü aramaya başlar.Eğer KaZaa tespit edilmiş bir dosya ise, bu peer to peer sistemi ile dağılmasını sağlayan paylaşılmış dosya kopyalanır.Dosya ismi aşağıdakilerden biri olabilir:

*

winamp5

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004

ve PIF, .SCR o .BAT uzantısı.

doubt · 29.01.2004

F-Prot sitesinden bu virüsle ilgili bilgiye ve temizleyen programa ulaşabilirsiniz.

soul · 29.01.2004

Evet çok ciddi bir virüs ama hakikaten ilginç olanı sadece kişilerin bun açıyor olması.
2,5 gün kadar önce bende bunu yazdım. http://ferruh.mavituna.com/article/?425

Ve tahminimden de hızlı yayıldı açıkçası. Dün yaklaşık 20mb. mail çektim. EK olarak ilginenelere bu da http://www3.ca.com/Files/VirusInform.../clnmydoom.zip temizleme aracı.

KheLL · 30.01.2004

Kaynak : NTVMSBC

REKOR YAYILMA HIZI

MessageLabs anti virüs şirketi halen internette her 12 mesajdan birinin virüsü taşıdığını açıkladı. Geçen yılın azılı virüsü SoBig.F en hızlı yayıldığı günlerde dahi yollanan her 17 mesajda bir ortaya çıkıyordu. Kısaca, MyDoom adıyla da görünen virüs şimdilik en hızlı yayılan virüs ünvanını ele geçirdi. Yayılmanın ilk 27 saatinde sadece MessageLabs şirketi 1.5 milyon adet virüslü emaili karantinaya aldığı belirtildi.
Virüs Windows 95, 98, ME, NT, 2000 ve XP işletim sistemlerini etkiliyor.

AÇIK KAYNAK FANATİKLERİ ŞÜPHESİ

Mimail.R virüsü, 1 Şubat ile 12 Şubat tarihleri arasında SCO şirketinin kurumsal sunucusuna saldırı yapacağını açıkladı. SCO şirketi Linux açık-kaynakçıların nefretini kazanmıştı, virüsün açık kaynakçılar tarafından SCO’ya saldırı niyetli üretildiğine dair kesin bir kanıt yok. Böyle bir kanıtın oluşması da pratik olarak mümkün gözükmüyor. Öte yandan SCO şirketi virüsün programcısını ihbar eden kişiye 250 bin dolar mükafat vereceğini açıkladı. Microsoft da daha önce SoBig.F saldırıları sırasında virüs programcılarına mükafat vererek yakalatma yoluna gitmişti, ancak başarıya ulaşmamıştı. Virüs programcıları virüs saldırılarına dikkat çekmek ve kimi zaman da kendi düşüncelerini yaymak için kullanıyorlar. Para virüs programcıları için bir hedef oluşturmuyor.

Uzmanlar virüsün yayılma hızını dikkate alarak Microsoft’un da virüs programcısının başına ikinci bir mükafat koyacağını belirtiyorlar.

KAZAA DOSYALARINA GİRİYOR

Virüsü tayışan emaillerde .exe,.scr,.zip, ya da .pif dosya ekleri görünüyor. Virüslü email genelde bir hata raporu veya ‘test’ başlığıyla beliriyor; açıldığında ise mesajın ek dosyada olduğu ve bu ek dosyanın açılması gerektiğini belirtiyor. Virüs de ek dosyanın açılmasıyla kullanıcının bilgisayarına bulaşıyor. Virüs daha sonra kullanıcının adres defterindeki tüm adreslere kendini yeniden gönderiyor. Eğer kurbanın bilgisayarında Kazaa dosyası bulunuyor ise, o durumda dosya paylaşımı yoluyla yayılmak üzere virüs bir kopyasını da buraya bırakıyor. Kazaa dosyalarına Winamp5, icq2004-final, Activation_Crack, Strip-gril-2.0bdcom_patches, RootkitXP, Officecrack ve Nuke2004 dosyalarında gizleniyor.

İNTERNETTEKİ DİĞER VİRÜSLER

Öte yandan düşük güçte yayılan iki adet daha virüsün internette dolandığı tespit edildi; Mimail.Q ve Dumaru virüslerine de dikkat edilmesi gerekiyor. Mimail.Q virüsünün “Hi my sweet Nancy” başlığıyla, Dumaru virüsünün ise “Important information for you. Read it immediately!” başlığıyla göründüğü ve Dumaru virüsünün ‘myphoto.zip’ ek dosyası taşıdığı bildirildi.

gravity · 30.01.2004

Gelen mesajları Norton Antivirüs engelliyor, virüs taraması ve özel temizleme programıyla da tarama yaptım, virüsün bulaştığına dair hiçbir belirti yok, ama başka bilgisayarlardan "yolladığınız email xxx virüs programı tarafından engellendi" şeklinde mailler geliyor.

Bu da virüsün başka bir numarası mı yoksa her türlü önleme rağmen bilgisayarımdan mail mi atılıyor?..

soul · 30.01.2004

Virüs kafasına göre e-mail adresi oluştutup bu e-maillardan gitmiş gibi başkalarına gönderiyor dolayısıyla Norton da aslında sizin göndermediğiniz virüsü siz gönderdiniz sanıyor.

Dolayısıyla o konuda korkulacak bir şey yok.

Binus · 02.02.2004

Şimdiye dek virusun bana bulaşmamış olması beni korkutuyor.

Bellek yetersizliği nedeni ile bir virus programıda kullanmıyorum. bilgisayarı kullanan sadece ben olsam sorun yok ama benden başka 2 kişi daha kullanınca ister istemez insan korkuyor.

cok_yasa_kamil · 02.02.2004

Alıntı:

binus:Bellek yetersizliği nedeni ile bir virus programıda kullanmıyorum.

keramet, program olmamasında galiba...

gravity · 05.02.2004

Biri beni şu konu hakkında bilgilendirirse sevinirim:

Daha önce yazdığım gibi virüs programları sistemimde birşey bulamıyor, fakat application process'lere baktığım zaman bellekte ctfmon.exe adlı dosyanın çalıştığını görüyorum. Virüs tanımında da sistem klasörüne ctfmon.dll diye bir dosya yazdığını okumuştum. System klasöründe böyle bir sosya yok fakat bellekte çalışır durumda. Ayrıca ne zaman outlook'dan gönder/al yapsam listede görünmeyen bir maili yollamaya çalışıyor.

Söyleyin doktor virüsü kapmışım değil mi? Peki hiç bir virüs progamı bunu göremiyorsa ne yapmalı?...

27.01.2004	#1 (permalink)
doubt Üyelik Tarihi: 25.12.2000 Yer: Moskova Yaş: 32 Mesaj: 1,403 Görsel: 101	Yeni bir virüs : Mimail.R Yeni bir virüs alarmı: Mimail.R Antivirüs şirketleri internette son derece hızlı yayılan yeni bir virüsün ortaya çıktığı uyarısında bulunuyorlar. ASSOCIATED PRESS 27 Ocak 2004 — Ağustos ayında tüm interneti kaplayan SoBig.F kadar hızlı yayıldığı kaydedilen virüs Mydoom, Shimgapi, Novarg ve Mimail.R başlıklarıyla deşifre edilebilir. Virüs, amacını açık kaynak kodları üzerine açtığı telif hakları davasıyla gündeme gelen Unix şirketi SCO’nun ana sunucusunu çökertmek olarak açıklıyor. Anti virüs şirketi Network Associates VP’si Vincent Gullotto virüsün çok hızlı yayılmasından dolayı bazı şirketlerin kurumsal ağlarını kapattıklarını açıkladı. Uzmanlar başlık satırı ve göndericisi kullanıcılara garip gelen tüm emaillerin açılmadan silinmesi yönünde uyarıyorlar. Anti virüs şirketleri, virüse karşı gerekli güncellemelerin yapıldığını ve virüsün listelere eklendiğini bildirdiler. Uzmanlar hızla yayılan virüsün (Mydoom, Shimgapi, Novarg ve Mimail.R) kısa zamanda milyonlarca email üretebileceğini ve yüzbinlerce makineye bulaşabileceği tahmininde bulunuyorlar. KAZAA DOSYALARINA GİRİYOR Virüsü tayışan emaillerde .exe,.scr,.zip, ya da .pif dosya ekleri görünüyor. Virüslü email genelde bir hata raporu veya ‘test’ başlığıyla beliriyor; açıldığında ise mesajın ek dosyada olduğu ve bu ek dosyanın açılması gerektiğini belirtiyor. Virüs de ek dosyanın açılmasıyla kullanıcının bilgisayarına bulaşıyor. Virüs daha sonra kullanıcının adres defterindeki tüm adreslere kendini yeniden gönderiyor. Eğer kurbanın bilgisayarında Kazaa dosyası bulunuyor ise, o durumda dosya paylaşımı yoluyla yayılmak üzere virüs bir kopyasını da buraya bırakıyor. Virüsün hedefi konumundaki SCO şirketi sözcüsü de kurumsal web sitelerinin yavaşladığını ancak kurumlarına karşı bir saldırı olasılığından söz etmek için erken olduğunu belirtti. İNTERNETTEKİ DİĞER VİRÜSLER Öte yandan düşük güçte yayılan iki adet daha virüsün internette dolandığı tespit edildi; Mimail.Q ve Dumaru virüslerine de dikkat edilmesi gerekiyor. Mimail.Q virüsünün “Hi my sweet Nancy” başlığıyla, Dumaru virüsünün ise “Important information for you. Read it immediately!” başlığıyla göründüğü ve Dumaru virüsünün ‘myphoto.zip’ ek dosyası taşıdığı bildirildi. Kaynak : NTVMSNBC __________________ www.graphixel.com

29.01.2004	#3 (permalink)
doubt Üyelik Tarihi: 25.12.2000 Yer: Moskova Yaş: 32 Mesaj: 1,403 Görsel: 101	Re: Yeni bir virüs : Mimail.R F-Prot sitesinden bu virüsle ilgili bilgiye ve temizleyen programa ulaşabilirsiniz. __________________ www.graphixel.com

29.01.2004	#4 (permalink)
soul Üyelik Tarihi: 13.07.2000 Yer: LND Mesaj: 4,284	Re: Yeni bir virüs : Mimail.R Evet çok ciddi bir virüs ama hakikaten ilginç olanı sadece kişilerin bun açıyor olması. 2,5 gün kadar önce bende bunu yazdım. http://ferruh.mavituna.com/article/?425 Ve tahminimden de hızlı yayıldı açıkçası. Dün yaklaşık 20mb. mail çektim. EK olarak ilginenelere bu da http://www3.ca.com/Files/VirusInform.../clnmydoom.zip temizleme aracı. __________________ FERRUH.MAVİTUNA - İnanmıyorum, yeni site!

30.01.2004	#5 (permalink)
KheLL Üyelik Tarihi: 25.06.2001 Yer: İzmir Yaş: 27 Mesaj: 313	Re: Yeni bir virüs : Mimail.R Kaynak : NTVMSBC REKOR YAYILMA HIZI MessageLabs anti virüs şirketi halen internette her 12 mesajdan birinin virüsü taşıdığını açıkladı. Geçen yılın azılı virüsü SoBig.F en hızlı yayıldığı günlerde dahi yollanan her 17 mesajda bir ortaya çıkıyordu. Kısaca, MyDoom adıyla da görünen virüs şimdilik en hızlı yayılan virüs ünvanını ele geçirdi. Yayılmanın ilk 27 saatinde sadece MessageLabs şirketi 1.5 milyon adet virüslü emaili karantinaya aldığı belirtildi. Virüs Windows 95, 98, ME, NT, 2000 ve XP işletim sistemlerini etkiliyor. AÇIK KAYNAK FANATİKLERİ ŞÜPHESİ Mimail.R virüsü, 1 Şubat ile 12 Şubat tarihleri arasında SCO şirketinin kurumsal sunucusuna saldırı yapacağını açıkladı. SCO şirketi Linux açık-kaynakçıların nefretini kazanmıştı, virüsün açık kaynakçılar tarafından SCO’ya saldırı niyetli üretildiğine dair kesin bir kanıt yok. Böyle bir kanıtın oluşması da pratik olarak mümkün gözükmüyor. Öte yandan SCO şirketi virüsün programcısını ihbar eden kişiye 250 bin dolar mükafat vereceğini açıkladı. Microsoft da daha önce SoBig.F saldırıları sırasında virüs programcılarına mükafat vererek yakalatma yoluna gitmişti, ancak başarıya ulaşmamıştı. Virüs programcıları virüs saldırılarına dikkat çekmek ve kimi zaman da kendi düşüncelerini yaymak için kullanıyorlar. Para virüs programcıları için bir hedef oluşturmuyor. Uzmanlar virüsün yayılma hızını dikkate alarak Microsoft’un da virüs programcısının başına ikinci bir mükafat koyacağını belirtiyorlar. KAZAA DOSYALARINA GİRİYOR Virüsü tayışan emaillerde .exe,.scr,.zip, ya da .pif dosya ekleri görünüyor. Virüslü email genelde bir hata raporu veya ‘test’ başlığıyla beliriyor; açıldığında ise mesajın ek dosyada olduğu ve bu ek dosyanın açılması gerektiğini belirtiyor. Virüs de ek dosyanın açılmasıyla kullanıcının bilgisayarına bulaşıyor. Virüs daha sonra kullanıcının adres defterindeki tüm adreslere kendini yeniden gönderiyor. Eğer kurbanın bilgisayarında Kazaa dosyası bulunuyor ise, o durumda dosya paylaşımı yoluyla yayılmak üzere virüs bir kopyasını da buraya bırakıyor. Kazaa dosyalarına Winamp5, icq2004-final, Activation_Crack, Strip-gril-2.0bdcom_patches, RootkitXP, Officecrack ve Nuke2004 dosyalarında gizleniyor. İNTERNETTEKİ DİĞER VİRÜSLER Öte yandan düşük güçte yayılan iki adet daha virüsün internette dolandığı tespit edildi; Mimail.Q ve Dumaru virüslerine de dikkat edilmesi gerekiyor. Mimail.Q virüsünün “Hi my sweet Nancy” başlığıyla, Dumaru virüsünün ise “Important information for you. Read it immediately!” başlığıyla göründüğü ve Dumaru virüsünün ‘myphoto.zip’ ek dosyası taşıdığı bildirildi. __________________ Kişisel Site / Blog

30.01.2004	#6 (permalink)
gravity Üyelik Tarihi: 04.10.2003 Yer: izmir Yaş: 30 Mesaj: 621 Görsel: 1	Re: Yeni bir virüs : Mimail.R Gelen mesajları Norton Antivirüs engelliyor, virüs taraması ve özel temizleme programıyla da tarama yaptım, virüsün bulaştığına dair hiçbir belirti yok, ama başka bilgisayarlardan "yolladığınız email xxx virüs programı tarafından engellendi" şeklinde mailler geliyor. Bu da virüsün başka bir numarası mı yoksa her türlü önleme rağmen bilgisayarımdan mail mi atılıyor?.. __________________ . » Kişisel:. www.coolkey.net » Kurumsal:. www.programa.com.tr

30.01.2004	#7 (permalink)
soul Üyelik Tarihi: 13.07.2000 Yer: LND Mesaj: 4,284	Re: Yeni bir virüs : Mimail.R Virüs kafasına göre e-mail adresi oluştutup bu e-maillardan gitmiş gibi başkalarına gönderiyor dolayısıyla Norton da aslında sizin göndermediğiniz virüsü siz gönderdiniz sanıyor. Dolayısıyla o konuda korkulacak bir şey yok. __________________ FERRUH.MAVİTUNA - İnanmıyorum, yeni site!

02.02.2004	#8 (permalink)
Binus Üyelik Tarihi: 24.12.2001 Yer: Ankara Yaş: 25 Mesaj: 1,143	Re: Yeni bir virüs : Mimail.R Şimdiye dek virusun bana bulaşmamış olması beni korkutuyor. Bellek yetersizliği nedeni ile bir virus programıda kullanmıyorum. bilgisayarı kullanan sadece ben olsam sorun yok ama benden başka 2 kişi daha kullanınca ister istemez insan korkuyor.

05.02.2004	#10 (permalink)
gravity Üyelik Tarihi: 04.10.2003 Yer: izmir Yaş: 30 Mesaj: 621 Görsel: 1	Re: Yeni bir virüs : Mimail.R Biri beni şu konu hakkında bilgilendirirse sevinirim: Daha önce yazdığım gibi virüs programları sistemimde birşey bulamıyor, fakat application process'lere baktığım zaman bellekte ctfmon.exe adlı dosyanın çalıştığını görüyorum. Virüs tanımında da sistem klasörüne ctfmon.dll diye bir dosya yazdığını okumuştum. System klasöründe böyle bir sosya yok fakat bellekte çalışır durumda. Ayrıca ne zaman outlook'dan gönder/al yapsam listede görünmeyen bir maili yollamaya çalışıyor. Söyleyin doktor virüsü kapmışım değil mi? Peki hiç bir virüs progamı bunu göremiyorsa ne yapmalı?... __________________ . » Kişisel:. www.coolkey.net » Kurumsal:. www.programa.com.tr

Sponsorlu Bağlantılar
Zoque.Forum Reklam