Trojan-PSW.Win32.Kesk.a

Virüs Adı : Trojan-PSW.Win32.Kesk.a

Diğer versiyonu : color=#0000ffTrojan-PSW.Win32.Kesk

Tür : PSW Trojans

Bulunma Tarihi : 19 Nisan 2007

Diğer İsimler :

• Trojan-PSW.Win32.Kesk.a ( color=#0000ffKaspersky Lab)
• PWS-Zimenok ( color=#0000ffMcAfee)
• PWSteal.Trojan ( color=#0000ffSymantec)
• Trojan.PWS.Zimenok.6 ( color=#0000ffDoctor Web)
• Troj/Zimenok ( color=#0000ffSophos)
• PWS:Win32/Kesk.A ( color=#0000ffRAV)
• TROJ_ZIMENOK.06 ( color=#0000ffTrend Micro)
• TR/KeskPSW.B ( color=#0000ffH+BEDV)
• Win32:Trojan-gen. ( color=#0000ffALWIL)
• Trojan.PSW.Kesk.A ( color=#0000ffSOFTWIN)
• Trojan Horse ( color=#0000ffPanda)
• Win32/PSW.Kesk.A ( color=#0000ffEset)

Açıklama : Bu trojan kullanıcı şifrelerini çalmak için design edilmiştir.
dosya ismi pe.exe dir.Boyutu 12 mb dır.Trojan i çalıştırdıgınızda kendisini windows sistem klasörlerine orjinal ismiyle kopyalamaktadır.Ayrıca bu trojan kendisini kayıt defterine de atmaktadır.Trojan çalıştırıldıgı anda regeditde aşadaki directory e kopyalanmaktadır

[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"Kernel.Tsk" = ""

Bilgisayarınızı yeniden başlattıgınızda trojan otomatik olarak çalışcaktır.

Trojan bütün şifreleri sistem belleğinde çalışan "WNetEnumCachedPasswords" isimli dosyada saklamaktadır.Ve bu şifreleri

zim***ov8@mail.ru adresine göndermektedir.

Temizleme : Bilgisayarınızda herhangi bir virüsprogramı bulunmuyor ise veya virüs programlarınız güncel değil ise trojan i silmek için aşağıdaki adımları izleyiniz...

1. Görev yöneticisi altında bulunan dosyaları öldüren programları kullanınız
2. Orjinal trojan dosyasını Güvenli Mod Da İnternet Bağlantısı Olmadan arama yaptırarak Bulunuz Ve Siliniz.
3. Sistem Klasörlerinden De Aynı Şekilde Kaldırınız.
4. Aşağıdaki parametreleri Kaldırınız.
   [HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
   "Kernel.Tsk" = ""
5. Virüs Programınızı Update Ediniz.

Güncel Virüs Programı Edinmek İsterseniz :

http://www.kaspersky.com/trials

Adresinden trial sürümünü indirerek deniyebilirsiniz.

KAYNAK [ http://www.viruslist.com/en/viruses/encyclopedia?virusid=34759]

Warezov Virüsünün Yeni Versiyonu Salgın Halinde Yayılıyor

Güvenlik çözümleri konusunda dünya çapındaki önde gelen firmalardan biri olan Kaspersky Lab, 19 Nisan 2007 sabahı Warezov isimli e-posta solucanının son versiyonu olan Warezov.nf’nin salgın halinde yayıldığını bildirdi. Salgın en üst düzeye ulaştığında, zararlı e-posta trafiğinde %75 ila %80 düzeyine ulaşmıştı.

Bu solucan internet üzerinde mesajlara eklenti halinde yayılıyor. Mesaj eklentisinde solucanın kendisi olmamakla birlikte, zararlı kodu internet üzerinden bilgisayara indirerek çalıştıran bir bileşen mevcut. Bu solucan aynı zamanda bilgisayarda mevcut antivirüs programlarını da devre dışı bırakıp siliyor. Warezov.nf solucanı, internet üzerindeki bir siteden başka zararlı programlar da indiriyor ve bu zararlı programlar sayesinde solucanın bulaştığı bilgisayar, internet üzerinden uzaktaki kullanıcılara erişim hakkı verilmesine neden oluyor.

Salgının en üst düzeye ulaştığı anda Warezov.nf, zararlı e-posta trafiğinin %10 civarında artmasına neden oldu. Başka bir deyişle her 10 zararlı mesajdan birisi Warezov.nf içeriyordu. Ancak 19 Nisan akşamı e-posta trafiğindeki Warezov.nf hacmi oldukça düştü.

Bu solucanla ilgili ilk örneğin ele geçirilmesinden yarım saat kadar sonra Kaspersky Lab, bu virüsü tespit eden ve temizleyen güncellemeyi 19 Nisan sabahı yaptı. Kişisel ürünlerimiz olan Kaspersky Antivirus 6.0 ve Kaspersky Internet Security 6.0 kullanıcıları programlarında "koruma önlemleri" (proactive security) seçeneğini işaretledikleri taktirde güncelleme olmadan dahi Warezov.nf solucanına karşı koruma altındalar. Kaspersky Lab Türkiye distribütörü 64K Bilgisayar olarak tüm internet kullanıcılarına antivirüs programlarının veritabanını güncellemelerini ve tanımadıkları kişilerden gelen e-postaları açmamalarını tavsiye ediyoruz.

http://www.64k.net
http://www.kaspersky.com.tr
http://www.kaspersky.com
http://www.viruslist.com/en/viruses/encyclopedia?virusid=156735

Yeni Hızlı Mesajlaşma Virüsü Skype Kullanıcılarını Hedefliyor - Psykse.A

Yeni Hızlı Mesajlaşma Virüsü Skype Kullanıcılarını Hedefliyor - Psykse.A

F-Secure pazartesi günü yeni bir instant-messaging virüsünün Skype’ın chat özelliğini kullanarak yayıldığını duyurdu.
Pykse.A olarak adlandırılan kurtçuk (worm) hızlı mesajlaşma uygulamarını etkileyen diğer tehditlere benziyor. Hedef Skype kullanıcısı bir yazı ve JPEG dosyasına gidiyor görünen bağlantı adresi içeren bir chat mesajı alıyor.

Bağlantı adresine tıklandığında kullanıcı kötü amaçlı dosyaya yönlendiriliyor. Bu dosya çalıştırıldığında kullanıcının Skype listesindeki bütün kullanıcılara gönderiliyor. Ek olarak kullanıcının Skype durum mesajını "Do Not Disturb" olarak değiştiriyor.

Pykse çeşitli web sitelerini de otomatik olarak ziyaret ediyor fakat bu sitelerde kötü amaçlı dosyalar yok. Virüs bulaşan makineleri saymak için kullanılıyor gibi görünüyor.

Pykse Windows sistemlerde Skype çalıştıran kullanıcıları etkiliyor.

Podloso - Linux çalıştıran iPod’lar için ilk virüs - Oslo Virus

Podloso - Linux çalıştıran iPod’lar için ilk virüs - Oslo Virus

Kaspersky Lab iPod taşınabilir medya aygıtları için tasarlanmış bir virüsü tespit ettiklerini duyurdu.

Podloso olarak adlandırılan virüs gerçek bir tehdit oluşturmayan, daha çok yapılabileceğinin kanıtı niteliğinde bir virüs.

Virüsün çalışabilmesi için iPod’un linux kullanıyor olması gerekiyor. Virüs iPod’a bulaştığında programların demo sürümlerinin olduğu klasöre kendisini kopyalıyor. Virüs kullanıcının müdahelesi olmadan otomatik olarak çalışmıyor.

Çalıştırıldığında virüs cihazın disk sürücüsünü tarayarak tüm çalıştırılabilir .elf formatındaki dosyalara bulaşıyor. Bu dosyalardan biri çalıştırıldığında ekranda "You are infected with Oslo the first iPodLinux Virus" yazısını çıkartıyor.

Podloso tipik bir yapılabileceğinin-kanıtı türünde virüs. Bu tip virüsler spesifik bir platforma virüs bulaştırmanın mümkün olabildiğini gösterme amaçlı olarak yaratılıyorlar. Kötü amaçlı aktiviteler gerçekleştirmiyorlar. Ek olarak, Podloso yayılamıyor. Cihaza bulaşabilmesi için kullanıcının virüsü iPod hafızasına kaydetmesi gerekiyor.

Kaynak: http://www.kaspersky.com/news?id=207575511

http://www.viruslist.com/en/weblog?weblogid=208187356

Troj/Paproxy-D

Virüs Adı : Troj/Paproxy-D
Türü : Trojan
Etkilediği sistemler : Windows ailesi

Sisteme Veridiği Zararlar ve Etkileri :

• Sisteme uzaktan izinsiz girişleri olanak sağlar
• Registry kayıtlarıyla oynar-değiştirir
• Bilgisayarta güvenlik zaaflarına neden olur, açık alın anti-virüs programlarına etkisiz hale getirmeyi dener.

Takma Adları :
- Trojan-Proxy.Win32.Agent.ay
- BackDoor-CUX

Güvenlik-Temizleme Dosyası :
[ http://www.sophos.com/downloads/ide/paprox-d.ide ]

# Bazı Bilgiler

Troj/Paproxy-D kendisini sistem dosyalarının için kopyalar ve \\lsrss.exe adında bir dosya oluşturur. Dosya oluştuktan sonra kendisi ;
\\software.inf
\\mslogsvr.ini
\\msnextlog.dll
şeklinde yan dosyalar oluşturur. lsrss.exe dosyası explorer.exe çalıştığı zaman aktif hale gelir ve harekete geçer.Troj/Paproxy-D HTTP alt yapsını kullanan bir trojan türüdür. Çalıştığı zaman sistemin trojanın sahibi olan kişinin eline geçmesini sağlar.

Registry oynamalar :

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
LogService
\\lsrss.exe
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
LogService
\\lsrss.exe
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run
LogService
\\lsrss.exe
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
Shell
Explorer.exe \\lsrss.exe

Kaynak : www.sophos.com
[ Derleyem : // Sibernetix ]

Tomtom virüsleri

Tomtom virüsleri

Geçtiğimiz günlerde Reuters haber ajansının bildirdiği üzere “uzman bir web sitesi” son zamanlarda TomTom uydu rota tertibatında virüslerin olduğunu açığa çıkardı.

Belirtilmeyen ise, yukarıdaki web sitesinin gerçekte Davey Winder’ın virüsler hakkında derin analiz ve TomTom’un cevaplarını tamamen sağladığı Daniweb’deki blog sayfası olduğu.

Orada şöyle yazıyor: “endişeli bir kullanıcıdan gelen bir email ile başladı. Kaygısının nedeni olan yeni aldığı TomTom GO 910 satnav unit’in bilgisayarına bağlandıktan sonra, aniden anti virüs yazılımının uyarı vermesi. Bir değil, aslında iki uyarı…”

Evet, iki virüs, ancak TomTom’a göre müşterilerinin bilgisayarlarına olan risk son derece düşük.

Maalesef, Sophos uzmanları aynı fikirde değil ve diyorlar ki: “TomTom SatNav cihazları Linux tabanlı, ve zararlı yazılım tarafından etkilenemezler. Ancak, cihaza USB portları vasıtasıyla bağlanan Windows kullanıcıları zararlı kodları çalıştırmayı risk ediyorlar ve masa üstü bilgisayarlarına buşaştırıyorlar.”

TomTom, virüslerin virüs tarama yazılımları ile güvenle kaldırılabileceği üzerinde duruyor, peki ya bilgisayarlarındaki dijital bulaşmayı fark etmemiş olan kullanıcılar?

Fakat, Sophos’a göre, bu hikayenin en endişe verici yanı anti virüs yazılımı olmayan müşteriler ve “Windows bilgisayarlarına virüs bulaştırdıklarının farkında olmayan müşteriler.”

Esasında virüsler neredeyse şans eseri keşfedildi, örneğin TomTom GO bilgisayara bağlandığında ve cihaz üzerindeki içeriği depolama başladığında.

İlk olarak, TomTom soruna önem vermedi fakat Winder’ın hareketinin çıkardığı gürültünün ardından firma, kendi resmi web sitesinde bu virüsler hakkında tavsiyeler gösteren bir sayfayı yayınlamayı seçti. Sayfada tam olarak Winder’ın virüs hakkındaki düşünceleri belirtiliyor.

Tayvan’da MSN virüsü keşfedildi

Tayvan’da MSN virüsü keşfedildi

MSN bağımlıları dikkat! Taipei Times, Tayvan’da binlerce insanın, saldırganlar tarafından kullanıcıların bilgisayarlarının kontrol altına alınabilmesine olanak tanıyan, MSN vasıtasıyla iletilen bir virüsün etkisi altında olduğunu bildirdi.

Kulllanıcıların çoğu, kişiler listesinde düzenli olarak kayıtlı bulunan arkadaşlarından bir link aldı. Linke tıkladıklarında, bir backdoor virüsün bilgisayarlarına kurulduğunu fark ettiler.

Çoğu kullanıcı, ilk olarak kişi listelerinin yok olduğunu ve MSN Messenger’ı kapatmanın imkansız olduğunu bildirdi. Bir kısmı, Messenger Linkine tıkladıktan sonra ters olan hiçbir şey olmadığını kabul ederken, bazı kullanıcılar da bilgisayarlarında veri kaybı olduğunu belirtti.

Virüsün özellikleri ve ne kadar yaygın olduğu hakkında net bir bilgi yok, Doğrusu, bir taraftan MSN temsilcileri BKDR_RINBOT.A isminde bir backdoor virüsü tespit ettiklerini iddia ederken, diğer yandan Symantec Çin bölgesi uzmanları virüsün Backdoor.irc.Bot virüsü olarak tanımlanabileceğini belirtti.

Symantec’e göre, virüs, alıcının korumasını kaldırmak için linkleri göndermede kişi listesini kullanıyor.

Bu tür bir saldırının amacı hem virüsü yaymaya devam etmek için daha fazla kişiye ulaşmak, hem de virüsün bulaştığı bilgisayarlara tam kontrol kazanmak. Bunun yanında, virüsün bulaşmış olduğu bilgisayarların her yeniden başlatıldığında virüsü çalıştıracağı ve bir IRC sohbet odası sunucusuna bağlanmaya çalıştığı, bu sayede bu sunucuya bağlanan bütün bilgisayarların virüsten etkileneceği doğrulandı.