Brad-Let

Aslında bir solucan (worm) olan W32/Lovgate.ad@MM e-mail yolu ile bilgisayarınıza bulaşıyor. Sonra, bir arka kapı açarak hacker'ın bilgisayarınıza ulaşıp istediğini yapmasını sağlıyor. Çalışan dosyalara (.EXE) bulaşıyor. Anti-virüs ve firewall'ı etkisiz hale getirmeye çalışıyor. Kendisini e-posta'nızdaki adreslere göndermeye çalışıyor. Böyle yayılıyor.

Konusu; "hi, hello, Hello, Mail transaction Failed, mail delivery system" gibi olan e-posta'lara dikkat!!!. Bunlarla bulaşıyor. Okumadan silin. Mesaj içeriğinde "Mail failed. For further assistance, please contact!" olması tehlikeli !!! Aslında bu yazıyı okuduğunuzda iş işten geçmiş olabilir. Mesaj ekinde unicode karakterlerle oluşturulmuş ikili (binary) ".bin" dosyalar (attachment) geliyor. Rastgele bir şekilde .EXE, .PIF, .SCR, .ZIP dosya tiplerinde mesaj ekleri (attachment) yeralıyor.

Aşağıdaki dosyalar solucanın ilk aşamada bulaştığı ve kullandığı dosyalardır;
%WinDir%\System32\IEXPLORE.EXE
%WinDir%\System32\KERNEL66.DLL
%WinDir%\System32\RAVMOND.exe
%WinDir%\System32\HXDEF.EXE
%WinDir%\System32\UPDATE_OB.EXE
%WinDir%\System32\TKBELLEXE.EXE
%WinDir%\SYSTRA.EXE
%WinDir%\SVCHOST.EXE.EXE
C:\COMMAND.EXE
%WinDir%\System32\MSJDBC11.DLL
%WinDir%\System32\MSSIGN30.DLL
%WinDir%\System32\ODBC16.DLL
%WinDir%\System32\LMMIB20.DLL

Solucan kendini arşivleyerek (ZIP'leyerek gibi) COM, EXE, PIF veya SCR gibi dosya tiplerinde ve password, email, book, letter, bak, work, important gibi dosya adı ile saklıyor. örneğin; important.scr gibi...

Sistemin açılışında çalışması için;
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows "run" = RAVMOND.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "Hardware Profile" = %SysDir%\HXDEF.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "WinHelp" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
gibi registry'e ilaveler yapıyor.

Solucan ilave servisleri için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
runServices "SystemTra" = %WinDir%\SYSTRA.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
runServices "COMM++System" = %WinDir%\SVCHOST.EXE
gibi registry'e kayıtlar ilave ediyor.

Arka kapı açmak için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
gibi registry'e kayıtlar ilave ediyor.

Solucanın ilave ettiği iki servis;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\_reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Windows Management Protocol v.0 (experimental)
başlıkları altında yeralıyor ve bu servisler ile ilgili detay bilgi;

Service 1
Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic

Service 2
Display name: Windows Management Protocol v.0 (experimental)
Description: Windows Advanced Server. Performs scheduled scans for LANguard.
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic

şeklinde oluyor.

Solucan kendini .EXE uzantılı dosyalara kopyalıyor ve asıl dosyanın ismini .ZMX olarak değiştiriyor.

Aşağıdaki kelimeleri içeren servisleri ya da bellekte çalışan programları durduruyor;

rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
Duba

Şimdilik manuel (elle) ve otomatik silme yöntemi bulunamadı, ancak bazı antivirüs firmaları kendi yazılımlarının bu solucanı durdurabildiğini söylüyor.

Hızla yayılmaktadır, birkaç gün olmasına rağmen bu tip elektronik postaların sayısı artmıştır, Aldığınız elektronik postalara aman dikkat, şüphelendiklerinizi açmadan silin.