TANIM:
W32.Blackmal.E@mm, ağ paylaşımlarını kullanarak yayılan ve e-posta gönderen bir solucandır.
Etkilediği Sistemler: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
Teknik Bilgiler:
Aşağıdaki dosyalardan biri halinde kendini kopyalar:
%Windir%\Rundll16.exe
%System%\scanregw.exe
%System%\Winzip.exe
%System%\Update.exe
%System%\WINZIP_TMP.EXE
%System%\SAMPLE.ZIP
%System%\New WinZip File.exe
movies.exe
Zipped Files.exe
İçi boş, kendi adında .zip uzantılı dosya oluşturur ve %System% klasörüne kopyalar. Daha sonra bu dosyayı açarak kendini gizler.
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" anahtarına "ScanRegistry" = "scanregw.exe /scan" değerini ekler. Sonuç olarak Windows her başladığında çalışır.
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" anahtarına ulaşıp "WebView" = "0" , "ShowSuperHidden" = "0" değerlerini değiştirir.
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState" anahtarına ulaşıp "FullPath" = "0" değerini değiştirir.
Aşağıdaki dosya yollarını siler:
%ProgramFiles%\DAP\*.dll
%ProgramFiles%\BearShare\*.dll
%ProgramFiles%\Symantec\LiveUpdate\*.*
%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
%ProgramFiles%\Norton AntiVirus\*.exe
%ProgramFiles%\Alwil Software\Avast4\*.exe
%ProgramFiles%\McAfee.com\VSO\*.exe
%ProgramFiles%\McAfee.com\Agent\*.*
%ProgramFiles%\McAfee.com\shared\*.*
%ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
%ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe
%ProgramFiles%\Trend Micro\Internet Security\*.exe
%ProgramFiles%\NavNT\*.exe
%ProgramFiles%\Morpheus\*.dll
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
%ProgramFiles%\Grisoft\AVG7\*.dll
%ProgramFiles%\TREND MICRO\OfficeScan\*.dll
%ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar
Aşağıdaki başlıkları taşıyan pencereleri kapatır:
SYMANTEC
SCAN
KASPERSKY
VIRUS
MCAFEE
TREND MICRO
NORTON
REMOVAL
FIX
".htm, .dbx, .eml, .msg, .oft, .nws, .vcf, .mbx, .imh, .txt, .msf" uzantılı dosyalardan e-posta adreslerine ulaşır.
Edindiği e-posta adreslerine:
*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad, başlıklı ve:
007.pif
392315089702606E-02,.scR
677.pif
Adults_9,zip.sCR
Arab sex DSC-00465.jpg
ATT01.zip.sCR
Attachments[001],B64.sCr
Clipe,zip.sCr
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.pdf
eBook.PIF
image04.pif
New Video,zip
New_Document_file.pif
photo.pif
Photos,zip.sCR
School.pif
SeX,zip.scR
Sex.mim
Video_part.mim
WinZip,zip.scR
WinZip.BHX
WinZip.zip.sCR
Word XP.zip.sCR
Word.zip.sCR
04.pif
DSC-00465.Pif
DSC-00465.pIf
image04.pif ekli postalar gönderir.
ÇÖZÜM:
Symantec'in temizleme aracı kullanılabilir: Fix.Blackmal , Fix.Blackmal(web)
Eğer bir sonuç alamazsanız aşağıdaki elle temizleme adımlarını izleyin:
Windows XP'de aktif olarak kullanılan Sistem Geri Yükleme özelliği ile virüs, solucan veya trojan içeren dosyalar yedeklenmiş olabilir. Windows, diğer programların bu yedek dosyalara erişmesini engeller (antivirüs yazılımları dahil). Bilgisayarım'a sağ tıklayıp Özellikler bölümüne girin. Açılan pencerede Sistem Geri Yükleme sekmesine tıklayıp kutucuğu işaretleyerek bu servisi kapatın.
Antivirüs yazılımınızı internetten veya üreticinin sağladığı paketler yardımıyla güncelleyin. (Norton güncelleştirme dosyası)
Tüm sistemi taratın. Eğer W32.Blackmal.E@mm içeren dosyalar bulunduysa ve antivirüs programınız bu dosyaları silemediyse, bilgisayarınızı güvenli modda başlatın ve tekrar taratıp bulunan dosyaları silin.
Başlat'tan Çalıştır'a girin ve 'regedit' yazıp enter tuşuna basın.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run alt anahtarına ulaşıp sağ pencerede bulunan "ScanRegistry" = "scanregw.exe /scan" değerini silin.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ExplorerAdvanced alt anahtarına ulaşıp sağ pencerede bulunan "WebView" ve "ShowSuperHidden" değerlerini "0" olarak değiştirin.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ExplorerCabinetState alt anahtarına ulaşıp sağ pencerede bulunan "FullPath" değerini "0" olarak değiştirin.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Licenses alt anahtarında, virüs tarafından değiştirilmiş değerleri düzeltin ve kayıt defterinden çıkın.