Türkiyenin Oyun Bilgi Paylaşım Platformu....KnightOnline, WOW, Silkroad , CabalOnline, 9Dragons, DOTA, Counter Strike ve Dahası.... - Tekil Mesaj gösterimi

_:K_A_T_İ_L:_ · 04-12-07, 20:49

MTX virüsünün 3 ayrı şekli vardır. Worm (Solucan) , Virus ve Backdoor (Trojan). Bu virus sadece Win32 dosyalarına zarar verebilir. Çalıştırılabilen dosyalara bulaşır ve kendini e-mail ile ataşmanlayarak e-mail attığınız herkeze ulaşır.

Virus alışılagelmedik bir yapı kullanmaktadır. 3 ayrı özelliği özelliği içeriyor. (Worm, Virus, Backdoor) Ana olarak Virus'ün kendisi, bundan ayrı olarak sıkıştırılmış formda worm ve backdoor kodu yer alır.

Virüsün genel yapısı şu şekildedir.

------------------
The virus --> Bu kısım bilgisayara worm ve backdoor u yükler.
installation Win32 dosyalarına bulaşır.
and infection
routines
------------------
Worm code --> Virüs yüklenirken sıkıştırılmış formdan açılır.
(compressed)
------------------
Backdoor code --> Virüs yüklenirken sıkıştırılmış formdan açılır.
(compressed)
------------------

Virüs aşağıdaki TEXT'leri içermektedir.

Worm aşağıdaki TEXT'leri içermektedir.

Backdoor aşağıdaki TEXT'leri içermektedir.

Virüs'ün içeriğiVirüs bulaşırken EPO adıverilne bir teknoloji kullanmkatadır.
EPO: Giriş Gizlenme Noktası. Bu demektir ki; virüs bulaşacağı dosyanın giriş
koduna zarar vermeden programın kodunun orta bir yerine kendini yazmasıdır.
Virüs enkripte edilmiş bir virüsdür. Önce
kendinisini dekripte ederek bulaşmaya başlar. İlk işi Win32 API lerini, Kernel
kullanarak tarar ve Windows 9x ve Win2K ve NT dosyalarına bulaşır.

Aşağıdaki adı geçen programlardan biri sistemde
varsa virüs bunu otomatikman bularak çalışmaz hale getirir.

AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan

Virüs Windows dizinine 3 adet dosya oluşturur.

IE_PACK.EXE - saf Worm kodu
WIN32.DLL - Virüs bulaşmış Worm kodu
MTX_.EXE - Backdoor kodu

Worm kısmı:

Solucan WSOCK32.DLL sisitem dosyasına bulaşıyor. Ve
diğer kullanıcılara bu dosyayı yolluyor. bazı komut dizilernini ise WININIT.INI
dosyasına yazıyor.

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=D:\WINDOWS\SYSTEM\WS OCK32.MTX

where "C:\WINDOWS\SYSTEM" is the name of the
Windows system directory and may differ depending on the name of the directory where
Windows is installed.

Virüslü WSOCK32 internet erişimimi ve e-mail
gönderimi kontrol altına alıyor ve aşağıdaki domain lere girii engelliyor. Bu sayede
kullanıcı internetten virüs arama/tarama programını indiremiyor.

nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman

Virüs aşağıdaki e-mail adreslerine yollanan mailleri
de göndermiyor.

wildlist.o*
il.esafe.c*
perfectsup*
complex.is*
HiServ.com*
hiserv.com*
metr****h*
beyond.com*
mcafee.com*
pandasoftw*
earthlink.*
inexar.com*
comkom.co.*
meditrade.*
mabex.com *
cellc****om*
symantec.c*
successful*
inforamp.n*
newell.com*
singnet.co*
bmcd.com.a*
bca.com.nz*
trendmicro*
sophos.com*
maple.com.*
netsales.n*
f-secure.c*

Virüs mail yolu ile kendini yollarken aşağıadki
isimlerden biri olarak yolluyor. Bu dosyalardan biri size ataşmanlı olarak email ile
gelirse sakın açmayın.

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_*****.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_*****.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_*****.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_****.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
****ING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Backdoor kısımında ise virüs Registry'ye aşağıdaki
satırları giriyor.

HKLM\Software\[MATRIX]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemBackup=%WinDir%\MTX_.EXE

Eğer kullandığınız antivirüs virüsü silemiyorsa
aşağıdaki dosyayı indirip çalıştırarak tekrar deneyin.

ftp://ftp.Europe.F-Secure.com/anti-v...s/mtxdisin.reg

DOS'a çıkıp aşağıdaki 3 dosyayı silmeniz mümkün.
Bu dosyalar Windows dizini altında.

IE_PACK.EXE
WIN32.DLL
MTX_.EXE

Virüsü Norton Antivirüs 2000 6.0 , AVG ve F-Prot ile
silmek mümkün.

K2 nin işi gercekten zor bi an önce hallederler umarım

04-12-07, 20:49	#1
_:K_A_T_İ_L:_ lBasKomutaNl Üyelik Tarihi: Jul 2006 Mesajlar: 581 Tecrübe Puanı: 64	Xtrap Hacked MTX virüsünün 3 ayrı şekli vardır. Worm (Solucan) , Virus ve Backdoor (Trojan). Bu virus sadece Win32 dosyalarına zarar verebilir. Çalıştırılabilen dosyalara bulaşır ve kendini e-mail ile ataşmanlayarak e-mail attığınız herkeze ulaşır. Virus alışılagelmedik bir yapı kullanmaktadır. 3 ayrı özelliği özelliği içeriyor. (Worm, Virus, Backdoor) Ana olarak Virus'ün kendisi, bundan ayrı olarak sıkıştırılmış formda worm ve backdoor kodu yer alır. Virüsün genel yapısı şu şekildedir. ------------------ The virus --> Bu kısım bilgisayara worm ve backdoor u yükler. installation Win32 dosyalarına bulaşır. and infection routines ------------------ Worm code --> Virüs yüklenirken sıkıştırılmış formdan açılır. (compressed) ------------------ Backdoor code --> Virüs yüklenirken sıkıştırılmış formdan açılır. (compressed) ------------------ Virüs aşağıdaki TEXT'leri içermektedir. Worm aşağıdaki TEXT'leri içermektedir. Backdoor aşağıdaki TEXT'leri içermektedir. Virüs'ün içeriğiVirüs bulaşırken EPO adıverilne bir teknoloji kullanmkatadır. EPO: Giriş Gizlenme Noktası. Bu demektir ki; virüs bulaşacağı dosyanın giriş koduna zarar vermeden programın kodunun orta bir yerine kendini yazmasıdır. Virüs enkripte edilmiş bir virüsdür. Önce kendinisini dekripte ederek bulaşmaya başlar. İlk işi Win32 API lerini, Kernel kullanarak tarar ve Windows 9x ve Win2K ve NT dosyalarına bulaşır. Aşağıdaki adı geçen programlardan biri sistemde varsa virüs bunu otomatikman bularak çalışmaz hale getirir. AntiViral Toolkit Pro AVP Monitor Vsstat Webscanx Avconsol McAfee VirusScan Vshwin32 Central do McAfee VirusScan Virüs Windows dizinine 3 adet dosya oluşturur. IE_PACK.EXE - saf Worm kodu WIN32.DLL - Virüs bulaşmış Worm kodu MTX_.EXE - Backdoor kodu Worm kısmı: Solucan WSOCK32.DLL sisitem dosyasına bulaşıyor. Ve diğer kullanıcılara bu dosyayı yolluyor. bazı komut dizilernini ise WININIT.INI dosyasına yazıyor. NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL C:\WINDOWS\SYSTEM\WSOCK32.DLL=D:\WINDOWS\SYSTEM\WS OCK32.MTX where "C:\WINDOWS\SYSTEM" is the name of the Windows system directory and may differ depending on the name of the directory where Windows is installed. Virüslü WSOCK32 internet erişimimi ve e-mail gönderimi kontrol altına alıyor ve aşağıdaki domain lere girii engelliyor. Bu sayede kullanıcı internetten virüs arama/tarama programını indiremiyor. nii. nai. avp. f-se mapl pand soph ndmi afee yenn lywa tbav yman Virüs aşağıdaki e-mail adreslerine yollanan mailleri de göndermiyor. wildlist.o* il.esafe.c* perfectsup* complex.is* HiServ.com* hiserv.com* metr***h beyond.com* mcafee.com* pandasoftw* earthlink.* inexar.com* comkom.co.* meditrade.* mabex.com * cellc***om symantec.c* successful* inforamp.n* newell.com* singnet.co* bmcd.com.a* bca.com.nz* trendmicro* sophos.com* maple.com.* netsales.n* f-secure.c* Virüs mail yolu ile kendini yollarken aşağıadki isimlerden biri olarak yolluyor. Bu dosyalardan biri size ataşmanlı olarak email ile gelirse sakın açmayın. README.TXT.pif I_wanna_see_YOU.TXT.pif MATRiX_Screen_***.SCR LOVE_LETTER_FOR_YOU.TXT.pif NEW_playboy_Screen_*.SCR BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif FEITICEIRA_NUA.JPG.pif Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif METALLICA_SONG.MP3.pif ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif ALANIS_Screen_*.SCR READER_DIGEST_LETTER.TXT.pif WIN_$100_NOW.DOC.pif IS_LINUX_GOOD_ENOUGH!.TXT.pif QI_TEST.EXE AVP_Updates.EXE SEICHO-NO-IE.EXE YOU_are_FAT!.TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif Me_.AVI.pif Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif HANSON.SCR **ING_WITH_DOGS.SCR MATRiX_2_is_OUT.SCR zipped_files.EXE BLINK_182.MP3.pif Backdoor kısımında ise virüs Registry'ye aşağıdaki satırları giriyor. HKLM\Software\[MATRIX] HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemBackup=%WinDir%\MTX_.EXE Eğer kullandığınız antivirüs virüsü silemiyorsa aşağıdaki dosyayı indirip çalıştırarak tekrar deneyin. ftp://ftp.Europe.F-Secure.com/anti-v...s/mtxdisin.reg DOS'a çıkıp aşağıdaki 3 dosyayı silmeniz mümkün. Bu dosyalar Windows dizini altında. IE_PACK.EXE WIN32.DLL MTX_.EXE Virüsü Norton Antivirüs 2000 6.0 , AVG ve F-Prot ile silmek mümkün. K2 nin işi gercekten zor bi an önce hallederler umarım