Uzaktan kumandalı bir virüs yayılıyor

Maniccum adlı solucan, seçilen bilgisayarlara öncelikle MSN Messenger'ın anlık mesajlaşma servisleri aracılığıyla bulaşmaya çalışır.

Maniccum, saldırganların solucanı çeşitli komutlar aracılığıyla IRC aracılığıyla kontrol etmesine yardımcı olan bir dizi özelliğe sahiptir. Solucan, virüslü bilgisayarda depolanan dosyalara erişebilir, bir HTTP sunucusu başlatabilir veya hizmet reddi (DoS) saldırıları başlatabilir. Ayrıca solucanı sistemlerinden kontrol edebilir, güncelleyebilir veya kaldırabilirler.

Maniccum'un ek bir tehdidi, bilgisayarlarda çalışan belirli güvenlik uygulamalarını felç etmesi ve ayrıca virüsten koruma yazılımının otomatik olarak başlatılmasını engellemesidir.

Maniccum başladığında, aşağıdaki eylemleri gerçekleştirir:

1. Kendini Windows Sistem dizinine [rastgele karakterler] .exe olarak kopyalayın.

2. Kayıt veritabanı
HKEY_LOCAL_MACHINE \ YAZILIM \ Microsoft \ Windows \ CurrentV ersion \ Çalıştır
HKEY_LOCAL_MACHINE \ YAZILIM \ Microsoft \ Windows \ CurrentV ersion
\ RunServices
anahtarlarınıza ekler
“Mxb2” = “[rastgele karakterler] .exe”.

3. Aşağıdaki girişler kayıt veri tabanından silinecektir:
HKEY_LOCAL_MACHINE \ YAZILIM \\ Microsoft \\ Windows \\ Güncel Sürüm \ Çalıştır
CCApp
HKEY_LOCAL_MACHINE \ YAZILIM \\ Microsoft \\ Windows \\ Güncel Sürüm \ Çalıştır
"KAV50"
HKEY_LOCAL_MACHINE \ YAZILIM \\ Microsoft \\ Windows \\ Güncel Sürüm \ Çalıştır
McAfee Koruyucusu
HKEY_LOCAL_MACHINE \ YAZILIM \\ Microsoft \\ Windows \\ Güncel Sürüm \ Çalıştır
McAfee.InstantUpdate.Monitor
HKEY_LOCAL_MACHINE \ YAZILIM \\ Microsoft \\ Windows \\ Güncel Sürüm \ Çalıştır
“KAVPKişisel50”
HKEY_LOCAL_MACHINE \ YAZILIM \\ Microsoft \\ Windows \\ Güncel Sürüm \ Çalıştır
"Ort7_emc"
HKEY_LOCAL_MACHINE \ YAZILIM \\ Microsoft \\ Windows \\ Güncel Sürüm \ Çalıştır
"Ort7_cc"
HKEY_LOCAL_MACHINE \ YAZILIM \\ Microsoft \\ Windows \\ Güncel Sürüm \ Çalıştır
"Nod32kui"
HKEY_LOCAL_MACHINE \ YAZILIM \\ Microsoft \\ Windows \\ Güncel Sürüm \ Çalıştır
"BDOESRV"

4. Kayıt veritabanını değiştirin
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess
\ Parametreler \ Güvenlik Duvarı Politikası \ StandardProfile
HKEY_LOCAL_MACHINE \ YAZILIM \ İlkeler \ Microsoft \ Windows Güvenlik Duvarı
\ Etki AlanıProfili
anahtara dahil
"Güvenlik Duvarını Etkinleştir" = "0".

5, Başlık çubuğunda aşağıdaki sözcüklerin bulunduğu pencereleri kapatır:
NORTON
VİRÜS
GÜVENLİK DUVARI
TARAMA

NETSTAT
WINDOWS GÖREV YÖNETİCİSİ
ETHEREAL AĞ ANALİZÖRÜ
KAYIT DÜZENLEYİCİ
SİSTEM YAPILANDIRMA YARDIMCISI

6. 5190 numaralı TCP bağlantı noktası üzerinden bir IRC sunucusuna bağlanın ve saldırgan komutlarının aşağıdaki eylemleri gerçekleştirmesini bekleyin:
- yerel dosyalara erişin
- dizin oluşturma
- solucan güncellemesi
- HTTP sunucusunu başlat
- DoS saldırılarını başlatın
- solucan temizleme.