Bahsi geçen virüs ( aslında bir worm) bir çok kişi tarafından temizlenememiş ve bazı antivirus ve virus analiz firmaları tarafından 1 ay gibi bir zaman içerisinde çözümlenebilmiştir. Virus çok hızlı bir şekilde usb diskler ,flash bellekler ve network paylaşımları tarafından yayılmaktadır. En önemli özelliği ise userinit.exe ye yerlesip winlogon da çalışabilmesidir.
Türevleri : Virus.VBS.Small.a VBS/Autorun.C@troj VBS/Small.NAB VBS_SMALL.JAJ
Kendisini registry e regleyerek çalışmaktadır. Uzantısından da belli olduğu gibi Visual Basic Script şeklinde kodlanmıştır. 483 ile 1368KB arasında farklı boyutlarda olabilmektedir.
-autorun.bat
-autorun.vbs
-autorun.inf
-autorun.reg
.\autorun.bin %WinDir%\system32\autorun.bin c:\autorun.txt
Çalıştığında yukarıdaki dosyaları oluşturacaktır.
.\autorun.vbs %WinDir%\system32\autorun.vbs
%System%\system.
Bahsettiğimiz reg kaydı sayesinde autorun.vbs yi arar ve çalıştırır. Ramin 4 te 1 ini işgal edecektir.
Temizleme şekli :
Aşağıdaki dosyaları silerek işe başlayabilirsiniz.
c:\autorun.txt
.\autorun.bin .\autorun.vbs %WinDir%\system32\autorun.bin %WinDir%\system32\autorun.vbs
Registry den aşağıdaki entryleri silerek kurtulabilirsiniz.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
autorun
sxs.exe
HKLMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
userinit.exe,autorun.bat
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden
dword:00000000
Hidden
dword:00000002
3 Responses
Bu wp de benim nasıl linkim yok bakem hemen düşünmeden söle ???
Posted on Şubat 26th, 2008 at 13:47
Sizi Eklemeden olur mu hocam
Posted on Şubat 26th, 2008 at 17:30
Olm Eser seninkide site mi
Posted on Mart 3rd, 2008 at 10:55
Add A Comment