MGS'lilerin Bulusma Noktasi!
Would you like to react to this message? Create an account in a few clicks or log in to continue.


MGS - Milli Güvenlik Sektörü'nün Bulusma ve Paylaşım Noktası - Hosgeldiniz ...
 
AnasayfaLatest imagesAramaKayıt OlGiriş yap

MGS'lilerin Bulusma Noktasi! :: Pc-Bilisim-Teknoloji :: Hacking :: Virüsler
 

 Kriz Virüsü

Aşağa gitmek 
YazarMesaj
DjCedrics
Admin
DjCedrics


Mesaj Sayısı : 15
Kayıt tarihi : 09/06/08
Yaş : 36
Nerden : Ankara

Kriz Virüsü Empty
MesajKonu: Kriz Virüsü   Kriz Virüsü Icon_minitimeSalı Haz. 10, 2008 5:30 pm
KRİZ VİRÜSÜ
Kriz, bilgisayarın bellegine yerlesen çok safhalı bir virüstür. Win32 sistemleri altında
çogalır ve .EXE ve .SCR uzantılı PE EXE dosyalarına (tasınabilir çalıstırılabilirler) bulasır.
Ayrıca KERNEL32.DLL (Virüsün daima bellekte yerlesik kalmasını saglayan Windows
çekirdek kütüphanesi.) dosyasına da bulasır.
Virüs bir dosyaya bulasacagı zaman dosyanın sonunda yeni bir bölüm açar ve kodunu
sifreleyip oraya yazar.
Bulasmıs bir dosyayı belirlemek için virüs PE dosyasının baslıgında ayrı bir bölgeye
yazılmıs ‘666’ dizinini kullanır. Bulasmadan önce, virüs, dosya isimlerini kontrol ederek
asagıdaki isimli dosyalara bulasmaz:
AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE,
AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE,
NAVRUNR.EXE, NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE,
NSPLUGIN.EXE, SCAN.EXE, SMSS.EXE
KERNEL32.DLL’e bulasırken kendi Export Table’ını (export edilen fonksiyon listesi) yamar
ve birçok fonksiyonun adreslerini degistirerek bir sonraki Windows baslangıcında bu
fonksiyonlara erisimi kontrol altına alır.
Böylelikle virüs dosya erisimlerini takip eder ve bu fonksiyonların çagrıları yoluyla
ulasılan dosyalara bulasma imkanı bulur.
Virüs 16 KERNEL32 fonksiyonunu izleyebilir: dosya açma, kopyalama, silme, dosya
özelliklerini sorgulama ve degistirme, yeni bir islem olusturma ve digerleri...
KERNEL32.DLL kütüphanesine bulasmak için (bu kütüphaneye Windows açıkken
salt-okunur modda ulasılabilir) virüs dosyayı geçici bir isimde kopyalar (bu versiyonu
KRIZED.TT6 olarak WindowsSystem klasörüne kopyalar) ve bulasır. Sonra wininit.ini
dosyası olusturarak Windows'un bir sonraki baslangıçta KERNEL32.DLL dosyasını bulasmıs
kopyasıyla degistirmesine neden olur.
Virüs 25 Aralıkta aktiflesen tehlikeli bir yapıya sahiptir. Herhangi bir dosyaya
bulasırken CMOS bellegini öldürür ve sabit disklerdeki bütün dosyaların üzerine yazar. Daha
sonra Flash BIOS’u CIH’ın (Diger adıyla Chernobyl ) kullandıgı yöntemle hasara ugratır.
Virüs bir çok metin yazısı içerir, ekrana hiç getirilmeyen bir siir de bunlara dahil
Sayfa başına dön Aşağa gitmek
https://mgs-forum.hareketforum.net
 
Kriz Virüsü
Sayfa başına dön 
1 sayfadaki 1 sayfası
 Similar topics
-

Bu forumun müsaadesi var:Bu forumdaki mesajlara cevap veremezsiniz
MGS'lilerin Bulusma Noktasi! :: Pc-Bilisim-Teknoloji :: Hacking :: Virüsler-
Buraya geçin: