Bu sayfadaki bilgiler PC Magazine Turkey dergisinden alinmistir.Bu icin sitesini ziyaret edelim.
Bu virus,13 Eylul-13 Aralik-26 Aralik tarihlerinde aktif hale geciyor ve "Matrix" baslikli dialog kutusu cikartiyor ve kullaniciya ismini soruyor.Herhangi bir deger girilip "Tamam" denildiginde kullaniciya "Do you know,you're the greatest stupid lamer?If you no please call www.microsoft.com" biciminde hakaret ediyor ve Windows uygulamaninizi kapatiyor.
Outlook yoluyla kendini yayan virusun ozellikleri soyledir:
I HATE YOU konulu "Kindly check the attached GOODBYE NEWSGROUP coming from me" mesaj metni gonderen bu virus MY-FAREWELL-2-NEWSGROUPS.TXT.VBS ekini harekete geciriyor.Bu yuzden size gonderilen her attach 'li dosyayi acmayiniz.Size e-mail gonderen kisi de bunun farkında olmayabilir.Bu ornek ekte dosya uzantisi TXT biciminde gorunmesine karsilik Visual Basic ile yazilan program harekete gecmektedir.Bu dosyayi actiginizda virus harekete gecmektedir.Bu virus daha rahat yayılmak icin Mirc 'deki Script.ini dosyasini degistirdikten sonra Explorer baslangic sayfasini bir web sitesindeki WIN-BUGS-FIX.exe dosyasina ayarliyor.Buradaki kopyalanan dosya ise LoveLetter Trojanindan baska bir sey degil.Kullanici bu dosyalari alip,bir de bilgisayari yeniden baslatirsa virus goreve baslamis demektir. Hayırlı olsun:))Daha sonra virus yayılmak icin kendini sizin Outlook adres defterinizdeki kisilere gonderiyor.:))Virus sizin diger kisilerin bilgisayarlarinda bulunan MP3,MP2,VBS,VBE,JS,JSE,CSS,HTA tipindeki dosyalari yeniden yazip vbs formatina cevirdikten sonra etkiledigi tüm dosyalari siliyor.
Word 'de Makro virusudur.Makro eklemek istediginizde ekrana cesitli mesaj diyolaoglari cikarmaktadir.
Lovers.exe dosyasini e-mail yoluyla bilgisayarina alan kisi virus ile ilk tanisma asamasini baslatmis olmaktadir. Choose your poison konulu lovers.exe veya girls.exe eklerle gelmektedir.Virus calistirildiginda "Gecerli bie Win32 uygulamasi degil" hata mesajini vermektedir.Wimdows/System klasorune gdi32.exe ismiyle kopyalanmaktadir ve bir takim ayarlamalarla(Win Register) ikinci kısmını bilgisayariniza kopyaliyor."lastversion.txt" dosyasindaki bilgilere bakarak bunu yapan virus buradan uygun dosyayi bilgisayariniza kopyaliyor.Sonraki asamada virus,"emsmtp.dll" isimli dosyayi --------> e-mail yoluyla sifre gondermesine yardimci olan bu dosyayi <----------- siteden indiriyor. Bazi kotu niyetli kullanicilar da bilgisayarinizi kontrol edebilmektedirler.
Etkiledigi bilgisayarin IP adresini,bir takim sifrelerini,kullanici adi bilgilerini bunu kullanan kisilere gonderen trojan,bilgisayarinizdaki windows,ekran koruyucu sifelerini deigsimlerine imkan vermektedir.Bu trojan windows saatinin yaninda A harfi ile bicimlenmektedir.
Outlook imza sistemi ile yayilmaktadir.c:\windows\out.html dosyasini imza bicimine donusturen virus,windows yeniden baslatildiginda etkisini gosteriyor.
XLSTART klasorundeki shn.xls dosyasi yaratan virus,etkilenmis belgeler 2 dk.acik kalirsa excel dosyalarini degistirmektedir ve "Hye.You have just got me..............up by a VIRUS" metnine sahip uzunca bir mesaj kutusu cıkarmaktadir.Tespit edilen kutu basliklari ise bir hayli coktur.(Your mom is asking,would you mind telling,great artist ..... vb.)
ActiveX kodu calistirildiginda aktif hale gecen virus,merakli kullanicilar icin ideal yayilma ortami saglamaktadir. Eger kullanici "evet" tusuna basarsa virus Outlook yoluyla yayiliyor.Kullaniciyi kurnaz mesaj kutulari ile avlayan virus bu sayede kullanicinin tüm sifrelerini e-mail yoluyla baskalarina gondermektedir.Eger "Genie of all secrets So did you learn your lesson?"sorusunu soran virus,kullanici "yes" secenegini secerse,kendini gondermeyi durduruyor."no" secenegi secilirse yayilmaya devam ediyor. ActiveX 'leri kontrol eden anti-virusler ile korunulabilmektedir.Ayrica IE ActiveX guvenliklerini ust duzeye cıkarmakla bu tur viruslerden kurtulabilrsiniz.
Sadece e-mail yoluyla yayilmiyor.Ag icinde yayilan bu trojan,paylastirilmis Windows klasoru bulursa notepad.exe ismi ile buraya yerlesiyor.Etkilenenler,sadece virusu yapan kisinin insafina kalmis olmasi da diger bir ilginc ozellik.Etkiledigi bilgisayarlarin IP adreslerini Cin'deki e-mail adresine gondermektedir. Virusu yapan kisi,bilgisayarinizdaki bir programi calistirabilir,bilgisayariniza dosyalar gonderebilir veya yaratabilir.Windows registerdeki qazwsx.hsq icerigini silin,notepad.exe dosyasini silin ve note.com isimli dosyayi notepad.exe olarak degistirin.Sonra da Anti-virus yazilimi iel bilgisayarinizi virusleden temizleyin. Bu virus cok kurnazca dusunulmus bir ag trojanidir.
[ Ana Sayfa | Osmangazi Universitesi | Geocities ]
e-mail: bergul@mail.ogu.edu.tr
Son Guncelleme: 24.12.2000