Trojan.NSIS.Voter.a
Keşfedilme tarihi: 26 Mayıs 2007
Tanımlanma tarihi: 15.11.2007
Davranış: Trojan

Teknik detaylar:
Trojan  windows PE formatındaki exe uzantılı bir dosyadır. Trojanın bileşenlerinin boyutu yaklaşık olarak 17KB ile 286KB arasında değişir.

Kurulum:
Bir kere başlatıldığında trojan kendi içeriğinden aktif kullanıcının masaüstüne aşağıdaki dosyayı extract eder.

Raila Odinga.gif

Ve dosyayı başlatır. Daha sonra kullanıcı aşağıdaki resmi görecektir.

Ve trojan aşağıdaki çalıştırılabilir dosyayı belirtilen konumda oluşturur.

%System%\drivers\RailaOdinga.exe

Ve aşağıdaki dosyayı belirtilen konuma kendi içeriğinden extract edecektir.

%Temp%\nswC.tmp\System.dll

Trojan sistem açılışında çalıştırılacak şekilde düzenlenmiştir. Ve bunun için aşağıdaki kayıt defteri anahtarına aşağıdaki linki ekler.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

@ = "%System%\drivers\RailaOdinga"

Trojan birde aşağıdaki kısayolu oluşturacaktır.

%Documents and Settings%\Start Menu \Programs\Autorun\RailaOdinga.lnk

Bu kısayol çalıştırıldığı zaman, trojanın çalıştırılabilir dosyası başlatılacaktır.

Zarar:
Trojan aşağıdaki dosyayı çıkarılıp takılabilir medyalara aşağıdaki isimle kopyalar.

:\smss.exe
Ve birde aşağıdaki resim dosyasını kopyalar.

:\Raila Odinga.gif

Yukarıdaki X harfi çıkarılabilir diskin sürücü harfidir.

Trojan çıkarılabilir disklerin açılışına bir autorun.ınf dosyası oluşturur. Dosya çıkarılabilir diski kullanıcı sisteminde kullanmaya çalıştığı zaman trojanın çalıştırılabilir dosyasını otomatik olarak başlatır.

Trojan tekrar tekrar çıkarılabilir disklerdeki klasörlere dosyayı kopyalar. Bu kopyalanan dosya çıkarılabilir diskteki virüsün yerleştiği klasör isimleri ile aynı isimleri kullanır.

Temizleme:
Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun. Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın.

1- Ctrl+Alt+Del tuşları ile gelen görev yöneticisinden işlemler sekmesinden çalışan worm dosyasını sonlandırın.

2- Orijinal trojan dosyasını silin.3- Sistemdeki kayıt yöneticisinden aşağıdaki parametreleri silin.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
@ = "%System%\drivers\RailaOdinga"

4- Aşağıda belirtilen dosyaları silin.

%Temp%\nswC.tmp\System.dll %System%\drivers\RailaOdinga.exe %Documents and Settings%\ Start Menu \Programs\Autorun\RailaOdinga.lnk

5- Aşağıda belirtilen masaüstündeki dosyayı silin.

Raila Odinga.gif

6- Ve trojanın bulaştığı çıkarılabilir disklerdeki trojan dosyalarını silin.

7- Trojanın oluşturduğu çıkarılabilir disklerdeki autorun.ınf dosyasını silin.

8- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın