İlk kez 28 Haziran 2007‘de ortaya çıkan solucan, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP işletim sistemlerinde etkili oluyor. Her ne kadar, birçok antivirüs yazılımı ya da şahıs tarafından “düşük zararlı” olarak nitelendirilse de, önlem alınmadığı taktirde büyük hasarlara yol açabiliyor. Uzun zamandır ortalarda görünmeyen ancak son zamanlarda yeniden adından söz ettiren solucan, adından ve oluşturduğu dosyalardan anlaşılacağı üzere bir Türk tarafından yazılmışa benziyor.

İlk kez çalıştırıldığında;

• %Temp%\NESNELER.EXE
• %System%\PAC.EXE
• %System%\[ORIGINAL FILE NAME]
• %System%\lil11.dll
• %System%\MSWINSCK.OCX
• %System%\scrrntr.dll
• %System%\KMON.OCX
• %System%\KTKBDHK3.DLL
• %System%\ACD.CMD
• %System%\ACD2.CMD

dosyalarını oluşturan solucan, aşağıdaki kayıt defteri girdisini de değiştiriyor:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Shell” = “Explorer.exe [ORIGINAL FILE NAME]“

Kaldırılabilir depolama aygıtları [harddisk, flash disk vb.] ve ağ paylaşımları ile yayılan solucan, bu sayede bulaştığı sistemi dış sistemler tarafından erişilebilecek duruma getiriliyor. Bunun dışında;

• bilgileri çalıyor,
• tuş vuruşlarını kaydederek keylogger görevi yapıyor,
• kayıt defterine kendisini ekliyor,
• bilgisayara temizlenemeyen dosyaları yüklüyor.

Tüm bu işlemler sonucunda da, yazımızın ikinci cümlesinde de bahsetmiş olduğumuz gibi, çok tehlikeli bir duruma dönüşebiliyor. Sophos Antivirüs tarafından W32/Amca-A olarak adlandırılan ve Trojan-Dropper.Win32.VB.pt, Win32/VB.NLK adları ile de bilinen solucan [worm], disket sürücüler ve USB anahtarlar da dahil olmak üzere kaldırılabilir tüm disklere bulaşabiliyor. Disk sürücülerine Autorun.inf ve activexdebugger32.exe dosyalarını oluşturuyor ve gizliyor.

W32/Amca-A, kendisine bir keylogger [tuş vuruşlarını kaydeden uygulama] özelliği de katarak, bilgisayardan temizlenene kadar tüm kullanıcı etkinliğini izleyebiliyor.

• activexdebugger32.exe, nesneler.exe ve pac.exe dosyaları W32/Amca-A olarak,
• kmox.ocx dosyası Troj/Frutitab-A olarak algılanabiliyor ve temizlenebiliyor.
• acd.cmd, acd2.cmd, scrrntr.dll, Ijl11.dll ve ktkbdhk3.dll dosyaları da, el ile güvenle silinebilir.
• mswinsck.ocx dosyası Visual Basic uygulamaları tarafından winsock kontrol bileşeni olarak kullanılıyor ve temizlenebiliyor.

İşlemciyi de %95-100 oranında kullanarak sistemi tamamen kilitleyen bu solucanı temizlemek için antivirüs yazılımlarınızı güncellemeniz yeterli gelebiliyor ancak yine de sorundan kurtulamıyorsanız, Sophos Antivirus yazılımının güncel IDE dosyasını indirerek tekrar denediğinizde, mutlaka sorun ortadan kalkacaktır.