19 Aralık 2012 Çarşamba

Turkcell ve Vodafone İsmini Kullanan Virüse Dikkat

Merhaba arkadaşlar. Birkaç arkadaşım ve birkaç müşterimin şikayeti üzerine yaptığım incelemede;
son zamanlarda firmalara Turkcell ve Vodafone'dan yollanmış gibi görünen ve içerisinde virüs barındıran mailler gönderilmektedir. Turkcell'den gelen mail "Fatura Bildirimi" konu başlığı ile, Vodafone'dan gönderilen mail ise "Vodafone MMS message" başlığı ile gönderilmektedir. Ekli dosya içerisinde bulunan virüs 8000 portunu açarak, bulaştığı bilgisayarı "zombie" hale getirmektedir...
Analiz:
Exe içerisine scr uzantılı (ekran koruyucusu) bir dosya inject edilmiş. Exe'yi çalıştırınca scr çalışıyor. Bu dosya uzak bir bağlantı açmıyor. Yani trojan diyemeyiz. Scr uzantısı içerisinde zararlı kodlar var. Bu Windows shell kabuğunda bazı değişiklikler yapıp ufak çapta zarar veriyor. Ekran görüntüsü klasik moda geçiyor, regedite bir kaç kayıt atıyor hepsi bu.

Bunun dışında, virüs 8000 portunu açıyor. Fakat şimdilik herhangi bir yer ile iletişime geçmiyor. Bu yüzden bu bir botnet virüsü denebilir. Bulaştığı bilgisayarı ilerleyen zamanlarda zombi bilgisayar haline çevirmek için hazırlanmış olabilir.

Teknik detaylar resimdeki gibidir:





İlk çalıştırıldığı andan itibaren kendini XP ve türevleri için C:\Document and Settings\All Users klasörüne svchost.exe adında kopyalıyor ve Regedit'e kaydediyor. Aynı zamanda Msconfig'e de kaydediyor. Windows 7 ve türevi isletim sistemine sahip pc'ler için ise C:\Users\ klasörüne svchost.exe olarak kopyalıyor.

Temizlemek için, ekteki resimde dosya yoluna bakarak virüsü temizleyin ve ardından ekteki dosyada belirtmiş olduğum regedit kaydını temizleyin.

VEYA


1) Başlat > Çalıştır > msconfig yazıp enter tuşuna basıyoruz.
Açılan pencerede Başlangıç sekmesine geçin. Ve orada kb00740283.exe yi buluyor ve karşısındaki tiki kaldırıyoruz. Ayrıca bilgisayar başlangıcında şüphelendiğiniz ve bilmediğiniz programlar var ise onların işaretini de kaldırın.

2) Başlat > Çalıştır > regedit yazıp enter tuşuna basıyoruz. Ctrl + F tuş kombinasyonlarıyla arama penceresini çağırıyoruz. kb00740283.exe bunu arıyoruz ne varsa siliyoruz.


Güvenli günler dilerim...

5 yorum:

  1. merhaba gerçekte kimin ve nasıl gönderdiğini nasıl öğrenebiliriz.

    YanıtlaSil
    Yanıtlar
    1. Mail Header bilgilerinden IP adresi bulunabilir, tabi yapan kişi gizlenmemişse. Eğer gizlenmişse yanlış IP'ye ulaşılır..

      Sil
  2. beyfendi biz de bu virüsten muzdaribiz ama sizin dediğinin klasörde svchost adlı dosyayı bulamadık. bunu temizlemek için bir prgram var mıdır acaba

    YanıtlaSil
    Yanıtlar
    1. Merhaba Tolga bey. Farklı isimde bir .exe dosyası oluşmuş olabilir. Windows 7 mi XP mi kullanıyorsunuz?

      - Windows XP türevlerinde C:\Document and Settings\All Users klasörü altında,
      - Windows 7 ve türevlerinde ise C:\Users\ klasörü altındadır exe dosyası.

      Bunun dışında güncel bir anti-virus programı kullanmalısınız, Avira Free veya Avast Free önererim.

      Ayrıca gerekirse uzaktan bağlanıp yardımcı olabiliriz. Bana özel olarak ismailsaygili90@gmail.com adresimden ulaşabilirsiniz.

      Sil
  3. güvenli modda açarak sistem geri yükleme yaparak temizleyebilirsiniz

    YanıtlaSil