June 13th, 2009
admin
VBS/Autorun.worm.zo
2009 yılının yeni virüslerinde olan Autorun.Worm.Zo virüsü bilgisayarınıza web siteleri üzerinden bulaşır.Genel olarak exploit ve scriptleri kullanarak zararlı sitelerden bulaşır.
Autorun.Worm.Zo virüsünün kendini kopyaladığı dosyalar ;
%UserProfile%\Local Settings\Temp\[Herhangi bir isim].tmp (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)
%UserProfile%\Local Settings\Temp\auto.exe (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)
%UserProfile%\Local Settings\Temp\Yuyun.Q (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)
Kopyaladığı dosyalardan bazıları
%UserProfile%\My Documents\database.mdb (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)
%Windir%\:Microsoft Office Update for Windows XP.sys (%WinDir% = C:\Windows klasörünü ifade eder)
%UserProfile%\Local Settings\Temp\v.doc (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)
KAYIT DEFTERÄ°’ne aÅŸağıdaki kayıtları ekler;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Explorer” = “Wscript.exe //e:VBScript
“%UserProfile%\My Documents\database.mdb”"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “WinUpdate” = “Wscript.exe //e:VBScript
“%Windir%\:Microsoft Office Update for Windows XP.sys”" HKEY_CURRENT_USER\Software
Aynı zaman da birçok klasöre ve diske thumb.db isimli dosyayı kopyalar.Aşağıda listesi bulunan kısayolları dosyaların içine ekler.
Microsoft.lnk
New Harry Potter and….lnk
New Folder.lnk
SuratQ.lnk
Rahasia.lnk
Game.lnk
Zvnita.lnk
Download.lnk
DataQ.lnk
[altdizin ismi].lnk
Dökümanları dosyalarının bulunduğu klasöre ve klasörlere aşağıdakileri kopyalar;
Baca AQ.rtf
My name is Yuyun.rtf
Kurtulmak için Regedit’teki kayıtlarını silin ve gpedit.msc üzerinden Autorun Kapatınız, msconfig üzerinden bilgisayar baÅŸlangıçında bilmediÄŸiniz yazılımları kaldırınız …
June 13th, 2009
admin
Aslında bu virüs çok yaygın olarak bilinen ve çok benzeri olan ANTİVİRÜS 2008-2009 veya SPYSHERİFF isimleriyle bilgisayarınıza sessizce kurulan ve kendini bir Demo AntiVirüs-Spy yazılım olarak gösteren ve sürekli size virüs uyarısı yapıp silmek için yazılımı satın almanızı isteyen bu virüs aslında çok iyi kurgulanmış bir Sosyal Mühendislik örneğidir.Bu virüs size önerdiği yazılımı satınalma durumunuzda ise kredi kartı bilgilerini çalma amaçı içindedir.O kadar uğraşılmışki sahte MAVİ ekran verebilir bilgisayarınız yeniden başlatılıyor bekleyin ekranları gelebilir ama genel olarak hepsi sahtedir.
Örnek Ekran Görüntüsü
KAYIT DEFTERÄ°NE’ girdiÄŸi kayıtlar (Registery- Regedit) (bkz: Çalıştır’a Regedit yazın)
HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\VerStr: “1.0.2.8″ HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\VerInt: 0×00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Cnt: “PE” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Lng: “ch” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\UnInsAct: 0×00000023 HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\MAbbr: “ANT” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Type: “exe” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\FoundCount: 0x0000002B HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\FoundInfo HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\PID: “1AB6B0E7B6E0B7B1E2B1BDE8BCBABFE8BAF6A0F0F0F0F7A7F3A8FDA9AAAAAAA6″ HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\FirstRun: 0×00000000 HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Root: “C:\Program Files\Antivirus 2008″ HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\ExeFileName: “Antvrs.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\TIns HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\: “AutoStart-done” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\aid: “keyin” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\affid: “keyin” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\lid: “keyin” HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Antivirus: “C:\Program Files\Antivirus 2008\Antvrs.exe” HKEY_CURRENT_USER\Software\Antivirus\VerStr: “1.0.2.8″ HKEY_CURRENT_USER\Software\Antivirus\VerInt: 0×00000001 HKEY_CURRENT_USER\Software\Antivirus\Cnt: “PE” HKEY_CURRENT_USER\Software\Antivirus\Lng: “ch” HKEY_CURRENT_USER\Software\Antivirus\UnInsAct: 0×00000023 HKEY_CURRENT_USER\Software\Antivirus\MAbbr: “ANT” HKEY_CURRENT_USER\Software\Antivirus\Type: “exe” HKEY_CURRENT_USER\Software\Antivirus\FoundCount: 0x0000002B HKEY_CURRENT_USER\Software\Antivirus\FoundInfo HKEY_CURRENT_USER\Software\Antivirus\PID: “1AB6B0E7B6E0B7B1E2B1BDE8BCBABFE8BAF6A0F0F0F0F7A7F3A8FDA9AAAAAAA6″ HKEY_CURRENT_USER\Software\Antivirus\FirstRun: 0×00000000 HKEY_CURRENT_USER\Software\Antivirus\Root: “C:\Program Files\Antivirus 2008″ HKEY_CURRENT_USER\Software\Antivirus\ExeFileName: “Antvrs.exe” HKEY_CURRENT_USER\Software\Antivirus\TIns HKEY_CURRENT_USER\Software\Antivirus\: “AutoStart-done” HKEY_CURRENT_USER\Software\Antivirus\aid: “keyin” HKEY_CURRENT_USER\Software\Antivirus\affid: “keyin” HKEY_CURRENT_USER\Software\Antivirus\lid: “keyin”
Bilgisayarınıza eklediği Dosyalar (%DOCSETTINGS% : Documents And Setting , %PROGRAMFILES%: Program Files klasörünü ifade etmektedir.)
%DOCSETTINGS%\Start Menu\Antivirus\Antivirus 2008.lnk
%DOCSETTINGS%\Start Menu\Antivirus\Uninstall Antivirus.lnk
%PROGRAMFILES%\Antivirus 2008\Antvrs.exe
Birçok antivirüs yazılımı tarafında tespit edilmesine raÄŸmen bulaÅŸtığı sisteme Güvenlik Mod’da antivirüs kurulumu ile çözüm bulunabilir.Tüm tarama ve temizleme iÅŸlemlerinizi Güvenlik Mod’da yapabilirsiniz
June 13th, 2009
admin
BackDoor-DNM Virüsü
Genel olarak IRC Chat, P2P Limewire ve BearShare gibi Yazılımlar, Posta Grupları ve E-Postalar aracılığıyla bulaşır.BackDoor-DNM Trojanı ama bilgisayarını kontrol altına almaktır.
Sistem32 Klasörünün altına “CbEvtSvc.exe” olarak yerleÅŸir.
KAYIT DEFTERÄ°’ne yaptığı kayıtlar (Registery-Regedit) (bkz: Çalıştır’a regedit yazın )
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Enum HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC “NextInstance” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Class”
 Data: LegacyDriver HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “ClassGUID”
 Data: {8ECC055D-047F-11D1-A537-0000F8753ED1} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “ConfigFlags” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “DeviceDesc”
 Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Legacy” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Service” Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control “*NewlyCreated*” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control “ActiveService”
 Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “DisplayName”
 Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ErrorControl” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ImagePath”
 Data: %SystemRoot%\System32\CbEvtSvc.exe -k netsvcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ObjectName” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Opt” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Start” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Type” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “0″
 Data: Root\LEGACY_CBEVTSVC\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “Count” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “NextInstance” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
BackDoor-DNM Bulaştıktan yaklaşık 10-30 dakika arasında aşağıdaki sitelerden Dailer ve Malware tarzı zararlıları bilgisayarınıza bulaştırır.
htxp://digitaltreath.info/a.exe
htxp://207.10.234.217/ldrctl/user/2.exe
htxp://digitaltreath.info/d.exe
BackDoor-DNM DiÄŸer isimleri :
Trojan-Downloader.Win32.Agent.ljx – Trojan-Downloader.Win32.Agent.ljx – Win32/Agent.ETH – WORM_NUCRP.GEN
Hüseyin Cenkut ÖZKAN
June 13th, 2009
admin
PWS-Gamania.gen.a Virüsü
Genel olarak EXE ve DLL’ler üzerinde yayılan bu virüs en büyük özelliÄŸi 2007 AÄŸustosunda NASA bulaÅŸmış olmasıdır.NASA sistemine bulaÅŸan bu virüs ile ilgili iddalar bununla da sınırlı deÄŸil, Gamania ‘nın NASA tüm uzay seyahat sisteminde ki tüm cihazları etkilediÄŸi söylenenler arasında.Fakat Virüs herhangi bir veri aktarımı yapmadığı için düşük bir güvenlik seviyesinde tutuluyor.
AMACI NEDÄ°R ?
Åžifre çalmayı amaçlayan bu virüs aynı zamanda Autorun.inf ile USB Disk’lerde kendini kopyalamaktadır.Böylece usb disk taktığınız anda Windows Otomatik açma özelliÄŸiyle virüs direk bilgisayarınıza bulaÅŸmaktadır.Autorun ÖzelliÄŸini kapatma yöntemini görmek için sitemizdeki diÄŸer konulara bakabilirsiniz.(AUTORUN KAPAT!)
tavo0.dll dosyası ile bilgisayarınızda oynadığınız online oyunların Kullanıcı adı ve Åžifrelerini Gamania bulaÅŸtıran SALDIRGAN’a gönderdiÄŸi gelen bilgiler arasındadır.
Gamania Virüsünün kendini kopyaladığı bazı yerler ;
%windir%\system32\tavo.exe
%windir%\system32\tavo0.dll
%temp%\lawb.dll
Gamania Virüsünün farklı varyasyonlarında ise aşağıdaki klasörlerde bulunabilirler
Windows Klasörü : %windir% , Sistem Diski : %systemdrive% isimlendirilmiÅŸtir.Direk Çalıştır’a yazdığınızda bu dosyaları görebilirsiniz.
%windir%\system32\tavo.exe
%windir%\system32\tavo1.dll
%windir%\system32\kavo0.exe
%windir%\system32\kavo0.dll
%systemdrive%\l1.com
%systemdrive%\autorun.inf
%windir%\xmg.exe
%windir%\tt.exe
%windir%\rb.exe
%windir%\system32\mmvo.exe
%windir%\system32\mmvo0.dll
%windir%\system32\ckvo.exe
%windir%\system32\ckvo0.dll
Aynı zamanda Registery altına da kendini kopyalayan virüs aşağıdaki Regedit kayıtlarında bulunmaktadır.
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run “kava”
Data: %windir%\system32\kavo.exe HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run “tava”
Data: %windir%\system32\tavo.exe
Görev yöneticisinde iÅŸlem yaptırdığı EXE’ler birkaçı ;
Kav.exe
Rav.exe
Avp.exe
Kavsvc.exe
GAMANİA Virüse AntiVirüs Programlarının Verdiği İsimler ;
PANDA AntiVirüs : Trj/Lineage.BZE
KasperSky AntiVirüs : Trojan.Win32.Vaklik.bkh
Microsoft Security : Trojan:Win32/Meredrop
Symantec Security : W32.Gammima.AG
Sophos AntiVirüs : W32/Autorun-CL
Â
Hüseyin Cenkut ÖZKAN
June 13th, 2009
admin
Microsoft.BAT virüsü ARP zehirleme tekniği üzerine yapılmış yani bilgisayarın modem üzerinden geçerek internette cıkmasını değil virüs üzerinden internette çıkartarak kişisel bilgilerin çalınmasına yol açmaktadır.Bilinen ve Anti Virüslerin Çözüm bulamadığı ilk ARP-Virüsü…
Microsoft.BAT Kimlere Bulaşır ?
*Tüm kişisel bilgisayarlar
*Ä°nternet Kafelere (Deep Freez olsa bile)
*Okulların Bilgisayar Labrotuarlarına
*Orta ölçekli birden fazla bilgisayara sahip şirketlere (Donanımsal Firewall olmayanlara)
*Windows XP SP1-SP2-SP3 kullanıcıları (Aynı Ağ içinde Windows Vista olan Bilgisayaralara müdehale etmez)
Microsoft.BAT Amacı Nedir?
*İnternette kişisel bilgileri çalmak
*Banka, E-Posta gibi şifreleri çalmak bunula beraber kullanıcıya zarar vermek
Microsoft.BAT Nasıl Yayılır ?
*Windows altında kendini çalışan bir servis olarak gösterir
*Autorun ile tüm sabit disk bölümlerine ve flashdisklere bulaşır
*ARP zehirleyerek İnternet Explorer Java Açığından tüm ağ bilgisayarlarına yayılır.
Microsoft.BAT Belirtileri
*İnternet Explorer penceresinde Bitti yerine sayfada hata var mesajı vermesi
*PC’lerde statik ip olsa bile IP çakışması vermesi
*Antivirüs varsa 225.25.65.25 gibi IP adreslerinden veya web sitelerinde trojan saldırısı uyarısı
*30 ila 60 dakika arasında tekrar eder ve böylece bilgisayarların internete ulaşmaları yavaşlar…(Çünkü virüs bilgileri sahibine göndermekle meşguldur)
Microsoft.BAT Kurtulmanın GEÇİCİ yöntemleri
*Anti-Virüs yüklemek (Güncelde olsa)
*Anti-ARP yüklemek
*ADSL WAN IP Dinamik yapmak (Statik IP kullanıyor iseniz değiştirmek)
*Modemi Sıfırlamak*Tüm bilgisayarlardaki ARP dos komutu ile statik yapmak ( arp –s ipno macid )
*Birçok reg,bat ve inf dosyasıyla virüsü durdurmak…
YUKARIDAKİ YÖNTEMLERDE SİZİ YA BİR SAAT YADA 1 GÜN KORUYABİLİR.
Microsoft.BAT Nasıl Kurtuluruz ?
En güzel çözüm hiçbir yedek almadan direk **FDİSK yaparak tüm bilgileri silmek ve internette bağlanmadan Flashdisk takmadan güvenilir CDler ile sistem kurmak gerekiyor… Tabii bir hafta sonra bulaşmaz diye garanti vermiyoruz.Ama en yakın zamanda AntiVirüsler bu derde bir çözüm bulacaklardır.
**FSDİK ATTIĞI HALDE VİRÜSTEN KURTULAMAYANLARA SÖYLEYELİM VİRÜS AUTORUNDA YAYILIYOR.FDİSK YADA LOWLEVEL FORMATLASANIZDA KULLANDIĞINI USBDİSKLERDE YADA KURDUĞUNUZ PROGRAMLARIN VARSA CRACKLARINDA VİRÜS VARSA BU SORUNLAR TEKRARLIYOR..
June 13th, 2009
admin
Birçok Antivirüs bu virüsleri buluyor fakat silemiyor. Bu virüslerden bazıları JambanMu, Alman yada Almanahe …
Ä°ÅŸte belirtiler:
1-C:sürücüsü içinde HELP ME!!.html isimli bir dosya var. Dosyayı açtığınızda başlıkta W32.JambanMy.V2 yazıyor, mesaj başlığı ise MESSEGE FROM HELL!! ve içeriğinde ise şunlar yazıyor: It insults and complain about KFC, McDONALD, 7 11, oil, water, electricity, azam, zawawi, kamal, dzulkifli, israel, bush and yahudi. At the bottom, it has a line that says “Reported by 666.JambanMu.V2″ JambanMu, Alman yada Almanahe Virus nasil temizlenir
2. Registry Editörü kapalı. Muhtemelen şu mesajla karşılaşacaksınız: Registry Editing has been disabled by your administrator
3. Komut satırı (cmd) kapalı. Muhtemelen şu mesajla karşılaşacaksınız: Command prompt has been disabled by your administrator
4. Görev yöneticisinde şu programları görebilirsiniz: Flash.10.exe ve Macromedia.10.exe (Windows Task Manager)
5. Bir klasörün içindeyken Araçlar menüsünden klasör seçeneklerini değiştiremezsiniz. Restore Folder Options
6. Başlat menüsünden ara komutunu seçemezsiniz.
7. Bilinen bir çok antivirüs sitesini ziyaret edemezsiniz. Bu virüsler sisteminize usb belleğinizden bulaşmış olabilir. Öncelikle usb belleğinizi temizlemeye çalışın. USB bellek autorun olarak çalıştırmayın. sağ tuşla tıklayın ve aç seçin. içinde autorun dosyası varsa açın. İçinde Flash.10.Setup.Exe diye bir satır varsa virüs kesin buradan bulaşıyor. dosyayı silin.
Şimdi bu virüsleri yok edebileceğiniz programlara ait linkeri veriyorum. İlk ikisi registry den bu virüslere ait dosyaları çıkarıyor.
Download ComboFix Download SDFix
Registry temizlendikten sonra alttaki ikisi ise virüsleri sisteminizden temizliyor.
AVG Alman Nab Remover Download KillFlash1.0
Hüseyin Cenkut ÖZKAN
June 13th, 2009
admin
Malwarebytes’ Anti-Malware
Malwarebytes’ Anti-Malware yazılımı beta sürümündeki baÅŸarısından sonra geliÅŸtirilerek kullanıcılara sunuldu. Ufak boyutuna raÄŸmen veritabanındaki zararlı yazılımları silmesi gözden kaçmıyor. Yeni sürümüyle beraber Vista iÅŸletim sistemindede kullanılabilirlik kazandırıldı.Malwarebytes’ Anti-Malware ile veritabanınıza bulaÅŸmış virus,worms,trojans,rootkits,dialers vs.gibi zararlı yazılımları silebilirsiniz. Beta yazılımında eksiklik olarak görülen Karantina özelliÄŸi ÅŸimdi daha kullanılabilir durumda ;ama diÄŸer yazılımlara göre çok geliÅŸmiÅŸlik gösterebilecek boyutta deÄŸil.
Aslında bu yazılım bilgisayarınızda standart olarak kullandığınız antivirüs programının yanı sıra worm ve trojan tarzı sürekli yeni varyasyonları cıkan zararlılara karşı bir çözümdür.Bu yazılım NOD32, Kaspersky gibi antivirüs yazılımlarının bulamadığı birçok zararlı varyasyonları temizler.Dialers ve Ad’ler için ise ücretsiz olan SpyBots yazılımını önerebilirim.
ÖrneÄŸin bilgisayarınızda antivirüs yazılımı olduÄŸu halde bilgisayarınız gereÄŸinden fazla ağır çalışıyorsa veya internete gezmediÄŸiniz halde AÄŸ baÄŸlantılarınızda gelen giden paketler arttığında bilinki bilgisayarınızda kullandığınız antivirüs yazılımınızda yakalayamadığı virüsler var… Malwarebytes’ Anti-Malware : CNET üzerinden indirmek için tıklayınız.
SpyBots Search & Destroy : CNET üzerinden indirmek için tıklayınız.
H. Cenkut ÖZKAN
June 13th, 2009
admin
MSN kullanıcılarını hedefleyen virüs hızla yayılıyor. Bulaştığı sistemde, tüm MSN kontaklarına kendisini yaymaya yönelik
mesajlar gönderiyor.
Devamini Oku… »
RSS Feed
