Turkcell ve Vodafone İsmini Kullanan Virüsler
Merhaba arkadaşlar. Birkaç arkadaşım ve birkaç müşterimin şikayeti üzerine SecWis ekibiyle yaptığımız incelemede;
Son zamanlarda firmalara Turkcell ve Vodafone’dan yollanmış gibi görünen ve içerisinde virüs barındıran mailler gönderilmektedir. Turkcell’den gelen mail “Fatura Bildirimi” konu başlığı ile, Vodafone’dan gönderilen mail ise “Vodafone MMS message” başlığı ile gönderilmektedir. Ekli dosya içerisinde bulunan virüs 8000 portunu açarak, bulaştığı bilgisayarı “zombie” hale getirmektedir…
Analiz:
Exe içerisine scr uzantili (ekran koruyucusu) bir dosya inject edilmis. Exe yi çalistirinca scr çalisiyor. Bu dosya uzak bir baglanti açmiyor. Yani trojan degil. Bunu rahatlikla söyleyebilirim. SCR uzantisi içerisinde zararli kodlar var. Bu Windows shell kabugunda bazi degisiklikler yapip ufak çapta zarar veriyor. Ekran görüntüsü klasik moda geçiyor, regedite bir kaç kayit atiyor hepsi bu.
Bunun disinda, virüs 8000 portunu açiyor. Fakat simdilik herhangi bir yer ile iletisime geçmiyor. Bu yüzden bu bir botnet virüsü denebilir. Bulastigi bilgisayari ilerleyen zamanlarda zombi bilgisayar haline çevirmek için hazirlanmis olabilir.
Teknik detaylar resimdeki gibidir:
İlk çalistirildigi andan kendini XP ve türevleri için C:\Document and Settings\All Users klasörüne svchost.exe adinda kopyaliyor ve Regedit’e kaydediyor. Ayni zamanda Msconfig’e de kaydediyor. Windows 7 ve türevi isletim sistemine sahip pc ler için ise C:\Users\ klasörüne svchost.exe olarak kopyaliyor.
Temizlemek için, ekteki resimde dosya yoluna bakarak virüsü temizleyin ve ardindan ekteki dosyada belirtmis oldugum regedit kaydini temizleyin. Sorun düzelmis olur.
VEYA
1) Başlat > Çalıştır > msconfig yazıp enter tuşuna basıyoruz.
Açılan pencerede Başlangıç sekmesine geçin. Ve orada kb00740283.exe yi buluyor ve karşısındaki tiki kaldırıyoruz. Ayrıca bilgisayar başlangıcında şüphelendiğiniz ve bilmediğiniz programlar var ise onların işaretinide kaldırın.
2) Başlat > Çalıştır > regedit yazıp enter tuşuna basıyoruz. Ctrl + F tuş kombinasyonlarıyla arama penceresini çağırıyoruz. kb00740283.exe bunu arıyoruz ne varsa siliyoruz.
Kaynak:ismail saygılı
