Merhaba arkadaşlar. Birkaç arkadaşım ve birkaç müşterimin şikayeti üzerine SecWis ekibiyle yaptığımız incelemede;
Son zamanlarda firmalara Turkcell ve Vodafone’dan yollanmış gibi görünen ve içerisinde virüs barındıran mailler gönderilmektedir. Turkcell’den gelen mail “Fatura Bildirimi” konu başlığı ile, Vodafone’dan gönderilen mail ise “Vodafone MMS message” başlığı ile gönderilmektedir. Ekli dosya içerisinde bulunan virüs 8000 portunu açarak, bulaştığı bilgisayarı “zombie” hale getirmektedir…
Analiz:
Exe içerisine scr uzantili (ekran koruyucusu) bir dosya inject edilmis. Exe yi çalistirinca scr çalisiyor. Bu dosya uzak bir baglanti açmiyor. Yani trojan degil. Bunu rahatlikla söyleyebilirim. SCR uzantisi içerisinde zararli kodlar var. Bu Windows shell kabugunda bazi degisiklikler yapip ufak çapta zarar veriyor. Ekran görüntüsü klasik moda geçiyor, regedite bir kaç kayit atiyor hepsi bu.
Bunun disinda, virüs 8000 portunu açiyor. Fakat simdilik herhangi bir yer ile iletisime geçmiyor. Bu yüzden bu bir botnet virüsü denebilir. Bulastigi bilgisayari ilerleyen zamanlarda zombi bilgisayar haline çevirmek için hazirlanmis olabilir.
Teknik detaylar resimdeki gibidir:
İlk çalistirildigi andan kendini XP ve türevleri için C:\Document and Settings\All Users klasörüne svchost.exe adinda kopyaliyor ve Regedit’e kaydediyor. Ayni zamanda Msconfig’e de kaydediyor. Windows 7 ve türevi isletim sistemine sahip pc ler için ise C:\Users\ klasörüne svchost.exe olarak kopyaliyor.
Temizlemek için, ekteki resimde dosya yoluna bakarak virüsü temizleyin ve ardindan ekteki dosyada belirtmis oldugum regedit kaydini temizleyin. Sorun düzelmis olur.
VEYA
1) Başlat > Çalıştır > msconfig yazıp enter tuşuna basıyoruz.
Açılan pencerede Başlangıç sekmesine geçin. Ve orada kb00740283.exe yi buluyor ve karşısındaki tiki kaldırıyoruz. Ayrıca bilgisayar başlangıcında şüphelendiğiniz ve bilmediğiniz programlar var ise onların işaretinide kaldırın.
2) Başlat > Çalıştır > regedit yazıp enter tuşuna basıyoruz. Ctrl + F tuş kombinasyonlarıyla arama penceresini çağırıyoruz. kb00740283.exe bunu arıyoruz ne varsa siliyoruz.
Kaynak:ismail saygılı
As we progress deeper into the digital age, the spheres of technology and finance continue…
Tarayıcınızda gizli mod'da çalıştırmayı devre dışı bırakabilirsiniz. Windows ve macOS için Google Chrome'da, Windows için…
Broadcom, VMware'in ESXi hipervizörünün ücretsiz sürümünü durdurdu. Değişiklik haberi, aracın VMware.com'dan kaldırıldığını ortaya koyan ve…
Kaybolan airpod'unuzu bulmak için aşağıdaki 3 yöntemi kullanabilirsiniz. AirPod'larınızın kaybolması durumunda yerini bulmanıza yardımcı olması…
Vmware ve Broadcom Sanallaştırma öncüsü Vmware, Broadcom tarafından satın alınmasının ardından bazı değişiklikler geçiriyor. Kurumsal…
Google Fotoğraflar, yani One aboneliğinizi iptal etmek mi istiyorsunuz ? Bildiğiniz gibi Google 15 GB…
