"W32/YahLover.worm" virüsü "09.2006" senesinde piyasaya çıkmıştır,
Virüs' ün teknik
özellikleri şunlardır ; Bir çeşit zararlı solucan olan bu yazılım,
benzerleri gibi kişisel bilgileri çalmak üzere programlanmış yapay zekası
gelişmiş bir W32 adında solucandır.
Yapay zeka derken; kişisel bilgileri toplar sahibine
gönderir. Bunun için güvenlik
açıklarından faydalanarak kendini gizler görevini yürütür.
Riskleri :
Virüsün riskleri benzerleriyle aynı özellikleri taşır. Bilgisayarınız uzaktan
korsan kontrol, sistemin ele geçirilmesi, windows sistem dosyalarının
bozulması, özel verilerinizin çalınması, e-posta ve benzer üyeliklerinizin ele
geçirilmesi vs.
Zamanla güvenlik duvarınızın sizden habersiz devre dışı
kalması sonucu birçok virüsün rahatça sisteme yerleşmesi. Bu seviyeye gelen
bilgisayarları temizlemek çok zordur. Çünkü birbirinden tehlikeli onlarca
zararlı sistemi ele geçirir, bilgisayarın ayarlarını kendilerine göre
değiştirirler.
Benzer isimleri
: Worm.Win32.AutoIt.c (Kaspersky Lab), Virus:
W32/YahLover.worm.gen (McAfee), W32/SillyFDC-G (Sophos), W32/Sohana-CO
(Sophos), Trojan.Autoit-13 (ClamAV), W32/Hakaglan.A.worm (Panda),
Worm:Win32/Nuqel.A (MS(OneCare)), Win32.HLLW.Myweb.1 (DrWeb), Win32/Hakaglan.AH
worm (Nod32), Win32/Sohanad.BM worm (Nod32), Trojan.AutoIt.TD (BitDef7),
Win32.Worm.Sohanad.NAU (BitDef7), Worm.Hakaglan.B (VirusBuster), Win32:Hakaglan
[Wrm] (AVAST), IM-Worm.Win32.Sohanad (Ikarus), Worm/Autoit.ADEC (AVG),
W32/Almanahe.B (AVIRA), W32.Imaut (NAV), Sohanad.ARR (Norman), Sohanad.TG
(Norman), Worm.AutoIt.b (Rising), IM-Worm.Win32.Sohanad.bm [AVP] (FSecure),
Mal_AUMAL-2 (TrendMicro), Trojan.Win32.Generic!BT (Sunbelt), Worm.Hakaglan.B
(VirusBusterBeta)
Oluşturduğu dosya
ve kayıt girdileri: Aşağıdaki kayıt
girdilerini oluşturarak Windows
işlemlerini devre dışı bırakır.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol
icies\Explorer]"DisallowRun" = "1"
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol
icies\Explorer]"DisallowRun = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol
icies\Explorer\DisallowRun
Yukarıdaki
girdilerle devre dışı bıraktığı işlemler = "Wincmd.exe",
"zlclient.exe", "nvprotect.exe",
"Regworkshop.exe", "Mcshield.exe", "avp.exe",
"ccprovsp.exe", "Attrib.exe"
Devre Dışı bıraktığı windows araçlarından sonra bu kayıt
girdillerini yerleştirerek onların yerine kendisi kontrole başlar
[HKLM\Software\Classes\Folder\shell\explore\command]"@"
= "Sÿstem.exe"
[HKLM\Software\Classes\Folder\shell\Explorer\comman
d]"(default)" = "Sÿstem.exe"
[HKLM\Software\Classes\Folder\shell\Open
With\command]"(default)" = "Sÿstem.exe"
[HKLM\System\ControlSet001\Services\Schedule]"AtTaskMaxHours"
= "0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp
lorer\WorkgroupCrawler\Shares]"shared" = "\Documents.exe"
Kontrolü ele aldıktan sonra başlıca dosya uzantıları olan
(.doc .xls, .exp, .ppt,, .mdb, .dba, .pdf, .jpg, .psd, .ai, .dwg, .mp3, .mpg, .zip, .rar , .qxd ,.rdf,
.rep, .fmx, .fmb, .cpp) kişisel dosyaları işlemeye başlar.
Evet buraya kadar bu işlemleri yaptıktan ve taradığı dosya
uzantılarından sonra iki opsiyonu var bu zararlı solucanın. Birincisi, sürümüne
göre örneğin pdf, doc veya power point dosyalarını bozup kilitleyerek şöyle bir
notu düşer dosyaya : Locked by Mr. Guddu. Diğer alternatifi ise bu dosyalarda
önemli bilgilerin olduğu (ör: Bankacılık bilgileri) varsayarak hacker'ın
e-posta adresine gönderir. Gönderdiği email adresi de mr***u.bd@gmail.com'dur.
Bilgisayar korsanımzın hazırladığı virüsün marifetleri
bunlarla kalmıyor. Kendi egosunu tatmin etmekte sınır tanımayan bu zevat, görev
yöneticinizi açmaya çalıştığınızda şöyle bir ekranla karşı karşıya bırakabilir
sizi :
Warning!
You are infected by Unknown Virus! Contact with Mr. Guddu!
Mail
at mr***u.bd@gmail.com
Diğer Belirtileri
:
Belirgin bir şekilde yavaşlayan bilgisayar, Görev
yöneticisinin devre dışı olması, Gizli dosya ve klasörlerin görünmemesi,
Önlemler :
Kırık program vaadiyle internete yüklenen yamalar,
driver'lar, spam e-postalar bu virüsün ekli olduğu tuzaklardır. Bedavaya
program kullanmak hevesi sizi bu tuzağın içine çekecektir. Ayrıca usb flash
bellekler diğerleri gibi en kolay yayılma aracıdır. Bellekleri taramadan
açmayın. İsmi ne olursa olsun ortalama bir antivirüs programınız anlık koruma
sağlamalı ve güncel olmalıdır.
Silme araçları:
Otomatik, programla silmek isterseniz bilgisayar açılılında
(F8) tuşuna basarak güvenli mod seçeneğiniz kilitlenmemişse hemen Avast veya Bitdefender programlarıyla full
tarama yaprırarak virüsü kaldırabilirsiniz. Görev yöneticiniz ve Güvenli mod
seçeneği ele geçirilmiş ve açılmıyorsa dikkatle elle, programsız silmeyi
deneyin
Programsız (Elle/Manuel) silmek için: Aşağıda yer alan kayıt
defteri girdilerini silin.
[HKLM\System\ControlSet001\Control\SafeBoot]"AlternateShell"
= "%System%\Sÿstem.exe"
[HKLM\System\ControlSet001\Control\SafeBootAlternat
e]"AlternateShell" = "%System%\Sÿstem.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"System Init" = "%System%\Sÿstem.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol
icies\Explorer]"DisallowRun" = "1"
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol
icies\Explorer]"DisallowRun = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol
icies\Explorer\DisallowRun
"1" = "Wincmd.exe"
"2" = "zlclient.exe"
"3" = "nvprotect.exe"
"4" = "Regworkshop.exe"
"5" = "Mcshield.exe"
"6" = "avp.exe"
"7" = "ccprovsp.exe"
"8" = "Attrib.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Pol
icies\Explorer\DisallowRun
"1" = "Wincmd.exe"
"2" = "zlclient.exe"
"3" = "nvprotect.exe"
"4" = "Regworkshop.exe"
"5" = "Mcshield.exe"
"6" = "avp.exe"
"7" = "ccprovsp.exe"
"8" = "Attrib.exe"
[HKLM\Software\Classes\Folder\shell\explore\command]"@"
= "Sÿstem.exe"
[HKLM\Software\Classes\Folder\shell\Explorer\comman
d]"(default)" = "Sÿstem.exe"
[HKLM\Software\Classes\Folder\shell\Open
With\command]"(default)" = "Sÿstem.exe"
[HKLM\System\ControlSet001\Services\Schedule]"AtTaskMaxHours"
= "0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp
lorer\WorkgroupCrawler\Shares]
"shared" = "\Documents.exe"
Bozulmuş veya silinmiş olan bu kayıt girdilerini tekrar
yükleyin - ekleyin
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe System.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"
= "Explorer.exe System.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp
lorer\Advanced]
"HideFileExt" = "1"
"ShowSuperHidden" = "0"
"SuperHidden" = "1"
"Hidden" = "0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp
lorer\Advanced]"HideFileExt" = "1"
Virüsün oluşturduğu New Folder.exe ve aşağıdaki dosyaları
arayın bulun ve silin. (shift + delete)
%WorkDir%\Mr. Guddu.txt
%System%\Winnt.sys
%WinDir%\Winnt.sys
C:\WinSys.sys
%System%\Sÿstem.exe
%WinDir%\Sÿstem.exe
%Program Files%\Sÿstem.exe
%USERPROFILE%\My Documents\Sÿstem.exe
c:\New Folder.exe
W32.Hakaglan.inf ise yukarıda bahsettiğimiz virüsümüzün
farklı bir türüdür. Bu genelde reklam sitelerini açtırmak gereksiz pop-up diye
tabir edilen istenmeyen sitelere yönlendirmek üzere açılan sayfalardan bulaşan
ve bu gibi sayfalara yönlendirmek üzere yerleşen yazılımı kaldırmak için
Silmek için :
1-Başlat'a tıklayın çalıştır deyip RegEdit editörünü
çalıştırın.
2-"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WSDAPI"
uzantısını bulun.
3-Sonunda yer alan "WSDAPI" uzantısını sağ tuşa
basıp sil seçeneğinden oradan kaldırın ve kurtulun.
0 yorum:
Yorum Gönder