Leb Demeden

evet arkadaşlar sürekli yeni virüsler çıkmakta bu virüslerin biri sisteme girdiğinde verilerinizi sızdırıp sistemi çökertmekte şimdi diyeceksiniz antivirüsler ve buna benzer bu zararlı yazılımları,virüsleri,worm ları,spy ları silen yok eden yazılımlar var diyeceksiniz ama bazıları antivirüs programlarını aşıp sisteme sızmakta onlarıda böyle yok ederiz
29.01.06 tarihi itibari ile son tespit edilen virüsler:
WORM_RBOT.DRA
WORM_LOCKSKY.AM
WORM_RBOT.DTZ
WORM_RBOT.DRA

WORM_RBOT.DRA: Potansiyel Hasar Oranı Yüksek, Bulaşma Potansiyeli Yüksek
Görev Yöneticisinde(Task Manager) mssecure.exe sonlandırın. Registery’de(regedit) HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Curr entVersion>Run bulun. Sağ tarafta secures23= “mssecure.exe” değerini silin. Yine registery’de HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Curr entVersion>RunServices bulun ve sağ paneldeki secures23= “mssecure.exe” değerini silin.

WORM_LOCKSKY.AM: Potansiyel Hasar Oranı Yüksek, Bulaşma Potansiyeli Yüksek, Varyasyonları:
W32.Looksky.G@mm, W32/Locksky.AC, W32/Loosky, Win32/Loosky.O
E-mail yolu ile bulaşıyor. Böyle bir mail görürseniz açmadan direkt olarak silin.
Konu: Your Ebay account is Suspended
Message body:
Dear eBay Member,
We regret to inform you that your eBay account could be suspended if you don’t re-update your
account information.
To resolve this problem please visit link below and re-enter your account information to the attached form.
Attachment: Ebay_info.exe
Registery’de HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Curr entVersion>Run bulun ve sağ paneldeki HostSrv = “%Windows%\sachostx.exe” değerini silin. (%Windows% sizin windows dizininizdir.Genellikle Windows ya da winnt dir.) Ayrıca sistemizide ATTRIB.INI dosyasını aratarak silin.

WORM_RBOT.DTZ: Potansiyel Hasar Oranı Yüksek
Registery’de HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Curr entVersion>Run bulun ve sağ paneldeki ProtocolEventTsk = csrwjd.exe değerini silin. Yine registery’de
HKEY_CURRENT_USER>Software>Microsoft>Windows>Curre ntVersion>
Run bulun ve sağ paneldeki
ProtocolEventTsk = csrwjd.exe değerini silin.

WORM_RBOT.DRA: Potansiyel Hasar Oranı Yüksek, Bulaşma Potansiyeli Yüksek
Görev Yönetisinde(Taskmanager) MSSQLMGR.EXE sonlandırın. Sistem klasörlerinizde
(Genellikle Windows\system32 ya da winnt\system32 ve Windows\system ya da winnt\system dir)
MSSQLMGR.EXE dosyalarını silin. Yine buradaki hosts dosyasını notepad ile açarak tüm değerleri silin. Registery’de
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Curr entVersion
>Run
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Curr entVersion
>RunServices
HKEY_CURRENT_USER>Software>Microsoft>Windows>Curre ntVersion>
Run
HKEY_CURRENT_USER>Software>Microsoft>Windows>Curre ntVersion>
RunServices
HKEY_CURRENT_USER>Software>Microsoft>OLE
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Ole
HKEY_CURRENT_USER>SYSTEM>CurrentControlSet>Control >LSA[/colo
r]
[color=#ccffff]HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Contro l>LSA[/col
or]
[color=#ccffff]bularak herbirinde sağ paneldeki MSSQL Manager = “MSSQLMGR.EXE” değerini silin.
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Servic es>SharedA
ccess>Parameters>FirewallPolicy>DomainProfile>Auth orizedApplications>List bulun ve sağ panelde %System%\mssqlmgr.exe = “%System%\mssqlmgr.exe:*:Enabled:mssqlmgr” değerini silin
JS_FEEBS.KR - Hasar Verme Olasılığı: Yüksek, Yayılma Riski: Orta
incelememe göre aslında yakalanması zor bir virüs. Java Script ya da E-mail ile attach edilmiş bir dosya olarak sisteme bulaşıyor. Şayet bu maili açarsanız sisteme bulaşarak bir fake(sahte) web sayfası açarak bağlantı yok hatası veriyor ve beraberinde WORM_FEEBS.KT dosyasini indiriyor(şifreli bir dosya). Daha sonra bu şifreli dosyayı açarak sisteme yayılıyor. Java Script;
http://blomor{BLOCKED}.com/app.c
http://boblol{BLOCKED}.by/ol.txt
http://doln{BLOCKED}.ru/staff.txt
http://duuw{BLOCKED}.ru/ol.txt
http://fr33{BLOCKED}.ru/ol.txt
http://reep{BLOCKED}.bz/ol.txt
http://yorap{BLOCKED}.ru/hol.txt
bu URL ‘lerden bahsettiğimiz dosyayı indirmeye çalışıyor. Virüs aslında çok akıllı. Eğer registery değerlerini yazamazsa ya da auto-start (otomatik çalışma) tekniğini kullanamazsa WORM_FEEBS.KT dosyasını Common Startup klasörüne kopyalıyor. Bu Javascript ayrıca trojan ve antivirus programlarının registery değerlerini silerek sistemi savunmasız bırakıyor.

Çözüm:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer - mal = “{Previously infected domain}”
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Active Setup>Installed Components>
{CD5AC91B-AE7B-E83A-0C4C-E616075972F3} - Stubpath = “C:\Recycled\userinit.exe”
değerlerini silin. Win Me/XP kullanıcıları system restore özelliğini devre dışı bırakın.

BKDR_BREPIBOT.A - Hasar Verme Olasılığı: Yüksek, Yayılma Riski: Orta
Spam e-mail ile ekli dosya olarak geliyor. Ayrıca internetten download yolu ile de gelebiliyor.
TCP port 8080 ‘i açarak bir IRC sunucuya bağlanıyor ve bir IRC odasina giriyor ve odada kötü niyetli bir kullanıcı(hacker vb.)nın komutlarını almaya başlıyor. Windows System dizinindeki LSADST.EXE dosyasına kendisini kopyalıyor. NETSH.EXE sistem dosyasını çalıştırarak Windows Firewall’u atlatıyor ve port 8080 ile bir backdoor görevi görüyor.

Çözüm:
Görev Yöneticisinde lsadst.exe sonlandırın.
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Curr entVersion
>Run -WindowsProtocolLog = “lsadst.exe”
HKEY_CURRENT_USER>Software>Microsoft>Windows>Curre ntVersion>
Run -
WindowsProtocolLog = “lsadst.exe” değerlerini silin. WinMe/XP kullanıcıları sistem geri yükleme özelliğini devre dışı bırakın.

WORM_SDBOT.DJN - Hasar Verme Olasılığı: Yüksek, Yayılma Riski: Yüksek
Memory resident(hafızada yerleşik) çalışıyor. Ağda paylaşımda bulduğu yerlere kendini kopyalamaya çalışıyor. ASN1 ve LASS zayıflıklarını kendisini yaymak için kullanıyor. Backdoor özellikleri var. Gelişigüzel portları açarak bulaştığı pc’ye uzaktan erişim yapılabilmesini sağlıyor.

Çözüm:
Güvenli kipte açarak SPOOLSVR.EXE yi sonlandırın. Başaramazsanız Process Killer tarzı program Process Killer kullanın. Bu dosyanın üzerine gelerek Kill Process Tree yapın.
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Servic es -
Windows Spool Server Protocol
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Curr entVersion
>Shell Extensions -
MK = “{Malware path and file name}”
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center altındaki;
AntiVirusDisableNotify = “dword:00000001″
FirewallDisableNotify = “dword:00000001″
AntiVirusOverride = “dword:00000001″
FirewallOverride = “dword:00000001″
UpdatesDisableNotify = “dword:00000001″ değerlerini
HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>Win dowsFirewa
ll>StandardProfile -
EnableFirewall = “dword:00000000″
HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>Win dowsFirewa
ll>DomainProfile -
EnableFirewall = “dword:00000000″
HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>Win dows>Windo
wsUpdate -
DoNotAllowXPSP2 = “dword:00000001″
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Servic es>lanmans
erver>parameters -
AutoShareWks = “dword:00000000″ ve AutoShareServer = “dword:00000000″
değerlerini silin.

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Servic es>wscsvc - Start = “dword:00000004″ değerini Start = “dword:00000002″ olarak değiştirin.
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Servic es>RemoteR
egistry -
Start = “dword:00000004″ değerini Start = “dword:00000002″ olarak değiştirin.
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Servic es>TlntSvr
-
start = “dword:00000004″ değerini Start = “dword:00000003″ olarak değiştirin.
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Curr entVersion
>WindowsUpdate>Auto Update - AuOptions = “dword:00000001″ değerini AuOptions = “dword:00000002″ yapın.
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Servic es>Messeng
er -
Start = “dword:00000004″ değerini Start = “dword:00000002″ yapın.
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Contro l -
WaitToKillServiceTimeout = “7000″ değerini WaitToKillServiceTimeout = “20000″ yapın.
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Ole - EnableDCOM = “N” değerini
EnableDCOM = “Y” yapın. WinXP kullanıcıları sistem geri yükleme özelliğini devre dışı bırakın.

BKDR_BREPLIBOT.P - Hasar Verme Olasılığı: Yüksek
Backdoor olarak çalışıyor. PHOTO AND ARTICLE.EXE ekli bir mail ile bulaşıyor. TCP port 8080 ‘i açarak bir IRC sunucuya bağlanıyor. #perfect2 kanalına giriyor ve komutları beklemeye başlıyor.

Çözüm:
Görev yöneticisinde CSRWND.EXE sonlandırın.
HKEY_CURRENT_USER>Software>Microsoft>Windows>Curre ntVersion>
Run -
SystemProcEvent = “csrwnd.exe” değerini silin. WinMe/XP kullanıcıları sistem geri yükleme özelliğini kapatın.

JS_FEEBS.JZ - Hasar Verme Olasılığı: Yüksek, Yayılma Riski: Yüksek
Sisteme JavaScript ya da bir maile .HTML ekli olarak bulaşıyor. WORM_FEEBS.CH dosyasını Windows System dizinine indirerek çalıştırıyor. Bulaştığı sistemde fake(sahte) bir google sayfası açarak bağlantı olmadığına dair mesaj veriyor. JavaScript
http://fr3{BLOCKED}.ru/1.txt
http://yor{BLOCKED}gb.ru/hol.txt bu URL leri kullanarak WORM_FEEBS.CH dosyasını sisteme bulaştırıyor.

Çözüm:
Net bir bilgi yok. Ancak temizleme işleminden önce tüm explorer sayfalarını kapatın. Sistem geri yükleme özelliği devre dışı kalacak. Daha sonra antivirus ve spyware tarzı programlar ile sisteminizi taratarak temizlemeye çalışın.

alıntıdır