Cnn.com The Daily Top 10 Zararlısı (get_flash_update.exe)

Bu yazımda bir çok zararlıyı bir arada yükleyen spam mailler
ve onlarca sahte site ve buralardan indirilen tek bir .exe
dosyasının çalıştırılmasıyla sisteme bulaşan bir ucube yazılımı
ve silinme yöntemini belirteceğim.

Bu zararlılardan muzdarip olanlar konuyu sonuna kadar okuyunuz.

Öncelikle burada yazılanlar yaklaşık 5-6 ay önce eski blogumda açıkladığım son birkaç aydır Türkiye'de oldukça popüler bir zararlı haline gelen Xp Antivirus (Xp Antivirus 2008)'le dolaylı yoldan ilgili. İlk önce bu zararlı çıktı.Ardından yine benzer bir türevi Antivirus XP 2008 türedi.Ondan da birçok kişi etkilendi.Bu zararlı bir reklam , ona tıklama , tıkladıktan sonra açılan siteden yüklenen .exe dosyasının çalıştırılması ile sisteme bulaşıyordu.
Şimdi Antivirus Xp 2008 zararlı yazılımını da içeren Cnn.com the Daily Top 10 aldatmacasına bakalım.Cnn ismini kullanan bu zararlı 2 yoldan yayılıyor. 1- Spam mailler (ki şu ana kadar milyonlarca kişiye gitmiş durumda) 2- Sahte siteler.Bu zararlının yaptığı şeyleri sıralamak gerekirse - ki bunlar sadece bir .exe dosyasının çalıştırılmasıyla oluyor -
- Antivirus Xp 2008 adlı sahte yazılımı yüklemek
- Masaüstü Arka planını değiştirmek
- Masaüstü > Görüntü Özellikleri bölümündeki bazı menüleri kapamak - Trojan.FakeAlert, Trojan.Downloader, Rootkit.Rustock, Rogue.Multiple, Hijack.DisplayProperties, Hijack.Wallpaper zararlılarını yüklemek
- Google.com 'u engellemek, mavi ekran hatası görünümlü ekran koruyucu yüklemek
- Masaüstü ve ekran koruyucunun değiştirilmesini engellemek

Sözü fazla uzatmadan bu zararlıyla ilgili resimlere ve silinme yöntemine geçelim.


Spam Mail



Flash player hatası yüzünden izlenilmediğini belirten aslında olmayan video ve ana zararlımız get_flash_update.exe



Get_flash_update.exe çalıştırıldıktan 1 dakika sonra sistemde şunlar oluyor.







Google engelleniyor.






Masaüstü arka planı değiştiriliyor (Warning! Spyware detected on your computer Install an antivirus or spyware remover to clean your computer )
Antivirus Xp 2008 adlı sahte yazılım yükleniyor. Antivirus XP 2008
http://www.virustemizligi.com/2008/07/nedir-rogue-sahte-yazlm.html



Mavi ekran hatası görünümlü ekran koruyucu hata zannediliyor.Ve bu ekran koruyucu değiştirilemiyor. (SysInternals BlueScreen Screen Saver)

PAGE_FAULT_IN_NONPAGED_AREA fips.sys
PANIC_STACK_SWITCH
MAXIMUM_WAIT_OBJECTS_EXCEEDED
NO_MORE_IRP_STACK_LOCATIONS
BAD_POOL_HEADER
IRQL_NOT_LESS_OR_EQUAL
KMODE_EXCEPTION_NOT_HANDLED
BOGUS_DRIVER
SYSINTERNALS_GREAT_SITE
UNEXPECTED_KERNEL_MODE_TRAP
netbios.sys
Bu ekran koruyucuda yukardaki yazılar görünüyor.




Masaüstü > Görüntü Özellikleri Masaüstü ve Ekran Koruyucu menüleri gidiyor.Yani arka plan resmi ve ekran koruyucu değiştirilemiyor.




Temizlik :

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
veya
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html
veya
http://rapidshare.com/files/156856918/mbam-setup1.30.zip

İlk olarak yukarıdan Malwarebytes'Anti Malware'i indirin.(2 mb)
Programı kurun.
Update bölümünden güncelleyin.



Perform full scan diyip bütün sürücüleri işaretleyip ; taramanın bitmesini bekliyorsunuz.



Tarama bittiğinde show results diyince bulduğu zararlıları görebilirsiniz.




Remove selected deyip ; biraz bekliyorsunuz.



Evet diyerek Bilgisayarınızı yeniden başlatın.
Restart sonunda Bulduğu nesneler karantinaya geldi..
Buradakileri de delete all diyerek uçurabilirsiniz.
Başlat menüsü> Programlar bölümünde kalan artıkları -bir zararı da olmayan yani tıklayınca hatalı kısayol uyarısı veren - klasör veya kısayolları da elle silin.



Restart sonunda tek yapmanız gereken Masaüstü arka planını değiştirmek.Artık değiştirebilirsiniz.



Malwarebytes'AntiMalware ile temizleyebileceğiniz
Cnn.com The Daily Top 10 Zararlisi ile yüklenen zararlılara ait girdiler:


1-Trojan.MyDoom
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc
C:\WINDOWS\system32\CbEvtSvc.exe


2-Rootkit.Rustock
C:\WINDOWS\temp\7.tmp
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
\Content.IE5\I9E5YZM5\install[1].exe

3-Trojan.FakeAlert (Antivirus XP 2008)
C:\WINDOWS\system32\pphccvoj0erdv.exe
C:\WINDOWS\system32\blphccvoj0erdv.scr
C:\WINDOWS\system32\phccvoj0erdv.bmp

4- Rogue.Multiple (Antivirus XP 2008)
C:\Documents and Settings\All Users\Desktop\Antivirus XP 2008.lnk
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
rhc9voj0erdv
HKEY_LOCAL_MACHINE\SOFTWARE\rhc9voj0erdv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
smrhc9voj0erdv
C:\Program Files\rhc9voj0erdv\msvcp71.dll
C:\Program Files\rhc9voj0erdv\MFC71.dll
C:\Program Files\rhc9voj0erdv\msvcr71.dll
C:\Program Files\rhc9voj0erdv\rhc9voj0erdv.exe
C:\Documents and Settings\LocalService\Application Data\rhc9voj0erdv\
Quarantine\Autorun\StartMenuAllUsers
C:\Documents and Settings\LocalService\Application Data\rhc9voj0erdv\Quarantine\Autorun\StartMenuCurrentUser
C:\Documents and Settings\LocalService\Application Data\rhc9voj0erdv\
Quarantine
C:\Documents and Settings\LocalService\Application Data\rhc9voj0erdv\
Quarantine\Autorun
C:\Documents and Settings\LocalService\Application Data\rhc9voj0erdv\
Quarantine\Autorun\HKLM\RunOnce
C:\Documents and Settings\LocalService\Application Data\rhc9voj0erdv\
Quarantine\BrowserObjects
C:\Documents and Settings\LocalService\Application Data\rhc9voj0erdv
C:\Program Files\rhc9voj0erdv
C:\Documents and Settings\LocalService\Application Data\rhc9voj0erdv
\Quarantine\Autorun\HKCU
C:\Documents and Settings\LocalService\Application Data\rhc9voj0erdv
\Quarantine\Autorun\HKCU\RunOnce
C:\Documents and Settings\LocalService\Application Data\rhc9voj0erdv
\Quarantine\Autorun\HKLM
C:\Documents and Settings\LocalService\Application Data\rhc9voj0erdv
\Quarantine\Packages
C:\Program Files\rhc9voj0erdv\rhc9voj0erdv.exe.local
C:\Program Files\rhc9voj0erdv\license.txt
C:\Program Files\rhc9voj0erdv\Uninstall.exe
C:\Program Files\rhc9voj0erdv\msvcp71.dll
C:\Program Files\rhc9voj0erdv\database.dat
C:\Program Files\rhc9voj0erdv\MFC71ENU.DLL
C:\Program Files\rhc9voj0erdv\MFC71.dll
C:\Program Files\rhc9voj0erdv\rhc9voj0erdv.exe
C:\Program Files\rhc9voj0erdv\msvcr71.dll

5- Trojan.Downloader
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
lphccvoj0erdv
C:\WINDOWS\temp\.tt3.tmp
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
\Content.IE5\QRABUDEF\04scan[1].exe
C:\WINDOWS\temp\.ttE.tmp
C:\WINDOWS\system32\lphccvoj0erdv.exe


6-Hijack.DisplayProperties
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
System\NoDispBackgroundPage -> Bad: (1) Good: (0)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
System\NoDispScrSavPage -> Bad: (1) Good: (0)

7- Hijack.Wallpaper
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper


Buraya E-mail adresinizi girerek;virustemizligi.com'da yayınlanan her konunun mail'inize gelmesini sağlayabilirsiniz.

E-Mail Adresiniz: