WORM_DOWNAD.A , W32.Downadup (W32/Conficker.worm) Virus Analizi
Nisan 10, 2009 1 Yorum
Virus Adı: Win32/Conficker.E
Platform: Tüm Windows işletim Sistemleri
Bu yazının devamını oku
IT Knowledge Blog
Nisan 10, 2009 1 Yorum
Virus Adı: Win32/Conficker.E
Platform: Tüm Windows işletim Sistemleri
Bu yazının devamını oku
Aralık 5, 2008 4 Yorum
USB ile bulaşan viruslerin en önemli etkenlerinden biride Autorun özelliğine yani Otomatik olarak başlama özelliğine sahip olmalarıdır. Otomatik olarak başlayan dosyalar Autorun.inf den okunur ve Autorun.inf dosyasındaki genelde *.exe uzantılı dosyaları çalıştırarak bilgisayarınıza virus bulaştırırlar.
Bunların başın gizli dosyaları göstermeyen virusler, explorer.exe yi çalıştırmayan virusler, görev yöneticisini deaktif eden virusler bulunmaktadır.
Ekim 8, 2008 13 Yorum
EICAR (European Expert Group For IT-Security) tarafından oluşturulan bir kod satırı sayesinden bilgisayarınızda kullandığınız Anti-virus programının ne derece etkili olduğunu test edebilirsiniz. ” En iyi Antivirus Programı ” benim kullandığım diyorsanız gelin bir test yapalım.
Anti-Virus programınızı aktif edip , aşağıdaki kod satırını bilgisayarınızda Yeni Metin Belgesi açarak içine yapıştırın, kaydedin ve kapatın.
Mayıs 6, 2008 5 Yorum
Worm çeşitleri gittikçe hızlı çoğalıyor.
Virus Adı: Worm_Autorun.CG ( recycler.exe,ise.exe,lsee.exe)
Platform: Tüm Windows Işletim sistemleri
Saklanma Şekli: Recycler Dosyasına bürünme ( Geri Dönüşüm Kutusu )
Çoğalma Şekli : Usb Flash Memory ve Network Share
Mayıs 2, 2008 Yorum bırakın
Tüm Windows platformlarına bulaşan ve antiviruslerin temizleyemediği bir trojan çeşitidir. Internete girerken startdrv.exe hatası alabilirsiniz. Internet Explorer startdrv.exe ve runtime.sys yüzünden hata verir. Her restartdan sonra yenıden sisteme kendılerını yukluyorlar ve yeniden siliyor. Sistem geri yuklemeyi kapatıp restart edip windows cd si ile açıp repair komutundan sonra
del %Windows%\Temp\startdrv.exe
del %System% \drivers\runtime2.sys
del %System% \drivers\runtime.sys
Mayıs 2, 2008 50 Yorum
Amvo.exe (amv0.exe) Bilgisayarda system32 klasörünün altına yerleşen ve içinde gizli dosya olma özelliğini barındıran zararlı bir dosyadır. Ayrıca msconfig’ den bakıldığında açılışa kendini eklediğinide görebilirsiniz.Bu zararlı exe’ nin yanında amvo1.dll ve amvo0.dll dosyalarıda beraberinde gelir ve o dosyalarda aynı özelliğe yani gizli dosya olma özelliğine sahiptir.
4 Adımda virusu temizleyeceğiz. Autorun.inf dosyasını temizleyerek başlayacağız.
Nisan 29, 2008 1 Yorum
Virus Adı: Troj/Dropper-LC
Platform: Tüm işletim sistemleri
Saklanma Sekli: Sistem dosyası olarak çalışma
Çoğalma şekli: Usb belleklerle yayilan ve insani cileden cikaran birkac virusu virus temizleme programina ihtiyac duymadan cift tiklamayla silmek icin aşağıdaki dosyayı hazırlayacağız.
Nisan 3, 2008 3 Yorum
Genelde USB ve Network paylaşımından bulaşır. Sisteminizde patron1 patron2 diye 2 adet paylaşım oluşur. Bu trojan sisteminize girdiği zaman C ve D sürücülerini ağ üzerinde “PATRON1” ve “PATRON2” adıyla paylaşıma tam erişimli olarak açıyor.
CPU’yu %100 kullanarak pc nizin kilitlenmesine neden olur. Hatta bazen bilgisayarınızı açtığınız zaman masa üstü simgeleri çıkmadan öylece kalabiliyor. Bu durumda yapmanız gereken adımlar.
Mart 22, 2008 1 Yorum
Virüs/ Trojan Adı: W32/Hasnot-A Eğer bir Antivirüs programı var ise o size virüsün adını söyleyebilir.
Platform: Sadece Windows
Saklanma Sekli: Kendini aynı klasör isimleri ile sistem dosyası olarak gösterip gizlemek
Çoğalma Sekli: USB disk ve Network Share ayrıca disk partitionlarına Skynet.exe olarak autorun.inf e ekler
Ayrıca Her drive ‘ı kontrol etmelisiniz.
Önce Güvenli kip de windows xp yi başlatın.Açık ise Network Adapter ı disable edin.
<Root>\Documente und Einstellungen.exe
<Root>\Documenti e Impostazioni.exe
<Root>\Documents and Settings.000.exe
<Root>\Documents and Settings.exe
<User>\Application Data\Explorer.exe
<User>\Application Data\Microsoft\WinNT.com
<Favorites>\svchost.exe
<Root>\Games.exe
<Root>\Mijn Documenten.exe
<Root>\My Downloads.exe
<Root>\My Music.exe
<Root>\My Shared Folder.exe
<Root>\Program Files.exe
<Root>\Programma’s.exe
<Root>\Programme.exe
<Root>\Programmi.exe
<Root>\Programs.exe
<Root>\SkyNet.exe
<Root>\System Volume Information.exe
<Root>\Temp.exe
<Root>\Tmp.exe
<Root>\WinNT.exe
<Root>\inetpub.exe
<Root>\install.exe
<Root>\recycled.exe
<Root>\windows.exe
<Windows>\_default .pif
<Windows>\svchost.exe
<System>\Explorer.exe
Root: Yazan yerlerde kac tane driver name var ise hepsine yapmanız gerekebilir.
Registryden başlangıçtan WinNT.com _default .pif i kaldırın.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
WinNT
<User>\Application Data\Microsoft\WinNT.com
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Graphics
<Windows>\_default .pif
Aşağıdaki registry ayarlarını değiştirin :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableTaskMgr
1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}
1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoFolderOptions
1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue
1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}
1
Kolay Gelsin.
Şubat 23, 2008 3 Yorum
Bahsi geçen virüs ( aslında bir worm) bir çok kişi tarafından temizlenememiş ve bazı antivirus ve virus analiz firmaları tarafından 1 ay gibi bir zaman içerisinde çözümlenebilmiştir. Virus çok hızlı bir şekilde usb diskler ,flash bellekler ve network paylaşımları tarafından yayılmaktadır. En önemli özelliği ise userinit.exe ye yerlesip winlogon da çalışabilmesidir.
Türevleri : Virus.VBS.Small.a VBS/Autorun.C@troj VBS/Small.NAB VBS_SMALL.JAJ