Bilgisayar virüsü 20 yaşında
Tam 20 yıl önce bir floppy diskte ortaya çıkan ilk bilgisayar virüsüne “Brain” adı verilmişti. O günden bu yana yazılan virüs sayısı ise 150 bini geçti.

Bilgisayar kullanıcılarının baş ağrısı PC virüsü 20 yaşında. Şimd*** virüsler gibi geniş çaplı bulaşma gücü olmayan Brain virüsü, sadece aralarında bu virüsü barındıran floppy diski değişen bilgisayar kullanıcılarını etkilemişti. Brain virüsünün kaynağı tam olarak bilinmese de kendi yazdığı ve sattığı bir yazılımı korumak isteyen bir Pakistan yazılım firmasınca yaratıldığı sanılıyor.

Uzmanlar, bilgisayar virüsünün evriminde en önemli değişimin, virüs programı yazma hobisinden maddi çıkar sağlama amaçlı sanal suçlara geçiş olduğunu belirterek, ilk bilgisayar virüsünün ortaya çıkışının üzerinden 20 yıl geçmesinin ardından 150 binin üzerinde virüs programının yazıldığını kaydediyorlar.

Brain virüsünün ortaya çıkışının ardından, en yaygın işletim sistemi olan Microsoft Windows’u hedef alan çok sayıda virüs ve başka virüs programları hızla yayılmaya başlarken, Amerikan Federal Soruşturma Bürosu’nun verilerine göre, ABD’de geçen yıl ticari kuruluşların yüzde 84’ü virüs, spyware veya diğer kötü amaçlı programların saldırısına uğradı.

Amerikan şirketleri, bu saldırılara karşı koyabilmek için ortalama24 bin dolar harcama yapmak zorunda kaldılar.

Bilgisayar virüsü terimi, 1984’te Amerikalı bilgisayar bilimcisi Fred Cohen tarafından ilk kez ortaya atıldı. Bilgisayar virüsü üretenler ise ürettikleri bu virüsleri yayabilmek ve kullanıcıların virüslü programı indirmesini sağlamak için e-posta mesajlarında en fazla Britney Spears’ın ismini kullandılar.

Virüslerin yayılmasını sağlamak üzere isimleri en fazla kullanılanilk on ünlü arasında sırasıyla şunlar bulunuyor: Britney Spears, Bill Gates, Jennifer Lopez, Shakira, Usame Bin Ladin, Michael Jackson, Bill Clinton, Anna Kournikova, Paris Hilton ve Pamela Anderson.


Yukarıda ki alıntı yazıdanda anlaşılacağı gibi herşeyin kökü para !!!!!!


Prş Nis 06, 2006 5:51 am

poorway
ER



Kayıt: 03 Nis 2006
Mesajlar: 8


Bilgisayar Virüsü Nedir?
Bilgisayar Virüsü Nedir?
Virüsler, bilgisayarımızı çalıştırdığımızda herhangi bir şekilde zarar veren küçük progr*****lardır ve bu progr*****lar sanılanın aksine bilgisayarda cok yer kaplamazlar. Bilgisayar virüslerinden bazıları sadece bulaştığı programı bozacağı gibi bilgisayarın ana kartı bozabilir. Örneğin; her 26 Nisan'da aktif hale gelen "CIH" diğer adıyla Çernobil virüsü bilgisayarın bios'unu silen bir virüstür. Bu virüs sadece harddiskteki dosyaları kullanılmaz hale getirebildiği gibi bilgisayara da tekrar kullanılmayacak kadar zarar verebilir.
2000'li yıllarda yaygın hale gelen internet'ten e-posta yoluyla bilgisayarlara bulaşan ve kullanıcı bilgisayarın outlook express denilen e-posta programı üzerinde yer alan adreslerine kendini yollayan virüslerde yaygınlaşmıştır.


Bilgisayar Virüslerinin Özellikleri;
".exe", ".com" gibi dosyalara bulaşırlar.
Virüsler kendini otomatik olarak kopyalar.
Bu programlar kullanıcı müdahalesine gerek kalmadan kendi kendine çalışacak şekilde sabit diske kaydeder.
Virüsün bulaştığı program kendi kendine yeni virüsler üretir.
Virüsler programların özelliklerini değiştirirler.
Çoğu kez görüldüğü kadarıyla virüsler bir programa sadece 1 kez bulaşırlar.
Virüsün bulaştığı program uzun süre normal çalışır.
Virüslerin bulaştıkları programlar önceden yaptığı şeylerin yanında virüsün istediği şeyleri de yapar.
Kullanıcı bilgisayarına ve sabit diskine zarar verirler.
Programlara bazı virüslere karşı bağışıklılık kazandırılabilinir.
Virüsler devamlarını sağlamak için bazı önlemler alırlar. Bu önlemlerin başında da Anti-Virüs Programları tarafından fark edilmemek için bilgisayar sisteminde gözükmemeye çalışırlar. Çoğu virüsün tekniği iyi gizlenmektir. Bu yüzden virüs kodları çok kısa olur.Ayrıca virüs programları, kendilerini değiştirerek virüs arayan programlardan korunabilirler.

2000'li Yıllarda Yayılan Virüslerin Ortak Özellikleri;
Virüsler girdikleri sistemde göze çarpmamaya çalışırlar ve bu yüzden virüs yazarları kodları olduğunca kısa tutmak isterler.
Virüsler bulaştıkları programlarda kendilerini belirlenen şartlardan sonra gösterirler.
Virüsler kendilerini kendi kopyalrından korumak için bir işaret taşır ve kendi türünden virüs olmayan dosyalara kopyalanırlar.

Bilgisayar Virüslerinin Çeşitleri;
Açılış "boot" sektörü virüsleri
Çok amaçlı virüsler
Genel amaçlı virüsler
Komut işleyici virüsler
Makro virüsleri
Kütük virüsleri

Açılış "boot" sektörü virüsleri; Bu virüsler sabit disklerin açılış sektörüne yerleşir ve ancak bilgisayar açılınca etkinleşir.
Çok amaçlı virüsler; Bir çok virüsün en güçlü özelliklerine sahip olan bir virüstür. Bir dosyadan başka bir dosyaya bulaşmak için çok çeşitli yol ve teknik bilirler.
Genel amaçlı virüsler; Kolayca farklı dosya türlerine bulaşabilirler. Alt dosyalar yerine genel amaçlı sistem dosyalarına ve "boot" sektörüne yerleşirler.
Komut işleyici virüsler; İşletim sistemi dosyalarına bulaşırlar ve bu işletim sitemi dosyalarına girdikten sonra kolayca yayılırlar. Bu virüsler Command.com dosyasını hedef alırlar.
Makro virüsleri; Bu virüsler aslında Word veya Excelde bazı işleri otomatikleştirmek için yapılmıştır. Yapısı daha çok Visual Basic'e benzer ve işte bu özelliği farkeden hackerlar bu tür virüsleri oluşturmaya başlamışlardır.
Kütük tipi virüsler; .com, .exe, .bat gibi işletilebilir dosyalara bulaşarak yayılırlar. Bu virüslerden bazıları bellekte yerleşik olarak kaldığı gibi kalmayan tipleri de vardır. Bellekte yerleşen virüsler bulaştıkları dosyaların çalıştırılması ile belleğe yerleşerek diğer program dosyalarına bulaşırlar.

Bilgisayar Virüsleri Nasıl Bulaşır?
Virüsler, disket, cd, internet, e-posta gibi yolları kullanarak bilgisayara bulaşırlar. Boot sektör virüsü bulaşmış bir disketle bilgisayar açılırsa virüs harddisk'in boot sektörüne bulaşabilir. 2000'li yıllarda virüslerin en çok kullandığı yöntem ise e-posta yoludur. Bu yöntemde virüslü bilgisayar bazen kendi kendine kaydedilen e-posta adresine posta göndererek virüsün başka bilgisayarlara bulaşmasını sağlamaktadır.

Virüsler bulaştığında;
Harddisk veya diskette bozuk sektör sayısında artma olabilir.
Bulaştığı programların boyutlarında artış olabilir.
Ram eksikliği olabilir ve bazı programlar Ram'i çok fazla kullanmaya çalışabilir.
Bazı programlar çökebilir, programlarda bazen yavaşlamalar bazen de kitlenmeler olabilir.

İlk 100.000'lere ulaşan virüs Pakistan'ın Lahor kentinde Faruk kardeşler tarafından programlanmış ve kısa sürede Amerika'ya ve Avrupa'ya sıçramıştır.

Bilgisayar Virüslerinden Nasıl Korunabilirim?
Mutlaka bir anti-virüs programı yüklemelisiniz.
Kurduğunuz anti-virüs programını sıksık güncelleştiriniz.
Önemli bilgi ve belgelerinizin kopyalarını mutlaka bulundurmalısınız çünkü anti-virüs programları kimi zaman virüsü temizleyememektedir.

2000'li yıllarda yaygın olan virüslerden bazıları şunlardır:


W32.sobig.A@mm --- *W32.Nimda.E@mm *Trojan.KillAV.B

W32.Nimda.A@mm--- *W2k.Stream *W97M.Rochitz.A

W32.Sircam.Worm@mm--- *DOS Funlove.4099

W32.Bugbear@mm--- *Happy99.Worm

VBS.Haptime@mm--- *W32.Klez

W32.Kriz --- *W32.Sircam.Worm@mm

W32.Yaha--- *W32.Welchia.Worm

W32.Navidad--- *W32.Blaster.Worm

W32.Brid.A@mm/W32.Funlove.4099 --- *W97M.Riosys

W32.HLLW.Winwvar/W32.Funlovw.4099--- *W32.Repad.Worm

W95.CIH--- *Hacktool.Keysteal

Kill_ez --- *Backdoor.Evilbot.B



Truva Atları nedir?
Truva atları bir tür virüs zannedilmekle beraber aslında değildir. Bu bir tür küçük casusluk yazılımıdır. Örnek vermek gerekirse makinenize bulaştığı zaman size ait özel bilgileri başka e-posta adreslerine yollamaya başlar. Genelde internetten güvenilmez yerlerden çekilen başka programların yüklenmesi ile bulaşır.

Bilgisayar Kurtları nedir?
Bilgisayar kurtları, bilgisayarınızın hafızasında boş yer kalmayana kadar kendini kopyalan programlardır. Bilgisayar kurtları bilgisayarın hafızasını kaplar ve böylece bilgisayarın yavaşlamasını ve hatta çökmesini amaçlar.

Bilgisayar kurtları ilk önce Ram'de kendine bir yer bulur ve kendini oraya kopyalar daha sonra ise yeni kopyayı çalıştırır. Bu programın çalıştırılmasıyla bir döngü oluşur ve devamlı olarak ilk başlatılan programın kopyası üretilmekte sonra da bu kopyalar çalıştırılmaktadır. Bu kopyalama hafızada yer kalmayıncaya kadar devam eder ve hafıza dolduktan sonra bilgisayar yavaş çalışmaya başlayacak veya çökecektir.

Mantık Bombaları nedir?
Mantık bombaları, programcı tarafından programcının isteği dışında bir olayın gerçekleşmemesi için programların içine yerleştirilen progr*****lardır. Bu mantık bombalarından korunmak için yükleyeceğiniz programların orjinal cd veya disketten olduğuna dikkat edin aksi takdirde mantık bombaları bilgisayarınıza yerleşebilir ve bilgisayarınızın çökmesine neden olabilir.

Anti-Virüs Programları
Bu programlar virüsleri tespit eden, virüs bulaşmış dosyaları temizleyen veya silen prpgramlardır. Bu programlardan bazıları trojanları (truva atları) da tespit edebilmektedir. Trojanların virüslerden farkı gözle görünebilir olması ve normal bir dosya gibi silinebilir olmasıdır.

Yaygın olarak kullanılan Anti-Virüs Programları:
Norton Anti-virüs
McAfee Antivirüs
AVP
Panda Anti-virüs Titanium
F-prot

W32.Serflog.A ve W32.Kelvir-A virüsü temizlenmesi
W32.Serflog.A ve W32.Kelvir-A virüsü temizlenmesi

W32.Serflog.A bir worm (solucan) olup, MSN Messenger ve Windows Messenger üzerinden bilgisayarına virüs bulaşmış kişinin contact list'indeki tüm kişilere kendisini bir link olarak gönderir ve Windows'un güvenlik seviyesi ayarlarını da azaltır.

Diğer isimleri: Sumom.A [F-Secure], IM-Worm.Win32.Sumom.a [Kaspersky Lab], W32.Crog.worm [McAfee], W32.Sumom-A [Sophos], WORM_FATSO.A [Trend Micro].

Bilgisayara bulaşır bulaşmaz ekrana şunu yazar: "'-F-u-c-k-'-Y-o-u-'". Virüs kendisini aşağıdaki isimleri kullanarak bilgisayarda çoğaltır:

formatsys.exe (C:System dizini)
serbw.exe (C:System dizini)
msmbw.exe (C:Windows dizini)
Crazy frog gets killed by train!.pif (C: sürücüsünde)
Annoying crazy frog getting killed.pif (C: sürücüsünde)
See my lesbian friends.pif (C: sürücüsünde)
LOL that ur pic!.pif (C: sürücüsünde)
My new photo!.pif (C: sürücüsünde)
Me on holiday!.pif (C: sürücüsünde)
The Cat And The Fan piccy.pif (C: sürücüsünde)
How a Blonde Eats a Banana...pif (C: sürücüsünde)
Mona Lisa Wants Her Smile Back.pif (C: sürücüsünde)
Topless in Mini Skirt! lol.pif (C: sürücüsünde)
Fat Elvis! lol.pif (C: sürücüsünde)
Jennifer Lopez.scr (C: sürücüsünde)
lspt.exe (C: sürücüsünde)
autorun.exe (C:********s and SettingsLocal SettingsApplication DataMicrosoftCD Burning dizini)

Aşağıdaki gizli dosyaları oluşturur:
British National Party.jpg (C: sürücüsünde)
Crazy-Frog.Html (C: sürücüsünde)
Message to n00b LARISSA.txt (C: sürücüsünde)

Eğer bilgisayarda var ise aşağıdaki dosyayı siler:
MESSAGE_TO_BROPIA.txt

Virüs,
"Messenger Plus! 3.50.exe", "MSN all version polygamy.exe" ve "MSN nudge bomb.exe" isimlerini kullanarak,

My Shared dizinine (C: sürücüsünde)
Shared dizinine (C: sürücüsünde) ve
C:ProgramFilesProgram FileseMuleIncoming dizinine kendisini kopyalar. Daha sonra aşağıdaki Internet adreslerini bloke ederek kişinin antivirüs yazılımları indirmesini ya da yüklü antivirüs programlarını güncellemesini engelleyerek kendisini sağlama alır


64.233.167.104 uk.trendmicro-europe.com


Symantec firmasına ait Norton Anti-virüs yüklü bilgisayarlardan virüsü temizlemek için bilgisayarı güvenli kipte açmalısınız. System Restore (Sistem Geri Yüklemeyi) kapatmalısınız. Güncellemenizi yaptıktan sonra, Norton Antivirüs ile bilgisayarınızı scan edip bütün "W32.Serflog.A" solucanlarını temizlemelisiniz.

Norton Antivirüs yoksa, virüsü elle temizlemek için:
1. Bilgisayarınızı restart edip güvenli kipte açın. Bunun için açılış anında F8 tuşuna basarak güvenli kipi seçin.
2. Başlat menüsünden RUN'ı (çalıştır) seçip açılan pencereye "regedit" yazın, sonra da enter’a basın.
3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmiş yeni kayıtları silin:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionpoliciesExplorerRun
HKEY_CURRENT_USERMicrosoftWindowsCurrentVersion Run
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurre ntVersionpoliciesExplorerRun

Yukarıdaki kayıtlar içinde "serpe", "avnort", "ltwob" gibi tanımlar var ise sisteminiz virüsten etkilenmiş ve her açılışta kendisini tekrar çalıştırıyor demektir. Bu tanımları silin.

4. "Bilgisayarım"ı açtıktan sonra "araçlar"dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki "gizli dosyaları göster" seçeneğini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçeneğindeki işareti
kaldırın. Böylelikle virüs'ün sistem içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.

5. Aşağıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin.
C:windowssystem32formatsys.exe
C:windowssystem32serbw.exe
C:windowsmsmbw.exe
C:Crazy frog gets killed by train!.pif
C:Annoying crazy frog getting killed.pif
C:See my lesbian friends.pif
C:LOL that ur pic!.pif
C:My new photo!.pif
C:Me on holiday!.pif
C:The Cat And The Fan piccy.pif
C:How a Blonde Eats a Banana...pif
C:Mona Lisa Wants Her Smile Back.pif
C:Topless in Mini Skirt! lol.pif
C:Fat Elvis! lol.pif
C:Jennifer Lopez.scr
C:lspt.exe
C:********s and SettingsLocal SettingsApplication DataMicrosoftCD Burningautorun.exe
C:British National Party.jpg
C:Crazy-Frog.Html
C:Message to n00b LARISSA.txt

6. C:WindowsSystem32Driversetc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini silin.
Örnek içerik:
64.233.167.104
Only registred user can see link on this forum!
Registred or Login on forum! 


7. Bu ve benzeri antivirüs üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız yeni güncellemeleri indirebilir hale gelecektir. Yukarıdaki işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs yazılımını Internet’e bağlanarak güncelleyin ve gözden kaçmış kalıntılar olabileceğini düşünerek bilgisayarınızı virüs taramasından geçirin. Windows XP'nin System Restore (Sistem Geri Yükleme) özelliğini mutlaka kapatmalısınız. Sistem Geri Yüklemeyi eğer devredışı bırakırsanız W32 türevi pekçok zararlı solucanı ve virüsün bilgisayarınızda çalışmasının tetiklenmesini engellemiş olacaksınız. Sistem Geri Yükleme özelliğine Başlat/Ayarlar/Denetim Masası'ından "Sistem Geri Yükleme" sekmesinden ulaşabilirsiniz. Sistem Geri Yüklemeyi devredışı bırakıp Sistem'den çıktığınızda Windows sizi uyaracaktır. Windows'un uyarısına aldırmayarak devam edin.

KORUNMA: Sistem Restore (Sistem Geri Yükleme) neden kapatılmalı?
Sistem Geri Yükleme, Windows ME ve Windows XP'deki bir özellik olup kullanıcı tarafından seçilmiş dosyaların yedeklenmesi amacıyla tasarlanmıştır. Windows bu yedeklemeyi C:_Restore dizininde yapar. Yedeklenmiş dosyaları Windows özel bir algoritmayla sıkıştırarak yedeklediğinden, antivirüs yazılımları buradaki virüslü dosyalar göremezler. Siz bilgisayarındaki buradaki hariç tüm virüsleri temizledikten sonra eski belgenizi bir süre sonra restore ederek geri çağırdığınızda, dosyalarınızla birlikte yedeklenmiş virüsler de geri geleceğinden sistem geri yükleme kapatılmalıdır. Demek ki geri yüklemenin kapatılması için *** sebebimiz var:

- Sistem Geri Yüklemenin yedeklediği dosyaları antivirüs yazılımları göremez.
- Geri yedeklenen virüslü dosyalar virüsleri de geri getirirler.

Bu özelliği açık tutmak virüsleri çok sevindirecek, sizi de çok uğraştıracaktır.

TEMİZLEME: W32.Kelvir, W/32Serflog ve diğer solucanları temizlemek için ftp dizinindeki programları kullanabilirsiniz.Buradaki FxKelvir.exe, FixSerflog.exe, FixSobigF.exe, FxBropia.exe ve W32.Sobig.F@mm Removal Tool.exe programlarını deneyin. McAfee'nin Stinger antivirüs yazılımının en son versiyonu da ftp dizinindedir. Diğer solucanlar için bilgisayarınızı tarayabilirsiniz.
Yeni programların hepsini burada görebilir, istediğinizi indirebilirsiniz.

--------------------------------------------------------------------------------

W32.Kelvir-A-E ise yine bir worm (solucan) olup, MSN Messenger ve Windows Messenger üzerinden bilgisayarına virüs bulaşmış kişinin contact list'indeki tüm kişilere kendisini bir link olarak gönderir ve "W32.Spybot.Worm" virüsünün değişik bir versiyonunu download edip bilgisayara bulaştırmaya çalışır. Virüs'ün download etmeye çalıştığı dosyanın yeri:
Only registred user can see link on this forum!
Registred or Login on forum!

olup güvenlik açısından adrese ulaşımı engellemek için bir kısmı yıldızlarla gizlenmiştir. Virüs bu adreste bulunan "patch.exe" dosyasını download eder etmez ilk iş bunu çalıştırır. Bu yazı hazırlanırken adresteki virüs değişmiş ve "Win32.Rbot.BWD" olmuştur. Daha çok bilgi için Bilgisayar Komisyonu üyeleri şu an yoğun olarak çalışılmaktadır.

Solucanın diğer isimleri: Win32.Bropia.Variant!Worm, W32.Kelvir.A [F-Secure], IM-Worm.Win32.Kelvir.a [Kaspersky].

Virüsü elle temizleme:
Symantec firmasına ait Norton Anti-virüs yüklü bilgisayarlardan virüsü temizlemek için bilgisayarı güvenli kipte açmalısınız. System Restore (Sistem Geri Yüklemeyi) kapatmalısınız. Norton Antivirüs ile bilgisayarınızı scan edip bütün "W32.Kelvir-C" solucanlarını temizlemelisiniz.


--------------------------------------------------------------------------------

"Stinger AVERT" kullanarak diğer solucanlardan bilgisayarı temizleme:
Stinger yazılımı McAfee firmasına ait küçük bir antivirüs yazılımı olup aşağıdaki virüsleri temizler:
BackDoor-AQJ, BackDoor-CFB, BackDoor-DHC, BackDoor-JZ-JZ, Bat/Mumu.worm, Exploit-DcomRpc, IPCScan, IRC/Flood.ap, NutzenSie, IRC/Flood.cd, NTServiceLoader, PWS-Narod, PWS-Sincom.dll, W32.Anig.worm, W32.Bagle@MM, W32.Blaster.worm, (Lovsan), W32.Bugbear@MM, W32.Deborm.worm.gen, W32.Doomjuice.worm, W32.Dumaru, W32.Elkern.cav, W32.Fizzer.gen@MM, W32.FunLove, W32.Klez, W32.Korgo.worm, W32.Lirva, W32.Lovgate, W32.Mimail, W32.MoFei.worm, W32.Mumu.b.worm, W32.MyDoom, W32.Nachi.worm, W32.Netsky, W32.Nimda, W32.Pate, W32.Polybot, W32.Sasser.worm, W32.SirCam@MM, W32.Sober, W32.Sobig, W32.SQLSlammer.worm, W32.Swen@MM, W32.Yaha@MM, W32.Zafi, W32.Zindos.worm.

Not: Stinger programı bütün Windows işletim sistemlerinde çalışan küçük bir programdır. Lisanssız olup Freeware'dir. W32.Serflog.A ve W32.Kelvir-A solucanlarını temizlemez! Diğer solucanları temizleyebilirsiniz. Güncellenmiş en son sürümünü download etmek için buraya tıklayın

Bugünlerde etkin diğer virüsler ve elle temizlenmeleri:

W32.Aplore@mm
Start-Run-Type "msconfig"
Click "startup"
Uncheck "Explorer"
Restart computer

Choke.exe (I-Worm.Choke)
Press CTRL-ALT-DEL, select "choke.exe" and select "end task"
Close MSN Messenger
Start-Run-Type "msconfig"
Click "startup"
Uncheck "Choke.exe"
Restart computer

Choke.exe (I-Worm.Choke)
Start-Find-Search "Choke.exe"
Select file and delete
Empty the Rcycle bin

PIC1234(1)(1)(1)(1)(1).exe Virus
Close MSN
Goto Start-Run-Type "msconfig"
Click "startup"
Uncheck "MSN Messenger"
Click OK and choose DO NOT RESTART
CTRL-ALT-DEL, select "MsgSpread" and end the task

PIC1234(1)(1)(1)(1)(1).exe" Virus
Go to desktop and open My ********s
Double click on "Messenger Service Received Files"
Select the file "PIC1234(1)(1)(1)(1)(1).exe" and delete it.
Empty Recycle Bin
Restart computer



--------------------------------------------------------------------------------

Hazırlayan: Dr. Levent Yurga
08.03.2005

Yararlanılan kaynaklar:
Symantec Antivirüs Sitesindeki Asuka Yamamoto'nun yazısı
Sophos Antivirüs Sitesi
Kaspersky Antivirüs Sitesi
Antivir Antivirüs Sitesi
F-Secure Antivirüs Sitesi
IT Güvenlik Uzmanı Ömer Kurtulmuş'un yazısı (inTellect Bilgisayar)
CA Virus Information Center
Symantec Virus Removal Tools Page [Tüm trojan, solucan ve virüsler için download edilebilir küçük temizleme programları]


--------------------------------------------------------------------------------



DİĞER WORM VİRÜSLERİ İLE İLGİLİ TEMiZLEME PROGRAMLARI VE BİLGİ:

W32 Sasser Worm Virüsü:
W32 Sasser worm virüsü A, B, C, D, E ve F şeklinde varyasyonlar halinde bulunur ve bilgisayara bulaşır. Microsoft'un MS04-011 numaralı güvenlik bülteninde açıklandığı üzere Windows'ta bulunan LSASS (Local Security Authority Subsystem Service) servis programının güvenlik açıklarını tarayarak, bulduğu açıklardan file transfer protokolünü kullanarak (FTP) kendisini başka bilgisayarlara kopyalar. Bunun için seçtiği rastgele IP'lerde tarama yapar. Güvenlik Patch dosyaları yüklenmemiş NT, 2000 ve XP işletim sistemi yüklü bilgisayarlara bulaşır. Win95/98/Me bilgisayarlara da bulaşır fakat aktif hale geçmez. XP ve 2000 bilgisayarlarda "Bilgisayarın kapanmasına 1 dakika var" yazısı ekrana çıkarak bilgisayarı kapatır. Bu 1 dakika içinde virüsü temizlemek mümkün olmadığı için sistem tarihini geçici olarak birkaç gün/ay geri atabilirsiniz. Bulaştığı makinanın Windows dizininde natpatch.exe dosyası oluşturur ve bunu registry'deki HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun kısmına ekler. Böylece her Windows'u başlattığınızda virüs aktif hale geçer. Virüsün aktifliğine son vermek için CTRL-ALT-DEL tuşuna bastığınızda gelen TASK MANAGER'de PROCESS kısmına geçin. Listedeki natpatch.exe'yi bulun, üzerine tıklayıp process'ine son verin. W32 Sasser virüsü için Symantec Antivirüs firması fxsasser.exe dosyasını kullanıcıların hizmetine sundu. Bu dosya ile (bilgisayarınızı kesinlikle güvenli kipte açtıktan sonra) virüsü temizleyin. Türkçe XP bilgisayarlar için hazırlanmış update dosyalarını bilgisayarınıza patch etmelisiniz. Bunun için service pack 2'yi kurmanız yeterlidir.

W32 Sasser Virüsünü temizlemek için adım adım yapılacak işler (NT, 2000 ve XP):
1. Bilgisayarınızı baştan başlatın ve güvenli kipte açın (açılış sırasında F8'e basacaksınız)
2. Fxsasser ya da Fsasser programıyla bilgisayarınızda virüsü aratın
3. Bilgisayarınızı kapatın açın (Normal olarak)
4. Service pack 2'yi kurun
5. Kurduktan sonra bilgisayarınızı baştan başlatıp virüsü tekrar arayın.
6. Sisteminizdeki anti-virüs'ü güncelleyin.



W32 Cycle virüsü ise LSASS güvenlik sisteminin buffer overrun açığı ile kendisini yayar. 2000 ve XP bilgisayarlara bulaşır. Virüsün aktifliğine son vermek için System Restore programının çalışmasına son vermelisiniz. Task Manager ile baktığınızda msblast.exe, avserve.exe, avserve2.exe veya skynetave.exe programlarını görürseniz bilgisayarınıza W32 Cycle worm virüsü bulaşmış demektir.

W32 Sasser E virüsü için registry editörü çalştırıp (regedit) lsasss.exe satırını bulup silmelisiniz. Registry'deki yeri:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun LSASS SVR = lsasss.exe



MyDoom Virüsü
E-mail ile yayılan bir spam mail worm virüsü olup bulaştığı bilgisayarlardaki outlook adres defterine musallat oluyor. Buradaki adreslere virüslü mailler gönderirken içerik olarak rastgele konular seçiyor. Maillere attachment olarak küçük bir .zip dosyası ekleyerek zararsız görünümlü bir içerik ile kullanıcıları aldatmaya çalışıyor. .bat, .cmd, .exe, .pif ve .scr uzantılı mail ekleri yaratıyor. Kazaa gibi servislerle yayılması dizayn edildiğinden bu servislerden gelen dosyalarda bulunma ihtimali yüksek. Klavyeyi kontrol eden bir virüs olduğundan klavyeden girilen kredi kartı bilgileri ve şifreleri bilgisayarda kendisine özel bir dosyada saklayıp yeri gelince bu bilgileri maille yollayamaya çalışıyor. MyDoom virüsünü temizleyen programı ftp sunucumuzdan download edebilirsiniz.





XP Bilgisayarınızdaki "System Restore" servisini iptal ederek W32 Sasser ve benzeri virüslerin bilgisayardaki işlevlerine son verme ve engelleme:
1. Masaüstündeki "Bilgisayarım" simgesine sağ tuşla tıklayın ve oradan "Sistem Geri Yükleme"yi seçin.
2. "Bütün sürücüler'deki sistem geri yüklemeyi kapat" kutucuğunu işaretleyin.
3. Tamam'a tıklayın, gelen uyarıya tamam deyin.



XP'de eğer bir dosyayı silmeye kalktığınızda "Bu dosya başka bir application tarafından kullanılıyor" deyip silmiyorsa ve o dosyayı başka bir programın kullanmadığından eminseniz yapacağız iş:
Kısa yol, çabuk çözüm 1:
1. Dosyanın ismini değiştirin, uzantısını da değiştirin. Mesela "a.a" yapabilirsiniz.
(Windows Explorer'da dosya uzantılarını gizle seçeneği aktif ise bunu yapamazsınız)
2. Sonra dosyayı silebilirsiniz.
3. Eğer Windows dosyanın ismini değiştirmenize izin vermez ise dosyayı silmek için aşağıdakini deneyin:

Kısa yol, çabuk çözüm 2:
1. Başlat'tan "cmd"yi çalıştırın.
2. Silinecek dosyanın ismi uzun ise klasörde "dir /x" yazarak kısa ismini içinde "~" olacak şekilde görün.
(Ör. "MatrixRevolutions2.avi" dosyasını dir/x ile "matrixr~1.avi" olarak göreceksiniz.)
3. Del /f yazarak kısa dosya isminin kısa halini yazarak dosyayı silin.
(Ör. Del /f matrixr~1.avi)

Uzun yol, kesin çözüm 3 (En inatçı dosyalar için):
1. CTRL-ALT-DEL yaparak Task Manager'i çalıştırın ve "explorer.exe"nin çalışmasına son verin (desktop silinecektir!)
2. Task Manager'deki Dosya kısmından "Yeni Görev (Çalıştır)"ı seçip oraya "cmd" ya da "command" yazın.
3. Silmek istediğiniz sürücüye ve klasöre gidin.
4. "del" komutuyla dosyayı silin.
5. Task Manager'deki Dosya kısmına "Yeni Görev (Çalıştır)"ı seçip oraya "explorer" yazıp enter'a bastığınızda desktop geri gelecektir.
6. Dosyayı silmiş oldunuz, en inatçı dosyaları bile silebilirsiniz.


MSN MESSENGER VİRÜS YAYIYOR

Bugün sabah saatlerinde aktif olmaya başlayan, henüz kimliği bilinmeyen bir virüs, MSN Messenger adlı sohbet programından yayılmaya başladı.

Pek çok kullanıcının bilgisayar sistemine zarar verdiği bildirilen bu virüs, kişilerin listesindeki diğer insanlar tarafından gönderiliyor. Listenizdeki kişilerden gelecek türü bilinmeyen dosyaları bilgisayarınıza kaydetmemeye özen gösterin.

Sanıyorum türünün ilk örneği olan bir virüsle karşı karşıyayız. Bilgisayarlara hangi yolla bulaştığı henüzbilinmeyen bir virüs, MSN Messenger kullanıcıları arasında hızla yayılıyor. Kullanıcının MSN Messenger adlı sohbet programına dahil diğer kişiler tarafından gönderiliyormuş gibi gelen bu dosyaları kesinlikle kabul etmemek ve bilgisayara kaydetmemek gerekiyor.

Henüz MSN'den veya MSN'in ortağı olduğu MSNBC haber portalından geçen bir haber yok. Fakat jet hızıyla yayılan MSN Messenger Virüsü virüsü ortalığı kasıp kavuracak gibi görünüyor.

MSN Messenger üzerinden gelen virüs, kabul edildiği taktirde bir kopyasını otomatik olarak, listede bulunan tüm diğer kullanıcılara gönderiyor. Bu virüs o kadar tehlikeli ki, anti-virüs programlarını ve diğer program yönetimi uygulamalarını da kilitliyor.

Sistem klasörlerine sızıyor

Bilgi Teknolojileri Güvenliği Danışmanı Ömer Kurtulmuş’tan aldığımız bilgiye göre, MSN Messenger listesindeki kişilerden gelen transfer aslında dosya değil, bir İnternet linki. Çoğunlukla gelen link ve dosyalar “pif” ve “scr” uzantılı oluyor. MSN üzerinden yayılan bu virüs için antivirüs firmaları saat 14:00 itibariyle güncel virüs imza dosyalarını dağıtmaya başladılar. Daha bu virüsten etkilenmemiş olanların antivirüs yazılımlarını güncellemeleri en önemli tedbir olacaktır. Yeni virüs tanım dosyalarında bu virüs, Serflog.A, Kelvir.B, Fatso.A vb. isimlerle tespit ediliyot.

Gelen dosya değil link

Bu virüs, MSN Messenger üzerinden kontakt listenizde yer alan kişilerden bir dosya veya İnternet sayfası link'i olarak geliyor. Kullanıcı bu linke tıkladığında virüs dosyası hemen aktif olmuyor, fakat gelen dosya çalıştırıldığında aktif oluyor. Bulaştığı anda o bilgisayardaki MSN kayıtlarında yer alan herkese söz konusu link'i gönderiyor. Bu durum tespit edildiğinde ilk yapılacak işlem bilgisayarın İnternet bağlantısını kesmek olmalıdır. Böylelikle başka birine virüsün yayılması engellenmiş olur.

Adım adım temizleme rehberi


E-Güvenlik Danışmanı Ömer Kurtulmuş’ta aldığımız bilgiye göre, antivirüs yazılımları güncellenmeden virüs bulaşan PC’lerde artık otomatik güncelleme özelliği çalışmayacağından, virüsün elle silinmesi gerekiyor. Eğer İnternet’ten bir temizleme programı indirilip kullanılacaksa, MSN messenger programının çalışmadığına emin olunmalı.


Elle temizlemede izlenecek yöntemler ise şunlar:

1. Bilgisayarınızı restart edip güvenli kipte açın (Açılış anında tuşuna basarak güvenli kipi seçebilirsiniz.)

2. Başlat menüsünden “çalıştır” (run) sekmesini tıklayıp açılan pencereye “regedit” yazarak enter’a basın.

3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmiş yeni kayıtları silin:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionpolicie***plorerRun
HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVe rsionpolicie***plorerRun

Yukarıdaki kayıtlar içinde “serpe”, “avnort”, “ltwob” gibi tanımlar var ise sisteminiz virüsten etkilenmiş ve her açılışta kendisini tekrar çalıştırıyor demektir. Bu tanımları silin.

4. “Bilgisayarım”ı açtıktan sonra “araçlar”dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki “gizli dosyaları göster” seçeneğini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçeneğindeki işareti kaldırın. Böylelikle virüs'ün sistem içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.

5. Aşağıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin.

C:windowssystem32formatsys.exe
C:windowssystem32serbw.exe
C:windowsmsmbw.exe
C:Crazy frog gets killed by train!.pif
C:Annoying crazy frog getting killed.pif
C:See my lesbian friends.pif
C:LOL that ur pic!.pif
C:My new photo!.pif
C:Me on holiday!.pif
C:The Cat And The Fan piccy.pif
C:How a Blonde Eats a Banana...pif
C:Mona Lisa Wants Her Smile Back.pif
C:Topless in Mini Skirt! lol.pif
C:Fat Elvis! lol.pif
C:Jennifer Lopez.scr
C:lspt.exe
Cocuments and SettingsLocal SettingsApplication DataMicrosoftCD Burningautorun.exe
C:British National Party.jpg
C:Crazy-Frog.Html
C:Message to n00b LARISSA.txt

6. C:WindowsSystem32Driversetc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini silin.

Örnek içerik:

64.233.167.104
Only registred user can see link on this forum!
Registred or Login on forum!