30.11.2010

Exploit-ByteVerify / Win HDD

Kullanıcılardan birisi telefon konuşması sırasında "Disk bulunamıyor hatası alıyorum" deyince bir bilgi işlemci aklını kaybedebiliyor. Ama sonradan bu mesajı bilgisayar açık ve tamamen işlevselken verdiğini görünce biraz iç rahatlaması ile karışık şaşırma hissi oluyor.

Evet, bilgisayar açıkken sistem tepsisinde beliren bir simge, bilgisayarın diskinin bulunamadığından ve diskte hataların algılandığından bahsediyor. Bu olsa olsa sahte bir uyarı mesajıdır. Process Explorer ile inceleyince sistem tepsisinde çalışan programın rastgele sayılardan oluşan 192546.exe gibi bir isme sahip, kullanıcının geçici internet dosyaları klasöründen bir dosya olduğunu gördüm. Program Files klasörünün yerine kullanıcı profilinden çalışan bir program, bağıra bağıra "Ben virüsüm" diyordur. Elbette antivirüs yazılımını geçici internet klasöründen exe çalıştırmayı engelleyecek şekilde yapılandırıp bu dertten baştan kurtulabilirdim. Bundan sonra bu adımı uygulayacağım.

Neyse, adını vermek istemediğim bir Türk sitesinin (hosting ABD üzerinde çıkıyor) sayfasına giren kullanıcımız, ISA loglarına göre aniden http://1010101.in gibi bir adrese yönlendiriliyor. Bu sitede önce bir PDF dosyası ile sınanıyor; ardından da JAR dosyaları ile. PDF ile sanıyorum birşey bulaşmamaış. Ama JAR dosyaları ile kötü amaçlı kişiler hedeflerine ulaşmış. Ayrıca bu siteden http://in-in.in gibi bir siteye de bağlantı yapılıyor. McAfee Site Advisor bu siteyi zararlı olarak sınıflandırdı. Bilgisayarda sahte bir disk denetleme programı (Win HDD) çalışıyor gibi gözüküyor ve diskle ilgili uyarılar verip duruyor. Temizlemek için halen aktif olarak çalışan exe dosyasını Process Explorer ile suspend edip, Autoruns ile tekrar başlamasını engellemek gerekiyor.


Tüm bunlar olurken kullanıcı tarafında VSE 8.5 + Antispyware + Artemis çalışıyordu. Ama akıllara zarar bir şekilde olup bitene göz yummuş(lar). Daha sonra

http://1010101.in/fvjpgrjokpjtfwd.jar (tıklamayın!)
URL'inden download ettiğim JAR dosyasını McAfee VSE zararlı içeriğe sahip Exploit-ByteVerify olarak algıladı. Olay, 1010101.in ve in-in.in sitelerinin ISA üzerinde karalisteye eklenmesiyle kapandı.

2.11.2010

Google Earth verilerinizi taşımak/yedeklemek

Bir süredir Google Earth'ü kullanıyordum. Kullanmakla ilgili sıkıntı yok, müthiş bir program. Olağanüstü faydalı. Ama yeni bilgisayara geçince eski verilerimi (işaretlediğim yerler, yollar vs.) de yeni bilgisayara taşıma ihtiyacı söz konusu oldu. Yeni bilgisayara Google Earth'ü kurduktan sonra (ki Google Pack kullanmanızı tavsiye ederim) eski bilgisayarımdaki myplaces.kml dosyasını yeni bilgisayarıma kopyalamak yeterli oldu.

Şu adreste belirtildiği şekilde eski Vista bilgisayarımdaki ("gizli dosyaları göster" seçilmiş olmalı)
C:\Users\username\AppData\Roaming\Google\GoogleEarth\myplaces.kml
dosyasını yine aynı konuma kopyalamam gerekiyordu. Ancak bir farkla: Nedense hem eski hem de yeni bilgisayarımda Roaming klasörünün altında Google klasörü yoktu. Onun yerine myplaces.kml dosyasını profil klasörümde arattığımda Roaming'in altında değil, LocalLow klasörünün altında buldum. Dolayısıyla ben
C:\Users\username\AppData\LocalLow\Google\GoogleEarth\myplaces.kml
dosyasını yeni bilgisayarımdaki aynı konuma kopyalayınca tüm verilerime kavuştum. Bu arada Google Earth'ün kapalı olması faydalı olacaktır.