30.11.2010

Exploit-ByteVerify / Win HDD

Kullanıcılardan birisi telefon konuşması sırasında "Disk bulunamıyor hatası alıyorum" deyince bir bilgi işlemci aklını kaybedebiliyor. Ama sonradan bu mesajı bilgisayar açık ve tamamen işlevselken verdiğini görünce biraz iç rahatlaması ile karışık şaşırma hissi oluyor.

Evet, bilgisayar açıkken sistem tepsisinde beliren bir simge, bilgisayarın diskinin bulunamadığından ve diskte hataların algılandığından bahsediyor. Bu olsa olsa sahte bir uyarı mesajıdır. Process Explorer ile inceleyince sistem tepsisinde çalışan programın rastgele sayılardan oluşan 192546.exe gibi bir isme sahip, kullanıcının geçici internet dosyaları klasöründen bir dosya olduğunu gördüm. Program Files klasörünün yerine kullanıcı profilinden çalışan bir program, bağıra bağıra "Ben virüsüm" diyordur. Elbette antivirüs yazılımını geçici internet klasöründen exe çalıştırmayı engelleyecek şekilde yapılandırıp bu dertten baştan kurtulabilirdim. Bundan sonra bu adımı uygulayacağım.

Neyse, adını vermek istemediğim bir Türk sitesinin (hosting ABD üzerinde çıkıyor) sayfasına giren kullanıcımız, ISA loglarına göre aniden http://1010101.in gibi bir adrese yönlendiriliyor. Bu sitede önce bir PDF dosyası ile sınanıyor; ardından da JAR dosyaları ile. PDF ile sanıyorum birşey bulaşmamaış. Ama JAR dosyaları ile kötü amaçlı kişiler hedeflerine ulaşmış. Ayrıca bu siteden http://in-in.in gibi bir siteye de bağlantı yapılıyor. McAfee Site Advisor bu siteyi zararlı olarak sınıflandırdı. Bilgisayarda sahte bir disk denetleme programı (Win HDD) çalışıyor gibi gözüküyor ve diskle ilgili uyarılar verip duruyor. Temizlemek için halen aktif olarak çalışan exe dosyasını Process Explorer ile suspend edip, Autoruns ile tekrar başlamasını engellemek gerekiyor.


Tüm bunlar olurken kullanıcı tarafında VSE 8.5 + Antispyware + Artemis çalışıyordu. Ama akıllara zarar bir şekilde olup bitene göz yummuş(lar). Daha sonra

http://1010101.in/fvjpgrjokpjtfwd.jar (tıklamayın!)
URL'inden download ettiğim JAR dosyasını McAfee VSE zararlı içeriğe sahip Exploit-ByteVerify olarak algıladı. Olay, 1010101.in ve in-in.in sitelerinin ISA üzerinde karalisteye eklenmesiyle kapandı.

Hiç yorum yok: