Win32 TrojanProxy Jaber NAD Kabus gibi..

Win32/TrojanProxy.Jaber.NAD trojan

Bütün günümü zehir etti bu 3-5 kelime topluluğu. Her şey dün akşam üstü başladı. Gezdiğim sitelerden bir tanesinde <iframe> kodları içine yazılmış zararlı bir sitenin linkinin olduğu bir kod dizimi varmış. O kadar antivirüs programları kullanıp hepsinin güncel olmasına rağmen artık Internet Explorer'in azizliğinden midir nedir sağlam bir virüsü veya malware'i yemiş bulundum. Kabus açıkçası öyle başladı. Gerçi kabus olduğuna az önce karar verdim. Neden mi? O gezdiğim sitede sahibinin de muhtemelen bilmediği o küçük iframe içerisinde açılan zararlı virüsü içeren site kodu sayesinde yediğim ve NOD32'nin Win32/TrojanProxy.Jaber.NAD trojan, Microsoft Trojan'ın Win32/Mespam.B, ve diğer 2 antivirüs programımın bulamadığı yine diğer antivirüs programlarımın mümkün malware (Possible_MLWR-5) olarak tanımladığı bu virüsü bir türlü temizleyemedim. Sağolsun kendisi "profcoma net dj" gibi bir adresten  "zu exe" diye bir dosya indirmeye çalışıyordu. Benzer şekilde eskiden hortlayan W32/Zusha.worm vardı o da aynı dosyayı indirmeye çalışıyordu ama bununla benzer şekilde temizleyemedim. (adresleri tam yazmadım..) Tüm savunma programlarımın tek yapabildiği bu dosyayı indirmeyi önlemek. Bunun haricinde tam anlamıyla bilgisayarımdan bu virüsü temizleyemedim. Dün neredeyse bütün gecem bu virüsü temizlemeye çalışmakla geçti. Bilgisayarımı formatlamak istemedim. Daha işletim sistemimi kuralı 1 hafta olmadı. Neyse gece yatarken nasılsa virüs tam fonksiyonuyla çalışamıyor diye düşündüm. "Sadece hazımsızlık yarattı" dedim ve yattım. Sabah kalktığımda ilk işim antivirüs programlarımın aktivite kayıtlarına bakmak oldu. Akitivitelerin hepsinde 15 dakikada bir virüsün zu exe'yi indirmeye çalıştığını gördüm. Sinirim bozuldu... Daha sonra adsense gelirlerime baktım ve rutin gelir getiren sitelerimden bir tanesinin bir gün önce hiç bir şey kaydetmediğini gördüm. Kıllandım o sayfayı açtım.. Bembeyaz bir sayfa. Sinirlerim yine bozuldu. Kaynak koduna baktım hemen "icqdosug com pood" adresine yönlendirilmiş bir iframe kodu yediğimi gördüm. iframe kelimesine koruma kullandığım halde çoğu yerde adamın yaptığına hayran kaldım çünkü öyle bir hazırlamış ki document.write komutunu kullanırken direkt iframe olarak yazdırmıyor tek tek değişken gibi gösterip en sonunda toplu olarak yazdırıyor. Mesela; var ewp="i"; var ocr="f"; var vql="r"; var tkj="a"; var bqa="m"; var ylq="e";  diye tek tek bir değişkene atamış en son document.write(ynq+ewp+ocr+vql+tkj+bqa+ylq+bvaed+krosf+anlox+ vs... diye bir güzel yardırmış... Şaştım doğrusu...

Hemen aklıma kullandığım ftp programında kayıtlı olan yani, "Smart Ftp" programını açar açmaz sitelerime otomatik bağlanması için kaydettiğim şifreler, kullanıcı adları geldi. Kayıtlı olan sitelerimi tek tek denetledim ve 2 tanesinde bu koda rastladım. Çünkü iframe kodu yemenize en büyük neden bilgisayarınızda kayıtlı olan bir virüs olmasıdır. Ben de "dün iframe kodu yemiş bir siteden bilgisayarıma virüs bulaştığını" bildiğim için suçu hemen ona attım. NOD32'nin şu ne idüğü belirsiz "Win32/TrojanProxy.Jaber.NAD trojan" olarak bulduğu virüs sanırım başıma dert açtı. Antivirüs programlarım o virüsün aktif olmasını engelliyor gibi görünüyordu ama kabus çoktan başlamıştı. Smart Ftp gibi ftp programlarını etkilediğini ve kayıtlı olan şifreleri kullanarak sunucudaki index.php ve index.html gibi başlangıç dosyalarına bulaştığını onlara kod eklediğini düşündüm hatta emindim buna. Diğer sitelerimi kontrol ettim diğerleri temizdi. Sadece 2 tanesine bulaşmıştı. Sorunun nereden kaynaklandığını anlamak için ftp programımı açıp diğer sitelerimin de ftp bilgilerini kaydederek virüsün bulaşıp bulaşmayacağını denedim ve evet kabus artık kesinleşmişti. O siteye de bulaştı. Bir şekilde ftp programı kullanmadan web üzerinden zararlı kodu yemiş sitelerimin "index" sayfalarını tekrardan düzenleyip zararlı kodları içerilerinden temizledim. Virüs sadece index dosyalarının sonuna iframe kodu eklemekle kalmıyor ayrıca bir de "public html" veya "www" klasörünün bir üst dizinine de "index.html" dosyası kaydediyor yine iframe kodunu içeren. Virüsü yazan kişi henüz sadece adresini tüm sitelere eklemek için kullanıyor. Yani antivirüs programlarının bulamadığı yada zararlı olarak görmediği bir dizine sizin sitenizin içinden masum kullanıcıyı yönlendiriyor. Virüsü yazan kişi yeteri kadar virüsün yayıldığını düşündüğü sırada yapmak istediği artık neyse, faaliyete geçirecek diye düşünüyorum.. Formatlayıp her şeyi yeniden kurmak belki büyük bir çözüm gibi görünüyor ancak sorunun tam anlamıyla nereden kaynaklandığını da bulmam gerekiyor. Bu virüsün ne zararı mı var? Buyurun şöyle alayım sizi o zaman: Bu site bilgisayarınıza zarar verebilir sorunu ve çözümü.

Aklıma bir başka senaryo daha geliyor. Son kurduğum Windows XP işletim sistemine kadar daha önceleri FTP işlerim için Smart Ftp'nin ücretsiz yani kısıtlı sürümünü kullanıyordum. Kısıtlı olduğunda can sıkıcı mesajlar alıyorsunuz. Bazen defalarca tıklamanıza rağmen bir türlü ftp programı açılmıyor. O yüzden ben de "adettendir" deyip tabiri caizse "crack"lenmişini indirdim. Yani demek istediğim bugüne kadar "crack"siz Smart FTP ile hiç böyle bir sorun yaşamamıştım. Acaba diyorum ondan olabilir mi?

Bir başka senaryo ise bu iframe kodunu ekleyen virüsün sunucumda kurulu olan mail sistemi ile ilgili bir bağlantısı olabilir mi? Çünkü yaklaşık 1 haftadır sürekli sunucumda core.034959 gibi Linux hata dosyaları oluşuyor. Hata kayıtlarında sürekli Fatal.Error denen tehlikeli hatalar alıyorum ve çoğu da bellek yüklenmesiyle ilgili. Bu genelde mail sistemiyle ilgili olabiliyormuş öğrendiğim kadarıyla. Şimdi sizin de karşılaşabileceğiniz bu sorunu nasıl çözeriz bilmiyorum. Bu bahsi geçen virüsü hala daha temizleyebilmiş değilim. Ama son FTP ye bilinçli girdiğimden beri her hangi bir ftp programı kullanmıyorum. Tüm değişikliklerimi yönetim paneli üzerinden gerçekleştiriyorum. Ama sonuçta o da bir şekilde Internet Explorer arabirimini kullanıyor yani bu yolla da virüsün bulaşma ihtimali olabilir diyorum kendi kendime. Her neyse uzun süreli çözüm planım şu şekilde;

-Smart FTP ve diğer FTP programlarımı kaldırdım.

-Antivirüs programlarımı tekrar güncelleyip tüm dosyalarımı tarattım.

-Tüm sitelerimi elle kontrol paneli üzerinden denetleyip iframe kodu var mı yok mu diye aradım.

-Sunucum üzerindeki tüm klasörlerde şaibeli dosyalar olup olmadığını kurcaladım.

-Birazdan tekrar bilgisayarımı formatlamayı düşünüyorum.

-Sanırım Windows'tan vazgeçmemin zamanı geldi...

-Sanırım Internet Explorer'dan tamamen eli ayağı çekmenin zamanı geldi.

-Sanırım lisans gerektiren programları crackleyip kullanmak yerine açık kaynak kodlu programları tercih etmemin zamanı geldi.

Böyle işte sevgili okur. Mağdurum =)~ umarım sizin başınıza gelmez. Bahsettiğim konuda bir fikriniz varsa paylaşırsanız mutlu olurum benim aklımın erdiği bu kadar.


Bu yazı 13 Ocak 2008 Pazar günü Onur Pay tarafından yazıldı

“Win32 TrojanProxy Jaber NAD Kabus gibi..” için 12 yorum yapılmış

  1. KaBuS tarafından Oca 20, 2008 tarihinde yapılmış

    Sanırım Benzeri Bir Sorun Bende De Var, Girdiğim Bir İnternet Sitesine Girince Nod32 Virüs Var Deyip Hemen Engelliyor, Bunda Ne Mi Var Diye Soracaksınız, Tabi Söylüyim, İşin Kötü Yanı, O Girdiğin İnternet Sayfasını Benim Yapmıs Olmam :S Hala Cözmüs Degilim, Sorunun Nerden Kaynaklandigini :S

  2. gökhan tarafından Oca 21, 2008 tarihinde yapılmış

    başımız saolsun kardeş… bende 15 gündür uraşıyorum aynı dertten. tüm klasörlerimi silip ftp programlarımı kaldırdım pc den. yedeklşerimi tek tek temizleyip tamamen masum bi bilgisayara ftp kurdum oradan upload yapmama rağmen 20 dk sonra kontrol ettiğimde yine o kodları buldum.

  3. Regülatör tarafından Oca 22, 2008 tarihinde yapılmış

    Merhabalar aynı sorun benım sıtemdede mevcut bu sorun neden oluyor bılgınız varmı acaba her sabah ıframe kodu sılmekten bıktım açıkcası sureklı ftp ye ındex.htm dıye bır dosya atıyor bu neden olur ?

  4. ogrishturkiye tarafından Şub 19, 2008 tarihinde yapılmış

    lanet olasıca aynı seyler benımde basıma geldı 4 gun boyunca ugrasdım bulmadım en sonunda sabaha kadar yatmayıp onu aradım vede usol ust kosede kayıtlı oluyor bu vurus koduda otomatık olarak veb sıtenıze eklenıyor bende aynı sorunları yasadım tum bılgılerı sıldım genelde bunu bu sekıl sızı cekemıyen ılerrlemenızı ıstemıyen host fırmaları yapıyor ben 4 aramama ramen adam hıc kendı umursamadı bıle en sonunda ben kendım buldum onun koyudugu kod oldugunu anladım tum kodu kaldırıyor tekrar gelıyor 4 cesıt ftp programı kulandım genede ayunı sonuc verdı en sonunda fırmayı degıstım rahatladım

  5. kurban tarafından Nis 14, 2008 tarihinde yapılmış

    kurbanların sayısı giderek artıyor, aynı sorun bende de var, bu işe birileri dur desin artık

  6. gunay tarafından Oca 4, 2009 tarihinde yapılmış

    arkadaşlar aynı sorun bendede var ftp programına bulasmıs vırus buyuk ihtimalle ve index dosylarına iframe ile karışık javascript kodu yazıyor çözen varsa lütfen yardımcı olsun

  7. hasan tarafından Şub 11, 2009 tarihinde yapılmış

    ArkadaşLar Bu Virüs Bir Süre Önce Banada Bulaşmıtı ama en sonunda Düşündüm ki MS-Dos Sistemi İle Kod açıklarından Yakalanıyoruz Bu kod açıklarınızı Kapatırssanız Antivirüs Programı Bile Kullanmanıza Gerek kalmaz..

  8. ozzoname tarafından Şub 16, 2009 tarihinde yapılmış

    Merhabalar sevgili kurbanlar :)
    Bu virüsü yapanı tanıyom diyeni dahi vuracak derecedeyim mahvetti elimde 11 tane site var bunları tek tek kontrol ettim ulan adamlar nasıl bişey yapmışlar ya ifarem harcinde httpdocs dışına httpsdocs bile hatta subdomainlere bile ismini bilmediğim html dosyaları atmışlar hatta bazınlarında php dosyalarına rastladım hemen ftp programını kaldırdım ücretsiz yok türkçe diye kullanıyordum hemen kaldırdım host sahibiyle sağolsun gece yarısı saat 2 gibi konuşmaya devam ettik hallettik bişeyleri ben yalnız ben 11 sitedeki subdomainler dahil tek tek dizinleri temizledim yedek dahi aldım o virüslü dosyaları yani ifarem edilmiş ismini bilmediğim yönlendirme yapan dosyaları isteyen olursa :D
    göndereyim tehlikeli değil zararsızdır ama mahvetti beni şimdi bilgisayara çözüm bulmam lazım virüs sahibi kızdı herhaldeki bilgisayarım ilk açılışta saçmalıyo kendi kendine işler yapıyo öyle ki bazen ulan şimdi patlayacak diyorum yani hdd öyle bi işlem yapıyo ki aklınız durur sizce ne yapayım ? yaa daha 2 hafta oldu format atalı sevmiyorum yaa format atmayı ulan ne zevk alır bunlar yaa ben daha msn hacklemekten bile zevk almazken bunlar milettin günahına niye girer onur kardeş mekanında saygısızlık ettiysek af ola herkese iyi çalışmalar.Konuyla ilgili güncel bi topluluk oluşturalım arkadaşlar..

  9. müzik dinle tarafından Tem 24, 2009 tarihinde yapılmış

    Bu virüs suandaki en bala virüstür. Bu virüs dedigim iframe virüsleri. Format atmakla kurtulamazsın. Virüs programları bu konudaki acizlikleri sessiz kalarak kapatmaya calısıyor. Bu konuda en iyi program Avasttı. Ancak o da temmuzda cıkan yeni tip iframe virüslere karsı caresiz kaldı. Bu virüsten cok cekmis biri olarak anladıklarım; – Format atmak çözüm değil asla – Virüs belli başlı dosyalara bulasıyor (index,main,default gibi) – Googlede zararlı site diye fislenmenize neden olabiliyor. – Host firmalarınıda bu konuda genelde caresiz. Diyecegim su umarım en kısa sürede bir caresi bulunur. Allah tüm webmaster arkadaslara sabır versin, çözüm versin.

  10. seo tarafından Kas 14, 2009 tarihinde yapılmış

    Bu virüsü yapanı tanıyom diyeni dahi vuracak derecedeyim mahvetti elimde 11 tane site var bunları tek tek kontrol ettim ulan adamlar nasıl bişey yapmışlar ya ifarem harcinde httpdocs dışına httpsdocs bile hatta subdomainlere bile ismini bilmediğim html dosyaları atmışlar hatta bazınlarında php dosyalarına rastladım hemen ftp programını kaldırdım ücretsiz yok türkçe diye kullanıyordum hemen kaldırdım host sahibiyle sağolsun gece yarısı saat 2 gibi konuşmaya devam ettik hallettik bişeyleri ben yalnız ben 11 sitedeki subdomainler dahil tek tek dizinleri temizledim yedek dahi aldım o virüslü dosyaları yani ifarem edilmiş ismini bilmediğim yönlendirme yapan dosyaları isteyen olursa :D
    göndereyim tehlikeli değil zararsızdır ama mahvetti beni şimdi bilgisayara çözüm bulmam lazım virüs sahibi kızdı herhaldeki bilgisayarım ilk açılışta saçmalıyo kendi kendine işler yapıyo öyle ki bazen ulan şimdi patlayacak diyorum yani hdd öyle bi işlem yapıyo ki aklınız durur sizce ne yapayım ? yaa daha 2 hafta oldu format atalı sevmiyorum yaa format atmayı ulan ne zevk alır bunlar yaa ben daha msn hacklemekten bile zevk almazken bunlar milettin günahına niye girer onur kardeş mekanında saygısızlık ettiysek af ola herkese iyi çalışmalar.Konuyla ilgili güncel bi topluluk oluşturalım arkadaşlar..

  11. su deposu tarafından Kas 16, 2009 tarihinde yapılmış

    Bu virüsü yapanı tanıyom diyeni dahi vuracak derecedeyim mahvetti elimde 11 tane site var bunları tek tek kontrol ettim ulan adamlar nasıl bişey yapmışlar ya ifarem harcinde httpdocs dışına httpsdocs bile hatta subdomainlere bile ismini bilmediğim html dosyaları atmışlar hatta bazınlarında php dosyalarına rastladım hemen ftp programını kaldırdım ücretsiz yok türkçe diye kullanıyordum hemen kaldırdım host sahibiyle sağolsun gece yarısı saat 2 gibi konuşmaya devam ettik hallettik bişeyleri ben yalnız ben 11 sitedeki subdomainler dahil tek tek dizinleri temizledim yedek dahi aldım o virüslü dosyaları yani ifarem edilmiş ismini bilmediğim yönlendirme yapan dosyaları isteyen olursa :D
    göndereyim tehlikeli değil zararsızdır ama mahvetti beni şimdi bilgisayara çözüm bulmam lazım virüs sahibi kızdı herhaldeki bilgisayarım ilk açılışta saçmalıyo kendi kendine işler yapıyo öyle ki bazen ulan şimdi patlayacak diyorum yani hdd öyle bi işlem yapıyo ki aklınız durur sizce ne yapayım ? yaa daha 2 hafta oldu format atalı sevmiyorum yaa format atmayı ulan ne zevk alır bunlar yaa ben daha msn hacklemekten bile zevk almazken bunlar milettin günahına niye girer onur kardeş mekanında saygısızlık ettiysek af ola herkese iyi çalışmalar.Konuyla ilgili güncel bi topluluk oluşturalım arkadaşlar..

  12. bütün oyunlar tarafından Oca 3, 2010 tarihinde yapılmış

    bu virusu bulasmak tam ebleklik virusu aldıktan sorna ısrarla format atmadan bu virusten kurtulacagını sananlara simdiden tavsiyem sakın denemeyin hemen tüm network ve ftp baglantılı bilgisayarlara format atmak :)=

Siz ne diyorsunuz?

Valid XHTML 1.0 Transitional Valid CSS!