Win32 TrojanProxy Jaber NAD Kabus gibi..

Bütün günümü zehir etti bu 3-5 kelime topluluğu. Her şey dün akşam üstü başladı. Gezdiğim sitelerden bir tanesinde <iframe> kodları içine yazılmış zararlı bir sitenin linkinin olduğu bir kod dizimi varmış. O kadar antivirüs programları kullanıp hepsinin güncel olmasına rağmen artık Internet Explorer’in azizliğinden midir nedir sağlam bir virüsü veya malware‘i yemiş bulundum. Kabus açıkçası öyle başladı. Gerçi kabus olduğuna az önce karar verdim. Neden mi? O gezdiğim sitede sahibinin de muhtemelen bilmediği o küçük iframe içerisinde açılan zararlı virüsü içeren site kodu sayesinde yediğim ve NOD32′nin Win32/TrojanProxy.Jaber.NAD trojan, Microsoft Trojan’ın Win32/Mespam.B, ve diğer 2 antivirüs programımın bulamadığı yine diğer antivirüs programlarımın mümkün malware (Possible_MLWR-5) olarak tanımladığı bu virüsü bir türlü temizleyemedim. Sağolsun kendisi ”profcoma net dj” gibi bir adresten  ”zu exe” diye bir dosya indirmeye çalışıyordu. Benzer şekilde eskiden hortlayan W32/Zusha.worm vardı o da aynı dosyayı indirmeye çalışıyordu ama bununla benzer şekilde temizleyemedim. (adresleri tam yazmadım..) Tüm savunma programlarımın tek yapabildiği bu dosyayı indirmeyi önlemek. Bunun haricinde tam anlamıyla bilgisayarımdan bu virüsü temizleyemedim. Dün neredeyse bütün gecem bu virüsü temizlemeye çalışmakla geçti. Bilgisayarımı formatlamak istemedim. Daha işletim sistemimi kuralı 1 hafta olmadı. Neyse gece yatarken nasılsa virüs tam fonksiyonuyla çalışamıyor diye düşündüm. “Sadece hazımsızlık yarattı” dedim ve yattım. Sabah kalktığımda ilk işim antivirüs programlarımın aktivite kayıtlarına bakmak oldu. Akitivitelerin hepsinde 15 dakikada bir virüsün zu exe‘yi indirmeye çalıştığını gördüm. Sinirim bozuldu… Daha sonra adsense gelirlerime baktım ve rutin gelir getiren sitelerimden bir tanesinin bir gün önce hiç bir şey kaydetmediğini gördüm. Kıllandım o sayfayı açtım.. Bembeyaz bir sayfa. Sinirlerim yine bozuldu. Kaynak koduna baktım hemen “icqdosug com pood” adresine yönlendirilmiş bir iframe kodu yediğimi gördüm. iframe kelimesine koruma kullandığım halde çoğu yerde adamın yaptığına hayran kaldım çünkü öyle bir hazırlamış ki document.write komutunu kullanırken direkt iframe olarak yazdırmıyor tek tek değişken gibi gösterip en sonunda toplu olarak yazdırıyor. Mesela; var ewp=”i”; var ocr=”f”; var vql=”r”; var tkj=”a”; var bqa=”m”; var ylq=”e”;  diye tek tek bir değişkene atamış en son document.write(ynq+ewp+ocr+vql+tkj+bqa+ylq+bvaed+krosf+anlox+ vs… diye bir güzel yardırmış… Şaştım doğrusu…

Hemen aklıma kullandığım ftp programında kayıtlı olan yani, “Smart Ftp” programını açar açmaz sitelerime otomatik bağlanması için kaydettiğim şifreler, kullanıcı adları geldi. Kayıtlı olan sitelerimi tek tek denetledim ve 2 tanesinde bu koda rastladım. Çünkü iframe kodu yemenize en büyük neden bilgisayarınızda kayıtlı olan bir virüs olmasıdır. Ben de “dün iframe kodu yemiş bir siteden bilgisayarıma virüs bulaştığını” bildiğim için suçu hemen ona attım. NOD32‘nin şu ne idüğü belirsiz “Win32/TrojanProxy.Jaber.NAD trojan” olarak bulduğu virüs sanırım başıma dert açtı. Antivirüs programlarım o virüsün aktif olmasını engelliyor gibi görünüyordu ama kabus çoktan başlamıştı. Smart Ftp gibi ftp programlarını etkilediğini ve kayıtlı olan şifreleri kullanarak sunucudaki index.php ve index.html gibi başlangıç dosyalarına bulaştığını onlara kod eklediğini düşündüm hatta emindim buna. Diğer sitelerimi kontrol ettim diğerleri temizdi. Sadece 2 tanesine bulaşmıştı. Sorunun nereden kaynaklandığını anlamak için ftp programımı açıp diğer sitelerimin de ftp bilgilerini kaydederek virüsün bulaşıp bulaşmayacağını denedim ve evet kabus artık kesinleşmişti. O siteye de bulaştı. Bir şekilde ftp programı kullanmadan web üzerinden zararlı kodu yemiş sitelerimin “index” sayfalarını tekrardan düzenleyip zararlı kodları içerilerinden temizledim. Virüs sadece index dosyalarının sonuna iframe kodu eklemekle kalmıyor ayrıca bir de “public html” veya “www” klasörünün bir üst dizinine de “index.html” dosyası kaydediyor yine iframe kodunu içeren. Virüsü yazan kişi henüz sadece adresini tüm sitelere eklemek için kullanıyor. Yani antivirüs programlarının bulamadığı yada zararlı olarak görmediği bir dizine sizin sitenizin içinden masum kullanıcıyı yönlendiriyor. Virüsü yazan kişi yeteri kadar virüsün yayıldığını düşündüğü sırada yapmak istediği artık neyse, faaliyete geçirecek diye düşünüyorum.. Formatlayıp her şeyi yeniden kurmak belki büyük bir çözüm gibi görünüyor ancak sorunun tam anlamıyla nereden kaynaklandığını da bulmam gerekiyor. Bu virüsün ne zararı mı var? Buyurun şöyle alayım sizi o zaman: Bu site bilgisayarınıza zarar verebilir sorunu ve çözümü.

Aklıma bir başka senaryo daha geliyor. Son kurduğum Windows XP işletim sistemine kadar daha önceleri FTP işlerim için Smart Ftp’nin ücretsiz yani kısıtlı sürümünü kullanıyordum. Kısıtlı olduğunda can sıkıcı mesajlar alıyorsunuz. Bazen defalarca tıklamanıza rağmen bir türlü ftp programı açılmıyor. O yüzden ben de “adettendir” deyip tabiri caizse “crack”lenmişini indirdim. Yani demek istediğim bugüne kadar “crack”siz Smart FTP ile hiç böyle bir sorun yaşamamıştım. Acaba diyorum ondan olabilir mi?

Bir başka senaryo ise bu iframe kodunu ekleyen virüsün sunucumda kurulu olan mail sistemi ile ilgili bir bağlantısı olabilir mi? Çünkü yaklaşık 1 haftadır sürekli sunucumda core.034959 gibi Linux hata dosyaları oluşuyor. Hata kayıtlarında sürekli Fatal.Error denen tehlikeli hatalar alıyorum ve çoğu da bellek yüklenmesiyle ilgili. Bu genelde mail sistemiyle ilgili olabiliyormuş öğrendiğim kadarıyla. Şimdi sizin de karşılaşabileceğiniz bu sorunu nasıl çözeriz bilmiyorum. Bu bahsi geçen virüsü hala daha temizleyebilmiş değilim. Ama son FTP ye bilinçli girdiğimden beri her hangi bir ftp programı kullanmıyorum. Tüm değişikliklerimi yönetim paneli üzerinden gerçekleştiriyorum. Ama sonuçta o da bir şekilde Internet Explorer arabirimini kullanıyor yani bu yolla da virüsün bulaşma ihtimali olabilir diyorum kendi kendime. Her neyse uzun süreli çözüm planım şu şekilde;

-Smart FTP ve diğer FTP programlarımı kaldırdım.

-Antivirüs programlarımı tekrar güncelleyip tüm dosyalarımı tarattım.

-Tüm sitelerimi elle kontrol paneli üzerinden denetleyip iframe kodu var mı yok mu diye aradım.

-Sunucum üzerindeki tüm klasörlerde şaibeli dosyalar olup olmadığını kurcaladım.

-Birazdan tekrar bilgisayarımı formatlamayı düşünüyorum.

-Sanırım Windows’tan vazgeçmemin zamanı geldi…

-Sanırım Internet Explorer’dan tamamen eli ayağı çekmenin zamanı geldi.

-Sanırım lisans gerektiren programları crackleyip kullanmak yerine açık kaynak kodlu programları tercih etmemin zamanı geldi.

Böyle işte sevgili okur. Mağdurum =)~ umarım sizin başınıza gelmez. Bahsettiğim konuda bir fikriniz varsa paylaşırsanız mutlu olurum benim aklımın erdiği bu kadar.

(1 oy, 5 / 5) -