.png)
By
05:13
S.a arkadaşlar bu konumda sizlerle Facebook’ta çok kişinin başını ağrıtan Chrome virüsü yani diğer adıyla Flash Player virüsünün analizini yapacağız.
İlk olarak bir kurban bulmamız gerekiyor. Ben bi arkadaşımın arkadaşının kurban olduğunu anladım o yüzden onun profili üzerinden çalışacağım.
Bu arkadaş kurban olmuş ve sayfasından yeni kurbanlar almak için paylaşım yapılmış. Resmine tıkladığımda beni bir fake sayfaya yönlendiriyor. Burada benim Flash Player’ımın eski olduğunu, yenilemem gerektiğini belirtiyor.
İndirmeye tıklıyorum. Ve dosyayı indiriyorum.
Üstteki resme baktığımda virüsün bir Dropbox hesabı üzerinden paylaşıldığını gördüm. Bunu Dropbox’a şikayet edip hesabın kapanmasını sağlayabilirsiniz.
Dosyayı indirdikten sonra analiz etmeye başladığımda, dosyanın arşiv haline getirildiğini farkettim ve arşivden çıkarttım.
Evet, şimdi elimde orjinal virüs vardı. Bunu kolay yoldan incelemek için Anubis’i kullandım.
Resimdeki adrese girdikten sonra Browse seçeneğinden dosyayı yükledim.
Aşağıdaki resimde analiz sonuçlarını hangi formatta görüntülemek istediğimi sordu bende HTML dedim.
Burada benim dikkat etmem gereken 3 yer var. Bunlar;
* Kayıt Defteri Değişiklikleri,
* Dosya Değişiklikleri,
* Ağ Hareketleri.
İlk olarak Dosya Değişikliklerine bakalım. Bu program aşağıdaki dosyaları oluşturuyor.
Ardından internet hareketlerine bakalım.
sosyalmsn.com sitesine bağlanıp, bilgisayarımıza pmbbldkbgiklfkcfpebdblljigoomkji.crx dosyasını indiryor "*.crx" Chrome eklenti uzantısı. Bu da demektir ki bu eklenti Facebook’ta paylaşım yapan eklenti.
Bu dosyayı " C:\\********s and Settings\\KULLANICI ADINIZ\\Local Settings\\Application Data\\Google\\Chrome\\User Data\\Default\\Extensions " klasörüne kaydediyor. Bu sayede siz yüklemeseniz de kendisini eklenti olarak çalıştırabiliyor.
Direkt linke girdiğimizde Chrome uyarı veriyor.
Bu dosyayı indirmemiz gerekiyor. Ben fazla uğraşmamak için IDM kullanıyorum.
Dosyayı indirdikten sonra "*.crx" uzantılı olduğu için, 7Zip ile arşivden çıkartıyorum.
Üstteki resimde gördüğünüz üzere virüsün Chrome eklentisinin Javascript kodları artık elimde. Bunları istediğim gibi kullanabilirim. Veya virüsün sahibinin detaylı bilgilerine erişebilirim. Bu eleman Wgetscript.com adresli bir site üzerinden scriptleri çalıştırıyor.
Tebrikler. Chrome virüsünün anatomisini çözdük.
evet canim kardeslerim simdi bilgisayariniza chrome virusu bulasmissa onunda kaldirilmasini gostericem.
Sizin adınıza paylaşım yapan bu virüsten kurtulabilirsiniz.
Su an oldukça sık şikayet aldığım bir konu üzerine bir araştırma-inceleme yaptım. Sonuçta Facebook ve Twitter üzerinden sizin adınıza paylaşım yapan bir virüs var.
 | Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız. |
Bu virüs bilgisayarınıza Flash Player güncellemesi gibi görünerek bulaşıyor. Kurban olan bir arkadaşınızın paylaştığı bir linke tıklamanızla açılan Flash Player güncellemesi gibi görünen pencerede yükle dediğinizde virüsü bilgisayarınıza ve haliyle chrome'a yüklüyor. Bu virüs sadece chrome üzerinde çalışıyor, bu yüzden korkmanıza gerek yok bu yazıda size nasıl temizleyeceğinizi göstereceğim.
1- Buradan program kaldırma yazılımını indirin.
2- Programı kurduktan sonra Adobe Flash Player 1,90 isimli bir girdi göreceksiniz. Bunu kaldırın.
3- Ardından Chrome'dan çıkın.
4- Bilgisayarınızdan C:\********s and Settings\KULLANICI ADINIZ\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions adresine gidin burası gizli olabilir o yüzden klasör seçeneklerinden gizli dosyaları göster seçeneğini aktifleştirin. Bu dizinde Chrome'a ait eklentiler muhafaza edilir. Zararlı eklenti de burada saklanıyor bu yüzden herşeyi silin. Arada eklentileriniz de gidebilir ama önemli olan zararlı eklentiyi temizlememiz.
5- Son olarak kayıt defterinde ( Başlat > Çalıştır > Regedit ) "HKEY_LOCAL_MACHİNE-SOFTWARE > Policies > Google > Chrome > Extenstions" anahtarını bulun. Değerler içinde "fhasdfshdfashdfas" gibi karışık isimli bir girdi olacak. Bunu silin.
Tebrikler artık virüsü kaldırdınız!
0 yorum