Tayvan’da binlerce insanın, saldırganlar tarafından kullanıcıların bilgisayarlarının kontrol altına alınabilmesine olanak tanıyan, Msn vasıtasıyla iletilen bir virüsün etkisi altında olduğunu bildirdi.
Kulllanıcıların çoğu, kişiler listesinde düzenli olarak kayıtlı bulunan arkadaşlarından bir link aldı. Linke tıkladıklarında, bir backdoor virüsün bilgisayarlarına kurulduğunu fark ettiler.
Çoğu kullanıcı, ilk olarak kişi listelerinin yok olduğunu ve Msn Messenger’ı kapatmanın imkansız olduğunu bildirdi. Bir kısmı, Messenger Linkine tıkladıktan sonra ters olan hiçbir şey olmadığını kabul ederken, bazı kullanıcılar da bilgisayarlarında veri kaybı olduğunu belirtti.
Virüsün özellikleri ve ne kadar yaygın olduğu hakkında net bir bilgi yok, Doğrusu, bir taraftan Msn temsilcileri BKDR_RINBOT.A isminde bir backdoor virüsü tespit ettiklerini iddia ederken, diğer yandan Symantec Çin bölgesi uzmanları virüsün Backdoor.irc.Bot virüsü olarak tanımlanabileceğini belirtti.
Symantec’e göre, virüs, alıcının korumasını kaldırmak için linkleri göndermede kişi listesini kullanıyor.
Bu tür bir saldırının amacı hem virüsü yaymaya devam etmek için daha fazla kişiye ulaşmak, hem de virüsün bulaştığı bilgisayarlara tam kontrol kazanmak. Bunun yanında, virüsün bulaşmış olduğu bilgisayarların her yeniden başlatıldığında virüsü çalıştıracağı ve bir IRC sohbet odası sunucusuna bağlanmaya çalıştığı, bu sayede bu sunucuya bağlanan bütün bilgisayarların virüsten etkileneceği doğrulandı.
W32.Serflog Msn Virüsü Nasıl Silinir?
W32.Serflog adında, Türkiye çapında “Msn Virüsü” olarak tabir edilen son derece akıllı bir virüs ÅŸu sıralar Msn Messenger kullanıcılarının başını fena halde aÄŸrıtmakta. Virüs bilgisayarınıza yerleÅŸiyor ve Msn kiÅŸi listenizi kullanarak yayılıyor. KiÅŸi listenizdekilere: “FotoÄŸraf albümü gör”, “Åžu siteye girsene…” gibi sizden habersiz mesajlar gönderiyor ve karşı tarafın verdiÄŸi adresteki ve resimlerdeki virüslü dosyayı açmasını amaçlıyor. Karşı taraf virüslü dosyayı açtığında, ona da bulaÅŸmış oluyor ve aynı yolla yayılmaya devam ediyor.
Virüsten kurtulmak için iki yol blunmakta. Bunlardan birincisi virüsü el ile temizlemek(bu zor olanı), ikincisi de Symantec’in ürettiÄŸi bir virüs silme programı ile silmek(kolay yol). Size ilk olarak kolay yolu yani virüs silme programı ile bu virüsten kurtulmayı anlatacağım ama öncelikle sizi virüsle tanıştırayım. Tanışın, kaynaşın:
Öncelikle size Symantec’den edindiÄŸim bilgiler doÄŸrultusunda, virüs hakkında ufak bilgiler vereyim:
____________________________________________________
Symantec // Virüs özeti
Virüsün piyasaya çıktığı tarih: 18 Mart 2005
Virüsün son halini aldığı(güncellendiği) tarih: 5 Aralık 2005
Tür: Bilgi silici
____________________________________________________
Buradan anladığımız kadayırla; virüs ilk olarak 2005 mart ayında bizlerle tanışmış. Bundan dokuz ay sonra da şu anda bizlerin başını ağrıtmakta olan son halini almış.
Virüsün etrafa yayılmasıyla beraber(7 Mart 2005) Symantec bu virüsü önlemek için bir virüs silme programı üretmiÅŸ. Virüs yayıldıkça bu program iÅŸe yaramamaya baÅŸlamış ve bu programı 17 Åžubat 2007 günü güncellemiÅŸ. Bu arada programın adını söylemeyi unuttum. Programa “FixSflog” adını vermiÅŸ. Klasik Symantec program adlarından yani.
Neyse ben lafı çok uzatmadan, programı nasıl kullanacanığınızı size anlatayım:
Virüsü temizlemek için kolay olan yol (tavsiye edilir)
Virüs silme programını çalıştırmadan önce dikkat etmeniz gereken bazı hususlar var. Bunları sizin için aşağıda belirttim:
Eğer sürekli internete bağlıysanız ya da dosyalarınızı paylaştığınız bir ağ içindeyseniz hemen bağlantınızı tüm dünya ile kesin ve dosyalarınızı paylaşıyorsanız, paylaşmakta olduğunuz dosyaları salt okunur(read only) moduna getirin. Bu önlemleri aldıktan sonra tekrar ağınıza ya da internetinize bağlanabilirsiniz.(Bu ayarları yapmayı bilmiyorsanız, hiç ellemeyin daha iyi) Bu önlemi almanızı niye söyledim, onu merak ediyorsunuz şimdi tabii. Gelelim niyesine: Bu virüs dosya paylaşımı sayesinde yayılıyor. Eğer siz önlem almazsanız, bilgisayarını dışarıya kilitlemezseniz aynı sizin gibi başkalarının da başı ağrıyacak hem de sizin yüzünüzden.
Artık virüs silme programını bilgisayarımıza indirmeye hazırız. Buraya tıklayarak virüs silme programını bilgisayarınıza indirin. Hemen sıkılmayın öyle çünkü çok küçük bir dosya. İndirmek saniyeler alıyor sadece.
Dipnot: EÄŸer verdiÄŸim adresten dosyayı indiremiyorsanız, virüs Symantec’in sitesini de bloke etmiÅŸ demektir. EÄŸer öyle bir durumla karşılaşırsanız bana özel mesaj atın, ben size programı gönderirim.
Evet, dosyayı indirdiniz. Artık bu virüsten kurtulmaya hazırız. Programı çalıştırmadan önce yapmanız gereken bazı şeyler var, tabii virüsten tamamen kurtulmak istiyorsanız.
– Çalışan tüm programları kapatın.
– Ä°nternete veya aÄŸa baÄŸlıysanız baÄŸlantınızı kesin.
– Windows Xp kullanıyorsanız; sistem geri yükleme özelliÄŸini kapatın.
Xp’de sistem geri yükleme özelliÄŸi nasıl kapatılır?
– “Bilgisayarım” simgesine saÄŸ tıklayın ve “Özellikler” seçeneÄŸine tıklayın.
– Açılan pencerede “Sistem Geri Yükleme” sekmesine(bölümüne) gelin.
– “Bütün sürücülerdeki sistem geri yüklemeyi kapat” seçeneÄŸini iÅŸaretleyin.
– Ardından “Uygula” sonra da “Tamam” butonlarına basın.
– Bilgisayarı yeniden baÅŸlatmak gerektiÄŸini söyleyen bir uyarı alacaksınız. “Evet” butonuna basın ve bilgisayarı yaptığınız ayarların aktif olması için yeniden baÅŸlatın.
Dipnot: Virüs temizleme iÅŸlemi bitince sistem geri yükleme özelliÄŸini tekrar açmanız gerekecek. ÖzelliÄŸi açmak için yukarıda bahsettiklerimin aynısını tekrar yapmanız gerekecek. Bu sefer “Bütün sürücülerdeki sistem geri yüklemeyi kapat” seçeneÄŸini iÅŸaretlemek yerine, iÅŸaretini kaldıracaksınız doÄŸal olarak.
Şimdi virüs temizleme programını çalıştırmaya hazırız.
– Size verdiÄŸim adresten indirdiÄŸiniz programı açın.
– Taramayı baÅŸlatmak için “Start” butonuna basın.
Tarama bittiÄŸinde eÄŸer bilgisayarınızda virüsü bulabildiyse: “W32.Serflog has infected the computer.” ÅŸeklinde bir mesaj göreceksiniz. EÄŸer bu ÅŸekilde bir mesaj görmezseniz(virüs olmadığında karşınıza çıkan mesajı unuttum) virüsü bulamamış demektir ya da sizde gerçekten de virüs yoktur.
Eğer virüs bulunduysa aşağıdakileri yönergeleri izleyin:
– Bilgisayarı yeniden baÅŸlatın.
– Virüs temizleme programını tekrar çalıştırın ve son bir kez daha emin olmak için tarama yaptırın. “W32.Serflog has infected the computer.” ÅŸeklinde bir mesaj gelmezse, virüs temizlenmiÅŸ demektir.
Virüsü temizlemek için zor olan yol (tavsiye edilmez ama işe yarar)
Şimdi de virüsü hiçbir program olmadan, tamamen elle temizlemek için bir yol anlatacağım sizlere. Bence yukardaki yöntem çok daha kolay ama tabii yine de siz bilirsiniz.
Aşağıdaki yönergeleri dikkatlice izleyin ve uygulayın:
– Bilgisayarınızı yeniden baÅŸlatıp, güvenli kipte açın. (Güvenli kipte açmak için bilgisayar açılışında F8 tuÅŸuna basarak “Güvenli kip” seçeneÄŸini seçiniz.)
– BaÅŸlat menüsünden “Çalıştır” seçeneÄŸine tıklayın ve çıkan komut satısına “regedit” yazıp enter’e basın.
– Regedit’de aÅŸağıda belirtilmiÅŸ anahtar yollarını dikkatlice tarayın ve içlerinde “serpe”, “avnort”, “ltwob” gibi girdiler varsa, bunları silin: (Girdiler üzerine saÄŸ tıklayarak, silme seçeneÄŸini görebilirsiniz.)
Kodlar:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Kodlar:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Kodlar:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
Kodlar:
HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun
Kodlar:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
– “Bilgisayarım” simgesine çift tıklayın ve açılan pencerede “Araçlar” menüsünden “Klasör Seçenekleri” bölümüne tıklayın. Açılan pencerede “Görünüm” sekmesine gelin ve “Gizli dosyaları göster” seçeneÄŸini iÅŸaretleyin. Ardından “Uygula” sonra da “Tamam” butonlarına basarak pencereyi kapatın.
– AÅŸağıdaki dizinlerde isimleri belirtilen dosyaları silin:
Kodlar:
c:windowssystem32
Silinecek dosyalar: “formatsys.exe”, “serbw.exe”
Kodlar:
c:Windows
Silinecek dosyalar: “msmbw.exe”
Kodlar:
c:documents and settings<kullanıcı_adı>local settingsapplication datamicrosoftcd burning
Silinecek dosyalar: “autorun.exe”
Kodlar:
c:
Silinecek dosyalar: “Crazy frog gets killed by train!.pif”, “Annoying crazy frog getting killed.pif”, “See my lesbian friends.pif”, “LOL that ur pic!.pif”, “My new photo!.pif”, “Me on holiday!.pif”, “The Cat And The Fan piccy.pif”, “How a Blonde Eats a Banana…pif”, “Mona Lisa Wants Her Smile Back.pif”, “Topless in Mini Skirt! lol.pif”, “Fat Elvis! lol.pif”, “Jennifer Lopez.scr”, “lspt.exe”, “British National Party.jpg”, “Crazy-Frog.Html”, “Message to n00b LARISSA.txt”
– Geldik son adıma. AÅŸağıda belirttiÄŸim klasöre gidin.
Kodlar:
c:windowssystem32driversetc
Bu klasörde “hosts” adı altında bir dosya var. O dosyaya saÄŸ tıklayın ve birlikte aç seçeneÄŸine basın. Birlikte açmak istediÄŸiniz programı “Not defteri” olarak seçin yani dosyayı not defteri yardımı ile açın. Bu dosya içerisinde aÅŸağıda belirttiÄŸim satır hariç herÅŸeyi silin.
Kodlar:
127.0.0.1 localhost
Muhtemelen bu satır haricinde eğer siz bir şeyler eklemediyseniz daha önceden, Antivirüs yazılımlarının web siteleri yazacaktır.
Tüm bu işlemlerden sonra bilgisayarınızı yeniden başlatıp Antivirüs tarayıcınızı ve bilgisayarınızı güncelleyin.
Virüs hakkında daha geniş bilgi almak için buraya tıklayın.