Msn üzerinden gelen virüs (IRCBOT)

Bu gün arkadaşımdan gelen msn mesajında şöyle bir ifade vardı;

Bu resimdeki senmisin?? http://www.imageshacker.net/image.php?=xxxx@sekercioglu.eu

linke tıklanıldığında ise sisteme IMG00045.jpeg-www.imageshack.us.com dosyasını www.imageshacker.net adresi üzerinden yüklenmesini sağlıyordu.

Site register kayıtlarına baktığımızda ise;

Domain name: imageshacker.net

Registrant Contact:

Siegfried Jaecques ()
+32.486498345
Fax:
Hoveniersdreef 19
Leuven, be 3001
BE

Administrative Contact:
nameboy
tom jackson ()
+1.9252181840
Fax:
PO Box 2136
White Salmon, 98672
US

Technical Contact:
nameboy
tom jackson ()
+1.9252181840
Fax:
PO Box 2136
White Salmon, 98672
US

Status: Locked

Name Servers:
ns51.domaincontrol.com
ns52.domaincontrol.com

Creation date: 24 May 2008 19:35:56
Expiration date: 24 May 2011 19:35:56

bilgilerine ulaştım. Ardından siteden yüklenmiş olan dosyayı elimdeki virüs ve spy tarama yazılımları ile kontrol ettim fakat hiçbirisi virüsü tespit edemedi.

Daha sonra bu dosyayı www.virustotal.com adresindeki ONLINE SCANNER ile taradığımda aşağıdaki sonuçlara ulaştım

AntivirüsVersiyonSon GüncelleþtirmeSonuç
AhnLab-V32008.5.29.02008.05.29
AntiVir7.8.0.192008.05.29Worm/IrcBot.42496.8
Authentium5.1.0.42008.05.28
Avast4.8.1195.02008.05.29
AVG7.5.0.5162008.05.29BackDoor.Ircbot.EJF
BitDefender7.22008.05.29Backdoor.IRCBot.ABYX
CAT-QuickHeal9.502008.05.28Backdoor.IRCBot.dds
ClamAV0.92.12008.05.29
DrWeb4.44.0.091702008.05.29
eSafe7.0.15.02008.05.29
eTrust-Vet31.4.58322008.05.29
Ewido4.02008.05.29
F-Prot4.4.4.562008.05.28
F-Secure6.70.13260.02008.05.29Backdoor.Win32.IRCBot.dds
Fortinet3.14.0.02008.05.29W32/IRCBot.DDS!tr.bdr
GData2.0.7306.10232008.05.29Backdoor.Win32.IRCBot.dds
IkarusT3.1.1.26.02008.05.29VirTool.Win32.DelfInject.AC
Kaspersky7.0.0.1252008.05.29Backdoor.Win32.IRCBot.dds
McAfee53052008.05.28
Microsoft1.35202008.05.29Worm:Win32/Pushbot.DP
NOD32v231432008.05.29
Norman5.80.022008.05.28
Panda9.0.0.42008.05.28
Prevx1V22008.05.29Worm
Rising20.46.32.002008.05.29
Sophos4.29.02008.05.29Mal/Generic-A
Sunbelt3.0.1123.12008.05.17
Symantec102008.05.29
TheHacker6.2.92.3222008.05.28
VBA323.12.6.62008.05.29Backdoor.Win32.IRCBot.dds
VirusBuster4.3.26:92008.05.28
Webwasher-Gateway6.6.22008.05.29Worm.IrcBot.42496.8

Anlaşılan o ki; bu virüs aslında tanıdık bir virüs yapısındaydı. Bilgisayarda bu sefer regedit kayıtlarını incelediğimde livemsngs.exe dosyası HKEY_LOCAL_MACHINES/Software/microsoft/windows/current version/run anahtarı altından çalıştırılması sağlanıyordu. Bu bağlantıyı silerek sistemi yeniden açtığımda çalışmasını engelledim.

Ardından da Temporary Internet Files klasöründeki IMG00045.jpeg-www.imageshack.us.com dosyası ile c:\windows klasöründeki livemsngs.exe dosyasını silerek sorunu giderdim.