Msn üzerinden gelen virüs (IRCBOT)
Bu gün arkadaşımdan gelen msn mesajında şöyle bir ifade vardı;
Bu resimdeki senmisin?? http://www.imageshacker.net/image.php?=xxxx@sekercioglu.eu
linke tıklanıldığında ise sisteme IMG00045.jpeg-www.imageshack.us.com dosyasını www.imageshacker.net adresi üzerinden yüklenmesini sağlıyordu.
Site register kayıtlarına baktığımızda ise;
Domain name: imageshacker.net
Registrant Contact:
Siegfried Jaecques ()
+32.486498345
Fax:
Hoveniersdreef 19
Leuven, be 3001
BE
Administrative Contact:
nameboy
tom jackson ()
+1.9252181840
Fax:
PO Box 2136
White Salmon, 98672
US
Technical Contact:
nameboy
tom jackson ()
+1.9252181840
Fax:
PO Box 2136
White Salmon, 98672
US
Status: Locked
Name Servers:
ns51.domaincontrol.com
ns52.domaincontrol.com
Creation date: 24 May 2008 19:35:56
Expiration date: 24 May 2011 19:35:56
bilgilerine ulaştım. Ardından siteden yüklenmiş olan dosyayı elimdeki virüs ve spy tarama yazılımları ile kontrol ettim fakat hiçbirisi virüsü tespit edemedi.
Daha sonra bu dosyayı www.virustotal.com adresindeki ONLINE SCANNER ile taradığımda aşağıdaki sonuçlara ulaştım
| Antivirüs | Versiyon | Son Güncelleþtirme | Sonuç |
|---|---|---|---|
| AhnLab-V3 | 2008.5.29.0 | 2008.05.29 | – |
| AntiVir | 7.8.0.19 | 2008.05.29 | Worm/IrcBot.42496.8 |
| Authentium | 5.1.0.4 | 2008.05.28 | – |
| Avast | 4.8.1195.0 | 2008.05.29 | – |
| AVG | 7.5.0.516 | 2008.05.29 | BackDoor.Ircbot.EJF |
| BitDefender | 7.2 | 2008.05.29 | Backdoor.IRCBot.ABYX |
| CAT-QuickHeal | 9.50 | 2008.05.28 | Backdoor.IRCBot.dds |
| ClamAV | 0.92.1 | 2008.05.29 | – |
| DrWeb | 4.44.0.09170 | 2008.05.29 | – |
| eSafe | 7.0.15.0 | 2008.05.29 | – |
| eTrust-Vet | 31.4.5832 | 2008.05.29 | – |
| Ewido | 4.0 | 2008.05.29 | – |
| F-Prot | 4.4.4.56 | 2008.05.28 | – |
| F-Secure | 6.70.13260.0 | 2008.05.29 | Backdoor.Win32.IRCBot.dds |
| Fortinet | 3.14.0.0 | 2008.05.29 | W32/IRCBot.DDS!tr.bdr |
| GData | 2.0.7306.1023 | 2008.05.29 | Backdoor.Win32.IRCBot.dds |
| Ikarus | T3.1.1.26.0 | 2008.05.29 | VirTool.Win32.DelfInject.AC |
| Kaspersky | 7.0.0.125 | 2008.05.29 | Backdoor.Win32.IRCBot.dds |
| McAfee | 5305 | 2008.05.28 | – |
| Microsoft | 1.3520 | 2008.05.29 | Worm:Win32/Pushbot.DP |
| NOD32v2 | 3143 | 2008.05.29 | – |
| Norman | 5.80.02 | 2008.05.28 | – |
| Panda | 9.0.0.4 | 2008.05.28 | – |
| Prevx1 | V2 | 2008.05.29 | Worm |
| Rising | 20.46.32.00 | 2008.05.29 | – |
| Sophos | 4.29.0 | 2008.05.29 | Mal/Generic-A |
| Sunbelt | 3.0.1123.1 | 2008.05.17 | – |
| Symantec | 10 | 2008.05.29 | – |
| TheHacker | 6.2.92.322 | 2008.05.28 | – |
| VBA32 | 3.12.6.6 | 2008.05.29 | Backdoor.Win32.IRCBot.dds |
| VirusBuster | 4.3.26:9 | 2008.05.28 | – |
| Webwasher-Gateway | 6.6.2 | 2008.05.29 | Worm.IrcBot.42496.8 |
Anlaşılan o ki; bu virüs aslında tanıdık bir virüs yapısındaydı. Bilgisayarda bu sefer regedit kayıtlarını incelediğimde livemsngs.exe dosyası HKEY_LOCAL_MACHINES/Software/microsoft/windows/current version/run anahtarı altından çalıştırılması sağlanıyordu. Bu bağlantıyı silerek sistemi yeniden açtığımda çalışmasını engelledim.
Ardından da Temporary Internet Files klasöründeki IMG00045.jpeg-www.imageshack.us.com dosyası ile c:\windows klasöründeki livemsngs.exe dosyasını silerek sorunu giderdim.
