Yazıdada görüldüğü gibi bir uyarı penceresi ile bilgisayarınızın ciddi anlamda sorunları olduğuna sizi inandırmaya çalışıyor.Kullanıcıların pek çoğu artık bu yazılımlara aşina ancak farklılıklardan yola çıkarak neler olduğunu öğrenelim :

1- Sistemde bulunan antivirüs programını devre dışı bırakıyor
2- Program Ekle / Kaldır kaydı bulunmadığı için sistemden kaldırma şansınız yok.
3- IE veya diğer tarayıcıların çalışmasını engelliyor

Bu şekilde vermiş olduğu saçma sapan uyarılardan sonra şayet resimlerde görünen ” prevent attack ” yada ” remove all ” butonuna basarsanız karşınıza gelen pencerede sözde satın alma yollarını ve ücretlerini görüyorsunuz.

Bu uygulamayı ortadan kaldırmak için malwarebytes yazılımını kullanabilirsiniz.Temizleme işlemini tamamladıktan sonra bilgisayarınıza antivirüs uygulamanızı tekrar kurmayı unutmayın.Ayrıca buna benzer sorunlarınız varsa aynı uygulamayı kullanarak temizleme işlemini gerçekleştirebilirsiniz.

MSN üzerinden bulaşan virüslerin popüler olarak kullandıkları yöntem birinin size fotografını gönderdiğini düşündürmektir.Bu yüzdendir ki genelde bu linkin başında ilgi çekecek bir yazı bulunur :

- photo ? www.xxx.com?image.php=msnadresiniz@adres.com
- naked pictures ? www.xxx.com?image.php=msnadresiniz@adres.com

Tabi bunların farklı amaçlar güden Türkçe versiyonlarıda var.Bu versiyonlarda “ kal.bimde.info“  , ” sevgi.lime.info “  gibi bir kaç abidik gubidik sitelere yönlendiriliyor.Bu sitelerde bedava kontür dağıtımı yapılıyor ( muş ).Yukarıda bulunan iki farklı yöntemin iki farklı amacı var.Ancak ilkindeki amaç reklam yapmak falan değil, bilgisayarınızda bulunan tüm hesapları ele geçirmek.

Bir anlık dalgınlığınızda tıklamak gibi bir faklette bulunduğunuz bu link yüzünden bir IE yada FF penceresinin açılmasına sebep oluyor ve sonrasında açılan sayfadan bilgisayarınıza bir script indiriliyor.Bu script ise otomatik olarak çalıştırılıyor, bir exe ve hatta dll dosyası oluşturuyor.Aynı program dosyası başlangıç kütüğüne yazılarak aynı anda bellekte aktif hale geliyor.Bu durumda sizde bir kurban durumuna düşüyorsunuz, tabi aynı mesaj listenizdeki kullanıcılara gönderilmeye başlanıyor.

Çözüm aslında herhangi bir AV kullanmayı gerektirmeyecek kadar basit.Öncelikle Messenger programınızı tümüyle kapatın.Daha sonra CTRL+ALT+DELETE kombinasyonu ile Windows Görev Yöneticisini açın ve şüpheli gördüğünüz uygulamaların görevlerini sonlandırın.Örnek olarak :

- Bir çok virüs genellikle sistem dosyalarının isimlerini taklit eder.Örneğin : scvshost.exe veya rndll.exe
- Bazı virüslerin isimleri kolay farkedilmelerini önlemek için rastgele oluşturulur : 3q5askl89.exe gibi

Sonraki adımda Başlat -> Çalıştır -> Msconfig yazın ve entere basın.Başlangıç sekmesini tıklayın ve bir önceki adımda sonlandırmış olduğunuz uygulamarın başlangıçta çalışmalarını engelleyin.Eğer tecrübeli bir kullanıcıysanız ve başlangıçta çalışan programları zaten biliyorsanız bu durumda bu adımı 1. adım olarak tercih etmeniz işinizi kolaylaştırabilir.

Son adımda ise başlangıçtan kaldırıp bellekten sildiğimiz virüs dosyasını sileceğiz.Bu dosyayı bulmak hem kolay hemde zordur.Çünkü çoğu zaman Msconfig üzerinde başlangıçta çalışmaya ayarlı uygulamanın yol bilgisi görünmeyebilir.Ama bunun anlamı aslında yol bilgisinin kabak gibi ortada olduğudur.Çünkü hangi işletim sistemi sürümü olursa olsun PATH olarak önyüklemede belirtilmiş klasörler için ayrıca yol belirtilmesine gerek yoktur.Yani ” x.exe ” şayet ” belge ” isimli bir klasör içerisinde bulunuyorsa ve bu klasör işletim sistemi önyüklemesinde tanımlanmışsa bu durumda x.exe her yerde yol belirtmeden rahatça çalıştırılabilir anlamına gelir.

Varsayılan yol tanımları ise Windows ve Windows\System32 klasörüdür.Demek ki yol belirtilmemiş bir başlangıç kütüğü dosyası bu klasörlerin içerisinde bir yerlerde olmalı.

Benim örneğini verdiğim rndll.exe Windows klasörü içerisinde “ gizli ” ve ” sistem dosyası ” olarak bulunuyordu.Eğer ” gizli ve sistem dosyalarını göster ” seçeneğini aktif hale getirmezseniz bu durumda dosyayı silme şansınız pek bulunmuyor.

Tüm bu yazılanları doğru şekilde takip ettiyseniz son işlemide bahsi geçen klasörlerde usulüne uygun haraket ederek silebilirsiniz.Bilgisayarınızı yeniden başlattığınızda MSN uygulamanızı tekrar açın ve herhangi bir kullanıcıya virüs  linki gidip gitmediğini takip edin.

Kolay gelsin.

Uygulama kurulduğunda klasik olarak bazı virüslü dosyaları sistem üzerine kopyalıyor.Daha sonra eğer varsa güvenlik duvarı ve AV uygulamanızı iptal ederek ipleri kendi eline alıyor.IE pencerelerini kısıtlayarak internet kullanımınıda ele geçirdikten sonra bildik uyarıları vererek amacına ulaşmayı hedefliyor.Tabi bu hokkabazlık bununlada bitmiyor.Kullanıcıya kendini satamayan uygulama yazılımsal bazı taktiklerle kendi kendine bazı gelirler yaratmaya çalışıyor.

Bunların başında kendi arama motorunu IE ve FF üzerine enjekte ederek kullanıcıları engellemek geliyor.Ayrıca yine bir sistem kaydı açığından yararlanarak imzasız web uygulamalarını da çalıştırılabilir hale getiriyor.Bu durumda bilgisayarınız muhtemel sızıntılara karşıda açık hale gelmiş oluyor.

Bu uygulamanın sistem üzerine kopyaladığı dosyalar şöyle :

c:\Documents and Settings\All Users\Application Data\61a60\WSDDSys
c:\Documents and Settings\All Users\Application Data\61a60
c:\Documents and Settings\All Users\Application Data\61a60\WS83b.exe
c:\Documents and Settings\All Users\Application Data\61a60\8727.mof
c:\Documents and Settings\All Users\Application Data\61a60\mozcrt19.dll
c:\Documents and Settings\All Users\Application Data\61a60\sqlite3.dll
c:\Documents and Settings\All Users\Application Data\61a60\WSD.ico
c:\Documents and Settings\All Users\Application Data\61a60\WSDDSys\vd952342.bd
c:\Documents and Settings\All Users\Application Data\WSDDSys
c:\Documents and Settings\All Users\Application Data\WSDDSys\wsd.cfg
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Windows System Defender.lnk
%UserProfile%\Application Data\Windows System Defender\cookies.sqlite
%UserProfile%\Desktop\Windows System Defender.lnk
%UserProfile%\Recent\ANTIGEN.dll
%UserProfile%\Recent\cid.dll
%UserProfile%\Recent\ddv.dll
%UserProfile%\Recent\eb.sys
%UserProfile%\Recent\eb.tmp
%UserProfile%\Recent\energy.sys
%UserProfile%\Recent\exec.dll
%UserProfile%\Recent\exec.tmp
%UserProfile%\Recent\FS.exe
%UserProfile%\Recent\kernel32.drv
%UserProfile%\Recent\PE.drv
%UserProfile%\Recent\PE.sys
%UserProfile%\Recent\PE.tmp
%UserProfile%\Recent\ppal.dll
%UserProfile%\Recent\SICKBOY.exe
%UserProfile%\Start Menu\Windows System Defender.lnk
%UserProfile%\Start Menu\Programs\Windows System Defender.lnk
c:\Program Files\Mozilla Firefox\searchplugins\search.xml

 Ayrıca şu kayıt anahtarlarınıda kayıt defteri içine işliyor :

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes “URL” => “http://search-gala.com/?&uid=222&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” => “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “Windows System Defender”

Bu dosyaları ve kayıt anahtarlarını bilgisayarınızı güvenli modda açarak silebilirsiniz.Fakat bunu yaparken eksik bıracağını adımlar size tekrar sorun yaratabilir.Bunun yerine bu uygulamayı kullanarak sorununuzu kökten çözebilirsiniz.

Eğer uygulamayı çalıştırırken sorun yaşıyorsanız şu yazıyı okumanızı ve en sonda bulunan combofix uygulamasını indirmenizi tavsiye ediyorum.