Dikkat : Taşınabilir Sürücü Virüsü A6460C
Bir haftadır önüme gelen tüm sorunların kaynağı işte bu harfler ile sayılardan oluşan ve çok ince taktikler kullanarak sistemi sarmalayan truva atı.Kullanıcıyı aldatma taktiklerinde son nokta desem yeridir.Üstelik çok dikkatli olmanız gerekiyor çünkü henüz hiç bir antivirüs bu uygulamayı fark edemiyor.
HerÅŸey bir Autorun.inf dosyası ile baÅŸlıyor.Normalde antivirüs programı güncel ve saÄŸlıklı çalışan bilgisayarları da etkileyebilen bu truva atının dayandığı en önemli nokta sistemlerde ki ” Otomatik Kullan ” seçeneÄŸi.EÄŸer bu seçenek aktif ise risk altındasınız anlamına geliyor.Çünkü sürücüyü açmanız ya da açmamanızın bir önemi yok.Åžayet bilgisayarınızda aktif olmayı baÅŸarmışsa bu durumda yaptığı ilk ÅŸey kendini baÅŸlangıç kütüğüne kaydetmek.
Kendini baÅŸlangıç kütüğüne kaydettikten sonra ki aÅŸamada System32 klasörüne abuk subuk isimlere sahip klasörler yaratıyor.ÖrneÄŸin ” 9DC6CB ” gibi.Benim tespit edebildiÄŸim kadarıyla en az 4 oluÅŸturulan bu klasörlerin içerisinde şu listedeki gibi dosyalar bulunuyor :
C:\WINDOWS\system32\9DC6CB\A6460C.EXE
C:\WINDOWS\system32\9DC6CB\A6460C.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\cnvpe.fneÂ
C:\WINDOWS\system32\9DC6CB\A6460C.EXE
C:\WINDOWS\system32\9DC6CB\A6460C.EXE
Sorunun esas kaynağı ise listede gördüğünüz ” cnvpe.fne ” dosyası.
Truva atı sonra ki aÅŸamada ise sinsi bir ÅŸekilde kurbanlarını bekliyor.Farkında olmadan baÅŸka bir sürücü taktığınızda ise saniyeler süren bir aksiyon sonrasında takılmış olan harici sürücüde mevcut klasörlerin isminde yeni program dosyaları yaratıyor.ÖrneÄŸin usb diskinizde ” Filmler, Resimler, Programlar ” adında klasörler olsun.Truva atı bu klasörleri gizli hale getirip aynı isimde ve ikonda program dosyaları oluÅŸturuyor.
G:\Filmler.exe.
G:\Resimler.exe
G:\Programlar.exe
EÄŸer infekte olmuÅŸ taşınabilir sürücüyü bilgisayarına takacak olan kullanıcının ” Gizli Dosya ve Klasörleri Göster ” seçeneÄŸi çalışmıyorsa yandı demektir.Çünkü sürücü bilgisayara baÄŸlandığında otomatik çalıştır aktif olmasa bile kullanıcı program dosyalarını klasör olarak düşünüp çift tıklayacağı için virüs direkt kurban bilgisayara da bulaÅŸmış olacak.Kullanıcıların bunu anlaması için çok tecrübeli olmaları gerekiyor.Ta ki AV programları bu truva atını fark edene kadar.
Bazı kullanıcılar ise ” Gizli Dosya ve Klasörleri Göster ” seçeneÄŸini aktif halde tutuyorlarsa bu durumda aynı isimde birden fazla klasör gördüklerini düşünecekler.Bir tanesi gizli, diÄŸeri ise normal ÅŸekilde görünen bu klasörlerin muhtemelen gizli olanlarını virüs olduÄŸu şüphesiyle silmemeniz gerekiyor.Çünkü orjinal klasör gizli halde bulunan klasör.Peki klasörün orjinal olduÄŸunu nasıl anlayacaksınız ? Bunun için aÅŸağıda ki resmi kontrol edin.
SPONSOR REKLAMLARI
Böylece bu truva atının kullanıcılara ne tür zararlar vereceğinin sorusu şekillenmiş oldu.
- Şifre ve kişisel bilgileri çalmak
- Kullanıcıyı yanıltarak bilgisayarında ki klasörleri sildirmek.
Çözüm ise şöyle :
• CTRL + ALT + DELETE kombinasyonu ile görev yöneticisini açın ve “A6460C.EXE ” yada benzer uygulamanın çalışmasını durdurun.
• Yukarıda bahsi geçen dosyaları bulundukları yerden silin.Ayrıca yine System32 klasörü içinde ” 9DC6CB ” ismine benzer klasörler göreceksiniz.Bunları da kaldırın.
• BaÅŸlat -> Çalıştır -> Msconfig yazarak entere basın.Gelen pencerede ” BaÅŸlangıç ” tabında ” A6460C.EXE ” satırın ya da benzer isimde ki satırları bulun, yanında ki çentiÄŸi kaldırın.
• Truva atının bulaştığı diski, yedeklerini alarak formatlayın.
Şunu unutmayın ki bu truva atı her bilgisayarda aynı isimle bulunmuyor olabilir.Fakat anlattıklarım tanıdık geliyorsa aynı yöntem ile sorununuzu çözebilirsiniz.Eğer adımları uygularken sorun yaşıyorsanız şuradaki yazının sonunu okumalısınız.
Kolay gelsin.