Win32.Hakaglan virüsünü tanıyalım

Teknik Özellikleri : Bir çeşit zararlı solucan olan bu yazılım, benzerleri gibi kişisel bilgileri çalmak üzere programlanmış yapay zekası gelişmiş bir zararlıdır. Yapay zeka derken; kişisel bilgileri toplar sahibine gönderir. Bunun için güvenlik açıklarından faydalanarak kendini gizler görevini yürütür.


Riskleri : Virüsün riskleri benzerleriyle aynı özellikleri taşır. Bilgisayarınız uzaktan korsan kontrol, sistemin ele geçirilmesi, windows sistem dosyalarının bozulması, özel verilerinizin çalınması, e-posta ve benzer üyeliklerinizin ele geçirilmesi. 

Zamanla güvenlik duvarınızın sizden habersiz devre dışı kalması sonucu birçok virüsün rahatça sisteme yerleşmesi. Bu seviyeye gelen bilgisayarları temizlemek çok zordur. Çünkü birbirinden tehlikeli onlarca zararlı sistemi ele geçirir, bilgisayarın ayarlarını kendilerine göre değiştirirler.

Benzer isimleri : Worm.Win32.AutoIt.c (Kaspersky Lab), Virus: W32/YahLover.worm.gen (McAfee), W32/SillyFDC-G (Sophos), W32/Sohana-CO (Sophos), Trojan.Autoit-13 (ClamAV), W32/Hakaglan.A.worm (Panda), Worm:Win32/Nuqel.A (MS(OneCare)), Win32.HLLW.Myweb.1 (DrWeb), Win32/Hakaglan.AH worm (Nod32), Win32/Sohanad.BM worm (Nod32), Trojan.AutoIt.TD (BitDef7), Win32.Worm.Sohanad.NAU (BitDef7), Worm.Hakaglan.B (VirusBuster), Win32:Hakaglan [Wrm] (AVAST), IM-Worm.Win32.Sohanad (Ikarus), Worm/Autoit.ADEC (AVG), W32/Almanahe.B (AVIRA), W32.Imaut (NAV), Sohanad.ARR (Norman), Sohanad.TG (Norman), Worm.AutoIt.b (Rising), IM-Worm.Win32.Sohanad.bm [AVP] (FSecure), Mal_AUMAL-2 (TrendMicro), Trojan.Win32.Generic!BT (Sunbelt), Worm.Hakaglan.B (VirusBusterBeta)

Oluşturduğu dosya ve kayıt girdileri: Aşağıdaki kayıt girdilerini oluşturarak  windows işlemlerini devre dışı bırakır.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer]"DisallowRun" = "1"
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer]"DisallowRun = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\DisallowRun

Yukarıdaki girdilerle devre dışı bıraktığı işlemler = "Wincmd.exe", "zlclient.exe", "nvprotect.exe", "Regworkshop.exe", "Mcshield.exe", "avp.exe", "ccprovsp.exe", "Attrib.exe"
  • Devre Dışı bıraktığı windows araçlarından sonra bu kayıt girdillerini yerleştirerek onların yerine kendisi kontrole başlar
[HKLM\Software\Classes\Folder\shell\explore\command]"@" = "Sÿstem.exe"

[HKLM\Software\Classes\Folder\shell\Explorer\comman d]"(default)" = "Sÿstem.exe"

[HKLM\Software\Classes\Folder\shell\Open With\command]"(default)" = "Sÿstem.exe"

[HKLM\System\ControlSet001\Services\Schedule]"AtTaskMaxHours" = "0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\WorkgroupCrawler\Shares]"shared" = "\Documents.exe"

Kontrolü ele aldıktan sonra başlıca dosya uzantıları olan (.doc .xls, .exp, .ppt,, .mdb, .dba, .pdf, .jpg, .psd, .ai,  .dwg, .mp3, .mpg, .zip, .rar , .qxd ,.rdf, .rep, .fmx, .fmb, .cpp) kişisel dosyaları işlemeye başlar

Evet buraya kadar bu işlemleri yaptıktan ve taradığı dosya uzantılarından sonra iki opsiyonu var bu zararlı solucanın. Birincisi, sürümüne göre örneğin pdf, doc veya power point dosyalarını bozup kilitleyerek şöyle bir notu düşer dosyaya : Locked by Mr. Guddu. Diğer alternatifi ise bu dosyalarda önemli bilgilerin olduğu (ör: Bankacılık bilgileri) varsayarak hacker'ın e-posta adresine gönderir. Gönderdiği email adresi de  mr***u.bd@gmail.com'dur.

Bilgisayar korsanımzın hazırladığı virüsün marifetleri bunlarla kalmıyor. Kendi egosunu tatmin etmekte sınır tanımayan bu zevat, görev yöneticinizi açmaya çalıştığınızda şöyle bir ekranla karşı karşıya bırakabilir sizi :

Warning!
You are infected by Unknown Virus! Contact with Mr. Guddu! Mail
at mr***u.bd@gmail.com

Diğer Belirtileri : Belirgin bir şekilde yavaşlayan bilgisayar, Görev yöneticisinin devre dışı olması, Gizli dosya ve klasörlerin görünmemesi,

Önlemler : Kırık program vaadiyle internete yüklenen yamalar, driver'lar, spam e-postalar bu virüsün ekli olduğu tuzaklardır. Bedavaya program kullanmak hevesi sizi bu tuzağın içine çekecektir. Ayrıca usb flash bellekler diğerleri gibi en kolay yayılma aracıdır. Bellekleri taramadan açmayın. İsmi ne olursa olsun ortalama bir antivirüs programınız anlık koruma sağlamalı ve güncel olmalıdır.

Silme araçları: Otomatik, programla silmek isterseniz bilgisayar açılılında (F8) tuşuna basarak güvenli mod seçeneğiniz kilitlenmemişse hemen  Avast veya Bitdefender programlarıyla full tarama yaprırarak virüsü kaldırabilirsiniz. Görev yöneticiniz ve Güvenli mod seçeneği ele geçirilmiş ve açılmıyorsa dikkatle elle, programsız silmeyi deneyin
  • Programsız (Elle/Manuel) silmek için: Aşağıda yer alan kayıt defteri girdilerini silin.
[HKLM\System\ControlSet001\Control\SafeBoot]"AlternateShell" = "%System%\Sÿstem.exe"
[HKLM\System\ControlSet001\Control\SafeBootAlternat e]"AlternateShell" = "%System%\Sÿstem.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"System Init" = "%System%\Sÿstem.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer]"DisallowRun" = "1"
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer]"DisallowRun = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\DisallowRun

"1" = "Wincmd.exe"
"2" = "zlclient.exe"
"3" = "nvprotect.exe"
"4" = "Regworkshop.exe"
"5" = "Mcshield.exe"
"6" = "avp.exe"
"7" = "ccprovsp.exe"
"8" = "Attrib.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\DisallowRun
"1" = "Wincmd.exe"
"2" = "zlclient.exe"
"3" = "nvprotect.exe"
"4" = "Regworkshop.exe"
"5" = "Mcshield.exe"
"6" = "avp.exe"
"7" = "ccprovsp.exe"
"8" = "Attrib.exe"

[HKLM\Software\Classes\Folder\shell\explore\command]"@" = "Sÿstem.exe"
[HKLM\Software\Classes\Folder\shell\Explorer\comman d]"(default)" = "Sÿstem.exe"
[HKLM\Software\Classes\Folder\shell\Open With\command]"(default)" = "Sÿstem.exe"
[HKLM\System\ControlSet001\Services\Schedule]"AtTaskMaxHours" = "0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\WorkgroupCrawler\Shares]
"shared" = "\Documents.exe"
  • Bozulmuş veya silinmiş olan bu kayıt girdilerini tekrar yükleyin - ekleyin
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe System.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell" = "Explorer.exe System.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
"HideFileExt" = "1"
"ShowSuperHidden" = "0"
"SuperHidden" = "1"
"Hidden" = "0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]"HideFileExt" = "1"
  • Virüsün oluşturduğu New Folder.exe ve aşağıdaki dosyaları arayın bulun ve silin. (shift + delete)
%WorkDir%\Mr. Guddu.txt
%System%\Winnt.sys
%WinDir%\Winnt.sys
C:\WinSys.sys
%System%\Sÿstem.exe
%WinDir%\Sÿstem.exe
%Program Files%\Sÿstem.exe
%USERPROFILE%\My Documents\Sÿstem.exe
c:\New Folder.exe

W32.Hakaglan.inf ise yukarıda bahsettiğimiz virüsümüzün farklı bir türüdür. Bu genelde reklam sitelerini açtırmak gereksiz pop-up diye tabir edilen istenmeyen sitelere yönlendirmek üzere açılan sayfalardan bulaşan ve bu gibi sayfalara yönlendirmek üzere yerleşen yazılımı kaldırmak için
  
Silmek için :

1-Başlat'a tıklayın çalıştır deyip RegEdit editörünü çalıştırın.
2-"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WSDAPI" uzantısını bulun.
3-Sonunda yer alan "WSDAPI" uzantısını sağ tuşa basıp sil seçeneğinden oradan kaldırın ve kurtulun.

 Son Olarak : Var olan antivirüs programını kaldırın yerine aynısı da olabilir başkası da ama yeniden kurun güncelleyin ve full tarama yaptırın.
  Tags:  Win32.Hakaglan, remover, silme, nasıl silinir, kaldırma, yok etme, remover tools,

Hiç yorum yok

►Bir profiliniz yoksa "Yorumlama biçimi" seçeneğinden "Adı/URL" kısmına isminizi yazarak (url zorunlu değil) veya "Anonim" bölümüne tılayarak yorumunuzu yazabilirsiniz.