Win32/Brontok virusunden kurtulma

Çok yaygın bir virüs olan  Win32.Brontok adlı zararlı yazılıma yakalanmak çok kolay olup ondan kurtulmak biraz zahmet verebilir. Çeşitli forumlarda çözümü anlatılmış, anlatılmış fakat bazı bilgiler kafa karıştırır mahiyette.

Virüsü silmek için tekrar başka bir virüsü bilgisayara bulaştırmaya çalışan bazı uyanıkları görünce en temizinden konuya son noktayı koymak şart oldu.

Öncelikle virüsün bilinen adlarından başlayalım. Antivirüs temizleme firmalarının database yanı veri tabanlarında bu yazılıma koydukları isimler aşağıdaki gibi sıralanıyor.

Brontok Zararlısının Bilinen Adları:
WİN32: Brontok-DF (Avast!)
W32/Rontokbro.b @ MM (McAfee)
E-posta-Worm.Win32.Brontok.a (Kaspersky)
W32.Rontokbro.B @ mm (Symantec)
WİN32: Brontok-AJ (Sophos)
Worm:Win32/Brontok.BG@mm (BitDefender)
Diğer varyasyonları:
W32.Rontokbro@mm
I-Worm.VB.DV,opopopopo
W32/Rontokbro.gen@M
W32.Rontokbro.D@mm.
BackDoor.Generic.1138
W32/Korbo-B
Worm/Brontok.a
Win32.Brontok.A@mm
Worm.Mytob.GH
W32/Brontok.C.worm
Win32/Brontok.E

Bu isimlerin farklı olmalarının nedeni herkesin ona değişik adlandırmasından öte virüsün değişik işlevleriyle beraber üretilip internet dünyasına salınmasından kaynaklanmaktadır. Yani yukarıda 10 değişik ismi varsa bu virüs en az 3-4 farklı amaç için sahibine hizmet etmektedir.

Brontok solucanının memleketi Endonezya'dır.  Ortaya çıkış tarihi Temmuz 2009'dur. En büyük saldırısını da o yıl internet kafeler üzerinde yapıp tüm dünyaya yayıldı. İlk ortaya çıkış şekli değişik dillerde -Seni özledim gibi spam içerikli e-postalarla yayılarak adını duyurmuştur. Sonrasında keygen içerikli dosyalara ekli olmak üzere özellikle forumlar üzerinden yayılarak milyonlarca bilgisayarı ziyaret etmiştir arkadaşımız. Milyonlar dedik, evet bu virüs internetten yayıldığı gibi flash bellekler, cd, taşınabilir sabit belleklerden de kendini kopyalayabilmesi asıl hızını arttıran etkenler oldu.

Virüsün Etkileri ve Belirtileri

Brontok virüsü bilgisayarı mahvedip formata sürüklemez belki ama bilinen en büyük zararı e-posta mahremiyetinin ihlalidir. Eskisi gibi e-posta ile yayılmadan ziyade günümüzde ekli klasörler  .rar ve taşınabilir bellekler yardımıyla çoğalmaktadır.

Ayrıca:
- Kayıt defteri yani, Windows Registry Editor kilitlenir, kullanılamaz.
- Windows penceresinde "Klasör Seçenekleri" kullanılamaz, değiştirilemez.
- Antivirüs programlarından bazıları çalışıyor görünse de işlevlerini yerine getiremez.
- E-posta hesabınıza çok sayıda spam içerikli mail gelmeye başlayabilir.
- Windows güvenlik duvarı kullanıcının bilgisi haricinde kapalı olur.
- Virüs bulaşan bilgisayarın e-posta hesabından ondan gönderilmiş gibi listesindekilere sahte posta gönderimi.
- Cep telefonlarına bile bulaşabilmektedir.

Bilgisayarda oluşturduğu kayıt girdileri:
HKCU\software\microsoft\windows\currentversion\explorer\advanced\ShowSuperHidden
HKCU\software\microsoft\windows\currentversion\explorer\advanced\HideFileExt
HKCU\software\microsoft\windows\currentversion\explorer\advanced\Hidden
HKCU\software\microsoft\windows\currentversion\policies\explorer\NoFolderOptions
HKCU\software\microsoft\windows\currentversion\policies\system\DisableRegistryTools
HKCU\software\microsoft\windows\currentversion\run\Tok-Cirrhatus

Bilgisayarda değiştirdiği kayıt girdileri:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoFolderOptions" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]"Hidden" = "0"

Bilgisayara oluşturduğu dosyalar:
-- Her dosya içerisinde o dosyanın adıyla  .exe klasörü oluşturur. Ör: Resimlerim.exe (Cep telefonu bile dahil)
-- % Userprofile% \ Belgelerim \
-- % Userprofile% \ Belgelerim \ My eBooks
-- % Userprofile% \ Belgelerim \ Müziklerim
-- % Userprofile% \ Belgelerim \ Resimlerim
-- % Userprofile% \ Belgelerim \ Videolarım
-- % Userprofile% \ Local Settings \ Application Data \ winlogon.exe
-- % Userprofile% \ Local Settings \ Application Data \ services.exe
-- % Userprofile% \ Local Settings \ Application Data \ lsass.exe
-- % Userprofile% \ Local Settings \ Application Data \ inetinfo.exe
-- % Userprofile% \ Local Settings \ Application Data \ csrss.exe
-- %userprofile%\Local Settings\Application Data\Ok-SendMail-Bron-tok
-- %userprofile%\Local Settings\Application Data\Bron.tok-3.'1,2,3...'
-- %userprofile%\Local Settings\Application Data\BRONTOK
-- %userprofile%\Local Settings\Application Data\Loc.Mail.Bron.Tok
-- %userprofile%\Local Settings\Application Data\Kosong.Bron.Tok.txt
-- %userprofile%\Local Settings\Application Data\BronFoldNetDomList.txt

explorasi.exe hatası
Virüsü tam olarak silemezseniz yıkarıda yazan explorasi.exe adlı sistem dosyasının kaybı ve bunun gibi hatalarla karşılaşabilirsiniz. Brontok virüsünün en büyük tuzaklarından biri sistem dosyalarıyla kendini yer değiştirerek kamufle olmasıdır. Böylece popüler antivirüs yazılımları bile sistem dosyasını virüs olarak algılayarak virüs bulaşmış dosyayı tamamen silerek ;explorasi.exe Windows tarafından bulunamıyor veya
İsmi doğru yazdığınızdan emin olup yeniden deneyin. Bir dosya aramak için Başlat düğmesini tıklatıp Ara'yı tıklatın.diye bir uyarıyla sizi başbaşa bırakabilir.

 Not:  Eğer bu hatayla karşılaşıyorsanız en altta vereceğim programları kullandıktan sonra hemen bir alt satırda yer alan komutları uygulayın.

Başlat/Çalıştır/Regedit/Enter

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>WindowsNT>CurrentVersion>Winlogon

Sağ tarafta açılan pencerede aşağıdaki girdiyi bulun,
Shell = "Explorer.exe "\eksplorasi.exe""

Üzerine tıklayıp aşağıdaki girdiyle değiştirin
Shell = "Explorer.exe" 
Artık günümüzde çözümü son derece basit olan Brontok virüsüne karşı doğru hamleyi yaparsanız  fazla sıkıntı çekmeden problemi def edebilirsiniz. elinizdeki zararlı yazılımlardan koruma programları markası kaliştesi ne olursa olsun yeterli olmayabilir. Neden mi?

Nedeni güvenli modda da tarama yapsanız kurulu antivirüs programınız bu zararlı solucanı bulsa bile sistem dosyaları ile beraber silebilir bu da işletim sisteminizde teknik aksaklıklara yol açabilir. İşin türkçesi; bende bir ilaç var bütün hastalıklara deva demekle bende bir ilaç var baş ağrısı için yapılmış o iyi geliyor demek farklı şeyler.

Virüsü sorunsuz kaldırmak, silmek için en kolay yol güvenilir antivirüs firmalarının sırf bu yazılımı silmek için ürettikleri aşağıda vermiş olduğumuz programları ( Brontok Removal Tools) kullanmak yeterli olacaktır.



1-  Resolve for W32/Brontok (Sophos) indir
2-  BitDefender Brontok Removal Tool  indir

Yararlanılan kaynaklar:
dropbox.com, sophos.combitdefender.com, microsoft.com, eset.eu, sorucevap.com

1 yorum:

  1. KAYIT DEFTERİ DÜZENLEME YÖNETİCİNİZ TAFAINDAN DEVREDIŞI BIRAKILMIŞ DİYOR

    YanıtlaSil

►Bir profiliniz yoksa "Yorumlama biçimi" seçeneğinden "Adı/URL" kısmına isminizi yazarak (url zorunlu değil) veya "Anonim" bölümüne tılayarak yorumunuzu yazabilirsiniz.