Endonezya kökenli olan brontok virüsü bilgisayara girdiğinde önce görev yöneticisine HKLM\Software\Microsoft\Windows\CurrentVersion\Run registry key isimli kayıt girdisi şeklinde kopyalar ve bu sayede işletim sisteminin her açılışında kendini aktive eder. Windows kayıt yöneticisini engeller ve internet explorerın ayarlarını değiştirir. Araçlardaki klasör seçeneklerini kaldırır ve böylece gizli dosya ve klasörlere giremezsiniz, ayrıca windows güvenlik duvarını pasifize eder. Kendi e-mail programını devreye sokarak sizin e-mail adresinizi gönderen olarak gösterip bilgisayarda bulabildiği tüm adreslere otomatik fakemail gönderir. Bunlara ek olarak ms-dos açıldığında ve internetten yükleme yapılırken bilgisayarınızı yeniden başlatır. Belgelerim resimlerim klasörü içerisie kendi html dosyasını kopyalar ve belli aralıklarla yeşil bir fonda kendi bildirisini yayımlar. Bildiri bozuk bir ingilizce aksanıyla kaleme alınmış ve genel anlamda sex ve uyuşturucuya karşı yazılmıştır. Virüsü temizlemek için kaspersky 6.0 ve ad-aware professionals en etkili programlardandır.
ağzına sıçtığımın bir endonezyalısı tarafından yazılmış bu virüsü temizlemek için şu an denediğim; bu adresteki, bundan böyle ilah saydığım arkadaşın yönlendirmeleri kullanılabilir;
gerçi ben ne safe moda girip orada deneyebildim, ne de regedit i aktive etmem gerekti command menu den. önce kaspersky ardından nod32 ile virüsün görülebilir (regedit, görev yöneticisi, ...) etkilerini kaldırdım. ardından regeditten arkadaşın gösterdiği reg leri sildim. şimdi de son adımı uygulayıp bu amınoğlu esteban virüsten temelli kurtulmaya çalışıyorum. yedekte combofix duruyor, olmadı format var.
2 bilgisayarıma, 2 telefon ve 2 flashdisk'ten kazıyarak sildiğim virüs. Silmeside oldukça eziyetlidir. Nod32 5 ile 1 saate tüm hafızadan temizledi. Rahat nefes aldık.
edit: Temizleme yolu;
--spoiler--
Virüsün sistemde bıraktığı etkiler
1- Sistemde aşağıdaki dosyaları oluşturuyor ve hiçbir antivirüs programı bulamıyor bu virüsü (boyutu 41-42 veya 44 kb olan )
Özellikle Belgelerim klasöründe girdiğiniz klasörlere, girdiğiniz klasör adında bir .exe dosyası ekliyor.Ve bu .exe dosyasının simgesi klasör şeklinde oluyor.
2- Denetim Masası'nda Klasör Seçenekleri Menüsü'nü gizliyor.
Kayıt Defteri'ne eklediği aşağıdaki girdi yüzünden:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer\NoFolderOptions -> Bad: (1) Good: (0)
Bu nedenle Gizli dosyalar görülemeyip, zararlinin sistemde biraktigi dosyalar silinemiyor.
3-Kayıt Defteri'ne(regedit) erişimi engelliyor.
Kayıt Defteri'ne eklediği aşağıdaki girdi yüzünden:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:1
4- internet'ten .exe uzantılı dosya indirmeye kalkarsaniz bilgisayarınızı yeniden başlatıyor.
5- Bilgisayarınızdaki aşağıdaki uzantılara sahip dosyaları arayarak bulduğu e-mail adreslerine spam mailler gönderiyor.
•asp
•cfm
•csv
•doc
•eml
•html
•php
•txt
•wab
6- C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data klasöründe aşağıdaki dosya ve klasörleri oluşturuyor
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Loc.Mail.Bron.Tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok-10-9
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Ok-SendMail-Bron-tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\ListHost10.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Kosong.Bron.Tok.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\GDIPFONTCACHEV1.dat
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Update.10.Bron.Tok.bin
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok.A10.em.bin
7-Arada bir aşağıdaki sayfa açılıyor.
Bu dosya açılıyor.
( C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\about.Brontok.A.html )
8-Kayıt Defterine aşağıdaki girdileri ekliyor.
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Belgelerim.exe
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Müziğim\Müziğim.exe
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\Resimlerim.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\smss.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\temp\Rar$EX00.718\bronstab.exe
C:\Documents and Settings\Kullanıcı Adı\Start Menu\Programlar\Başlangıç\Empty.pif
C:\Documents and Settings\Kullanıcı Adı\Templates\WowTumpeh.com
C:\WINDOWS\eksplorasi.exe
C:\WINDOWS\ShellNew\bronstab.exe
C:\WINDOWS\system32\Kullanıcı Adı's Setting.scr
Bu dosyaları bilgisayarınızdan silin.
NOT:services.exe gibi dosyaların bir orjinali vardır birde sahtesi vardır sahtesini silmeniz gerekiyor.
Hijackthis adlı programı indirin.Çalıştırın.Gelen uyarılara evet diyin.Do a system scan only seçeneğini seçip 10 saniye bekleyin.Gelen ekranda aşağıdaki girdiler ile ilgili kutucukları işaretleyip fix checked deyin.
O1 - Hosts: bölümündeki tüm girdileri işaretleyin.
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
F2 - REG:system.ini: Shell=Explorer.exe
Bu işlemin ardından Kayıt Defteri'ne erişememe sorunu düzelecek.
Başlat > Çalıştır > regedit yazıp enter'layarak Kayıt Defteri Yöneticisi'ne girin.
Aşağıdaki girdiyi bulun.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
Burada değer şu anda 1 olarak gözüküyor.Resimdeki gibi bunu 0 yapip tamam deyin.Bilgisayarınızı yeniden başlatın.Denetim Masası > Klasör Seçenekleri menüsü geri geldi.Klasör Seçenekleri > Görünüm > Gizli Dosyaları Göster seçeneğini işaretleyerek tamam deyin.
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data klasörü içinde yer alan aşağıdaki dosya ve klasörleri el ile silin.
Silinecek Klasörler:
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Loc.Mail.Bron.Tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok-10-9
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Ok-SendMail-Bron-tok
Silinecek Dosyalar
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\ListHost10.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Kosong.Bron.Tok.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\GDIPFONTCACHEV1.dat
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Update.10.Bron.Tok.bin
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok.A10.em.binAşağıdaki html dosyasını silin.
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\about.Brontok.A.html
