Win32.Sality Virüsü

Konu, 'İnternet, Güvenlik ve Ağ' kısmında Headquarters tarafından paylaşıldı.

  1. Headquarters

    Headquarters Yeni Üye

    Win32.Sality virüsüne son nokta

    Virus.Win32.Sality adlı virüs, son dönemde bilgisayarlara bulaşan ve piyasadaki antivirüsler tarafından kolay kolay silinemeyen bir virüstür. Çeşitli forumlarda ve internet sitelerinde bu virüs/trojen nedeniyle mağdur olanlara sıkça rastlamak mümkün. Ama konunun uzmanı olmadığı halde internet efsanelerine inanarak bilgi verip çözüm üretenleri gördükçe bu virüsün tehlikelerinin büyük olduğu kadar çözümünün de aslında ne kadar basit olduğunu ortaya koyup konuya son noktayı koymak istedik. İlk olarak virüsün nasıl bulaştığını sonrasında ne gibi tehlikelere ve zararlara neden olabildiği en sonunda nasıl sistemden güvenli bir şekilde temizlenebileceğini anlatacağız.

    Virüsün tanımı: Win32/Sality.NAO is a polymorphic file infector.


    ---Worm:Win32/Sality.T.dll [Microsoft]
    ---W32/Sality.nao
    ---W32/Sality.ae virus.nar,
    ---Virus.Win32.Sality.y (Kaspersky),
    ---W32.Sality.AE (Symantec)
    ---W32/Sality.ae virus (McAfee)
    ---W32/Sality-AD [Sophos]

    Virüsün bulaştığı dosyalar:

    Sistem kayıt defterindeki (%variable%.sys) değerine ilk olarak kendini kodlayan zararlı yazılım sonrasında registry'deki kayıtları silip kendi datasını girerek iyice yerleşir.

    Registry dosyasında yer alan ismi ise (IPFILTERDRIVER) kodudur
    System volume dosyasında da kendisine yuva kuran yazılım c dosyasına yapılan formattan
    Sonra bile kendini aktif ederek çalışmasına devam eder.

    Kayıt defterinde yer alan windows değerlerini değiştirip oluşturduğu yeni değerler ise şunlardır:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
    "GlobalUserOffline" = 0
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system]
    "EnableLUA" = 0

    Sildiği kayıt defteri değerleri
    :

    [HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
    [HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot]
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot]

    Amatör bilgisayar kullanıcılarının dilinde dolaşan bazı efsaneler vardır. Kaspersky, norton, panda, nod32 kullanan kişiler kendilerini güvende zannederler. Bir virüsten muzdarip olan bir kişi derdini anlattığı zaman hemen amatörlerimiz devreye girip efendim şunu yükle kurtul en iyisi bu! gibi fetvalar havada uçuşur...

    Şunu hiç bir zaman unutmamak lazım ki antivirüs programları ya da üreticileri her zaman hacker ya da bunların ürettiği zararlı yazılımların önünde değil, olsa olsa arkasında daha doğrusu peşindedir. Dolayısıyla zaman zaman bazı virüsler için bu konuda en hızlı çözümü sunan program tarafından yok edilebilir. Bazen Avast! bu konuda hızlı davranır bazen Kaspersky bazen de norton ama konusu geçen virüs yani win.32Sality için en iyi çözümü CA firması geliştirdi.

    VİRÜSÜN NEDEN OLDUĞU ZARARLAR

    Virüsün ilk olarak yaptığı iş sistemde yüklü olan antivirüs yazılımını devre dışı bırakmaktır.
    Sonrasında:

    * İnternet hızında bariz düşüş, zaman zamanda kopmalar,
    * Bilgisayarda yüklü olduğunu sandığınız office, autocad, oyun vs. gibi programların düzgün çalışmaması ya da tamamen bozulması,
    * Orta ve uzun vadede kişisel dosyaların silinmesi,
    * Kişisel bilgiler yani kredi kartı, kimlik bilgileri ya da resimlerin çalınması,
    * Bilgisayarda görülen bariz yavaşlama.

    Ayrıca;
    ---Ctrl+alt+del tuşu kombinasyonunun devre dışı kalması,


    ---Güvenli mod/kipte açılmasının engellenmesi ki açmaya çalıştığınızda bilgisayar reset olmakta,
    ---Sistem geri yüklemenin işlememesi,
    ---Kayıt Defteri, Sistem Yapılandırması (msconfig) vs. devre dışı bırakılması,
    ---Yeni bir antivirüs programının kurulamaması.

    En önemlisi; değil, C diskine D'ye bile format atsanız virüs silinmez! Olan yanlız kaybolan zamana ve değerli dosyalarınıza olur. Silmek zorunda kaldığınız verileriniz ancak yanınıza kar olur. Usb flash bellek takıldığı an virüs kendisini ona da bulaştırır. Özeelikle hedef kitle olarak seçtiği dosyalar exe. uzantılı programlardır amacı ilk önce bunları yok etmek olup daha fazla bilgisayara bulaşmak içinse ap bağlantıları onun için transit geçiş yolu gibidir.

    Virüsün database'sinde yer alıp ne çalışmasını ne de kurulup sağlıklı iş görmesini engellediği antivirüs programlarının sadece bazılarını da yazıp zaten benim kullandığım en iyisi diyenlere hemen yanıtı da vermiş olalım:

    ALGavast!
    Kaspersky
    Mail Scanner
    avast!
    Web Scanner
    McAfeeFramework
    NOD32krn
    AVGCC.
    AVGUARD.
    KAV.
    NAVW32.
    NOD32.
    NTRTSCAN.
    Panda.
    Norton.

    Forumlarda ve bazı sitelerde önerilen "Win32/Sality Remover", "ComboFix", "Norman" gibi programlar bu virüs için yetersizdir. Bulsa bile sistemden sonsuza dek silemezler.

    SONUÇ

    Eğer profesyonel bir bilgisayar kullanıcısı değil iseniz ve gerekli müdahaleyi yapmazsanız kaybolan veriler, yavaşlayan internet hızı, hantallaşan sistem ve mavi ekranla son bulan bir bilgisayar...

    ÇÖZÜM VE YAPILMASI GEREKENLER

    İlk olarak linkini verdiğimiz programı indirin. Sonra normal kurulum ile bilgisayarınıza programı yükleyin. Gerekli güncellemeleri yaptıktan sonra internet kablonuzu çıkarın. Diğer çalışmakta olan programları da kapattıktan sonra CA antivirüs 2009 programı ile full tarama yaptırın.

    Yükleme Adresi
    :arrow:
    vir__s_trial_version

    Yazılım, virüsü ve virüsün bulaştığı dosyaları bulup verilerinize zarar vermeden silecektir.
    Silme işlemi biraz uzun sürmekle beraber otomatik olarak gerekli işlemleri yaptıktan sonra
    size sadece bilgisayarı tekrar başlatmak kalacak.

    Programı imkanınız var ise küçük bir meblağ ödeyerek satın alısanız uzun süre kullanabilirsiniz.
    Fakat ben alamam der iseniz temiz bir bilgisayarda anlık koruma sağlayan Avast!, kaspersky,
    Nod32 yüklü ise bir nebze olsun koruma altında olursunuz. Önemli olan virüs yüklü bir bilgisayara
    program yüklemek değil, temiz bir bilgisayara koruma sağlamaktır.

    Son olarak bizden söylemesi,


    * Kesinlikle programınızın virüs uyarısı verdiği bir dosyayı ne açın ne de indirin!,
    * Bilmediğiniz bir e-postayı okumadan silin!,
    * Şu linke tıklayın diye gösterilen ne olduğu belirsiz sitelere giriş yapmayın!,
    * Crack serial keygen üzerine kurulmuş sitelerin yanından bile geçmeyin!,
    * Taktığınız usb flash belleğinizi taramadan geçirmeden açmayın!,
    * İnternetten alışveriş yaparken kesinlikle ekran klavyesini kullanmayı tercih edin!

    Ve unutmayın ki hiçbir antivirüs programı %100 tam güvenlik sağlamaz.


    Kaynak :arrow: sality-virusune-son-nokta
     
  2. neumann

    neumann Yeni Üye

    Güzel makale
     
  3. alwaysleader

    alwaysleader Yeni Üye

    güzel bir makale yazana yayınlayana teşekkür ederim. fakat biraz reklam kokuyor gibi ben bu virüsü kasperskyden başka antivirüs programının temizlediğini görmedim. kaspersky de kurulduğunda aktif hale gelemiyor bu virüsten dolayı ama sality_off.exe isminde ki programcık sayesinde çalışıyor ve tamamen temizlediğine kendim şahidim. sality_off.exe kaspersky firmasında çalışan bir mühendisin hazırladığı programcık.
     

Sayfayı Paylaş