W32.Serflog.A ve W32.Kelvir-A virüsü

Kayıt tarihi : 08/12/07

32.Serflog.A ve W32.Kelvir-A virüsü temizlenmesi

W32.Serflog.A bir worm (solucan) olup, MSN Messenger ve Windows Messenger üzerinden bilgisayarına virüs bulaşmış kişinin contact list'indeki tüm kişilere kendisini bir link olarak gönderir ve Windows'un güvenlik seviyesi ayarlarını da azaltır.

Diğer isimleri: Sumom.A [F-Secure], IM-Worm.Win32.Sumom.a [Kaspersky Lab], W32.Crog.worm [McAfee], W32.Sumom-A [Sophos], WORM_FATSO.A [Trend Micro].

Bilgisayara bulaşır bulaşmaz ekrana şunu yazar: "'-F-u-c-k-'-Y-o-u-'". Virüs kendisini aşağıdaki isimleri kullanarak bilgisayarda çoğaltır:

formatsys.exe (C:\System dizini)
serbw.exe (C:\System dizini)
msmbw.exe (C:\Windows dizini)
Crazy frog gets killed by train!.pif (C:\ sürücüsünde)
Annoying crazy frog getting killed.pif (C:\ sürücüsünde)
See my lesbian friends.pif (C:\ sürücüsünde)
LOL that ur pic!.pif (C:\ sürücüsünde)
My new photo!.pif (C:\ sürücüsünde)
Me on holiday!.pif (C:\ sürücüsünde)
The Cat And The Fan piccy.pif (C:\ sürücüsünde)
How a Blonde Eats a Banana...pif (C:\ sürücüsünde)
Mona Lisa Wants Her Smile Back.pif (C:\ sürücüsünde)
Topless in Mini Skirt! lol.pif (C:\ sürücüsünde)
Fat Elvis! lol.pif (C:\ sürücüsünde)
Jennifer Lopez.scr (C:\ sürücüsünde)
lspt.exe (C:\ sürücüsünde)
autorun.exe (C:\Documents and Settings\\Local Settings\Application Data\Microsoft\CD Burning dizini)

Aşağıdaki gizli dosyaları oluşturur:
British National Party.jpg (C:\ sürücüsünde)
Crazy-Frog.Html (C:\ sürücüsünde)
Message to n00b LARISSA.txt (C:\ sürücüsünde)

Eğer bilgisayarda var ise aşağıdaki dosyayı siler:
MESSAGE_TO_BROPIA.txt

Virüs,
"Messenger Plus! 3.50.exe", "MSN all version polygamy.exe" ve "MSN nudge bomb.exe" isimlerini kullanarak,

My Shared dizinine (C: sürücüsünde)
Shared dizinine (C: sürücüsünde) ve
C:\ProgramFiles\Program Files\eMule\Incoming dizinine kendisini kopyalar. Daha sonra aşağıdaki Internet adreslerini bloke ederek kişinin antivirüs yazılımları indirmesini ya da yüklü antivirüs programlarını güncellemesini engelleyerek kendisini sağlama alır:

64.233.167.104 www.symantec.com
64.233.167.104 www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.avp.com
64.233.167.104 www.kaspersky.com
64.233.167.104 www.networkassociates.com
64.233.167.104 www.ca.com
64.233.167.104 www.my-etrust.com
64.233.167.104 www.nai.com
64.233.167.104 www.trendmicro.com
64.233.167.104 www.grisoft.com
64.233.167.104 securityresponse.symantec.com
64.233.167.104 symantec.com
64.233.167.104 sophos.com
64.233.167.104 mcafee.com
64.233.167.104 update.symantec.com
64.233.167.104 liveupdate.symantecliveupdate.com
64.233.167.104 viruslist.com
64.233.167.104 f-secure.com
64.233.167.104 kaspersky.com
64.233.167.104 kaspersky-labs.com
64.233.167.104 avp.com
64.233.167.104 nai.com
64.233.167.104 networkassociates.com
64.233.167.104 ca.com
64.233.167.104 mast.mcafee.com
64.233.167.104 my-etrust.com
64.233.167.104 download.mcafee.com
64.233.167.104 dispatch.mcafee.com
64.233.167.104 secure.nai.com
64.233.167.104 updates.symantec.com
64.233.167.104 us.mcafee.com
64.233.167.104 liveupdate.symantec.com
64.233.167.104 customer.symantec.com
64.233.167.104 rads.mcafee.com
64.233.167.104 trendmicro.com
64.233.167.104 grisoft.com
64.233.167.104 sandbox.norman.no
64.233.167.104 www.pandasoftware.com
64.233.167.104 uk.trendmicro-europe.com

Symantec firmasına ait Norton Anti-virüs yüklü bilgisayarlardan virüsü temizlemek için bilgisayarı güvenli kipte açmalısınız. System Restore (Sistem Geri Yüklemeyi) kapatmalısınız. Güncellemenizi yaptıktan sonra, Norton Antivirüs ile bilgisayarınızı scan edip bütün "W32.Serflog.A" solucanlarını temizlemelisiniz.

Norton Antivirüs yoksa, virüsü elle temizlemek için:
1. Bilgisayarınızı restart edip güvenli kipte açın. Bunun için açılış anında F8 tuşuna basarak güvenli kipi seçin.
2. Başlat menüsünden RUN'ı (çalıştır) seçip açılan pencereye "regedit" yazın, sonra da enter’a basın.
3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmiş yeni kayıtları silin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion \Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies\Explorer\Run

Yukarıdaki kayıtlar içinde "serpe", "avnort", "ltwob" gibi tanımlar var ise sisteminiz virüsten etkilenmiş ve her açılışta kendisini tekrar çalıştırıyor demektir. Bu tanımları silin.

4. "Bilgisayarım"ı açtıktan sonra "araçlar"dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki "gizli dosyaları göster" seçeneğini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçeneğindeki işareti
kaldırın. Böylelikle virüs'ün sistem içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.

5. Aşağıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin.
C:\windows\system32\formatsys.exe
C:\windows\system32\serbw.exe
C:\windows\msmbw.exe
C:\Crazy frog gets killed by train!.pif
C:\Annoying crazy frog getting killed.pif
C:\See my lesbian friends.pif
C:\LOL that ur pic!.pif
C:\My new photo!.pif
C:\Me on holiday!.pif
C:\The Cat And The Fan piccy.pif
C:\How a Blonde Eats a Banana...pif
C:\Mona Lisa Wants Her Smile Back.pif
C:\Topless in Mini Skirt! lol.pif
C:\Fat Elvis! lol.pif
C:\Jennifer Lopez.scr
C:\lspt.exe
C:\Documents and Settings\\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe
C:\British National Party.jpg
C:\Crazy-Frog.Html
C:\Message to n00b LARISSA.txt

6. C:\Windows\System32\Drivers\etc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini silin.
Örnek içerik:
64.233.167.104 www.symantec.com
64.233.167.104 www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.avp.com
64.233.167.104 www.kaspersky.com

7. Bu ve benzeri antivirüs üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız yeni güncellemeleri indirebilir hale gelecektir. Yukarıdaki işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs yazılımını Internet’e bağlanarak güncelleyin ve gözden kaçmış kalıntılar olabileceğini düşünerek bilgisayarınızı virüs taramasından geçirin. Windows XP'nin System Restore (Sistem Geri Yükleme) özelliğini mutlaka kapatmalısınız. Sistem Geri Yüklemeyi eğer devredışı bırakırsanız W32 türevi pekçok zararlı solucanı ve virüsün bilgisayarınızda çalışmasının tetiklenmesini engellemiş olacaksınız. Sistem Geri Yükleme özelliğine Başlat/Ayarlar/Denetim Masası'ından "Sistem Geri Yükleme" sekmesinden ulaşabilirsiniz. Sistem Geri Yüklemeyi devredışı bırakıp Sistem'den çıktığınızda Windows sizi uyaracaktır. Windows'un uyarısına aldırmayarak devam edin.

KORUNMA: Sistem Restore (Sistem Geri Yükleme) neden kapatılmalı?
Sistem Geri Yükleme, Windows ME ve Windows XP'deki bir özellik olup kullanıcı tarafından seçilmiş dosyaların yedeklenmesi amacıyla tasarlanmıştır. Windows bu yedeklemeyi C:\_Restore dizininde yapar. Yedeklenmiş dosyaları Windows özel bir algoritmayla sıkıştırarak yedeklediğinden, antivirüs yazılımları buradaki virüslü dosyalar göremezler. Siz bilgisayarındaki buradaki hariç tüm virüsleri temizledikten sonra eski belgenizi bir süre sonra restore ederek geri çağırdığınızda, dosyalarınızla birlikte yedeklenmiş virüsler de geri geleceğinden sistem geri yükleme kapatılmalıdır. Demek ki geri yüklemenin kapatılması için iki sebebimiz var:

- Sistem Geri Yüklemenin yedeklediği dosyaları antivirüs yazılımları göremez.
- Geri yedeklenen virüslü dosyalar virüsleri de geri getirirler.

Bu özelliği açık tutmak virüsleri çok sevindirecek, sizi de çok uğraştıracaktır.

TEMİZLEME: W32.Kelvir, W/32Serflog ve diğer solucanları temizlemek için ftp dizinindeki programları kullanabilirsiniz.Buradaki FxKelvir.exe, FixSerflog.exe, FixSobigF.exe, FxBropia.exe ve W32.Sobig.F@mm Removal Tool.exe programlarını deneyin. McAfee'nin Stinger antivirüs yazılımının en son versiyonu da ftp dizinindedir. Diğer solucanlar için bilgisayarınızı tarayabilirsiniz.

--------------------------------------------------------------------------------

W32.Kelvir-A-E ise yine bir worm (solucan) olup, MSN Messenger ve Windows Messenger üzerinden bilgisayarına virüs bulaşmış kişinin contact list'indeki tüm kişilere kendisini bir link olarak gönderir ve "W32.Spybot.Worm" virüsünün değişik bir versiyonunu download edip bilgisayara bulaştırmaya çalışır. Virüs'ün download etmeye çalıştığı dosyanın yeri: http://home.comcast.net/*******/patch.exe olup güvenlik açısından adrese ulaşımı engellemek için bir kısmı yıldızlarla gizlenmiştir. Virüs bu adreste bulunan "patch.exe" dosyasını download eder etmez ilk iş bunu çalıştırır. Bu yazı hazırlanırken adresteki virüs değişmiş ve "Win32.Rbot.BWD" olmuştur. Daha çok bilgi için Bilgisayar Komisyonu üyeleri şu an yoğun olarak çalışılmaktadır.

Solucanın diğer isimleri: Win32.Bropia.Variant!Worm, W32.Kelvir.A [F-Secure], IM-Worm.Win32.Kelvir.a [Kaspersky].

Virüsü elle temizleme:
Symantec firmasına ait Norton Anti-virüs yüklü bilgisayarlardan virüsü temizlemek için bilgisayarı güvenli kipte açmalısınız. System Restore (Sistem Geri Yüklemeyi) kapatmalısınız. Norton Antivirüs ile bilgisayarınızı scan edip bütün "W32.Kelvir-C" solucanlarını temizlemelisiniz.

--------------------------------------------------------------------------------

"Stinger AVERT" kullanarak diğer solucanlardan bilgisayarı temizleme:
Stinger yazılımı McAfee firmasına ait küçük bir antivirüs yazılımı olup aşağıdaki virüsleri temizler:
BackDoor-AQJ, BackDoor-CFB, BackDoor-DHC, BackDoor-JZ-JZ, Bat/Mumu.worm, Exploit-DcomRpc, IPCScan, IRC/Flood.ap, NutzenSie, IRC/Flood.cd, NTServiceLoader, PWS-Narod, PWS-Sincom.dll, W32.Anig.worm, W32.Bagle@MM, W32.Blaster.worm, (Lovsan), W32.Bugbear@MM, W32.Deborm.worm.gen, W32.Doomjuice.worm, W32.Dumaru, W32.Elkern.cav, W32.Fizzer.gen@MM, W32.FunLove, W32.Klez, W32.Korgo.worm, W32.Lirva, W32.Lovgate, W32.Mimail, W32.MoFei.worm, W32.Mumu.b.worm, W32.MyDoom, W32.Nachi.worm, W32.Netsky, W32.Nimda, W32.Pate, W32.Polybot, W32.Sasser.worm, W32.SirCam@MM, W32.Sober, W32.Sobig, W32.SQLSlammer.worm, W32.Swen@MM, W32.Yaha@MM, W32.Zafi, W32.Zindos.worm.

Not: Stinger programı bütün Windows işletim sistemlerinde çalışan küçük bir programdır. Lisanssız olup Freeware'dir. W32.Serflog.A ve W32.Kelvir-A solucanlarını temizlemez! Diğer solucanları temizleyebilirsiniz. Güncellenmiş en son sürümünü download etmek için buraya tıklayın.

--------------------------------------------------------------------------------

Bugünlerde etkin diğer virüsler ve elle temizlenmeleri:

W32.Aplore@mm
Start-Run-Type "msconfig"
Click "startup"
Uncheck "Explorer"
Restart computer

Choke.exe (I-Worm.Choke)
Press CTRL-ALT-DEL, select "choke.exe" and select "end task"
Close MSN Messenger
Start-Run-Type "msconfig"
Click "startup"
Uncheck "Choke.exe"
Restart computer

Choke.exe (I-Worm.Choke)
Start-Find-Search "Choke.exe"
Select file and delete
Empty the Rcycle bin

PIC1234(1)(1)(1)(1)(1).exe Virus
Close MSN
Goto Start-Run-Type "msconfig"
Click "startup"
Uncheck "MSN Messenger"
Click OK and choose DO NOT RESTART
CTRL-ALT-DEL, select "MsgSpread" and end the task

PIC1234(1)(1)(1)(1)(1).exe" Virus
Go to desktop and open My Documents
Double click on "Messenger Service Received Files"
Select the file "PIC1234(1)(1)(1)(1)(1).exe" and delete it.
Empty Recycle Bin
Restart computer

--------------------------------------------------------------------------------

Hazırlayan: Dr. Levent Yurga
08.03.2005

Yararlanılan kaynaklar:
Symantec Antivirüs Sitesindeki Asuka Yamamoto'nun yazısı
Sophos Antivirüs Sitesi
Kaspersky Antivirüs Sitesi
Antivir Antivirüs Sitesi
F-Secure Antivirüs Sitesi
IT Güvenlik Uzmanı Ömer Kurtulmuş'un yazısı (inTellect Bilgisayar)
CA Virus Information Center
Symantec Virus Removal Tools Page [Tüm trojan, solucan ve virüsler için download edilebilir küçük temizleme programları]

Kayıt tarihi : 08/12/07

DİĞER WORM VİRÜSLERİ İLE İLGİLİ TEMiZLEME PROGRAMLARI VE BİLGİ:

W32 Sasser Worm Virüsü:
W32 Sasser worm virüsü A, B, C, D, E ve F şeklinde varyasyonlar halinde bulunur ve bilgisayara bulaşır. Microsoft'un MS04-011 numaralı güvenlik bülteninde açıklandığı üzere Windows'ta bulunan LSASS (Local Security Authority Subsystem Service) servis programının güvenlik açıklarını tarayarak, bulduğu açıklardan file transfer protokolünü kullanarak (FTP) kendisini başka bilgisayarlara kopyalar. Bunun için seçtiği rastgele IP'lerde tarama yapar. Güvenlik Patch dosyaları yüklenmemiş NT, 2000 ve XP işletim sistemi yüklü bilgisayarlara bulaşır. Win95/98/Me bilgisayarlara da bulaşır fakat aktif hale geçmez. XP ve 2000 bilgisayarlarda "Bilgisayarın kapanmasına 1 dakika var" yazısı ekrana çıkarak bilgisayarı kapatır. Bu 1 dakika içinde virüsü temizlemek mümkün olmadığı için sistem tarihini geçici olarak birkaç gün/ay geri atabilirsiniz. Bulaştığı makinanın Windows dizininde natpatch.exe dosyası oluşturur ve bunu registry'deki HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run kısmına ekler. Böylece her Windows'u başlattığınızda virüs aktif hale geçer. Virüsün aktifliğine son vermek için CTRL-ALT-DEL tuşuna bastığınızda gelen TASK MANAGER'de PROCESS kısmına geçin. Listedeki natpatch.exe'yi bulun, üzerine tıklayıp process'ine son verin. W32 Sasser virüsü için Symantec Antivirüs firması fxsasser.exe dosyasını kullanıcıların hizmetine sundu. Bu dosya ile (bilgisayarınızı kesinlikle güvenli kipte açtıktan sonra) virüsü temizleyin. Türkçe XP bilgisayarlar için hazırlanmış update dosyalarını bilgisayarınıza patch etmelisiniz. Bunun için service pack 2'yi kurmanız yeterlidir.

W32 Sasser Virüsünü temizlemek için adım adım yapılacak işler (NT, 2000 ve XP):
1. Bilgisayarınızı baştan başlatın ve güvenli kipte açın (açılış sırasında F8'e basacaksınız)
2. Fxsasser ya da Fsasser programıyla bilgisayarınızda virüsü aratın
3. Bilgisayarınızı kapatın açın (Normal olarak)
4. Service pack 2'yi kurun
5. Kurduktan sonra bilgisayarınızı baştan başlatıp virüsü tekrar arayın.
6. Sisteminizdeki anti-virüs'ü güncelleyin.

W32 Cycle virüsü ise LSASS güvenlik sisteminin buffer overrun açığı ile kendisini yayar. 2000 ve XP bilgisayarlara bulaşır. Virüsün aktifliğine son vermek için System Restore programının çalışmasına son vermelisiniz. Task Manager ile baktığınızda msblast.exe, avserve.exe, avserve2.exe veya skynetave.exe programlarını görürseniz bilgisayarınıza W32 Cycle worm virüsü bulaşmış demektir.

W32 Sasser E virüsü için registry editörü çalştırıp (regedit) lsasss.exe satırını bulup silmelisiniz. Registry'deki yeri:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \LSASS SVR = lsasss.exe

MyDoom Virüsü
E-mail ile yayılan bir spam mail worm virüsü olup bulaştığı bilgisayarlardaki outlook adres defterine musallat oluyor. Buradaki adreslere virüslü mailler gönderirken içerik olarak rastgele konular seçiyor. Maillere attachment olarak küçük bir .zip dosyası ekleyerek zararsız görünümlü bir içerik ile kullanıcıları aldatmaya çalışıyor. .bat, .cmd, .exe, .pif ve .scr uzantılı mail ekleri yaratıyor. Kazaa gibi servislerle yayılması dizayn edildiğinden bu servislerden gelen dosyalarda bulunma ihtimali yüksek. Klavyeyi kontrol eden bir virüs olduğundan klavyeden girilen kredi kartı bilgileri ve şifreleri bilgisayarda kendisine özel bir dosyada saklayıp yeri gelince bu bilgileri maille yollayamaya çalışıyor. MyDoom virüsünü temizleyen programı ftp sunucumuzdan download edebilirsiniz.

XP Bilgisayarınızdaki "System Restore" servisini iptal ederek W32 Sasser ve benzeri virüslerin bilgisayardaki işlevlerine son verme ve engelleme:
1. Masaüstündeki "Bilgisayarım" simgesine sağ tuşla tıklayın ve oradan "Sistem Geri Yükleme"yi seçin.
2. "Bütün sürücüler'deki sistem geri yüklemeyi kapat" kutucuğunu işaretleyin.
3. Tamam'a tıklayın, gelen uyarıya tamam deyin.

XP'de eğer bir dosyayı silmeye kalktığınızda "Bu dosya başka bir application tarafından kullanılıyor" deyip silmiyorsa ve o dosyayı başka bir programın kullanmadığından eminseniz yapacağız iş:
Kısa yol, çabuk çözüm 1:
1. Dosyanın ismini değiştirin, uzantısını da değiştirin. Mesela "a.a" yapabilirsiniz.
(Windows Explorer'da dosya uzantılarını gizle seçeneği aktif ise bunu yapamazsınız)
2. Sonra dosyayı silebilirsiniz.
3. Eğer Windows dosyanın ismini değiştirmenize izin vermez ise dosyayı silmek için aşağıdakini deneyin:

Kısa yol, çabuk çözüm 2:
1. Başlat'tan "cmd"yi çalıştırın.
2. Silinecek dosyanın ismi uzun ise klasörde "dir /x" yazarak kısa ismini içinde "~" olacak şekilde görün.
(Ör. "MatrixRevolutions2.avi" dosyasını dir/x ile "matrixr~1.avi" olarak göreceksiniz.)
3. Del /f yazarak kısa dosya isminin kısa halini yazarak dosyayı silin.
(Ör. Del /f matrixr~1.avi)

Uzun yol, kesin çözüm 3 (En inatçı dosyalar için):
1. CTRL-ALT-DEL yaparak Task Manager'i çalıştırın ve "explorer.exe"nin çalışmasına son verin (desktop silinecektir!)
2. Task Manager'deki Dosya kısmından "Yeni Görev (Çalıştır)"ı seçip oraya "cmd" ya da "command" yazın.
3. Silmek istediğiniz sürücüye ve klasöre gidin.
4. "del" komutuyla dosyayı silin.
5. Task Manager'deki Dosya kısmına "Yeni Görev (Çalıştır)"ı seçip oraya "explorer" yazıp enter'a bastığınızda desktop geri gelecektir.
6. Dosyayı silmiş oldunuz, en inatçı dosyaları bile silebilirsiniz.