Daha fazla
- Cinsiyet
- Erkek
- Profil Kapağı
- 1522743131
Dün forumdaki bir arkadaşımızın Chrome'a bulaşan virüsünü temizleyip burada rehberini yazmıştım. Söz konusu virüsü paketledim (açsanız da zarar vermiyor merak etmeyin) ve bilgisayarıma kopyaladım.
Şimdi bu virüs nasıl bulaşıyor ona bir bakalım.
İlk olarak virüs Kayıt Defterinde şu adreste duruyor:
Görmüş olduğunuz üzere C:\ProgramData\ChromeUpdate\update.xml" adındaki bir dosyayı çağırıyor. Bu dosyanın içeriğine bakalım:
Dosyanın içine baktığımızda virüsün tam konumunu görüyoruz: C:\ProgramData\ChromeUpdate\chrome.crx
Dosyayı bulup VirusTotal'e upload ettim ve şu anda sadece Kaspersky tanıyabiliyor:
https://www.virustotal.com/tr/file/...d6a1d9007d3db2d4d5033e1e3930b314a0c/analysis/
Bunlar da virüsün diğer bileşeni:
https://www.virustotal.com/tr/file/...e34be82d7483f5adf6b26350/analysis/1367235756/
Şimdi bu virüs nasıl bulaşıyor ona bir bakalım.
İlk olarak virüs Kayıt Defterinde şu adreste duruyor:
Kod:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist]
"1"="hklciglieepfckpgldcgekjahkmojooi;C:\\ProgramData\\ChromeUpdate\\update.xml"
Görmüş olduğunuz üzere C:\ProgramData\ChromeUpdate\update.xml" adındaki bir dosyayı çağırıyor. Bu dosyanın içeriğine bakalım:
Kod:
<?xml version="1.0" encoding="UTF-8"?>
<gupdate xmlns="http://www.google.com/update2/response" protocol="2.0">
<app appid="hklciglieepfckpgldcgekjahkmojooi">
<updatecheck codebase="C:\ProgramData\ChromeUpdate\chrome.crx" version="1.0"/>
</app>
</gupdate>
Dosyanın içine baktığımızda virüsün tam konumunu görüyoruz: C:\ProgramData\ChromeUpdate\chrome.crx
Dosyayı bulup VirusTotal'e upload ettim ve şu anda sadece Kaspersky tanıyabiliyor:
https://www.virustotal.com/tr/file/...d6a1d9007d3db2d4d5033e1e3930b314a0c/analysis/
Bunlar da virüsün diğer bileşeni:
https://www.virustotal.com/tr/file/...e34be82d7483f5adf6b26350/analysis/1367235756/