Bilgi Teknolojileri Makaleleri

Worm çeşitleri gittikçe hızlı çoğalıyor.

Virus Adı: Worm_Autorun.CG ( recycler.exe,ise.exe,lsee.exe)

Platform: Tüm Windows Işletim sistemleri

Saklanma Şekli: Recycler Dosyasına bürünme ( Geri Dönüşüm Kutusu )

Çoğalma Şekli : Usb Flash Memory ve Network Share

USB storage araçlarından Recycler adıyla bulaşan bu virusu çalıştırdığınız anda ip (209.11.245.18)  adresine bağlanıyor ve kendisine bir kullanıcı adı ve şifre oluşturarak hemen sahibinin ona komut vermesini beklemeye başlıyor.

Eğer wormu bulaştıran bir kişi yeterli önlemi almaz ise saldırgan bilgisayarınızda daha fazla komut çalıştırabiliyor. Mesela bilgisayarınızı internet bağlantınızı kullanarak başka bilgisayarlara bağlanmak ve bağlandığı bilgisayarlar ile beraber toplu olarak saldırılar düzenleyebilir.  Ayrıca her bilgisayarı açtığınızda tekrar internete bağlanıp aynı işlemleri yapıyor ve wormu yazan kişiden komut bekliyor.

Bilgisayar bulaştıktan sonra tam olarak saklandığı yer ise

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe

Gelelim recycler (ise.exe,lsee.exe,desktop.ini ) virusunden nasıl kurtulacağınıza;

Öncelikle Başlat > Çalıştır command (cmd.exe) yi açalım.

Aşağıdaki komut ile Explorer (explorer.exe) yi sonlandıralım.

TASKKILL / f / im explorer.exe

cd \ yazın ve cd \Recycler  klasörüne girin

\ S-1-5-21-1482476501-1644491937-682003330-1013 \  klasörünün salt okunur ve gizli dosya özelliklerini kaldırın.

attrib-r-s-h S-1-5-21-1482476501-1644491937-682003330-1013

Dosyanın ismini aşağıdaki komut ile değiştirin.

ren S-1-5-21-1482476501-1644491937-682003330-1013 omer

Windows Explorer ı açın.

explorer.exe.

omer Klasörünü bulun ve içindeki ise.exe, isee.exe and desktop.ini dosyalarını silin.

Başlat > Çalıştır a Regedit yazarak açılan pencerede;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”

değerini silin. Bu ise.exe nin açılışta çalışmasını sağlayan regedit kaydıdır.

Tüm sürücülerde ( C:,D:,E:…) Autorun.inf klasörü oluşturacağından bu dosyayı notepad ile açarak içeriğini temizleyin.

Autorun.inf içeriği bu şekildedir;

[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
shell\open\default=1

Kolay Gelsin.