Bugün bütün gün virüsler ile uğraştım. Bir virüs bir şekilde bilgisayarıma bulaştı ve bir çok zarar verip zamanımı çaldı. Aynı şeylerin sizin başınıza gelmemesi için bir yazı hazırlamaya karar verdim. Hele ki sizin abinizde bilgisayar kullanma hakkında pek bilgili değil ise mutlaka okuyun ….

Virüsün abimin bir dosya indirmesi ile bilgisayar geldiğinden eminim. Aktif hale gelmesi ise bilgisayarın kapatılıp yeniden açılması. Daha sonra virüs hızla yayılmaya başladı ve PHP dosyalarını bulup adı index.php olanlarının içine kodlar yapıştırmaya başladı. Bu kodları <body> etiketlerinden hemen sonrasına ve bu etiketin olmadığı sayfaların sonuna iframe kodu eklenmiş. Tabi bunu yapan virüs yazılımı. Bunun yanında İnternet Explorer’ ın açılış sayfasını değiştirerek sevcan.com adlı bir domaine yönlendirmiş ki bu adreste ki siteye de Google görünümü verilmiş. Adamlar harbi organize.

Bu açılış sayfasını virüsünden kurtulmak için gereken işlemleri yaptım. Daha sonra siteye deneme amaçlı girmek istedim ve webdakika.com adresine yani siteme girdim ama sayfalar bem beyazdı ve hiçbir sayfa istediğim gibi yerinde değildi. Acaba bendemi bir sorun var dedim ve arkadaşıma siteye girmesini söyledim. Kendisi siteye girdiğinde Nod32 Business sürümü virüs programı uyarı vererek sayfayı açmamasını sağlamış. Yani anlayacağınız virüs DOS ortamında FTP programını çalıştırmış ve arka planda işlemler yapmış. FTP ile sitelere bağlanıp index.php adlı tüm dosyalara erişmiş ve bu dosyalara yazma izni vererek içine İFrame kodu yazmış. Bu kadar başarılı yani.

Arkadaşım da virüsten dolayı siteye giremedim deyince bende şimşekler çaktı. Çünkü bu virüs olayı ilk defa benim başıma gelmiyordu. Daha önce bu olay başına gelen siteleri Google yasaklamış ve 3 ay boyunca ziyaretçi göndermemişti. Bu benim başıma gelirse zaten yeni olan site tamamen tepe takla olur dedim ve hemen temizlemeye başladım. Önce D: diskini temizledim çünkü wamp dosyalarımm D: içinde. Daha sonra dosyalarımı aldım ve FTP programımı kullanarak tekrardan sunucuya gönderdim. Problem çözülmüş gibiydi ama WordPress ve diğer sitemin index.php sayfalarını kontrol ettiğim göz önünde bulunur ise işim hiç kolay olmadı.

Bunun yanında hemen gittim ve bir şikayet maili attım. Bu şikayet maili polis merkezine gitti. Kişilerin yaptıkları işleri resimler ile belgeleyerek ve adresler vererek yaptım. Bakalım ileride neler olacak. Konu ile ilgili olarak kötüçül yazılım ile mücadele ederken bunu belgelemeyi unutmadım tabiki. İşte o resimler:

Sizinde anlayacağınız gibi bu virüs çok tehlikeli. Aklıma hemen şu ihtimaller geldi: ya ben önemli bir sitenin webmasterı olarak görev yapsaydım ve virüs sitelere girseydi. Düşünsenize Google iframe yiyor ve kullanamıyorsunuz. Bunun yanında sunucularında dağılmaya başlıyor ve Gmail kullanılmaz halde. Daha sonra Google servislerinin tümü iptal. Tabi bunun olması biraz hayalperestlik çünkü Google sunucularında bir dizi önlem vardır bu tip olaylar için. Bu virüste dikkatimi çeken bir husus oldu. index.html sayfalarının bazılarına virüs kodlama yapmış ama bazılarına yapamamıştı. Bunu inceleyerek aslında bir önlemde alabilirim gibime geliyor. Yani HTML dosyaları arasında yazılan ve yazılamayanları karşılaştırır isem belki bir çare bulabilirim. Tabi bunun PHP dosyalarında ne kadar işleyeceği de bilinmeyen bir soru.Tabi bunun ile uğraşmakta istemediğim bir gerçek. Virüsün halen bilgisayardan tam olarak silindiğinden emin değilim. Sanırım bir kuluçka dönemine girdi ve zamanı gelince tekrar savaş başlayacak gibi. Tabi ben o zamana kadar öldürücü darbe olan format olayını üzerinde gerçekleştirmez isem.