Genel

Bitcoin Mining Virüsü Temizleme

Gün geçmiyor ki yeni bi virüs çıkmasın ve yayılması konusunda zekice düşünülmesin. Bitcoin ve altcoinlerinin değeri gün geçtikçe artarken bitcoin madencileri de artmakta ve zeki insanlar kendilerine kaynak üretmeden başkalarının makinelerini kullanarak madencilik ile gelir elde etmekteler. Gün geliyor bu makinelere bulaştırılan virüsler sadece işlemci, ekran kartı ve ram kullanımı dışında ayrıca ddos saldırıları yaptırılarak hedef sitelerin çökertilmesinde de kullanılıyor. Gün geliyor kredi kartlarınız gibi ciddi bilgileriniz elde edilip kullanılarak size doğrudan zarar veriliyor.

Böylesine zararlı yazılımların farkedilmesi ciddi anlamda zor oluyor. Çaylaklar tarafından hazırlanamadığı için orta ve ileri seviye bilgiye sahip insanlar tarafından hazırlanıp yayılması sağlanıyor. Bu sebepten normal kullanıcıların farketmesi zorlaşıyor. İşlemci ve ekran kartınızı belli aralıklarla kullanıp pasif yapıp ardından yine kullanarak süreklilik sağlıyorlar. Kullanıcılar süreklilikten ziyade ara sıra oluyormuş gibi gördüklerinden üzerine düşmüyor veya dikkatlerini çekmiyor. Aktif iken tüm kaynağınızı kullandığı için Chrome tarayıcısında facebookta dolaşırken bile bilgisayarınızın donmalar, yavaşlamalar olduğunu görürsünüz ama internetim ağır herhalde diye düşünürsünüz. Farkettiğiniz an hemen temizlenmesi gerekir. Şimdi biraz daha detaya girelim…

Bitcoin Mining(Bitcoin Miner) Virüsü Nasıl Bulaşır?

Normalde hedefleri devlet kurumları, büyük şirketler, internet cafeler gibi bilgisayar sayısı, interneti ve bilgisayar gücü yüksek hedeflerdir. Bunlara ek olarak yüksek kullanıcısı olan programlar, oyunlar gibi özellikle ücretli satılan yazılımların Crack, Keygen türü yazılımlarıyla virüslerini birleştirip üye sayısı fazla olan sitelerde paylaşarak ev kullanıcılarınıda etkiliyorlar. Yazılımı açtığınız zaman otomatik olarak virüsüde açmış olursunuz ve aynı ağda olan bilgisayarlara da yayılır. İnternet Cafe, kurum ve büyük şirketlerde de durum böyledir. İki şekilde bulaşır. Kullanıcılar ya internetten çeşitli amaçlarla program ararken veya internette gezinirken bilmeden zararlı yazılım indirip açar ya da virüsü hazırlayan kişiler tarafından Usb diskler gibi ek dış donanım birimleriyle bilgisayara bilinçli olarak bulaştırılarak süreklilik sağlarlar. Sık kullanılan programların doğru ve temiz bir kaynaktan indirilmiş olmasına her zaman dikkat edilmelidir.

Bitcoin Mining(Bitcoin Miner) Virüsü Nasıl Farkedilir ?

Normal şartlarda farkedilmesi sadece orta ve ileri seviye bilgisayar bilgisine sahip şüpheci kişiler tarafından olur. Nedeni ise yukarıda bahsettiğim gibi çaktırmadan saman altından su yürütecek şekilde hazırlandığı içindir. Genelde virüsün bulaşmış olduğu bilgisayarda aktif iken işlemci ve ekran kartını limitlerini zorlayarak kullandıkları için kasma ve donmaları hissetmemek mümkün değil. Böyle durumlarda biraz daha dikkat ederek bunun ayda yılda bir olan veya bilgisayarın eskimesinden ötürü ara sıra nadiren olan geçici kasma ve donma mı yoksa sürekli hale gelen bi durum olup olmadığını kesinleştirmek gerekiyor. Bunu hissettiğiniz an muhtemelen bilgisayarınıza virüs bulaşmıştır. Şu an piyasada dolanıp baya geniş çapta yayılmış olan Cpuhunter virüsü olarakta  bilinen mscli, mscli0 ve msictemp isimli klasörlerde bulunan virüsün size bulaşıp bulaşmadığını kontrol edebilirsiniz. Bilgisayarınızda Yerel Disk C yi açıp adres çubuğuna C:\ yazısından sonra mscli yazıp yani C:\mscli olacak şekilde enter tuşuna basarak eğer açılan bi dizin ve içinde dosyalar görürseniz bilin ki siz de o kurbanlardansınız. Bunun dışında açık olan her şeyi kapatıp, görev yöneticisini Ctrl + alt + del tuşlarıyla veya başlat çubuğuna sağ tıklayıp açtıktan sonra Performans sekmesi altında CPU(işlemci) yu bir süre (10-15 dk) gözlemleyin. %15 e kadar normal diyebiliriz arkaplanda çalışan uygulamalarınız olabilir ama %80-%100 leri görüyor ise anormallik söz konusudur. Temizleme adımını iyice okuyup size uygun kısımları yaparak temizleme işlemini yapabilirsiniz.

 

Bitcoin Mining(Bitcoin Miner) Virüsünün Mantığı Nasıl İşler ?

Virüs açıldıktan sonra güncellik kontrolü yapıp güncellemesi var ise onu indirip bulaştırdıktan sonra kurum veya şirket ise ortak paylaşım klasörleri kontrol ediliyor. Ağ üzerinden onlara da bulaşıyor. İnternet cafelerde ise en çok kullanılan internet cafe otomasyonlarından olan EveryCafe, TredCafe, PanCafe, Akınsoft programlarının haberleşme ve data portları üzerinden yayılıp bu programları kullanarak kendilerini açtırarak ağ üzerinden yayılım gösteriyorlar. Virüs bulaşan her bilgisayar aynı işleri yapıyor. Ağda sürekli olarak bulaşmayan bilgisayar var mı kontrolü yapılıyor bir yandan da o bilgisayarların kaynaklarını yukarıda bahsettiğim gibi kullanıyorlar. Aynı ağda olan yeni açılan bilgisayarlara da yayılıyor.

 

Gelelim Bitcoin Mining(Bitcoin Miner) Virüsünün Temizlenmesine – Ölüm Vuruşu !

Dikkatlice okuyun. Yazılı şeyler bir kez yapılmalı.

Ev kullanıcılarının yapması gereken muhtemelen antivirüs programları olmadığından virüse denk gelmiş olmalarından ötürü ilkin kaspersky, eset, avast gibi (tavsiyem kaspersky dan yana) sağlam bir antivirüs programı kurup, güncellemesi ardından tam tarama yaparak virüslerin silinmesini sağlamak. Antivirüs kurmak istemeyenler bunun dışında sorunum yok diyenler şu portable programı da indirip tam tarama yaptırarak bu virüsü sildirebilirler.

Devlet kurumları, şirket ve internet cafeler için çözüm ise biraz daha uğraştırıcı çünkü sadece silmek yetmez ayrıca tekrar bulaşmaması sağlanmalı. Yine de baya pratik hale getirdim. Çözümümün mantığı şöyle, ilkin virüsü sildiriyoruz. Ardından virüsün oluşturduğu klasörleri biz açtırıp bunların okuma yazma değerlerini değiştirererek tekrar açılamamasını sağlıyorum. Ayrıca bu virüsün tüm bağlantısı olan sitelere erişimide kestirmiş oluyorum ki gerek güncelleyip yeni bir şeyler çıkarmalarını engellemek gerekse para kasılan siteyle bağlantıyı kesmek amacıyla iyi de oluyor. Şimdi ilkin bilgisayarınıza şu dosyayı indirin. Ardından içindeki dosyaları bir yere çıkarıp örneğin belgelerim, içindeki 1-Temizlik.vbs adlı dosyayı çalıştırın. Bu bilgisayarınızda varsa bitcoin mining virüsünü silecektir. Size uyarı vererek bilgisayarınızda olup olmadığınızı da söyler. Bu kısmı normalde yukarıda portable program diye sunduğum araç ile hallediyordum da bu daha pratik o yüzden böyle devam edin. İkinci olarak indirdiğiniz klasörün içindeki 2-Ölüm Vuruşu.bat dosyasını çalıştırın. Bu dosya belirli virüs klasörleri varsa içindekileri silip klasörler yok ise de klasörleri ekleyip okuma yazma yetkilerini değiştiriyor ki aynı virüs denk gelirse o klasörleri açıp içine bir şey yazamasın.  Ayrıca host dosyasına virüsle alakalı sitelere bağlanmaya çalışınca 0.0.0.0 ip adresine yönlendiriyor. Böylelikle boşa düşüyor bağlantı istekleri. Bunlara ek olarak internet cafe ve kurumlarda otomasyonlarında veya filtre programlarında program engelleme kısımları oluyor oraya indirdiğiniz dosya içinde engellenecekler isimli metin belgesi içinde yazan program isimlerini tek tek engellenecek ve açılmayacak programlar listesine eklemelisiniz. Eğer kullandığınız otomasyonda program başlığı engelleme özelliği var ise CurrPorts ismini de ekleyin. Bu program ile cafelerde veya kurumlarda kullanılan otomasyon programlarının portlarını alıp virüsün yayılması kısmında kullanıyorlar. Tekrar aynı virüs bulaşacak olursa erişim engellendi hatası alıp yayılmasının önüne geçilmiş olacak. Buna ek olarak kullandığınız otomasyonun data portlarını hem server hemde clientlerde değiştirerek standart portlardan farklı yaparsanız daha sağlam bir alt yapınız olur da bu kısmı tecrübeli kişiler yapmalı.

Örnek yapılar:

 

Diskli sistem kullanıyorsanız bir bilgisayarda yapıp bilgisayarı biraz kullanın. Anormallik yok ise tüm bilgisayarlarınıza uygularsınız. Disksiz sistem kullanıyorsanız imaj yedeğinizi bi yere aldıktan sonra süperuser açarken sadece imajınızı seçin ve öyle deneyin. Olası problemde yorum olarak belirtirseniz güncelleme yaparız.

 

 

Etiketler

8 Yorum

  1. Çok güzel olmuş eline sağlık üstat herşey tamam virüsü çalıştırmıyor ama akinsoft server ipsi değişmeye devam ediyor bunu masıl çözeriz

      1. akinsoft server client mantığı ile çalışıyor clientlerde server ip si var mesela anamasa ip si 192.168.1.2 normal açıldığında ip bu bir müddet sonra bu ip 1.3 oluyor ve akinsoft bağlantısı kopuyor ama masaları kastırmıyor 4 gündür uğraşıyorum allah razı olsun sizden

        1. Clientlerde Serveri otomatik algıla diye bir şey olmalı onu seçip denediniz mi hocam ? Yaşadığınız ip değişme olayi da ağınızda server ip si ile çakışan bi bilgisayar veya WiFi açık ise, WiFi ile bağlanmış bir cihazın IP’si ayni olduğundan dolayı oluyordur muhtemelen. Server ip adresinizin sonunu 245 gibi 254 ten küçük bi ip atayarak clientlere de bunu tanımlayarak deneyebilirsiniz. Serverınızda oyun diski varsa çıkarıp virüs taraması yapıp tekrar oyun diskinizi takmanızda fayda var. Virüste o sekil bi sonuç çıkarıyor olabilir.

          1. oto algıla yok durduk yere ip kendiliğinden değişiyor makina açıkken özelden görüşsek daha detaylı anlatırım

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu
Kapalı