Fareit virüsü

black_flood
28-03-2014, 19:59   |  #1  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

İyi forumlar 2 gün önce bir müşterim aradı ve her internet tarayıcısı açtığında ( chrome, f,refox, ie fark etmiyor ) adobe flash player sürümünüz eski güncelle uyarısı alıyorum dedi. bende bakmak lazım dedim ve bugün gittim. karşıma 1. derece olan bir zararlı türevi çıktı tüm networkü talan etmiş vaziyette kaspersky demosu olan 1 makine hariç tüm diğer makinlar telef durumda ve telef olan tüm makinalarda eset smart security var.

zararlıyı diğer antivirüsler tanımıyor şu çok önerilen symantec yuvarlak ürünü olan makinada maalesef veri kayıplarıda söz konusu bir şey yapılamayacağını belirttim ve lisanslarını zaten hepsini iptal ettim 40 adet kaspersky olarak değiştirdim benim açımdan çok karlıydı ama kullanıcı bazında çok riskli.

virüs hakkında detay yok kaspersky sitesinde 1. derece tehlikeliler listesinde. trend micro firması da enteresan house call versiyonu buluyor siliyor diğer versiyonları ne tanıyor nede silebiliyor tam komedi adamlar.

black_flood bu faydalı başlığı için aşağıdaki 1 kişiden teşekkür aldı... [ Göster ]
black_flood
29-03-2014, 21:06   |  #2  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

fareit saat 15:25 itibari ile antivirüslere karşı bağışıklık kazanarak yeni bir türevi daha ortaya çıkmıştır. şuan için tanıyabilen 4 yazılım oldu 10 farklı firmaya gerekli dosyalar iliştirildi symantec dosyaları eklemeyi kabul etmeyen tek firma  millet tonla para harcar analistlere bedavaya analizini yapıp yolluyoruz tınlamıyorlar enteresan adamlar.

yeni varyant  Trojan-PSW.Win32.Fareit.aoav olarak tanımlandı güzel virüsmüş antivirüs tarafından tanımlanıp silinebilir hale geldiği anda adapte olup kendisini değiştiriyor.

Linux virüsten etkilenmez diyenlerede kapak olur sanırım milli eğitim bakanlığının okullarda kullanımını zorunlu kıldığı Linux versiyonunu bu virüs zombi haline getiriyor kanlı canlı örneği var ve pazartesi günü hakkı rahmetine kavuşturacağım. demekki Linux = hiç bir halt sadece fasa fiso çok fazla virüs yok etkileyen ama çıktımı da en baba virüsler çıkıyormuş Linux içinde.

mehmet_93
29-03-2014, 22:19   |  #3  
mehmet_93 avatarı
Yıllanmış Üye
Teşekkür Sayısı: 97
593 mesaj
Kayıt Tarihi:Kayıt: Tem 2010

Virüsler bile standart kullanıcıdan bilinçli hale geldi :) kendini saklıyo antivirüsten koruyo falan ama insanımız flash güncellemesi görünce direk atlıyor... bi gün bu bilinç oluşursa işte o zaman virüslerin işi zor yoksa insanımız antivirüsü durdurup yine açar "bu bildigimiz flash işte antide kafayı yedi heralde" diye :9 bilinçsiz kullanıcıyı hiç bir şey koruyamaz  :)

Son Düzenleme: mehmet_93 ~ 29 Mart 2014 22:20
mehmet_93 bu faydalı yanıtı için aşağıdaki 1 kişiden teşekkür aldı... [ Göster ]
black_flood
30-03-2014, 14:43   |  #4  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

TP-link td 8817 model adsl modemleride etkilemeye başladı menet modemin güncel firmware yazılımın kurulması şart vay be ne virüsmüş modemin yazılımına dahi adapte ediyor kendisini bari az daha zorlayıp tüm dünyaya adepte olsa olmazmıydı şu virüs ?

padisah
30-03-2014, 15:33   |  #5  
padisah avatarı
Yıllanmış Üye
Teşekkür Sayısı: 178
2,190 mesaj
Kayıt Tarihi:Kayıt: May 2013
Alıntı: black_flood  
TP-link td 8817 model adsl modemleride etkilemeye başladı menet modemin güncel firmware yazılımın kurulması şart vay be ne virüsmüş modemin yazılımına dahi adapte ediyor kendisini bari az daha zorlayıp tüm dünyaya adepte olsa olmazmıydı şu virüs ?
 LMDE (Linux Mint Debian Edition) 2014.03 altında da çalışıyormu test edebilirmisin?
Norton dosyayı kendisi analiz etmek istiyor olabilir. 
Bir de Windows xp kullanılıyor olması bu virüsten daha çok risk taşıyor bence.

Buda conficker gibi çok ağır etkileri olan bir zararlı olmaz umarım.

Trojan.Fareit: http://www.symantec.com/security ... 2013-012600-5549-99

Son Düzenleme: padisah ~ 30 Mart 2014 15:38
mrfunky
30-03-2014, 16:07   |  #6  
Üye
Teşekkür Sayısı: 0
60 mesaj
Kayıt Tarihi:Kayıt: Ağu 2012

Zararlıyı antivirüsler tanımıyor demişsiniz, ne kullanmak lazım, ve ne gibi güvenlik önlemleri alınabilir?

black_flood
30-03-2014, 18:10   |  #7  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006
Alıntı: mrfunky  
Zararlıyı antivirüsler tanımıyor demişsiniz, ne kullanmak lazım, ve ne gibi güvenlik önlemleri alınabilir?
 

resimde görünen fake link içerikli sayfayı dikkate almadan ve içeriğindeki hiç bir linki çalıştırmadan kapatıp güvenli modda yeni bir kullanıcı oluşturup sadece önemli dosyaları yedekleyerek yeni kullanıcıya aktarmak ve ardından eski kullanıcı hesabınıda tamamen silmek güvenli kipte.

kaspersky şuan itibari ile tüm varyantları tanıyor antivirde aynı şekilde.

Son Düzenleme: black_flood ~ 30 Mart 2014 18:11
black_flood
30-03-2014, 18:14   |  #8  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006
Alıntı: padisah  
 LMDE (Linux Mint Debian Edition) 2014.03 altında da çalışıyormu test edebilirmisin?
Norton dosyayı kendisi analiz etmek istiyor olabilir. 
Bir de Windows xp kullanılıyor olması bu virüsten daha çok risk taşıyor bence.

Buda conficker gibi çok ağır etkileri olan bir zararlı olmaz umarım.

Trojan.Fareit: http://www.symantec.com/security ... 2013-012600-5549-99

Linux olayına girmek istemiyorum çünkü menet çok sağlam illada bakacağım dersen dosyasını özelden atayım birazda sen cebelleş 2 günde zor kökünü kazıyabildim zaten ne modem kaldı nede pc kökünü kazımadığım safi milli zarar resmen virüsün kendisi.

xp olayına gelince xp olan makinada aldım evet resimleri ama Windows 7 leride etkiliyor vistayı tam etkileyemiyor işte bu noktada şaşırdım bulaşsa dahi Vista ortamında güvenli kipte açıp kvrt ile taratıp temizledikten sonra sorunsuz olarak çalışıyor sistem. Windows 8 antivirüs olsada olmasada bulup virüs içeri var diye imliyor.

padisah
30-03-2014, 19:03   |  #9  
padisah avatarı
Yıllanmış Üye
Teşekkür Sayısı: 178
2,190 mesaj
Kayıt Tarihi:Kayıt: May 2013
Alıntı: black_flood  
Linux olayına girmek istemiyorum çünkü menet çok sağlam illada bakacağım dersen dosyasını özelden atayım birazda sen cebelleş 2 günde zor kökünü kazıyabildim zaten ne modem kaldı nede pc kökünü kazımadığım safi milli zarar resmen virüsün kendisi.

xp olayına gelince xp olan makinada aldım evet resimleri ama Windows 7 leride etkiliyor vistayı tam etkileyemiyor işte bu noktada şaşırdım bulaşsa dahi Vista ortamında güvenli kipte açıp kvrt ile taratıp temizledikten sonra sorunsuz olarak çalışıyor sistem. Windows 8 antivirüs olsada olmasada bulup virüs içeri var diye imliyor.

Tamam sadece deian altındaki durumunu merak ettiğim için sormuştum önemli değil.

Windows Vista ya şaşırmadım zaten ben ve bir kaç kullanıcı daha Vista'nın mevcut Windowslar içerisinde en güvenlisi olduğunu zaten biliyor ve söylüyor/yazıyorduk.
Fakat Windows 8'in hiç bir ek güvenlik önlemi olmadan (Windows defenderin kapalı olduğunu sanıyorum*) zararlıyı tespit etmesi gerçekten şaşırtıcı.
Anlaşılan ileride güvenlik alanında en iyi Windows Vista değil 8.1 olarak değişebilir.

*Eğer Windows defender açıksa: https://www.microsoft.com/securi ... x?Name=Win32/Fareit 

Şu an Kaspersky hariç hangi programlar zararlıyı tanıyıp kaldırabiliyor?

black_flood
30-03-2014, 19:50   |  #10  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

https://www.virustotal.com/en/fi ... 59b72d160/analysis/

dünden beri yaptığım çalışmalara istinaden şuanki durum bu sabahki durum ise bu

pandanın trojen cı diye tanıdığına kanmayın çünkü artık son 1 yıldır ne olsa trojen CI diye tanımlamaya başladı symantecin meşhur bir virüs tanımı var clasified diye aynı o hesap herşey clasified

padisah
30-03-2014, 20:08   |  #11  
padisah avatarı
Yıllanmış Üye
Teşekkür Sayısı: 178
2,190 mesaj
Kayıt Tarihi:Kayıt: May 2013
Alıntı: black_flood  
https://www.virustotal.com/en/fi ... 59b72d160/analysis/

dünden beri yaptığım çalışmalara istinaden şuanki durum bu sabahki durum ise bu

pandanın trojen cı diye tanıdığına kanmayın çünkü artık son 1 yıldır ne olsa trojen CI diye tanımlamaya başladı symantecin meşhur bir virüs tanımı var clasified diye aynı o hesap herşey

Bilgilendirmen için teşekkür ederim.
Dosyayı .rar olarak yüklediğin için bazı AVler taramıyor olabilir.

Son Düzenleme: padisah ~ 30 Mart 2014 20:25
black_flood
30-03-2014, 21:32   |  #12  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

rar desteği olmaz ise ayvayı yedi demek değil midir kullanıcı yada iş yerleri güvenlik yazılımlarının uzantısı olmayan Linux dosya sistemine ait dosyalarını bile tanımaları şart yoksa bir anlam ifade edemez. inşallah yarın yeni bir varyant ile uyanmamış olurum diye düşünüyorum çünkü yeni bir fareit ile 1 günümü kaybetmek istemiyorum artık 2 gündür sırf bu virüs ve virüse ait tanımlamayı ekletmek için çabalıyorum firmalara.

padisah
30-03-2014, 22:14   |  #13  
padisah avatarı
Yıllanmış Üye
Teşekkür Sayısı: 178
2,190 mesaj
Kayıt Tarihi:Kayıt: May 2013
Alıntı: black_flood  
rar desteği olmaz ise ayvayı yedi demek değil midir kullanıcı yada iş yerleri güvenlik yazılımlarının uzantısı olmayan Linux dosya sistemine ait dosyalarını bile tanımaları şart yoksa bir anlam ifade edemez. inşallah yarın yeni bir varyant ile uyanmamış olurum diye düşünüyorum çünkü yeni bir fareit ile 1 günümü kaybetmek istemiyorum artık 2 gündür sırf bu virüs ve virüse ait tanımlamayı ekletmek için çabalıyorum firmalara.
 Pek çok program öntanımlı olarak sadece belli uzantıları tarar ve panda dahil pek çok program .rar dosyasının içeriğini değiştiremez. (Bildiğim kadarıyla default ayarlarda norton da taramıyor.)
Zararlının (çoğu zaman) önce rardan çıkması gerkliki bilgisayara bulaşsın. 

Şirketlere satılan sürümlerle ev kullanıcılarına satılan sürümler farklı bir şirket ile evin güvenlik gerekleri aynı değil.
Performans açısından pek çok ürün öntanımlı olarak sadece belirli dosya türlerini tarar (tabi bu ayarlardan değiştirilebilir).

Burayı okuyor bile olabilirler belkide çoktan yeni bir varyant için çalışmaya başlamışlardır.Gülümseme

black_flood
30-03-2014, 22:53   |  #14  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

zaten çıktı yeni varyant tam 1 saat oluyor bakalım yanıt bekliyorum izin verirse şikayeti olan kişi uzakmasaüstü ile virüsün dosyasını alacağım ve sil baştan firmalara posta pazartesi tatilinide yiyecek adi virüs

padisah
30-03-2014, 23:15   |  #15  
padisah avatarı
Yıllanmış Üye
Teşekkür Sayısı: 178
2,190 mesaj
Kayıt Tarihi:Kayıt: May 2013

Bu da conficker gibi çok çetin bir zararlı olmuş anlaşılan.
Kolay gelsin.

black_flood
31-03-2014, 11:21   |  #16  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

yeni varyant sayısı 2 ye çıktı türkiye genelinde çok fazla sayıda sistemde faaliyet gösterdiğini görmekteyim diğer bir çok bilişim formında mağdur olan kişi sayısı bariz şekilde artmış durumda.

padisah
31-03-2014, 11:44   |  #17  
padisah avatarı
Yıllanmış Üye
Teşekkür Sayısı: 178
2,190 mesaj
Kayıt Tarihi:Kayıt: May 2013
Alıntı: black_flood  
yeni varyant sayısı 2 ye çıktı türkiye genelinde çok fazla sayıda sistemde faaliyet gösterdiğini görmekteyim diğer bir çok bilişim formında mağdur olan kişi sayısı bariz şekilde artmış durumda.
Zararlının sisteme nasıl ve nereden girdiği hakkında bilgin var mı? 
Setup.exe dosyası değil nereden yayılıyorda anasayfayı yönlendiriyor?
Bulaşan sistemler Windows güncelleştirmelerinin tümünü yüklemiş sistemler mi?

Çok fazla yayıldıysa bulaşan tüm kullanıcıların yaptığı ortak bir şey olmalı.

Bu arada araştırırken modemlerde bulunan bir açık kullana başka bir Flash Player zaralısı daha buldum belki zaten biliyorsundur ama yinede yazayım.[alıntı=""]WARNING! Your Flash Player may be out of date.Please upgrade to continue hatasının sebebi ADSL modeminizdeki güvenlik açığıdır.

Adsl modeminiz ZYXEL firmware kullanıyorsa bu açıktan etkilenmeniz söz konusu.

Örneğin Türkiyede çok kullanılan TP link marka adsl modemlerin bazılarında bir güvenlik açığı söz konusu. Bu güvenlik açığından etkilenen modemler şunlar
TD-8816, TD-8817, TD-8840T, TD-W8151N, TD-W8901N, TD-W8951ND, TD-W8961ND

Eğer bu modemlerden birini kullanıyorsanız bu güvenlik probleminden zarar görebilirsiniz.

Ayrıca ADSL modeminiz farklı marka olup ZYXEL gömülü sistemini kullanıyorsa yine bu güvenlik sorunu ile karşılaşabilirsiniz.

Bu güvenlik açığı ile, Adsl modeminizin içerisindeki yedek konfigürasyon dosyası javascript ile indirilebiliyor. İndirilen bu konfigürasyon dosyası okunarak modeminizin admin şifresi ele geçirilebiliyor. Bu sayede sizi farklı sitelere yönlendirmek mümkün oluyor.

TP LINK ADSL Modemler için şuan geçici çözüm modeminizin admin paneline dışardan erişimi kapatmak olacak.

TP Link admin panelinden bunu resimdeki gibi yapabilirsiniz.

Etkilenen Sistemler:

TP Link Adsl Modem kullanıcıları
TD-8816, TD-8817, TD-8840T, TD-W8151N, TD-W8901N, TD-W8951ND, TD-W8961ND


Bu güvenlik açığından en az oranda etkilenmek için lütfen önce bilgisayar, tablet veya cep telefonunuzda DNS sunucu bilgilerini değiştirin. Özellikle DNS otomatik al seçeneği aktifse bunu kapatın ve elinizle DNS sunucu bilgilerini girin.

Dikkat: Eğer sorun cep telefonu veya Tablete de varsa ADSL modeminizi resetleyin. Bir tür DNS hack saldırısı söz konusu.

 

Kaynak: http://uzmanim.net/soru/warning- ... be-out-of-date/3017 (Yazının sadece modemle ilgili olan kısmını aldım.)

Son Düzenleme: padisah ~ 31 Mart 2014 11:55
black_flood
31-03-2014, 22:03   |  #18  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

tüm güncellemeleri almış 7 ve xp li sistemler tamamen etkileniyor Vista sistem tam etkilenmiyor yarım yamalak etkileniyor güvenli kipte taratmak yeterli oluyor kaspersky kvrt ile. yeniden başlatıp yeni kullanıcı ile oturum açınca sorun kalkıyor. modem olayına gelince giremiyorum ki modeme login olmayı deneyip 10 saniye bekleyim tak diye sayfa bir anda değişip meşhur fareit hortlayı veriyor. 8816 modeli var zaten okulda ve modemin değişmesi söz konusu maalesef. tp-link modemlerin 8970 modeli ve sonrası dışındaki neredeyse tüm modelleri 8816 modeli ile aynı arayüz ve yazılımı kullandığı için alayını etkiliyordur diye düşünüyorum. birkaç tane virüsten etkilenen kişiye adsl modem arayüzünden dns bilgilerini comodo firmasının secure dnsleri ile değiştirttim yaklaşık 3 saat sonra uyarı ve yönlendirme tamamen kalktı.

black_flood
01-04-2014, 17:33   |  #19  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

TL-WA500G , TL-WA501G , TL-WA5110G  bu modeldeki tp-link ürünleride maalesef aynı virüsten etkilenmektedir. ne virüs ama  sadece okula çıkan  750 tl oldu 2 adet 8970 modem vermek zorunda kaldım ayrıca 4 kullanıcılı antivirüs lisansı. baya masraflı çıktı virüsün bedeli.

airtesinde bazı modelleri etkileniyor virüsten 5340, 5350 modelleride etkileniyor virüsten uyarı penceresi sadece 1 kere çıkıyor bir daha görünmüyor daha sonra fakat modemi kullanılmaz hale getiriyor yeni firmware olmadığı için.

Son Düzenleme: black_flood ~ 01 Nisan 2014 22:32
gokhan_86
02-04-2014, 17:54   |  #20  
gokhan_86 avatarı
Yeni Üye
Teşekkür Sayısı: 0
29 mesaj
Kayıt Tarihi:Kayıt: Eyl 2009

https://www.chip.com.tr/forum/ado ... _3.html?ynt=1403147 bende bu konudan geliyorum allah aşkına birisi tam çözümünü söylesin şunun kafayı yedirtti bana aynı modeme bağlı olan Leptopumda gitti ya.

padisah
02-04-2014, 21:21   |  #21  
padisah avatarı
Yıllanmış Üye
Teşekkür Sayısı: 178
2,190 mesaj
Kayıt Tarihi:Kayıt: May 2013
Alıntı: gokhan_86  
https://www.chip.com.tr/forum/ado ... _3.html?ynt=1403147 bende bu konudan geliyorum allah aşkına birisi tam çözümünü söylesin şunun kafayı yedirtti bana aynı modeme bağlı olan Leptopumda gitti ya.
 Heard protect'in tarama sonucu nasıl çıktı?

black_flood
02-04-2014, 22:21   |  #22  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

eğer modemin içinden geliyorsa virüs 68 değil 7 trilyon malware tarama motoru ile taransa dahi çöüm çıkmayacaktır ama belki dns zehirlemesinin önüne geçilecek çözüm üretmeye yarayabilir Heard Protect yazılımı

mehmet_93
02-04-2014, 23:09   |  #23  
mehmet_93 avatarı
Yıllanmış Üye
Teşekkür Sayısı: 97
593 mesaj
Kayıt Tarihi:Kayıt: Tem 2010

Beyler birisi şu virüsün kaynağını banada atabilirmi ? gönüllü olarak indirp denemek istiyorum herkes şikayetçi merak ettim valla :)  Sanki gelişi güzel girilen dnslerden kaynaklı bir dns zehirlemesi gibi geldi. Elinde bulaştırıcı dosyası olan varsa bi indirme linki atsın lütfen.

black_flood
03-04-2014, 09:00   |  #24  
black_flood avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 152
5,190 mesaj
Kayıt Tarihi:Kayıt: May 2006

hiç bir mesuliyet kabul etmem ayrıca antivirüsler artık çoğunu tanır hale geldi özelden mail adresini ver yada açıktan fark etmez linklerini yollayım.

mehmet_93
03-04-2014, 09:16   |  #25  
mehmet_93 avatarı
Yıllanmış Üye
Teşekkür Sayısı: 97
593 mesaj
Kayıt Tarihi:Kayıt: Tem 2010

m_e_h_m_e_t_m_e_h_m_e_t@hotmail.com yollayıver bi zahmet bilinçsizce denemektense bilinçlice denemek daha iyidir :).  (adres şaka değil :)