Fareit virüsü

İyi forumlar 2 gün önce bir müşterim aradı ve her internet tarayıcısı açtığında ( chrome, f,refox, ie fark etmiyor ) adobe flash player sürümünüz eski güncelle uyarısı alıyorum dedi. bende bakmak lazım dedim ve bugün gittim. karşıma 1. derece olan bir zararlı türevi çıktı tüm networkü talan etmiş vaziyette kaspersky demosu olan 1 makine hariç tüm diğer makinlar telef durumda ve telef olan tüm makinalarda eset smart security var.

zararlıyı diğer antivirüsler tanımıyor şu çok önerilen symantec yuvarlak ürünü olan makinada maalesef veri kayıplarıda söz konusu bir şey yapılamayacağını belirttim ve lisanslarını zaten hepsini iptal ettim 40 adet kaspersky olarak değiştirdim benim açımdan çok karlıydı ama kullanıcı bazında çok riskli.

virüs hakkında detay yok kaspersky sitesinde 1. derece tehlikeliler listesinde. trend micro firması da enteresan house call versiyonu buluyor siliyor diğer versiyonları ne tanıyor nede silebiliyor tam komedi adamlar.

fareit saat 15:25 itibari ile antivirüslere karşı bağışıklık kazanarak yeni bir türevi daha ortaya çıkmıştır. şuan için tanıyabilen 4 yazılım oldu 10 farklı firmaya gerekli dosyalar iliştirildi symantec dosyaları eklemeyi kabul etmeyen tek firma  millet tonla para harcar analistlere bedavaya analizini yapıp yolluyoruz tınlamıyorlar enteresan adamlar.

yeni varyant  Trojan-PSW.Win32.Fareit.aoav olarak tanımlandı güzel virüsmüş antivirüs tarafından tanımlanıp silinebilir hale geldiği anda adapte olup kendisini değiştiriyor.

Linux virüsten etkilenmez diyenlerede kapak olur sanırım milli eğitim bakanlığının okullarda kullanımını zorunlu kıldığı Linux versiyonunu bu virüs zombi haline getiriyor kanlı canlı örneği var ve pazartesi günü hakkı rahmetine kavuşturacağım. demekki Linux = hiç bir halt sadece fasa fiso çok fazla virüs yok etkileyen ama çıktımı da en baba virüsler çıkıyormuş Linux içinde.

Virüsler bile standart kullanıcıdan bilinçli hale geldi :) kendini saklıyo antivirüsten koruyo falan ama insanımız flash güncellemesi görünce direk atlıyor... bi gün bu bilinç oluşursa işte o zaman virüslerin işi zor yoksa insanımız antivirüsü durdurup yine açar "bu bildigimiz flash işte antide kafayı yedi heralde" diye :9 bilinçsiz kullanıcıyı hiç bir şey koruyamaz  :)

TP-link td 8817 model adsl modemleride etkilemeye başladı menet modemin güncel firmware yazılımın kurulması şart vay be ne virüsmüş modemin yazılımına dahi adapte ediyor kendisini bari az daha zorlayıp tüm dünyaya adepte olsa olmazmıydı şu virüs ?

Alıntı: black_flood  

TP-link td 8817 model adsl modemleride etkilemeye başladı menet modemin güncel firmware yazılımın kurulması şart vay be ne virüsmüş modemin yazılımına dahi adapte ediyor kendisini bari az daha zorlayıp tüm dünyaya adepte olsa olmazmıydı şu virüs ?

Buda conficker gibi çok ağır etkileri olan bir zararlı olmaz umarım.

Trojan.Fareit: http://www.symantec.com/security ... 2013-012600-5549-99

Zararlıyı antivirüsler tanımıyor demişsiniz, ne kullanmak lazım, ve ne gibi güvenlik önlemleri alınabilir?

Alıntı: mrfunky  

Zararlıyı antivirüsler tanımıyor demişsiniz, ne kullanmak lazım, ve ne gibi güvenlik önlemleri alınabilir?

resimde görünen fake link içerikli sayfayı dikkate almadan ve içeriğindeki hiç bir linki çalıştırmadan kapatıp güvenli modda yeni bir kullanıcı oluşturup sadece önemli dosyaları yedekleyerek yeni kullanıcıya aktarmak ve ardından eski kullanıcı hesabınıda tamamen silmek güvenli kipte.

kaspersky şuan itibari ile tüm varyantları tanıyor antivirde aynı şekilde.

Alıntı: padisah  

 LMDE (Linux Mint Debian Edition) 2014.03 altında da çalışıyormu test edebilirmisin?
Norton dosyayı kendisi analiz etmek istiyor olabilir. 
Bir de Windows xp kullanılıyor olması bu virüsten daha çok risk taşıyor bence.

Buda conficker gibi çok ağır etkileri olan bir zararlı olmaz umarım.

Trojan.Fareit: http://www.symantec.com/security ... 2013-012600-5549-99

xp olayına gelince xp olan makinada aldım evet resimleri ama Windows 7 leride etkiliyor vistayı tam etkileyemiyor işte bu noktada şaşırdım bulaşsa dahi Vista ortamında güvenli kipte açıp kvrt ile taratıp temizledikten sonra sorunsuz olarak çalışıyor sistem. Windows 8 antivirüs olsada olmasada bulup virüs içeri var diye imliyor.

Alıntı: black_flood  

Linux olayına girmek istemiyorum çünkü menet çok sağlam illada bakacağım dersen dosyasını özelden atayım birazda sen cebelleş 2 günde zor kökünü kazıyabildim zaten ne modem kaldı nede pc kökünü kazımadığım safi milli zarar resmen virüsün kendisi.

xp olayına gelince xp olan makinada aldım evet resimleri ama Windows 7 leride etkiliyor vistayı tam etkileyemiyor işte bu noktada şaşırdım bulaşsa dahi Vista ortamında güvenli kipte açıp kvrt ile taratıp temizledikten sonra sorunsuz olarak çalışıyor sistem. Windows 8 antivirüs olsada olmasada bulup virüs içeri var diye imliyor.

Windows Vista ya şaşırmadım zaten ben ve bir kaç kullanıcı daha Vista'nın mevcut Windowslar içerisinde en güvenlisi olduğunu zaten biliyor ve söylüyor/yazıyorduk.
Fakat Windows 8'in hiç bir ek güvenlik önlemi olmadan (Windows defenderin kapalı olduğunu sanıyorum*) zararlıyı tespit etmesi gerçekten şaşırtıcı.
Anlaşılan ileride güvenlik alanında en iyi Windows Vista değil 8.1 olarak değişebilir.

*Eğer Windows defender açıksa: https://www.microsoft.com/securi ... x?Name=Win32/Fareit 

Şu an Kaspersky hariç hangi programlar zararlıyı tanıyıp kaldırabiliyor?

https://www.virustotal.com/en/fi ... 59b72d160/analysis/

dünden beri yaptığım çalışmalara istinaden şuanki durum bu sabahki durum ise bu

pandanın trojen cı diye tanıdığına kanmayın çünkü artık son 1 yıldır ne olsa trojen CI diye tanımlamaya başladı symantecin meşhur bir virüs tanımı var clasified diye aynı o hesap herşey clasified

Alıntı: black_flood  

https://www.virustotal.com/en/fi ... 59b72d160/analysis/

dünden beri yaptığım çalışmalara istinaden şuanki durum bu sabahki durum ise bu

pandanın trojen cı diye tanıdığına kanmayın çünkü artık son 1 yıldır ne olsa trojen CI diye tanımlamaya başladı symantecin meşhur bir virüs tanımı var clasified diye aynı o hesap herşey

rar desteği olmaz ise ayvayı yedi demek değil midir kullanıcı yada iş yerleri güvenlik yazılımlarının uzantısı olmayan Linux dosya sistemine ait dosyalarını bile tanımaları şart yoksa bir anlam ifade edemez. inşallah yarın yeni bir varyant ile uyanmamış olurum diye düşünüyorum çünkü yeni bir fareit ile 1 günümü kaybetmek istemiyorum artık 2 gündür sırf bu virüs ve virüse ait tanımlamayı ekletmek için çabalıyorum firmalara.

Alıntı: black_flood  

rar desteği olmaz ise ayvayı yedi demek değil midir kullanıcı yada iş yerleri güvenlik yazılımlarının uzantısı olmayan Linux dosya sistemine ait dosyalarını bile tanımaları şart yoksa bir anlam ifade edemez. inşallah yarın yeni bir varyant ile uyanmamış olurum diye düşünüyorum çünkü yeni bir fareit ile 1 günümü kaybetmek istemiyorum artık 2 gündür sırf bu virüs ve virüse ait tanımlamayı ekletmek için çabalıyorum firmalara.

Şirketlere satılan sürümlerle ev kullanıcılarına satılan sürümler farklı bir şirket ile evin güvenlik gerekleri aynı değil.
Performans açısından pek çok ürün öntanımlı olarak sadece belirli dosya türlerini tarar (tabi bu ayarlardan değiştirilebilir).

Burayı okuyor bile olabilirler belkide çoktan yeni bir varyant için çalışmaya başlamışlardır.

zaten çıktı yeni varyant tam 1 saat oluyor bakalım yanıt bekliyorum izin verirse şikayeti olan kişi uzakmasaüstü ile virüsün dosyasını alacağım ve sil baştan firmalara posta pazartesi tatilinide yiyecek adi virüs

Bu da conficker gibi çok çetin bir zararlı olmuş anlaşılan.
Kolay gelsin.

yeni varyant sayısı 2 ye çıktı türkiye genelinde çok fazla sayıda sistemde faaliyet gösterdiğini görmekteyim diğer bir çok bilişim formında mağdur olan kişi sayısı bariz şekilde artmış durumda.

Alıntı: black_flood  

yeni varyant sayısı 2 ye çıktı türkiye genelinde çok fazla sayıda sistemde faaliyet gösterdiğini görmekteyim diğer bir çok bilişim formında mağdur olan kişi sayısı bariz şekilde artmış durumda.

Çok fazla yayıldıysa bulaşan tüm kullanıcıların yaptığı ortak bir şey olmalı.

Bu arada araştırırken modemlerde bulunan bir açık kullana başka bir Flash Player zaralısı daha buldum belki zaten biliyorsundur ama yinede yazayım.[alıntı=""]WARNING! Your Flash Player may be out of date.Please upgrade to continue hatasının sebebi ADSL modeminizdeki güvenlik açığıdır.

Adsl modeminiz ZYXEL firmware kullanıyorsa bu açıktan etkilenmeniz söz konusu.

Örneğin Türkiyede çok kullanılan TP link marka adsl modemlerin bazılarında bir güvenlik açığı söz konusu. Bu güvenlik açığından etkilenen modemler şunlar
TD-8816, TD-8817, TD-8840T, TD-W8151N, TD-W8901N, TD-W8951ND, TD-W8961ND

Eğer bu modemlerden birini kullanıyorsanız bu güvenlik probleminden zarar görebilirsiniz.

Ayrıca ADSL modeminiz farklı marka olup ZYXEL gömülü sistemini kullanıyorsa yine bu güvenlik sorunu ile karşılaşabilirsiniz.

Bu güvenlik açığı ile, Adsl modeminizin içerisindeki yedek konfigürasyon dosyası javascript ile indirilebiliyor. İndirilen bu konfigürasyon dosyası okunarak modeminizin admin şifresi ele geçirilebiliyor. Bu sayede sizi farklı sitelere yönlendirmek mümkün oluyor.

TP LINK ADSL Modemler için şuan geçici çözüm modeminizin admin paneline dışardan erişimi kapatmak olacak.

TP Link admin panelinden bunu resimdeki gibi yapabilirsiniz.

Etkilenen Sistemler:

TP Link Adsl Modem kullanıcıları
TD-8816, TD-8817, TD-8840T, TD-W8151N, TD-W8901N, TD-W8951ND, TD-W8961ND

Bu güvenlik açığından en az oranda etkilenmek için lütfen önce bilgisayar, tablet veya cep telefonunuzda DNS sunucu bilgilerini değiştirin. Özellikle DNS otomatik al seçeneği aktifse bunu kapatın ve elinizle DNS sunucu bilgilerini girin.

Dikkat: Eğer sorun cep telefonu veya Tablete de varsa ADSL modeminizi resetleyin. Bir tür DNS hack saldırısı söz konusu.