‼️Clash For Windows'unuzu kontrol edin ‼️ Bugün, yeni aldığım bilgisayarım bir haftadan kısa bir sürede virüs kaptı, neyse ki hiçbir varlığım çalınmadı, şu anda cüzdanımı değiştirdim.

Sebebini, öğleden sonra bilgisayar açıkken yanımda telefonla oynarken buldum. Bir an yukarı baktığımda farenin hareket ettiğini gördüm, bilgisayar bir pin kodu girmem gereken bir sayfaya girdi. Önce farenin bozulduğunu düşündüm ve kontrol etmeye çalıştım, ama karşı tarafın sağ alt köşedeki arka plana tıklamak için benimle yarıştığını fark ettim. Ne yaptığını tam göremeden, elim kafamdan hızlı davrandı ve kasanın düğmesine basarak zorla yeniden başlattım.

Çünkü bilgisayar donanımı ve sistemi (indirme sitesinden alınan imaj) tamamen benim tarafımdan kuruldu, yeni bilgisayardaki yazılımlar az olduğu için sorunları tespit etmek daha kolay, muhtemelen bazı resmi olmayan kaynaklardan indirilen yazılımlar.

Sonra Huorong ve 360'ı indirip birkaç kez derin tarama yaptım, aşağıdaki sorunlu dosyaları elde ettim:

İki ana çalıştırılabilir dosya olduğu görülebilir, biri clash for windows dizinindeki facation.exe, diğeri ise ~/Vedios klasöründeki gizli klasördeki enqucz.exe. Clash for win çoktan silinmişti, sadece alışkanlık meselesi olduğu için kullanmaya devam ediyordum, birkaç gün önce indirirken aslında sorun olabileceğini de düşünmüştüm, sadece üzerine pek düşmedim, bu kadar hızlı patlayacağını hiç düşünmemiştim.

Diğer bir bilgisayardaki aynı sürüm clash for win'de bu facation adlı dosya yok. Everything'i açıp aradığımda, bunun chrome ile ilgili kayıtlarımı ayrıntılı bir şekilde kaydettiğini gördüm:

İçerideki her klasörde log dosyaları var, birçok tarayıcı bilgimi içeriyor, örneğin açtığım web sayfaları bilgileri falan (dosyalar oldukça büyük, ne tür bir kodlama olduğunu bilmiyorum, şu an özel anahtar bilgisi olup olmadığını bulamadım), gerçekten çok korkutucu!

Diğer enqucz.exe dosyası çok derin bir yerde saklanmış, clash dizininde değil, Videolar dizininde (bilgisayarımda hiçbir video yok), oluşturulma zamanını görebiliriz ve yukarıdaki facation.exe ile ilgili dosyalarla çok yakın, hepsi 7 Temmuz akşamı. Ayrıca bu, gizli bir klasörde, bilgisayar gizli dosyaları gösterdiğinde veya ls komutunu girdiğinizde bile görünmüyor, yalnızca powershell'de Get-ChildItem -Force komutunu yazarak görebilirsiniz.

Yani virüs programı, 7 Temmuz civarında clash for win'i yüklemeye başladığımdan beri (birkaç kez yüklediğim için kaynağını pek hatırlayamıyorum) bilgisayarda gizli kalmış ve dün akşamdan itibaren aslında biraz tuhaflık fark ettim. Chrome'un bellek kullanımı çok yüksekti ve aniden CPU'yu %100'e çıkarma fırsatı bulmuştu. Sadece hangi eklentinin hatalı olduğunu düşündüm ve pek dikkat etmedim. Sonra bu öğleden sonra bilgisayarı uzaktan kontrol etmeye başladılar.

Sonrası işlemler: Antivirüs yazılımı birkaç kez tarama yaptı, Windows'taki tüm uzak kontrol ile ilgili hizmetleri kapattı, tüm clash ile ilgili dosyaları sildi ve formatlanmış bir USB bellek ile başka bir bilgisayardan Clash Verge (resmi kütüphane) kurulum programını kopyaladı. Cüzdan varlıklarını transfer ettikten sonra interneti kapattı ve bilgisayarın pin kodunu değiştirdi, diğer giriş şifreleri çoğunlukla 2FA açık olduğundan nispeten güvenli sayılır. Daha sonra bir zaman bulup sistemi yeniden kurmam gerekiyor. (Geliştirme ortamını yeniden yapılandırmam gerektiğini düşünmek can sıkıcı.)

Son olarak, tüm web3 arkadaşlarına resmi olmayan yollarla herhangi bir bilgisayar yazılımı indirmemelerini özellikle tarayıcı/girdi yöntemi/ağ proxy yazılımı/sosyal yazılımlar ile ilgili tavsiye ediyorum.