Malvertising: Oclasrv Adware Temizliği

Geçtiğimiz günlerde WordPress bir web sayfasına yerleşmiş bir zararlı içerik konusunda eski bir müşterimden destek talebi aldım.

AA

WordPress özelinde genelde zararlı içerik davranışlarında home, index, header, footer, wp-config gibi dosyalar nazarında bulaşma eğilimi görülür. İlgini dosyalar incelendiğinde belirli bir örüntü içerisinde zararlı kod kaldırılabilir. Ardından wordpress kurulumları, eklenti ve tema dosyaları yeniden yapılandırıldığında zararlı durum da ortadan kaldırılabilmekte. Müşterimin çözümünü talep ettiği durum bu davranışın biraz dışında bir örüntü takip etmekteydi1.

Düzensiz olarak tıklanan linkler (ağırlıklı olarak main nav) üzerinden yeni sekme/popup olarak rastgele web sayfalarının açılmasını sağlayan durumu çözümlemek gerekmekteydi. Bu yazı çözümleme süreci üzerinden benzer sorunlarla karşılaşan wordpress kullanıcıları için umarım faydalı olur.

Go.oclasrv.com inspect tool

Oclasrv Çözümü

Yazının giriş kısmında bahsedilen işlemler müşterim tarafından gerçekleştirilmiş, ancak geçerli bir çözüme ulaşılamamıştı. Bu nedenle veritabanı üzerinden bir etkinlik olabileceği ihtimali üzerinden ilerledim. Inspect Tool üzerinden Network hareketlerini izleyip, eklenti ve tema gereksinimlerini karşılaştırdığımda go.oclasrv.com‘u yakalamak mümkün oldu. Esasında bilgisayarlar üzerinden internet tarayıcılarını etkileyen (Browser hijacking) go.oclasrv.com‘i ilk defa WordPress nazarında değerlendirme imkanım olmuş oldu2. Ardından ilgili kodu veritabanı ve dosyalar içerisinde arama sürecine geçtim. Doğrudan arama yapıldığında herhangi bir sonuca ulaşmak mümkün olmadı. Bu nedenle şifreleme ve değişkenlerle dosya adının oluşturulması ihtimalleri üzerinde durmaya başladım.

Base64 visual composer malware

JavaScript taramaları ile bir sonuda ulaşamayınca şifrelenmiş olarak saklanabileceği ihtimaliyle tekrar sayfa hareketlerini inceledim. Özellikle anasayfa görüntülendiğinde aktif olan zararlı durum için sayfa kaynak kodlarını incelediğimde zararlı kod bağlantısının sayfanın content yapısı içerisinde üretildiğini gördüm ve kodu yakaladım. Kod Visual Composer eklentisini kullanarak kendini base64 olarak şifrelemekte ve raw html modülü üzerinden sayfaya yerleştirmekteydi.

Go.oclasrv.com

Ardından ilgili base64 satırını veritabanında ve dosyalarda aratıp ilgili sonuçlara ulaşmak mümkün.

Go.oclasrv.com apu onclkds

Yukarıdaki adımları izleyerek benzer davranışlar gösteren zararlı kodları temizleyebilirsiniz. Çünkü küçük bir araştırmayla go.oclasrv.com üzerinden çekilen javascript dosyasının farklı domainler üzerinden de çekildiğini gördüm. Sitenizin arama motorları tarafından malware uyarısıyla engellenmemesi için sorunu mümkün olduğu kadar erken fark etmek ve önlemek önemli.