Bu rehber, gerçek Vidar örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

Vidar Nedir?

Vidar, ilk olarak 2018 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

Vidar Stealer is a C++ infostealer derived from Arkei. Collects browser creds, crypto wallets, 2FA codes, FTP credentials. C2 via HTTP panel. Distributed via malvertising.

Atıf / Tehdit Aktörü: Rusca konusulan gelistirici tarafindan yonetilen MaaS platformu. Arkei Stealer'in devami olarak Rusya baglantili gruplarca gelistirilmektedir.

Teknik Detay: C++, HTTP C2 (Telegram dead drop C2 IP alimi da mevcut), SQLite credential extraction, browser form grabber, kripto wallet scraper, screenshot, Discord stealer, custom panel (PHP)

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Vidar örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
451590c2017a91e4b0765591659dd7ef882b46e77b6c69cca30d7aa11bf6c42dSHA256NULL
9fd59b56ea2c757ee6f2b8fddc45f7d36efeca135cee1c92511799c85351ebf3SHA256NULL
218f0057a81096662b7277f1ebece79f575c44ca5a46c177e9e72207ecd57270SHA256NULL
6b4acfec0d604878f445271c3ffb773ff6563affc8064a825c6ecd87b5dd2f61SHA256NULL
a9eb130cb57881807b7ef072265af0f6ec84e73c728f11ecce8cc01a7b6a1567SHA256NULL
317b63774e9907381370f9532f72a469MD5NULL
a55f7b2226c1d9dbd94fe0a9d385473cMD5NULL
9946341badc6e43fa3df2627cb95b1cdMD5NULL
5de3d57c333fcd83d56210260141ac91MD5NULL
e009d13962fd200cf6259ac69ca86a40MD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Vidar Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.