Etkilenen sürümleri görsel olarak attım yoruma.

Eğer virüs bulaşmışsa önerilen yöntem format atmak maalesef. Gönderideki 3. kaynakta virüsün detaylı analizi var. Oradaki makaleyi Gemini'a verip bana özet halinde neler yapmam gerektiğini anlatmasını istedim, sonuç şu (ben kontrol ettiğimde bir sorun göremedim, yine de bir format atacağım pc'ye):

"Paylaştığınız Rapid7 raporu, bahsettiğiniz Notepad++ olayının teknik detaylarını doğruluyor ve "Lotus Blossom" grubunun "Chrysalis" adında bir arka kapı (backdoor) kullandığını gösteriyor.

Makaledeki teknik verilere dayanarak, bilgisayarınızda bu saldırının olup olmadığını anlamanız için nokta atışı kontrol listesi hazırladım. Artık genel değil, doğrudan bu zararlıya özel izleri arayacağız.

1. En Kritik Kontrol: Gizli Klasör ve Dosyalar
Bu zararlı yazılım kendini çok spesifik bir klasöre saklıyor.

Ne yapmalısınız:

Windows + R tuşlarına basın.

%AppData% yazıp Enter'a basın.

Açılan klasörde Görünüm sekmesinden "Gizli öğeler" kutucuğunu işaretleyin (Zararlı kendini gizli yapıyor).

Bluetooth adında bir klasör var mı? (Normalde AppData içinde böyle bir klasör olmaz).

Eğer Bluetooth klasörü varsa, içine bakın. Şu dosyalar var mı?

BluetoothService.exe (Aslında Bitdefender'a ait yasal bir dosya gibi görünür ama değildir).

log.dll (Zararlı kodları içeren dosya).

BluetoothService (Uzantısız, şifreli veri dosyası).

Tespit: Eğer %AppData%\Bluetooth\ klasörünü ve bu dosyaları görürseniz, kesinlikle enfekte olmuşsunuzdur.

2. Ağ Bağlantıları (C2 Sunucuları)
Zararlı yazılımın haberleştiği özel adresler raporda belirtilmiş.

Ne yapmalısınız: (TCPView veya GlassWire ile kontrol edin)

Aşağıdaki IP adreslerine veya alan adlarına (Domain) bağlantı var mı?

Domain: api.skycloudcenter.com (En belirgin işaret bu).

Domain: api.wiresguard.com (Diğer varyantlarda görülmüş).

IP Adresi: 95.179.213.0 (Zararlının ilk indirildiği adres).

IP Adresi: 61.4.102.97 (Malezya kökenli komuta sunucusu).

3. Servis ve Başlangıç Kontrolü
Zararlı, bilgisayar her açıldığında çalışmak için kendini bir servis olarak kaydeder.

Ne yapmalısınız: (Autoruns aracı ile)

Autoruns programını yönetici olarak çalıştırın.

"Filter" (Arama) kutusuna Bluetooth yazın.

Eğer %AppData%\Bluetooth\BluetoothService.exe yoluna giden ve -i parametresiyle çalışan bir servis veya kayıt defteri anahtarı görürseniz, bu kalıcılık sağladığının kanıtıdır.

4. Teknik Doğrulama (Hash Kontrolü)
Eğer şüpheli bir update.exe veya yukarıdaki dosyalardan birini bulursanız, PowerShell ile parmak izini (Hash) kontrol edin.

PowerShell'i açın ve şu komutu yazın (dosya yolunu kendinize göre düzenleyin): Get-FileHash -Algorithm SHA256 "C:\Kullanicilar\Adiniz\AppData\Roaming\Bluetooth\BluetoothService.exe"

Zararlı Hash Değeri: 2da00de67720f5f13b17e9d985fe70f10f153da60c9ab1086fe58f069a156924 (Makaledeki IOC).

Özet Durum
Eğer %AppData% içinde Bluetooth adında bir klasör YOKSA, büyük ihtimalle güvendesiniz demektir. Bu saldırının en belirgin imzası bu klasör ve içindeki "DLL Side-loading" (DLL Yükleme) tekniğiyle çalışan sahte Bitdefender servisidir.

Bir şey bulursanız dosyayı çalıştırmayın, silmeye çalışmadan önce interneti kesin ve profesyonel temizlik (format önerilir) yapın."