Banbra.DUG Truva atlarýnýn Banbra ailesine aittir. Bu Truva atlarý 2006 yýlý süresince en çok tespit edilenler olup belirli on-line bankacýlýk hizmetleri için müþteri bilgilerini çalmak üzere tasarlanmýþ durumda. Banbra.DUG kullanýcýlarýn belirli on-line  bankacýlýk hizmetlerine eriþimini gözlüyor. Bu olduðunda, kullanýcýlarýn banka hesap numaralarý veya þifre gibi giriþ bilgilerini girmek zorunda olduklarý ve gerçeðine çok yakýn hileli bir web sayfasýný görüntüye getiriyor. Banbra.DUG bilgiyi saklýyor ve daha sonra bunu etkilenen kullanýcýnýn parasýný çalmak için kullanacak olan yaratýcýsýna e-posta ile gönderiyor. Bütün Truva atlarýnda olduðu gibi, Banbra.DUG kendiliðinden bulaþmýyor, ancak bilgisayarlara ulaþmak için kullanýcýnýn e-postalarý açmak veya dosya indirmek gibi belirli eylemleri yapmak üzere müdahalesine ihtiyaç duyuyor.

Bu haftanýn raporunda yer alan ikinci Truva atý Cimuz.CS olarak karþýmýza çýkýyor. Bir önceki Truva atý gibi, Cimuz.CS de, yalnýz bankacýlýk bilgilerini deðil, ama kullanýcýlarýn bir Web formuna girdikleri bütün bilgileri çalmak için Web trafiðini gözlüyor. Bulaþtýðý bilgisayardan IP adresleri, ülke, sistem ID, anasistem, vb. gibi verileri çalmak ve bunlarý info.txt adlý bir dosyada saklamak için tasarlanmýþ. Elde ettiði bütün bilgileri bunlardan yararlanacak yaratýcýsýna dönemsel olarak gönderiyor.

Tekrarlamak gerekirse, bu iki Truva atý siber-suçlularýn eylemlerinin arkasýndaki esas güdünün maddi kazanç olduðunu ve Truva atlarýnýn en çok kullandýklarý araçlardan birisi olduðunu gösteriyor.

Atnas.A tehlikeli ve garip bir solucandýr. Tehlikesi, belirli web sitelerine daðýtýlmýþ hizmet reddi (DDoS) saldýrýsýna neden olmak üzere tasarlanmýþ olmasýndan doðmaktadýr. Bu DDoS saldýrýlarý bir sunucuya veya sisteme ayný anda saldýrýp kullanýlabilir bant geniþliðini tamamen kullanan ve böylece hizmetleri engelleyen çeþitli sistemlerden oluþuyor. Bu solucan, ayný zamanda çeþitli güvenlik programlarý ve P2P klasörlerine ait dosyalarý kendisine ait ve orijinal dosya ile ayný adý verdiði bir dosya ile deðiþtirerek bunlarýn orijinal uzantýlarýný deðiþtiriyor. Atnas.A kendisini paylaþýlan klasörlerdeki P2P aðlarýna iliþkin adlara (emule, Kazaa, … gibi) sahip yasal programlarýn adý ile kopyalama yoluyla bulaþýyor. Bu þekilde, eðer bir ad kullanýcýlarýn indirmek istedikleri bir þey ile çakýþýrsa, aslýnda solucaný indirmiþ oluyorlar.

Atnas.A ayrýca Windows Registry’de bir anahtar yaratýyor ve Windows her baþlatýldýðýnda o da çalýþtýrýlýyor. Bu solucanýn garip özelliði, ilk çalýþtýrýldýðýnda bir hata mesajý vermesi, fakat daha sonra harflerden oluþan çýplak bir kadýn görüntüsü oluþturmasýdýr. Bu mesajlar kullanýcýlarýn bilgisayarlarýna bu virüsün bulaþtýðýný tanýmlamalarý açýsýndan yararlý olabilir.

14-12-2006 Tanýmlanmamýþ Trojan Loader

Rastlanma Tarihi: 14-12-2006

�lk Çözümleme Tarihi: 14-12-2006

Çözümleme Durumu: �lk çözümleme safhasý

Yayýlma yöntemi:
Zararlý dosya kariyer.net'ten gelen sahte bir email yoluya yayýlmaktadýr. Yakalanan örnek sahte e-mail; "nur_karayel@kariyer.net" adresi ve "selam" subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna baðlý 88.233.33.192 ip'si ile gonderilmiþtir.

Mail içeriði de þu þekildedir:

"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..

NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)

iyi calismalar dilegiyle.

Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."

�lgili resime týklanýldýðýnda, "www.freewebtown.com/nurkarayel/cv-resimlerim.zip" adresinden dosya indirme iþlemi yapýlmakta, indirilen zip dosyasý içerisinde, kendini açan-çalýþtýrýlabilir (self decompress-executable) dosya görüntüsündeki cv.exe dosyasý bulunmaktadýr.

cv.exe dosyasý bir antivirus yazýlýmlarýnýn halen tanýmlayamadýðý bir trojan loader olarak çalýþmakta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak tanýmlanan bir dosyayý yüklemektedir.

smss.exe dosyasý keylogger, screen capturer, spyware-trojan loader olarak çalýþmaktadýr.

�lk çözümleme:
Cv.exe dosyasý Borland Delphi ile yazýlmýþ ve içerisine yine Borland Deplhi ile yazýlmýþ smss.exe ve Bitlogic Software firmasý tarafýndan eðitim amaçlý açýk kaynak kodlu olarak daðýtýlan MouseHook.dll dosyalarý gizlenmiþtir. Dosya ilk kez çalýþtýrýldýðýnda, "HKEY_LOCAL_MACHINE\Software" registry key'i altýna "cupra" Key'i ve bu key'in de altýna "checker" key'ini oluþturmakta ve deðerini de 1 olarak belirlemektedir. Hemen sonrasýnda, smss.exe ve mousehook.dll dosyalarýný "c:\windows\driver cache\Winapp\AppData\" klasörü altýna kopyalamaya çalýþmakta ve kopyalama iþlemi biter bitmez smss.exe'yi çalýþtýrmaktadýr.

cv.exe dosyasý smss.exe'yi çalýþtýrdýktan hemen sonra "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" registry key'i içerisine "Winloader" isimli key'i oluþturarak deðerini de "C:\WINDOWS\Driver Cache\Winapp\AppData\smss.exe" olarak berlirlemektedir.

smss.exe dosyasý tüm tuþ basýmlarýný ve internet explorer üzerindeki mouse'un sol butonuna basýlma iþlemlerini takip etmektedir.

Bulaþmasýnýn anlaþýlmasý:
- Registry üzerinde oluþturulan kayýtlar izlenerek:
- Dosya sistemi üzerinde oluþturulan dosyalar izlenerek.

Manuel Temizlenmesi
smss.exe isimli windows iþletim sisteminin "Session Manager Subsystem" olarak adlandýrýlan bir parçasý da vardýr ve bu parça kapatýlmamalýdýr. Ancak zararlý yazýlým olan smss.exe'si ile kullandýðý bellek miktarý ile ayrýlabilir. "Session Manager Subsystem" olan smss.exe dosyasý genellikle 100-300 KB civarýnda hafýza kullanýrken zararlý yazýlým olan smss.exe çalýþma zamanýna baðlý olarak çok daha fazla miktarda bellek kullanmaktadýr.
Ancak smss.exe ile oluþturulan iþlem (process) task manager üzerinden kapatýlamamaktadýr. Bu nedenle temizlemek için öncelikle registry'deki "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" içerisindeki smss.exe deðerli key silinmelidir. Yakalanan örnekte bu key daima "Winloader" ismindedir.
Daha sonra windows restart edilmeli; ve "c:\windows\driver cache\Winapp\AppData\" klasörü altýndaki "smss.exe", "MouseHook.dll", varsa "ioerrors.txt", ve "img" klasörü silinmelidir.