Banbra.DUG Truva atlarýnýn Banbra ailesine
aittir. Bu Truva atlarý 2006 yýlý süresince en çok tespit edilenler olup
belirli on-line bankacýlýk hizmetleri için müþteri bilgilerini çalmak üzere
tasarlanmýþ durumda. Banbra.DUG
kullanýcýlarýn belirli on-line bankacýlýk hizmetlerine eriþimini gözlüyor.
Bu olduðunda, kullanýcýlarýn banka hesap numaralarý veya þifre gibi giriþ
bilgilerini girmek zorunda olduklarý ve gerçeðine çok yakýn hileli bir web
sayfasýný görüntüye getiriyor. Banbra.DUG
bilgiyi saklýyor ve daha sonra bunu etkilenen kullanýcýnýn parasýný çalmak
için kullanacak olan yaratýcýsýna e-posta ile gönderiyor. Bütün Truva
atlarýnda olduðu gibi, Banbra.DUG
kendiliðinden bulaþmýyor, ancak bilgisayarlara ulaþmak için kullanýcýnýn
e-postalarý açmak veya dosya indirmek gibi belirli eylemleri yapmak üzere
müdahalesine ihtiyaç duyuyor.
Bu
haftanýn raporunda yer alan ikinci Truva atý Cimuz.CS olarak karþýmýza çýkýyor. Bir önceki Truva atý
gibi, Cimuz.CS de, yalnýz
bankacýlýk bilgilerini deðil, ama kullanýcýlarýn bir Web formuna girdikleri
bütün bilgileri çalmak için Web trafiðini gözlüyor. Bulaþtýðý bilgisayardan
IP adresleri, ülke, sistem ID, anasistem, vb. gibi verileri çalmak ve bunlarý
info.txt adlý bir dosyada
saklamak için tasarlanmýþ. Elde ettiði bütün bilgileri bunlardan yararlanacak
yaratýcýsýna dönemsel olarak gönderiyor.
Tekrarlamak
gerekirse, bu iki Truva atý siber-suçlularýn eylemlerinin arkasýndaki esas
güdünün maddi kazanç olduðunu ve Truva atlarýnýn en çok kullandýklarý
araçlardan birisi olduðunu gösteriyor.
Atnas.A tehlikeli ve garip bir
solucandýr. Tehlikesi, belirli web sitelerine daðýtýlmýþ hizmet reddi (DDoS)
saldýrýsýna neden olmak üzere tasarlanmýþ olmasýndan doðmaktadýr. Bu DDoS
saldýrýlarý bir sunucuya veya sisteme ayný anda saldýrýp kullanýlabilir bant
geniþliðini tamamen kullanan ve böylece hizmetleri engelleyen çeþitli
sistemlerden oluþuyor. Bu solucan, ayný zamanda çeþitli güvenlik programlarý
ve P2P klasörlerine ait dosyalarý kendisine ait ve orijinal dosya ile ayný
adý verdiði bir dosya ile deðiþtirerek bunlarýn orijinal uzantýlarýný
deðiþtiriyor. Atnas.A kendisini
paylaþýlan klasörlerdeki P2P aðlarýna iliþkin adlara (emule, Kazaa, …
gibi) sahip yasal programlarýn adý ile kopyalama yoluyla bulaþýyor. Bu
þekilde, eðer bir ad kullanýcýlarýn indirmek istedikleri bir þey ile
çakýþýrsa, aslýnda solucaný indirmiþ oluyorlar.
Atnas.A ayrýca Windows Registry’de
bir anahtar yaratýyor ve Windows her baþlatýldýðýnda o da çalýþtýrýlýyor. Bu
solucanýn garip özelliði, ilk çalýþtýrýldýðýnda bir hata mesajý vermesi,
fakat daha sonra harflerden oluþan çýplak bir kadýn görüntüsü oluþturmasýdýr.
Bu mesajlar kullanýcýlarýn bilgisayarlarýna bu virüsün bulaþtýðýný
tanýmlamalarý açýsýndan yararlý olabilir.
Daha fazla bilgi için lütfen http://www.pandasoftware.com/virus_info/
adresini ziyaret ediniz.
| |
yorumlar okumak veya yorum yazmak iin tklayn..
14-12-2006 Tanýmlanmamýþ Trojan Loader
Rastlanma Tarihi: 14-12-2006
Ýlk Çözümleme Tarihi: 14-12-2006
Çözümleme Durumu: Ýlk çözümleme safhasý
Yayýlma yöntemi:
Zararlý dosya kariyer.net'ten gelen sahte bir email yoluya yayýlmaktadýr.
Yakalanan örnek sahte e-mail; "nur_karayel@kariyer.net" adresi ve "selam"
subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna baðlý
88.233.33.192 ip'si ile gonderilmiþtir.
Mail içeriði de þu þekildedir:
"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..
NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)
iyi calismalar dilegiyle.
Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."
Ýlgili resime týklanýldýðýnda,
"www.freewebtown.com/nurkarayel/cv-resimlerim.zip" adresinden dosya
indirme iþlemi yapýlmakta, indirilen zip dosyasý içerisinde, kendini
açan-çalýþtýrýlabilir (self decompress-executable) dosya görüntüsündeki
cv.exe dosyasý bulunmaktadýr.
cv.exe dosyasý bir antivirus
yazýlýmlarýnýn halen tanýmlayamadýðý bir trojan loader olarak
çalýþmakta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak
tanýmlanan bir dosyayý yüklemektedir.
smss.exe dosyasý keylogger, screen capturer, spyware-trojan loader olarak çalýþmaktadýr.
Ýlk çözümleme:
Cv.exe dosyasý Borland Delphi ile yazýlmýþ ve içerisine yine Borland
Deplhi ile yazýlmýþ smss.exe ve Bitlogic Software firmasý tarafýndan
eðitim amaçlý açýk kaynak kodlu olarak daðýtýlan MouseHook.dll
dosyalarý gizlenmiþtir. Dosya ilk kez çalýþtýrýldýðýnda,
"HKEY_LOCAL_MACHINE\Software" registry key'i altýna "cupra" Key'i ve bu
key'in de altýna "checker" key'ini oluþturmakta ve deðerini de 1 olarak
belirlemektedir. Hemen sonrasýnda, smss.exe ve mousehook.dll
dosyalarýný "c:\windows\driver cache\Winapp\AppData\" klasörü altýna
kopyalamaya çalýþmakta ve kopyalama iþlemi biter bitmez smss.exe'yi
çalýþtýrmaktadýr.
cv.exe dosyasý smss.exe'yi çalýþtýrdýktan hemen sonra
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
registry key'i içerisine "Winloader" isimli key'i oluþturarak deðerini
de "C:\WINDOWS\Driver Cache\Winapp\AppData\smss.exe" olarak
berlirlemektedir.
smss.exe dosyasý tüm tuþ basýmlarýný ve internet explorer üzerindeki
mouse'un sol butonuna basýlma iþlemlerini takip etmektedir.
Bulaþmasýnýn anlaþýlmasý:
- Registry üzerinde oluþturulan kayýtlar izlenerek:
- Dosya sistemi üzerinde oluþturulan dosyalar izlenerek.
Manuel Temizlenmesi
smss.exe isimli windows iþletim sisteminin "Session Manager Subsystem"
olarak adlandýrýlan bir parçasý da vardýr ve bu parça kapatýlmamalýdýr.
Ancak zararlý yazýlým olan smss.exe'si ile kullandýðý bellek miktarý
ile ayrýlabilir. "Session Manager Subsystem" olan smss.exe dosyasý
genellikle 100-300 KB civarýnda hafýza kullanýrken zararlý yazýlým olan
smss.exe çalýþma zamanýna baðlý olarak çok daha fazla miktarda bellek
kullanmaktadýr.
Ancak smss.exe ile oluþturulan iþlem
(process) task manager üzerinden kapatýlamamaktadýr. Bu nedenle
temizlemek için öncelikle registry'deki
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
içerisindeki smss.exe deðerli key silinmelidir. Yakalanan örnekte bu
key daima "Winloader" ismindedir.
Daha sonra windows restart
edilmeli; ve "c:\windows\driver cache\Winapp\AppData\" klasörü
altýndaki "smss.exe", "MouseHook.dll", varsa "ioerrors.txt", ve "img"
klasörü silinmelidir.
Kaynak :
©2005-2005 SRLABS
| |
yorumlar okumak veya yorum yazmak iin tklayn..