1'ler 0'lar ve Ben'ler

GÃ¼venlik Panda Software haftalÃ½k VirÃ¼s raporunu aÃ§Ã½kladÃ½… | Kategori: GÃ¼venlik
Yazılma: 15.02.2007 | Okunma: 1045 | Yorumlanma: 0
Bu haftanÃ½n raporu Cimuz.Cs ve Banbra.DUG Truva atlarÃ½ ve Atnas.A solucanÃ½ Ã¼zerinde odaklanmÃ½Ã¾ durumda. Bu Ã¼Ã§ Ã¶rnek, Ã¶zellikle kullanÃ½cÃ½ gizliliÃ°ini ciddi olarak tehlikeye dÃ¼Ã¾Ã¼ren ve hatta mali durumlarÃ½nÃ½ etkileyen bir bankacÃ½lÃ½k Truva atÃ½ olan Banbra.DUG bir hayli tehlikeli gÃ¶zÃ¼kÃ¼yor.

| | yorumları okumak veya yorum yazmak için tıklayın..

Banbra.DUG Truva atlarÃ½nÃ½n Banbra ailesine aittir. Bu Truva atlarÃ½ 2006 yÃ½lÃ½ sÃ¼resince en Ã§ok tespit edilenler olup belirli on-line bankacÃ½lÃ½k hizmetleri iÃ§in mÃ¼Ã¾teri bilgilerini Ã§almak Ã¼zere tasarlanmÃ½Ã¾ durumda. Banbra.DUG kullanÃ½cÃ½larÃ½n belirli on-line bankacÃ½lÃ½k hizmetlerine eriÃ¾imini gÃ¶zlÃ¼yor. Bu olduÃ°unda, kullanÃ½cÃ½larÃ½n banka hesap numaralarÃ½ veya Ã¾ifre gibi giriÃ¾ bilgilerini girmek zorunda olduklarÃ½ ve gerÃ§eÃ°ine Ã§ok yakÃ½n hileli bir web sayfasÃ½nÃ½ gÃ¶rÃ¼ntÃ¼ye getiriyor. Banbra.DUG bilgiyi saklÃ½yor ve daha sonra bunu etkilenen kullanÃ½cÃ½nÃ½n parasÃ½nÃ½ Ã§almak iÃ§in kullanacak olan yaratÃ½cÃ½sÃ½na e-posta ile gÃ¶nderiyor. BÃ¼tÃ¼n Truva atlarÃ½nda olduÃ°u gibi, Banbra.DUG kendiliÃ°inden bulaÃ¾mÃ½yor, ancak bilgisayarlara ulaÃ¾mak iÃ§in kullanÃ½cÃ½nÃ½n e-postalarÃ½ aÃ§mak veya dosya indirmek gibi belirli eylemleri yapmak Ã¼zere mÃ¼dahalesine ihtiyaÃ§ duyuyor.

Bu haftanÃ½n raporunda yer alan ikinci Truva atÃ½ Cimuz.CS olarak karÃ¾Ã½mÃ½za Ã§Ã½kÃ½yor. Bir Ã¶nceki Truva atÃ½ gibi, Cimuz.CS de, yalnÃ½z bankacÃ½lÃ½k bilgilerini deÃ°il, ama kullanÃ½cÃ½larÃ½n bir Web formuna girdikleri bÃ¼tÃ¼n bilgileri Ã§almak iÃ§in Web trafiÃ°ini gÃ¶zlÃ¼yor. BulaÃ¾tÃ½Ã°Ã½ bilgisayardan IP adresleri, Ã¼lke, sistem ID, anasistem, vb. gibi verileri Ã§almak ve bunlarÃ½ info.txt adlÃ½ bir dosyada saklamak iÃ§in tasarlanmÃ½Ã¾. Elde ettiÃ°i bÃ¼tÃ¼n bilgileri bunlardan yararlanacak yaratÃ½cÃ½sÃ½na dÃ¶nemsel olarak gÃ¶nderiyor.

Tekrarlamak gerekirse, bu iki Truva atÃ½ siber-suÃ§lularÃ½n eylemlerinin arkasÃ½ndaki esas gÃ¼dÃ¼nÃ¼n maddi kazanÃ§ olduÃ°unu ve Truva atlarÃ½nÃ½n en Ã§ok kullandÃ½klarÃ½ araÃ§lardan birisi olduÃ°unu gÃ¶steriyor.

Atnas.A tehlikeli ve garip bir solucandÃ½r. Tehlikesi, belirli web sitelerine daÃ°Ã½tÃ½lmÃ½Ã¾ hizmet reddi (DDoS) saldÃ½rÃ½sÃ½na neden olmak Ã¼zere tasarlanmÃ½Ã¾ olmasÃ½ndan doÃ°maktadÃ½r. Bu DDoS saldÃ½rÃ½larÃ½ bir sunucuya veya sisteme aynÃ½ anda saldÃ½rÃ½p kullanÃ½labilir bant geniÃ¾liÃ°ini tamamen kullanan ve bÃ¶ylece hizmetleri engelleyen Ã§eÃ¾itli sistemlerden oluÃ¾uyor. Bu solucan, aynÃ½ zamanda Ã§eÃ¾itli gÃ¼venlik programlarÃ½ ve P2P klasÃ¶rlerine ait dosyalarÃ½ kendisine ait ve orijinal dosya ile aynÃ½ adÃ½ verdiÃ°i bir dosya ile deÃ°iÃ¾tirerek bunlarÃ½n orijinal uzantÃ½larÃ½nÃ½ deÃ°iÃ¾tiriyor. Atnas.A kendisini paylaÃ¾Ã½lan klasÃ¶rlerdeki P2P aÃ°larÃ½na iliÃ¾kin adlara (emule, Kazaa, … gibi) sahip yasal programlarÃ½n adÃ½ ile kopyalama yoluyla bulaÃ¾Ã½yor. Bu Ã¾ekilde, eÃ°er bir ad kullanÃ½cÃ½larÃ½n indirmek istedikleri bir Ã¾ey ile Ã§akÃ½Ã¾Ã½rsa, aslÃ½nda solucanÃ½ indirmiÃ¾ oluyorlar.

Atnas.A ayrÃ½ca Windows Registry’de bir anahtar yaratÃ½yor ve Windows her baÃ¾latÃ½ldÃ½Ã°Ã½nda o da Ã§alÃ½Ã¾tÃ½rÃ½lÃ½yor. Bu solucanÃ½n garip Ã¶zelliÃ°i, ilk Ã§alÃ½Ã¾tÃ½rÃ½ldÃ½Ã°Ã½nda bir hata mesajÃ½ vermesi, fakat daha sonra harflerden oluÃ¾an Ã§Ã½plak bir kadÃ½n gÃ¶rÃ¼ntÃ¼sÃ¼ oluÃ¾turmasÃ½dÃ½r. Bu mesajlar kullanÃ½cÃ½larÃ½n bilgisayarlarÃ½na bu virÃ¼sÃ¼n bulaÃ¾tÃ½Ã°Ã½nÃ½ tanÃ½mlamalarÃ½ aÃ§Ã½sÃ½ndan yararlÃ½ olabilir.

Daha fazla bilgi iÃ§in lÃ¼tfen http://www.pandasoftware.com/virus_info/ adresini ziyaret ediniz.
| | yorumları okumak veya yorum yazmak için tıklayın..

Virus sildim makinamdan! | Kategori: GÃ¼venlik
Yazılma: 07.02.2007 | Okunma: 2505 | Yorumlanma: 0
Virus demekte Ã§ok doÃ°ru deÃ°il, henÃ¼z tanÃ½mlanmamÃ½Ã¾ bir "trojen loader"mÃ½Ã¾ kendileri.
BirkaÃ§ haftadÃ½r makinamdaki yavaÃ¾lÃ½k ve XP'yi kapatmak istediÃ°im zaman smss.exe sonlandÃ½rÃ½lamÃ½yor uyarÃ½sÃ½ yÃ¼zÃ¼nden kÃ¼Ã§Ã¼k bir araÃ¾tÃ½rma yaptÃ½m ve bu smss.exe'nin aslÃ½nda bir trojen olduÃ°unu Ã¶Ã°renir Ã¶Ã°renmez vurdum kellesini.
Ãbret olsun diyede sallandÃ½rÃ½yorum burda naciz gÃ¶vdesini.

Tavsiyem makinanÃ½zÃ½ bir kontrol edin ve Task Manager'inizde Ã§alÃ½Ã¾Ã½yor gÃ¶zÃ¼ken ikitane smss.exe varsa yazÃ½nÃ½n devamÃ½ndaki Ã§Ã¶zÃ¼mÃ¼ uygulayÃ½n. Fakat unutmayÃ½n biri orjinal ve Ã§alÃ½Ã¾masÃ½ gereken bir windows uygulamasÃ½ ki bu hafÃ½zada 300K civarÃ½nda yer tutuyor diÃ°eri trojen ki buda 7500K civarÃ½nda yer iÃ¾gal ediyor.
Herkeze kolay gelsin, virÃ¼ssÃ¼z ve trojensiz gÃ¼nler dilerim.

| | yorumları okumak veya yorum yazmak için tıklayın..

14-12-2006 TanÃ½mlanmamÃ½Ã¾ Trojan Loader

Rastlanma Tarihi: 14-12-2006

Ãlk Ã‡Ã¶zÃ¼mleme Tarihi: 14-12-2006

Ã‡Ã¶zÃ¼mleme Durumu: Ãlk Ã§Ã¶zÃ¼mleme safhasÃ½

YayÃ½lma yÃ¶ntemi:
ZararlÃ½ dosya kariyer.net'ten gelen sahte bir email yoluya yayÃ½lmaktadÃ½r. Yakalanan Ã¶rnek sahte e-mail; "nur_karayel@kariyer.net" adresi ve "selam" subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna baÃ°lÃ½ 88.233.33.192 ip'si ile gonderilmiÃ¾tir.

Mail iÃ§eriÃ°i de Ã¾u Ã¾ekildedir:

"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..

NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)

iyi calismalar dilegiyle.

Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."

Ãlgili resime tÃ½klanÃ½ldÃ½Ã°Ã½nda, "www.freewebtown.com/nurkarayel/cv-resimlerim.zip" adresinden dosya indirme iÃ¾lemi yapÃ½lmakta, indirilen zip dosyasÃ½ iÃ§erisinde, kendini aÃ§an-Ã§alÃ½Ã¾tÃ½rÃ½labilir (self decompress-executable) dosya gÃ¶rÃ¼ntÃ¼sÃ¼ndeki cv.exe dosyasÃ½ bulunmaktadÃ½r.

cv.exe dosyasÃ½ bir antivirus yazÃ½lÃ½mlarÃ½nÃ½n halen tanÃ½mlayamadÃ½Ã°Ã½ bir trojan loader olarak Ã§alÃ½Ã¾makta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak tanÃ½mlanan bir dosyayÃ½ yÃ¼klemektedir.

smss.exe dosyasÃ½ keylogger, screen capturer, spyware-trojan loader olarak Ã§alÃ½Ã¾maktadÃ½r.

Ãlk Ã§Ã¶zÃ¼mleme:
Cv.exe dosyasÃ½ Borland Delphi ile yazÃ½lmÃ½Ã¾ ve iÃ§erisine yine Borland Deplhi ile yazÃ½lmÃ½Ã¾ smss.exe ve Bitlogic Software firmasÃ½ tarafÃ½ndan eÃ°itim amaÃ§lÃ½ aÃ§Ã½k kaynak kodlu olarak daÃ°Ã½tÃ½lan MouseHook.dll dosyalarÃ½ gizlenmiÃ¾tir. Dosya ilk kez Ã§alÃ½Ã¾tÃ½rÃ½ldÃ½Ã°Ã½nda, "HKEY_LOCAL_MACHINE\Software" registry key'i altÃ½na "cupra" Key'i ve bu key'in de altÃ½na "checker" key'ini oluÃ¾turmakta ve deÃ°erini de 1 olarak belirlemektedir. Hemen sonrasÃ½nda, smss.exe ve mousehook.dll dosyalarÃ½nÃ½ "c:\windows\driver cache\Winapp\AppData\" klasÃ¶rÃ¼ altÃ½na kopyalamaya Ã§alÃ½Ã¾makta ve kopyalama iÃ¾lemi biter bitmez smss.exe'yi Ã§alÃ½Ã¾tÃ½rmaktadÃ½r.

cv.exe dosyasÃ½ smss.exe'yi Ã§alÃ½Ã¾tÃ½rdÃ½ktan hemen sonra "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" registry key'i iÃ§erisine "Winloader" isimli key'i oluÃ¾turarak deÃ°erini de "C:\WINDOWS\Driver Cache\Winapp\AppData\smss.exe" olarak berlirlemektedir.

smss.exe dosyasÃ½ tÃ¼m tuÃ¾ basÃ½mlarÃ½nÃ½ ve internet explorer Ã¼zerindeki mouse'un sol butonuna basÃ½lma iÃ¾lemlerini takip etmektedir.

BulaÃ¾masÃ½nÃ½n anlaÃ¾Ã½lmasÃ½:
- Registry Ã¼zerinde oluÃ¾turulan kayÃ½tlar izlenerek:
- Dosya sistemi Ã¼zerinde oluÃ¾turulan dosyalar izlenerek.

Manuel Temizlenmesi
smss.exe isimli windows iÃ¾letim sisteminin "Session Manager Subsystem" olarak adlandÃ½rÃ½lan bir parÃ§asÃ½ da vardÃ½r ve bu parÃ§a kapatÃ½lmamalÃ½dÃ½r. Ancak zararlÃ½ yazÃ½lÃ½m olan smss.exe'si ile kullandÃ½Ã°Ã½ bellek miktarÃ½ ile ayrÃ½labilir. "Session Manager Subsystem" olan smss.exe dosyasÃ½ genellikle 100-300 KB civarÃ½nda hafÃ½za kullanÃ½rken zararlÃ½ yazÃ½lÃ½m olan smss.exe Ã§alÃ½Ã¾ma zamanÃ½na baÃ°lÃ½ olarak Ã§ok daha fazla miktarda bellek kullanmaktadÃ½r.
Ancak smss.exe ile oluÃ¾turulan iÃ¾lem (process) task manager Ã¼zerinden kapatÃ½lamamaktadÃ½r. Bu nedenle temizlemek iÃ§in Ã¶ncelikle registry'deki "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" iÃ§erisindeki smss.exe deÃ°erli key silinmelidir. Yakalanan Ã¶rnekte bu key daima "Winloader" ismindedir.
Daha sonra windows restart edilmeli; ve "c:\windows\driver cache\Winapp\AppData\" klasÃ¶rÃ¼ altÃ½ndaki "smss.exe", "MouseHook.dll", varsa "ioerrors.txt", ve "img" klasÃ¶rÃ¼ silinmelidir.

Kaynak : Â©2005-2005 SRLABS
| | yorumları okumak veya yorum yazmak için tıklayın..

Gizli bilgilerin Ã§alÃ½nmasÃ½ | Kategori: GÃ¼venlik
Yazılma: 08.01.2007 | Okunma: 1163 | Yorumlanma: 0
Gizli bilgilerin Ã§alÃ½nmasÃ½ ve aÃ° iÃ§erisinden yapÃ½lan saldÃ½rÃ½lar nedeniyle Ã¾irketlerin gÃ¶rdÃ¼Ã°Ã¼ zarar artÃ½yor…

Deloitte’in 2006 Global GÃ¼venlik Anketine gÃ¶re Ã¾irketlerin yÃ¼zde 49'u 2005 yÃ½lÃ½nda Ã§eÃ¾itli tÃ¼rde gÃ¼venlik sorunlarÃ½na maruz kalmÃ½Ã¾tÃ½r. BunlarÃ½n arasÃ½nda yÃ¼zde 31'i zararlÃ½ kodlardan etkilenmiÃ¾tir. Ancak, en Ã¶nemli bilgi ise yÃ¼zde 28'inin aÃ° iÃ§erisinden saldÃ½rÃ½ giriÃ¾imi gÃ¶zlemlemesi ve yÃ¼zde 18'inin de verilerinin aÃ° iÃ§erisinden Ã§alÃ½nmÃ½Ã¾ olmasÃ½dÃ½r.

| | yorumları okumak veya yorum yazmak için tıklayın..

GÃ¼venlik (3)
Lagara Lugara (15)
Pardus (2)
Programlama (13)
Sokak YarÃ½Ã¾larÃ½ (2)

Rapid Roll Extra (5905)
MySQL, Delphi ve Zeos BileÃ¾enleri (3242)
FARK EDÃLMEYEN EFSANE DÃL “OBJECT PASCAL” (2830)
Rubik (Zeka) KÃ¼pÃ¼ (2697)
1161 Adet .DLLl DosyasÃ½nÃ½n AÃ§Ã½klamasÃ½ (2616)
Virus sildim makinamdan! (2505)
Sokak YarÃ½Ã¾larÃ½ Projesi 0.3 (2420)
Cepte Blog (2314)
DoÃ°um GÃ¼nÃ¼m (2257)
IBM developerWorks (2241)

DiÃ°er yarÃ½m...
Free Pascal Lazarus Project
Pardus
RSS DesteÃ°i