İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

| Sosyal Medya Virüsleri |

17-08-2014 15:02
#1
cor-vo - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Mesajlar:
8.047
Teşekkür (Etti):
4149
Teşekkür (Aldı):
2323
Konular:
2193
Ticaret:
(0) %

Sosyal media hesaplarından facebook, youtube, twitter gibi vb yerlerde beğeni arttırma, izlenme arttırma, takipçi arttırma adı altında sistemlerinize bulaşan bir zararlı hakkında sizleri bilgilendirmek adına tekrar buluşuyoruz. Zararlı ismi şimdilik saydığım isimlerde yada vb. isimlerde sizlere ulaşıyor. Akabinde sizlere Java güncellemesi adı altında zararlıyı indirtip sisteminize bulaştırıyorlar.

Bizde bu yazılım nasıl çalışıyormuş dedik ve hemen analizine koyulduk. Analiz yaptığımız dosya "Pitohx" nikli arkadaşımızın paylaştığı dosyadır. Başka analiz etmek isteyen olursa konuya >>> BURADAN <<< ulaşabilirler.



Zararlı yazılımı indirdik ve sistemimizde çalıştırdık. Bunu yapmadan önce tam sistem logu aldık ve zararlı sisteme inject olduktan sonra tekrar tam sistem logu aldık ve aldığımız logları sistem bazında değerlendirdik.

Bu gördüğünüz resimde sisteme inject olan zararlının "Default Connection Settings" "Saved Legacy Settings" "Wpad Decsaon Time" gibi kayıt değerlerini değiştirip yerine kendi değerlerini yazdığını görüyoruz. Kırmızılar değişen değerler, yeşiller yeni yazılanlardır.

Buradaki amaç zararlının ilerleyen zamanlarda stabil olarak çalışabilmesi ve işletim sistemi servislerini kullanarak görevini yerine getirmesinin yanında sizin hesaplarınızdan binlerce kullanıcıya bu zararlının ulaşmadır.



İlk resimdeki işlemlerin hemen arkasından zararlının kendini "JavaUpdate(32)" olarak başlangıca yazdığını görüyorsunuz.



Bu alanda ise sistem ayarlarının yeni ayarlarla değiştiğini, bundan sonraki sistemin işleyişinde ayarların değişkene göre olacağını "Mod" altındaki old ve new değerlerinden anlayabiliyoruz.



Bu aşamada ise zararlının otamatik çalışacak şekilde sisteme yerleştiğini, "C:\\JavaUpdate(32)" olarak C disk içinden devam ettiğini görüyoruz. Akabinde multi media sınıf zamanlayıcı olarak aktif durumda olan svchost.exe yi pasife alıp yeni değerlerle kendini yine svchost.exe olarak aktif etmesi gözümüzden kaçmıyor. Ben hep merak etmişimdir bunları bir zararlının nasıl yaptığını Bakın nasıl yapıyormuş bu yetkiyi nasıl alıyormuş.



Evet arkadaşlar resimdende anlayacağınız üzere yazılım sistemde belirsiz bir hesap üzerinden okuma,yazma ve tamamen bitirme gibi işlemlerde izin sahibi oluyor.



Bu aşamada ise "JavaUpdate(32)" isimli zararlının process altında aktif durumda olduğunu vede windows api’lerini kullandığını görüyoruz. Tamamen sisteme hakim durumda kaynaşmış ve işine bakıyor


*


Bu aşamada ise explorer.exe altında zararlının atif olduğunu farklı bir açıdan görüntülüyoruz. Network kısmında ise farklı local portlardan uzak adrese bağlantıya geçtiğini görmekteyiz.



Son aşamada ise whois bilgilerini görmektesiniz. Zararlıyı silmek içinde process hacker yazılımını kullanarak process sekmesi altındaki explorer altından dosya üzerine sağ tıklayıp properties yapıp oradanda general sekmesinden terminate yapabilirsiniz. Daha sonra sizlere verdiğim dosya konumundaki C:\\JavaUpdate(32) dosyasını elinizle silip >>> BURADAKİ <<< konumdan yararlanabilirsiniz. Aslında zararlıyı suspend edip memory bellekteki dökümünü çıkartıp daha hassas bir analiz yapıp daha çok bilgiye ulaşacaktım ama bizim işimiz bilgi mahiyetinde olduğu için daha fazla detaya girmedim. Umarım yararlı olur, daha dikkatli olmanız dileğimle.
Kullanıcı İmzası
cor-vo | corvo9394
TogoLegend, furqanx42 Teşekkür etti.

18-08-2014 00:10
#2
furqanx42 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2013
Yaş:
22
Mesajlar:
2.164
Teşekkür (Etti):
550
Teşekkür (Aldı):
353
Konular:
222
Ticaret:
(0) %
eyvallah
Kullanıcı İmzası
Uzakta...

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı