THT DUYURU

chat
Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

ugursuz reklam
takipci
Seçenekler

| Sosyal Medya Virüsleri |

cor-vo - ait Kullanıcı Resmi (Avatar)
Hevesli Üye
Üyelik tarihi:
07/2013
Mesajlar:
7.988
Konular:
2192
Teşekkür (Etti):
4099
Teşekkür (Aldı):
2312
Ticaret:
(0) %
1
1138
17-08-2014 15:02
#1

Sosyal media hesaplarından facebook, youtube, twitter gibi vb yerlerde beğeni arttırma, izlenme arttırma, takipçi arttırma adı altında sistemlerinize bulaşan bir zararlı hakkında sizleri bilgilendirmek adına tekrar buluşuyoruz. Zararlı ismi şimdilik saydığım isimlerde yada vb. isimlerde sizlere ulaşıyor. Akabinde sizlere Java güncellemesi adı altında zararlıyı indirtip sisteminize bulaştırıyorlar.

Bizde bu yazılım nasıl çalışıyormuş dedik ve hemen analizine koyulduk. Analiz yaptığımız dosya "Pitohx" nikli arkadaşımızın paylaştığı dosyadır. Başka analiz etmek isteyen olursa konuya >>> BURADAN <<< ulaşabilirler.



Zararlı yazılımı indirdik ve sistemimizde çalıştırdık. Bunu yapmadan önce tam sistem logu aldık ve zararlı sisteme inject olduktan sonra tekrar tam sistem logu aldık ve aldığımız logları sistem bazında değerlendirdik.

Bu gördüğünüz resimde sisteme inject olan zararlının "Default Connection Settings" "Saved Legacy Settings" "Wpad Decsaon Time" gibi kayıt değerlerini değiştirip yerine kendi değerlerini yazdığını görüyoruz. Kırmızılar değişen değerler, yeşiller yeni yazılanlardır.

Buradaki amaç zararlının ilerleyen zamanlarda stabil olarak çalışabilmesi ve işletim sistemi servislerini kullanarak görevini yerine getirmesinin yanında sizin hesaplarınızdan binlerce kullanıcıya bu zararlının ulaşmadır.



İlk resimdeki işlemlerin hemen arkasından zararlının kendini "JavaUpdate(32)" olarak başlangıca yazdığını görüyorsunuz.



Bu alanda ise sistem ayarlarının yeni ayarlarla değiştiğini, bundan sonraki sistemin işleyişinde ayarların değişkene göre olacağını "Mod" altındaki old ve new değerlerinden anlayabiliyoruz.



Bu aşamada ise zararlının otamatik çalışacak şekilde sisteme yerleştiğini, "C:\\JavaUpdate(32)" olarak C disk içinden devam ettiğini görüyoruz. Akabinde multi media sınıf zamanlayıcı olarak aktif durumda olan svchost.exe yi pasife alıp yeni değerlerle kendini yine svchost.exe olarak aktif etmesi gözümüzden kaçmıyor. Ben hep merak etmişimdir bunları bir zararlının nasıl yaptığını Bakın nasıl yapıyormuş bu yetkiyi nasıl alıyormuş.



Evet arkadaşlar resimdende anlayacağınız üzere yazılım sistemde belirsiz bir hesap üzerinden okuma,yazma ve tamamen bitirme gibi işlemlerde izin sahibi oluyor.



Bu aşamada ise "JavaUpdate(32)" isimli zararlının process altında aktif durumda olduğunu vede windows api’lerini kullandığını görüyoruz. Tamamen sisteme hakim durumda kaynaşmış ve işine bakıyor


*


Bu aşamada ise explorer.exe altında zararlının atif olduğunu farklı bir açıdan görüntülüyoruz. Network kısmında ise farklı local portlardan uzak adrese bağlantıya geçtiğini görmekteyiz.



Son aşamada ise whois bilgilerini görmektesiniz. Zararlıyı silmek içinde process hacker yazılımını kullanarak process sekmesi altındaki explorer altından dosya üzerine sağ tıklayıp properties yapıp oradanda general sekmesinden terminate yapabilirsiniz. Daha sonra sizlere verdiğim dosya konumundaki C:\\JavaUpdate(32) dosyasını elinizle silip >>> BURADAKİ <<< konumdan yararlanabilirsiniz. Aslında zararlıyı suspend edip memory bellekteki dökümünü çıkartıp daha hassas bir analiz yapıp daha çok bilgiye ulaşacaktım ama bizim işimiz bilgi mahiyetinde olduğu için daha fazla detaya girmedim. Umarım yararlı olur, daha dikkatli olmanız dileğimle.
---------------------
cor-vo | corvo9394
TogoLegend, furqanx42 Teşekkür etti.
furqanx42 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2013
Yaş:
24
Mesajlar:
2.151
Konular:
222
Teşekkür (Etti):
545
Teşekkür (Aldı):
354
Ticaret:
(0) %
18-08-2014 00:10
#2
eyvallah
--------------------- Uzakta...

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler