THT DUYURU

chat
Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

ugursuz reklam
takipci
Seçenekler

Flame Virüsünün Detayları

quespy - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2014
Nereden:
Bursa
Mesajlar:
2.268
Konular:
278
Teşekkür (Etti):
731
Teşekkür (Aldı):
454
Ticaret:
(0) %
0
613
02-09-2014 15:50
#1
Flame neler yapıyor?

Flame, casusluk faaliyetlerini sürdürebilmek amacıyla, klavye, USB bağlantılar, işlemci, mikrofon, depolama aygıtları, Wi-Fi, monitör, Bluetooth gibi bir çok donanımı kullanabilecek kapasiteye sahiptir. Sızdığı bilgisayarlarda kendini belli etmemek için 5 ayrı şifreleme algoritması ile kendini kriptolayarak gizleyebilen Flame, casusluk işlemlerini arka planda yapabilmektedir


Bir sisteme bulaştıktan sonra, ağ trafiğini dinleyip, ekran görüntülerini çekip, klavyede yazılanları loglayıp, mikrofon ile konuşmaları kaydeder. Flame içerisinde SqlLite3 veritabanı kullanılmış, topladığı bu bilgileri kendi veritabanında kriptolanmış bir yöntem ile sakladıktan sonra çeşitli zamanlarda gizli SSL kanallarından Flame sunucularına göndermektedir. Bu işlemlerde Flame, XMPP (Jabber) protokolünü kullanır. XMPP protokolünün en büyük özelliği, eş zamanlı aktarımlara olanak sağlayan bir protokoldür. XMPP protokolünün kullanılmasındaki asıl neden ise, bu protokolün eş zamanlı olarak metin, ses ve görüntüyü XMPP sunucularına iletebilmesidir. Flame’in yapabildiği saldırı türevleri Resim-01’deki gibidir.

Flame, Stuxnet’te olduğu gibi Autorun dosyaları üzerinden de yayılabilmektedir. Autorun üzerindeki saldırı iki kısımdan meydana gelmektedir. Bunlar “Autorun Infector” ve “Euphoria” yöntemleridir.

Autorun Infector yöntemi ile virüs depolama cihazlarında Autorun.inf dosyasını oluşturur. Böylece “shell32.dll” dosyasına kendini bulaştırarak yayılmaya çalışır.

Euphoria yöntemi ile de virüs, depolama aygıtına bir “kısa yol” dosyası (.LNK) yükler. Daha sonra bu kısa yol dosyası üzerinden depolama aygıtının takıldığı cihazlara kendini kopyalar.

Yerel ağlarda, MS10-061 güvenlik zafiyetinden faydalanarak, bir MOF dosyası kullanıp WMI (Windows Management Instrumentation – Windows Yönetim Araçları) araçlarına erişir.

Flame eğer etki alanı denetleyicilerinden yetkili bir kullanıcı hesabına ait bir bilgisayara bulaşmış ise, ağ içindeki tüm bilgisayarlara kendini kopyalar. Bulaştığı bu ağ bilgisayarlarına bir arkakapı (backdoor) oluşturarak çalışmasına devam etmektedir.
---------------------
Merak edilecek bir yanimiz yok siradan biriyiz bahsedilecek kadar özel bahsi edilmeyecek kadar eskiyiz

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler