Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Trojan ve Virüsler

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.





Ramnit Analizi(Malware)

Trojan ve Virüsler

Yeni Konu aç Cevapla
 
Seçenekler
Alt 18-07-2013 11:41   #1
  • Özel Üye
  • Üye Bilgileri
Üyelik tarihi
08/2012
Nereden
Bakü
Yaş
26
Mesajlar
Konular

Teşekkür (Etti): 1199
Teşekkür (Aldı): 1248


Ramnit Analizi(Malware)



Merhaba,
Eski bir malware ama sanırım güncellenip tekrardan dağılmaya başlandı, çünkü 2013 şubat ayında tüm dünyada en yüksek karşılaşılan tehditler sıralamasında Win32/Ramnit, yeniden listeye girerek yüzde 1.74lik oran ile 6. sıraya yerleşti, biz de inceleyelim dedik.

Bu malware, e-postalar, oyunlar veya korsan yazılımlar aracılığı ile bilgisayara bulaşıp kullanıcıdan habersiz dosya indirebiliyor ve uzaktan kontrol edilerek, ekran görüntüsünü suçlulara iletebiliyor.

Bizim karşılaştığımız malwarede dosya bilgileri şu şekilde:

Filename: WinRAR.exe
MD5: 122a92c9deba72ee3c33e4a927ec531d
SHA-1: 3635bf9a627d3b91fb156ca35c33c640dc1153e1
File Size: 1263104 Bytes
Command Line: "C:\\WinRAR.exe"

Bu dosyayı çalıştırdığınızda karşınıza normal bir rar dosyası gelse de yaptığı işlemler normal değil.
Her zararlının yaptığı gibi kayıt defterinde bazı işlemler yapıyor.

C:\\********s and Settings\\Administrator\\Application Data\\WinRAR
C:\\********s and Settings\\Administrator\\Application Data\\WinRAR\\version.dat
C:\\WinRARSrv.exe

dosya ve klasörlerini oluşturuyor, eğer temiz bir winrar var ise bilgisayarınızda onun bazı dosyalarını silip kendisi yeni oluşturuyor, buradaki .dat dosyasını veritabanı olarak veya ekran kaydınızı aktarması için kullanıyor.
C nin altına oluşturduğu WinRARSrv.exe dosyasını çalıştırıyor.

Dosya bilgileri :

Filename: WinRARSrv.exe
MD5: ff5e1f27193ce51eec318714ef038bef
SHA-1: b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6
File Size: 56320 Bytes
Command Line: C:\\WinRARSrv.exe

Bu dosya :
C:\\Program Files\\Microsoft\\DesktopLayer.exe
C:\\Program Files\\Microsoft\\px1.tmp
dosyalarını oluşturuyor.Bazı işlemlerden sonra WinRARSrv.exe dosyası DesktopLayer.exe çalıştırılıyor.
Bu DesktopLayer.exe dosyası da bir internet tarayıcısı açıyor(Eğer her winrar dosyası açtığınızda bir internet explorer sayfası açılıyorsa bilgisayarınızda bu malware bulunuyor demektir.)

Tarayıcı internet bağlantınızın olup olmadığına bakıyor, daha sonra dosyanın bağlantı yaptığı adresler(google ile bağlantı testi yapıyor, iplerin hepsi zararlı değil engellemenize gerek yok ) :
fget-career.com
google.com
173.194.70.113
173.194.70.138
173.194.70.139
173.194.70.100
173.194.70.101
173.194.70.102:xx
66.228.49.83:xxx
66.228.49.83:xxx
173.194.70.102:xx


Korunmak için:

Eğer günel bir antivirüsünüz var ise antivirüs bu dosyayı yakalayacak ve çalıştırmanıza izin vermeyecektir.
(42/46 tarama sonuçları )
Malware bilgisayarınıza bulaştıysa zararsız hale getirebilirsiniz ama bir çok dll ve html dosyalarını modifiye ediyor veya değiştiriyor bundan dolayı sisteminizde olmayan bir backup veya format atmalısınız.

Dosyayı zararsız hale getirmek için :
C:\\********s and Settings\\Administrator\\Application Data\\Winrar
C:\\WinRARSrv.exe
WinRAR.exe
WinRARSrv.exe
DesktopLayer.exe
C:\\Program Files\\Microsoft\\DesktopLayer.exe
C:\\program files\\microsoft\\desktoplayer.exe
C:\\Program Files\\Internet Explorer\\dmlconf.dat

Adreslerindeki dosyaları ve aynı şekilde bu dosya isminde karşılaştığınız dosyaları bilgisayarınızdan temizleyip güncel bir antivirüs, malwarebytes ile sisteminizi taratmalısınız.Dosya çok fazla yayılan bir dosya olduğu için antivirüs yüzlerce uyarı verebilir, özellikle sunucu bilgisayarlarda dikkat etmek gerekli çünkü html dosyalarına da bulaşıyor ve antivirüs bu dosyalarınızı silmek isteyebilir.

Kaynak



___________________________________________

Kimler geldi kimler gecti don bak arkana elbet ki zaman bizi sizide silip supurecektir peki bizden geriye ne kalicak ? keske hic bir sey kalmasa...

Youtube kanalim ► https://goo.gl/eM6wz2
 Offline  
 
Alıntı ile Cevapla
Teşekkür

Gurbett Teşekkür etti.
Alt 18-07-2013 12:07   #2
  • Asteğmen
  • Üye Bilgileri
Üyelik tarihi
07/2013
Mesajlar
Konular
0

Teşekkür (Etti): 13
Teşekkür (Aldı): 2




emeğine eline sağlık abi yine döktürüyorsun



___________________________________________


Giden Gidene...

 Offline  
 
Alıntı ile Cevapla
Teşekkür

'iMuh@fiz Teşekkür etti.
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau