İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Ramnit Analizi(Malware)

18-07-2013 11:41
#1
'iMuh@fiz - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
08/2012
Nereden:
Bakü
Yaş:
26
Mesajlar:
11.214
Teşekkür (Etti):
1199
Teşekkür (Aldı):
1249
Konular:
4118
Ticaret:
(0) %
Merhaba,
Eski bir malware ama sanırım güncellenip tekrardan dağılmaya başlandı, çünkü 2013 şubat ayında tüm dünyada en yüksek karşılaşılan tehditler sıralamasında Win32/Ramnit, yeniden listeye girerek yüzde 1.74lik oran ile 6. sıraya yerleşti, biz de inceleyelim dedik.

Bu malware, e-postalar, oyunlar veya korsan yazılımlar aracılığı ile bilgisayara bulaşıp kullanıcıdan habersiz dosya indirebiliyor ve uzaktan kontrol edilerek, ekran görüntüsünü suçlulara iletebiliyor.

Bizim karşılaştığımız malwarede dosya bilgileri şu şekilde:

Filename: WinRAR.exe
MD5: 122a92c9deba72ee3c33e4a927ec531d
SHA-1: 3635bf9a627d3b91fb156ca35c33c640dc1153e1
File Size: 1263104 Bytes
Command Line: "C:\\WinRAR.exe"

Bu dosyayı çalıştırdığınızda karşınıza normal bir rar dosyası gelse de yaptığı işlemler normal değil.
Her zararlının yaptığı gibi kayıt defterinde bazı işlemler yapıyor.

C:\\********s and Settings\\Administrator\\Application Data\\WinRAR
C:\\********s and Settings\\Administrator\\Application Data\\WinRAR\\version.dat
C:\\WinRARSrv.exe

dosya ve klasörlerini oluşturuyor, eğer temiz bir winrar var ise bilgisayarınızda onun bazı dosyalarını silip kendisi yeni oluşturuyor, buradaki .dat dosyasını veritabanı olarak veya ekran kaydınızı aktarması için kullanıyor.
C nin altına oluşturduğu WinRARSrv.exe dosyasını çalıştırıyor.

Dosya bilgileri :

Filename: WinRARSrv.exe
MD5: ff5e1f27193ce51eec318714ef038bef
SHA-1: b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6
File Size: 56320 Bytes
Command Line: C:\\WinRARSrv.exe

Bu dosya :
C:\\Program Files\\Microsoft\\DesktopLayer.exe
C:\\Program Files\\Microsoft\\px1.tmp
dosyalarını oluşturuyor.Bazı işlemlerden sonra WinRARSrv.exe dosyası DesktopLayer.exe çalıştırılıyor.
Bu DesktopLayer.exe dosyası da bir internet tarayıcısı açıyor(Eğer her winrar dosyası açtığınızda bir internet explorer sayfası açılıyorsa bilgisayarınızda bu malware bulunuyor demektir.)

Tarayıcı internet bağlantınızın olup olmadığına bakıyor, daha sonra dosyanın bağlantı yaptığı adresler(google ile bağlantı testi yapıyor, iplerin hepsi zararlı değil engellemenize gerek yok ) :
fget-career.com
google.com
173.194.70.113
173.194.70.138
173.194.70.139
173.194.70.100
173.194.70.101
173.194.70.102:xx
66.228.49.83:xxx
66.228.49.83:xxx
173.194.70.102:xx


Korunmak için:

Eğer günel bir antivirüsünüz var ise antivirüs bu dosyayı yakalayacak ve çalıştırmanıza izin vermeyecektir.
(42/46 tarama sonuçları )
Malware bilgisayarınıza bulaştıysa zararsız hale getirebilirsiniz ama bir çok dll ve html dosyalarını modifiye ediyor veya değiştiriyor bundan dolayı sisteminizde olmayan bir backup veya format atmalısınız.

Dosyayı zararsız hale getirmek için :
C:\\********s and Settings\\Administrator\\Application Data\\Winrar
C:\\WinRARSrv.exe
WinRAR.exe
WinRARSrv.exe
DesktopLayer.exe
C:\\Program Files\\Microsoft\\DesktopLayer.exe
C:\\program files\\microsoft\\desktoplayer.exe
C:\\Program Files\\Internet Explorer\\dmlconf.dat

Adreslerindeki dosyaları ve aynı şekilde bu dosya isminde karşılaştığınız dosyaları bilgisayarınızdan temizleyip güncel bir antivirüs, malwarebytes ile sisteminizi taratmalısınız.Dosya çok fazla yayılan bir dosya olduğu için antivirüs yüzlerce uyarı verebilir, özellikle sunucu bilgisayarlarda dikkat etmek gerekli çünkü html dosyalarına da bulaşıyor ve antivirüs bu dosyalarınızı silmek isteyebilir.

Kaynak
Kullanıcı İmzası
Kimler geldi kimler gecti don bak arkana elbet ki zaman bizi sizide silip supurecektir peki bizden geriye ne kalicak ? keske hic bir sey kalmasa...

Youtube kanalim ► https://goo.gl/eM6wz2
Gurbett Teşekkür etti.

18-07-2013 12:07
#2
Gurbett - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Mesajlar:
74
Teşekkür (Etti):
13
Teşekkür (Aldı):
2
Konular:
0
Ticaret:
(0) %
emeğine eline sağlık abi yine döktürüyorsun
Kullanıcı İmzası

Giden Gidene...
'iMuh@fiz Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı