İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Ramnit Analizi (Malware) - & FoReVeR-02 &

26-09-2013 13:15
#1
FoReVeR02 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2013
Mesajlar:
1.670
Teşekkür (Etti):
362
Teşekkür (Aldı):
253
Konular:
358
Ticaret:
(0) %
Merhaba eski bir malware ama sanırım güncellenip tekrardan dağılmaya başlandı, çünkü 2013 şubat ayında tüm dünyada en yüksek karşılaşılan tehditler sıralamasında “Win32/Ramnit”, yeniden listeye girerek yüzde 1.74’lik oran ile 6. sıraya yerleşti, biz de inceleyelim dedik.

Bu malware, e-postalar, oyunlar veya korsan yazılımlar aracılığı ile bilgisayara bulaşıp kullanıcıdan habersiz dosya indirebiliyor ve uzaktan kontrol edilerek, ekran görüntüsünü suçlulara iletebiliyor.

Bizim karşılaştığımız malwarede dosya bilgileri şu şekilde:

Filename: WinRAR.exe
MD5: 122a92c9deba72ee3c33e4a927ec531d
SHA-1: 3635bf9a627d3b91fb156ca35c33c640dc1153e1
File Size: 1263104 Bytes
Command Line: "C:\WinRAR.exe"

Bu dosyayı çalıştırdığınızda karşınıza normal bir rar dosyası gelse de yaptığı işlemler normal değil.
Her zararlının yaptığı gibi kayıt defterinde bazı işlemler yapıyor.
C:\********s and Settings\Administrator\Application Data\WinRAR
C:\********s and Settings\Administrator\Application Data\WinRAR\version.dat
C:\WinRARSrv.exe
dosya ve klasörlerini oluşturuyor, eğer temiz bir winrar var ise bilgisayarınızda onun bazı dosyalarını silip kendisi yeni oluşturuyor, buradaki .dat dosyasını veritabanı olarak veya ekran kaydınızı aktarması için kullanıyor.
C nin altına oluşturduğu
WinRARSrv.exe dosyasını çalıştırıyor.

Dosya bilgileri :

Filename: WinRARSrv.exe
MD5: ff5e1f27193ce51eec318714ef038bef
SHA-1: b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6
File Size: 56320 Bytes
Command Line: C:\WinRARSrv.exe

Bu dosya :
C:\Program Files\Microsoft\
DesktopLayer.exe
C:\Program Files\Microsoft\px1.tmp
dosyalarını oluşturuyor.Bazı işlemlerden sonra
WinRARSrv.exe dosyası DesktopLayer.exe çalıştırılıyor.
Bu
DesktopLayer.exe dosyası da bir internet tarayıcısı açıyor(Eğer her winrar dosyası açtığınızda bir internet explorer sayfası açılıyorsa bilgisayarınızda bu malware bulunuyor demektir.)

Tarayıcı internet bağlantınızın olup olmadığına bakıyor, daha sonra dosyanın bağlantı yaptığı adresler(google ile bağlantı testi yapıyor, ip'lerin hepsi zararlı değil engellemenize gerek yok ) :

fget-career.com
google.com
173.194.70.113
173.194.70.138
173.194.70.139
173.194.70.100
173.194.70.101
173.194.70.102:xx
66.228.49.83:xxx
66.228.49.83:xxx
173.194.70.102:xx

Korunmak için:
Eğer günel bir antivirüsünüz var ise antivirüs bu dosyayı yakalayacak ve çalıştırmanıza izin vermeyecektir.
(42/46 tarama sonuçları )
Malware bilgisayarınıza bulaştıysa zararsız hale getirebilirsiniz ama bir çok dll ve html dosyalarını modifiye ediyor veya değiştiriyor bundan dolayı sisteminizde olmayan bir backup veya format atmalısınız.

Dosyayı zararsız hale getirmek için:
C:\********s and Settings\Administrator\Application Data\Winrar
C:\WinRARSrv.exe
WinRAR.exe
WinRARSrv.exe
DesktopLayer.exe
C:\Program Files\Microsoft\DesktopLayer.exe
C:\​program files\​microsoft\​desktoplayer.exe
C:\Program Files\Internet Explorer\dmlconf.dat

Adreslerindeki dosyaları ve aynı şekilde bu dosya isminde karşılaştığınız dosyaları bilgisayarınızdan temizleyip güncel bir antivirüs, Malwarebytes ile sisteminizi taratmalısınız.Dosya çok fazla yayılan bir dosya olduğu için antivirüs yüzlerce uyarı verebilir, özellikle sunucu bilgisayarlarda dikkat etmek gerekli çünkü html dosyalarına da bulaşıyor ve antivirüs bu dosyalarınızı silmek isteyebilir.

Kullanıcı İmzası
Sonsuza dek ve daima...





Do You need help?
then it is the right place
& FoReVeR-02 &
Forensic Expert (Data Recovery) and Web Programmer


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı