İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Virüs Türleri Ve Özellikleri

26-04-2014 10:15
#1
Dark-Man - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2013
Nereden:
I Don't Know
Mesajlar:
4.436
Teşekkür (Etti):
299
Teşekkür (Aldı):
1388
Konular:
1812
Bagle.B

Sanal zararli, farkli dosya isimleri ve “AU, EXE” gibi uzantilara sahip olabilen e-posta eklentisinde saklaniyor. Bu dosya Windows Media Player ile iliskilendirilmis ancak kurt, alici tarafindan etkinlestirildigi zaman zarar vermeye basliyor.

Yogun mail trafigi ve arka kapi

Yeni versiyon “Bagle” çift tiklama sonrasinda kendisini, Windows adres defterinde bulunan tüm kayitlara otomatik olarak gönderiyor. Kurt, bunun için kendi SMTP motorunu kullaniyor. Ayrica bu kurdun yazari, 8866 numarali TCP portunu açik birakan bir de Backdoor bileseni eklemis.

“Bagle.B” söz konusu portu kullanarak sahibi ile haberlesiyor. Kurt, bir bilgisayarin daha etkilendigini bildiriyor ve muhtemelen rast gele olusturulan bir tanimlama numarasi gönderiyor. Sanal kurt, Windows Kayit Defteri’ne ekledigi yeni bir kayit ile de sistem açilislarinda otomatik olarak çalisiyor.

MyDoom & DoomJuice

26 Ocak'tan bu yana Windows tabanli sistemlerin basagrisi haline gelen Mydoom virüsü, yeni varyantlariyla birlikte ortaligi kasip kavurmaya devam ediyor. Iste bu virüs hakkinda merak ettiginiz her seyi bulabileceginiz, nasil korunacaginizi ögrenebileceginiz bir rehber. Mydoom, antivirüs firmalari tarafindan hâlâ yüksek tehdit grubunda gösteriliyor. Son olarak ortaya çikan Doomjuice adli varyantiysa, daha önce Mydoom'un bulastigi makinelerdeki gediklerden yararlaniyor. Rehberimizi okuyarak, Mydoom'dan ve varyantlarindan nasil korunacaginzi ögrenebilirsiniz.

Mydoom, antivirüs firmalari tarafindan hâlâ yüksek tehdit grubunda gösteriliyor. Son olarak ortaya çikan Doomjuice adli varyantiysa, daha önce Mydoom'un bulastigi makinelerdeki gediklerden yararlaniyor. Rehberimizi okuyarak, Mydoom'dan ve varyantlarindan nasil korunacaginzi ögrenebilirsiniz.

Mydoom nedir?

Mydoom, Microsoft programlarini hedefleyen bir dizi virüsten biri.

Virüs, Outlook'taki açiklari kullaniyor ve bulastigi sistemin adres defterindeki adreslere kendini e-posta yoluyla gönderiyor. Mydoom, ayni zamanda Novarg ve Mimail_r adlariyla da biliniyor. Virüsü, gönderdigi e-postalardaki konu satirindan (subject) tanimak mümkün.

Konu satirina bakarak, mesaji bir e-posta hatasi sanmak mümkün. Mesajin ekindeyse, hatanin nedenini açiklar gibi görünen bir metin dosyasi yer alabiliyor. Kullanici mesajina ne oldugunu anlamak üzere bu dosyaya tikladiginda, virüs sistemine bulasmis oluyor.

Ne kadar yaygin?

Mydoom oldukça hizli yayiliyor; hatta simdiye dek en hizli yayilan virüs oldugu bile söylenebilir. E-posta filtreleme isiyle ugrasan MessageLabs sirketinin verilerine göre, gönderilen her 12 e-posta mesajindan biri Mydoom'a ait. Bundan en önce en hizli yayilan virüs unvanini elinde bulunduran Sobif-F ise, ancak her 17 mesajdan birine bulasabilmeyi basarmisti.

MessageLabs'e göre, virüs ortaya çikisindan sonraki 16 gün içinde 38 milyon kopyayla, tarihin en aktif virüsü. Finlandiya merkezli antivirüs firmasi F-Secure, Mydoom'un simdiye dek karsilasilan en belali e-posta virüsü oldugunu, e-posta trafiginin yaklasik %30'unu kapladigini açikladi.

Bu rakamlara, virüsün kendi yarattigi mesajlar, sistemlerin gelen virüslü mesaja verdikleri otomatik yanitlar ve virüslü mesaji alip da digerlerine "Bana virüs bulastiriyorsun" diye mesaj atan kizgin kullanicilarin iletileri de dahil. Virüs gönderdigi mesajlarin "Gönderen" bilgisini de degistirdigi için, bu mesajlar daha da çok trafige neden oluyor.

Rusya kaynakli oldugu düsünülen virüs 200 ülkeye yayilmis durumda. Bu kadar hizli yayilmasinin altindaysa, ABD'deki is günü sirasinda ortaya çikmis ve hizla büyük sirketlerin iletisim agina girmis olmasi yatiyor.

Mydoom bulastigi makineye ne yapiyor?

Her seyden önce, Mydoom'un yalnizca Windows tabanli sistemlerde etkili oldugunu söyleyelim. Virüs, Outlook'taki adres defterini tarayarak kendini gönderecegi yeni adresler buluyor. Ardindan kendi e-posta motorunu kullanarak kendi kendini gönderiyor. Bu arada, açiga çikma riskini ortadan kaldirmak için de, kendini antivirüs firmalarinin, devlet kuruluslarinin ve askeri kurumlarin adreslerine göndermiyor.

Virüs, ayni zamanda, bulastigi sistemlerin antivirüs firmalarinin Web sitelerine baglanip son güncellemeleri indirmelerine de engel olmaya çalisiyor.

Daha da kötüsü, Mydoom bulastigi makinelerde bir arka kapi, yani bir gedik açiyor; böylece, dogru aaçlara ve bilgiye sahip olan herkes bu gedikten yararlanip sisteme sizabiliyor. ANtivirüs ve güvenlik firmalari, virüslü makineleri bulmak için yapilan rasgele taramalarin sayisinin arttigina dikkat çekiyor.

Virüs ve daha sonra ortaya çikan Mydoom.b varyanti, bir yandan da, 1 Subat'tan sonra DOS saldirilari (Denial of Service Attack - Hizmetin Reddi Saldirilari) denilen türden bir saldiriyi düzenlemek üzere programlanmis durumdalar. Virüsün bulastigi makineler, arka planda SCO sirketinin Web sitesine sürekli olarak baglanmaya çalistiklari için, sirketin Web sitesi geçici olarak çökmüstü. Virüsün yeni varyanti Doomjuice ise, ayni saldirilari Microsoft'un Web sitesine yönlendirmek üzere programlanmis durumda.

Korunmak için ne yapabilirim?

Yapabileceginiz çok sey var. Özellikle bu salgin durumu sirasinda, antivirüs yaziliminizi düzenli olarak, sik sik güncelleyin. (Antivirüs yaziliminiz yoksa, hemen edinin. Zira sadece bu acil durum sirasinda degil, her zaman ihtiyaç duyacaginiz bir yazilim türünden bahsediyoruz). Her zaman yapmiyor olsaniz bile, bütün sisteminizi bastan asagiya antivirüs yazilimiyla tarayin ve zararli dosyalarin, programlarin hepsinden kurtulun. Sisteminize kisisel bir güvenlik duvari (firewall) kurmak da isinize yarayabilir, böylece gedikleri kapatmis olursunuz.

Genellikle haberlesmediginiz kisilerden gelen e-postalara kuiskuyla bakin; özellikle mesajin ekinde bir de dosya varsa. Konu satiri bu rehberde bahsettigimi türden kuskuluysa, mesaji açmadan silin. Böylesi büyük salgin durumlarinda, Outlook'un önizleme (preview) panelini kapatmak da dikkate deger.

Virüsün makineme bulastigini nasil anlarim?

Virüs, kendini yollamak için kendi e-posta motorunu kullandigindan, büyük olasilikla farkina varmayacaksiniz. Bir e-posta mesajinin ekindeki dosyayi (zip ya da ekran koruyucu olabilir) açmak üzere tiklayip da, beklediginiz sonuçla karsilasmadiysaniz, Mydoom sisteminize bulasmis olabilir.

Antivirüs yazilimlari, Mydoom'u ve varyantlarini hemen taniyip etkisiz hale getirebilecek güce sahipler. Dolayisiyla en iyi çözüm antivirüs yaziliminizi sürekli olarak güncel tutmak.

Antivirüs ve güvenlik sirketleri, Mydoom'un sisteminizde varolup olmadigini denetleyecek özel dosyalarin yani sira, herhangi bir sey indirmenize gerek kalmadan Internet üzerinden virüs tarama hizmeti de veriyorlar. Üstelik bunlarin çogu ücretsiz.

Ayni zamanda, Microsoft da sisteminizi Internet üzerinden tarayabilecek bir hizmet sunuyor.

Yeni varyant: Doomjuice!

Mydoom'un iki yeni varyantiysa bu hafta basinda ortaya çikti. Ilki ve en yaygin olani Doomjuice, Microsoft.com sitesine DOS saldirisi düzenliyor. Microsoft, simdiden bu virüse karsi önlem olarak, sitesinin yedek kopyalarini yaratmis durumda.

Deadhat adli diger varyantsa, sistemde kurulu olan diger Mydoom varyantlarini kaldirip, makinenin antivirüs korumasini sekteye ugratmaya çalisiyor.

Bu iki varyantin en önemli özelligi, önceki varyantlarin tersine, e-posta yoluyla yayilmamalari. Bunlar, daha önce sisteme sizan Mydoom'un açtigi gedikten yararlanarak sisteme giriyorlar. Antivirüs sirketlerine göre, Doomjuice simdiye dek Mydoom bulunan 75,000 civarinda sisteme sizmis durumda. Orijinal Mydoom (Mydoom.A), basarisinin dorugundayken 1 milyon civarinda sisteme sizmisti.

Yaraticisini koruyan virüs

Yeni varyant Doomjuice'un temel özelligi, yaraticisini korumak. Zira bu varyant, bulastigi sisteme orijinal Mydoom'un kaynak kodlarini da yüklüyor. Mydoom'un yazarini bulmak için yürütülen çalismalar, kaynak kodu bulmaya dayaniyordu; böylece kaynak kodun bulundugu sistemlerin virüsün yazariyla baglantili oldugu ortaya çikacak ve virüs yazarinin izi sürülebilecekti. Ancak Doomjuice sayesinde bu kaynak kod, simdi korunmasiz her sisteme sizabilecegi için, virüs yazarinin kalabalikta izini kaybettirme olasiligi da artmis oluyor.

Diger varyant Deadhat'se, bulastigi makinedeki orijinal Mydoom.A ve Mydoom.B virüsünü siliyor, kendini kuruyor ve ardindan sistemdeki antivirüs yaziliminin çalismasini, güncellenmesini engellemeye çalisiyor.

Mydoom Bilgi

Gönderen: Rasgele bir e-posta adresi
Gönderilen: Alicinin adresi
Konu: Rasgele sözcükler (hi, error, mail delivery system, mail transaction failed, server report, status, test gibi)
Mesaj: Çesitli e-posta hata mesajlari (Mail transaction failed. Partial message is available) gibi.
Ekler (metin dosyasi ikonuyla geliyor): Rasgele bir dosya adi. Uzantisi ZIP, BAT, CMD, EXE, PIF veya SCR olabiliyor
Kullanici bu ekli dosyaya tikladiginda Notepad (ya da metin editörü) açilip rasgele karakterlerle dolu bir metin görüntüleniyor.
ISIM: NetSky.B

ALIAS: I-Worm.Moodown.B, W32/Netsky.B@mm, Moodown.B

Tanim

Moodown.B (Diger Adi: NetSky.B) solucani ilke kez 18 Subat 2004'de görüldü. Bu virus Emaillerle birlikte Zip dosyasi olarak gelmekte, ve kendini sistemde ki tum paylasima açik dizin ve sürücülere kopyalamaktadir.

Diger isimleri:

WORM_NETSKY.C (Trend Micro)
I-Worm/Netsky.C (Grisoft)
W32.Netsky.C@mm (NAV)
W32/Netsky.C.worm (Panda)

Tipi: Internet solucani
Alt Tipi: Eposta solucani
Etkiledigi sistemler: Windows 95, 98, ME, NT, 2000, ve XP

Virüs eposta ve ag paylasimlarini kullanarak yayiliyor. Kendisini sistemde buldugu eposta adreslerine gönderiyor ve C: den Z: ye kadar, varolan sürücülerdeki klasörlere kopyaliyor. Ayrica Mydoom.a ve Mydoom.b virüslerini durduruyor.

Virüs yerel sistemde ve agdaki paylasimlarda 'shar' karakter dizisini içeren klasörlere kendisini kopyaliyor. Ek olarak 'share' veya 'sharing' kelimeleri içeren klasör isimlerini kullanan KaZaa, Bearshare, Limewire ve diger P2P uygulamalari ile de yayiliyor.

Virüsün mesaj atma bileseni yerel sistemde asagidaki uzantilara sahip dosyalardan eposta adreslerini topluyor:

· .adb · .asp · .cgi · .dbx · .dhtm · .doc · .eml · .htm · .oft
· .php · .pl · .rtf · .sht · .shtm · .msg · .tbb · .txt · .uin · .vbs · .wab

Kendisini asagidaki kelimeleri içeren adreslere göndermiyor:

· abuse · fbi · orton · f-pro · aspersky · cafee · orman .itdefender · f-secur · avp · spam · ymantec
· antivi · icrosoft

Eposta karakteristikleri:

Gönderen: Rastgele yaratilan sahte eposta adresleri (spoof ediliyor)
Konu: Konu satiri ve mesajin gövdesi büyük bir cümle listesinden rastgele seçilerek olusturuluyor.
Ek dosya: Ek dosya virüsü içeren ya bir .exe ya da zip dosyasi oluyor. Tek veya çift uzantisi olabiliyor.

Ilk uzanti asagidakilerden biri olabiliyor:

· .doc · .htm · .rtf · .text

Ikinci uzanti asagidakilerden biri olabiliyor:

· .com · .exe · .pif · .scr

Boyutu: 25,352 byte

Windows kullanicilari antivirüs sistemlerini güncellemeliler. Antivirüs yazilimina sahip olmayanlar Network Associates'in ücretsiz Stinger aracini kullanarak sistemlerini taratabilirler.

ISIM : NETSKY-D

Internet kullanicilarinin korkulu rüyasi bilgisayar solucanlarina bir yenisi daha eklendi. Pazartesi günü ortaya çikan Netsky-D solucani tüm dünyada hizla yayilmaya basladi

Internet güvenligi uzmanlari Netsky-D’nin geçen haftalarda interneti kasip kavuran MyDoom virüsü kadar zararli olmadigini belirtmekle birlikte, "re:details" ya da "re:here is the ********" gibi birbirinden farkli konu basligi tasidigi için yeni solucandan kurtulmanin diger virüslere göre çok daha zor oldugunu söylüyor.

Bir "pif" dosyasi ekiyle birlikte gelen yeni virüs, bu dosyanin açilmasiyla birlikte kendini kopyalayarak bilgisayarlarin ve e-posta bant genisliginin yavaslamasina neden oluyor. Insanlarin pif dosyasinda virüs olabileceginden süphelenmedigine dikkat çeken uzmanlar, kullanicilardan ilisiginde pif uzantili dosya bulunan e-postalari açmadan silmesini tavsiye ediyor.

Yeni solucanin önceki varyanti olan Netsky-B, subat ayinda MyDoom-A ve Sober-C’den sonra en tehlikeli üçüncü bilgisayar virüsü olarak degerlendirilmisti.

SOBER D

Teknik olarak bir önceki versiyon Sober.C’ye benzeyen Sober.D bulastigi bilgisayardaki adres defterini kullanarak kendini yeni adreslere gönderiyor. Ingiliz internet güvenlik sirketi Sophos teknoloji analisti Graham Cluley, söz konusu emailin ve virüsü tasiyan ek dosyanin ‘Microsoft’ ibaresi tasidigindan bir çok kullanici tarafindan açildigini tahmin ettiklerini belirtti.

Fin güvenlik sirketi F-Secure, virüsün hem ek dosya ile hem de zip dosya ile bulasabilecegini açikladi.

Virüs bulastigi bilgisayari önce tariyor ve daha önce virüs bulasip bulasmadigini kontrol ediyor. Eger bilgisayara herhangi bir virüs bulasmamis ise, ekranda “This patch has been successfully installed” (yama basariyla takilmistir) ibaresi beliriyor. Eger bilgisayara virüs daha önce bulasmis ise, bu durumda “This patch does not need to be installed on this system” (yamanin yapilmasi gerek yoktur) mesajini veriyor.

ALMANCA VERSIYONU DA VAR

SoberD’nin önemli bir silahi ise degisik ülkelerde, yerel dili kullanan mesajlar içermesi. Almanca konusulan ülkelerde Almancaya yer veren virüs bu sekilde kullanicilari aldatmaya çalisiyor. Bundan önce de Xombe, Trojan.Xombe virüsleri de, kendilerini Windows XP için Microsoft’tan yollanmis gibi göstermislerdi. Microsoft basligi tasiyan ilk virüs 2003 yilinin azili virüslerinden Swen familyasiydi. Kullanicilarin, Microsoft’tan gönderilmis gibi görünen mesajlari açmamali ve silmelileri öneriliyor.

Troj/Prorat-D

Tanim

Troj/Prorat-D trojani sisteminize uzaktan erisim saglanmasina neden olur.

Troj/Prorat-D trojani kendi kopyalarini Windows System veya System32 dizinlerine FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE ve WSERVICE.EXE isimlerinden biri seklinde kaydeder.

Troj/Prorat-D Kendisini çalistirmak için se registry de ekte belirtilen yerlere kendini yerlestirir :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Windows Reg Services = C:\<Windows System>\<DosyaAdi>

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
Windows Reg Services = C:\<Windows System>\<DosyaAdi>

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = Explorer.exe C:\<Windows System>\<DosyaAdi>

HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run\
Windows Reg Services = C:\<Windows System>\<DosyaAdi>
DirectX for Microsoft Windows = C:\<Windows System>\<DosyaAdi>

HKLM\Software\Microsoft\Active Setup\Installed Components\
[A75aed00-d7bf-11d1-9947-00c0Cf98bbc9]\
StubPath = C:\<Windows System>\<DosyaAdi>

HKLM\Software\Microsoft\Active Setup\Installed Components\
[5Y99AE78-58TT-11dW-BE53-Y67078979Y]\
StubPath = C:\<Windows System>\<DosyaAdi>

Witty

Witty virüsü ISS ürünlerindeki ICQ parse açığını kullanıyor.

Virüs kendisini UDP port 4000 kaynak portundan rastgele bir hedef porta gidecek şekilde IP adreslerine gönderiyor.

Virüs sadece hafızada duruyor, etkilenen bilgisayarda dosyalar yaratmıyor fakat sabit disklerde rastgele sektörlerin üzerine yazıyor. Bunun sonucunda da sistem düzgün çalışamıyor ve reboot işleminde mavi ekran\'a (BSoD) yol açabiliyor.

Etkilenen Sistemler :

BlackICE™ Agent for Server 3.6 ebz, ecd, ece, ecf
BlackICE PC Protection 3.6 cbz, ccd, ccf
BlackICE Server Protection 3.6 cbz, ccd, ccf
RealSecure® Network 7.0, XPU 22.4 ve 22.10
RealSecure Server Sensor 7.0 XPU 22.4 ve 22.10
RealSecure Desktop 7.0 ebf, ebj, ebk, ebl
RealSecure Desktop 3.6 ebz, ecd, ece, ecf
RealSecure Guard 3.6 ebz, ecd, ece, ecf
RealSecure Sentry 3.6 ebz, ecd, ece, ecf

Netsky

Netsky’ın son iki virüsüne dikkat Netsky virüs familyasının iki yeni versiyonu internette dolanmaya başladı. Pazartesi günü ortaya çıkan Netsky.S ve Salı günü görünmeye başlayan Netsky.T, ilk olarak Şubat ayında çıkan virüsün son versiyonları. Son iki versiyon benzerlerinden farklı olarak bulaştıkları bilgisayarlarda ‘arka kapı’ açıyorlar. Kimi virüs uzmanlarına göre, bu versiyonlar farklı bir programcının ürünü. Network Associates virüsü “orta dereceli” olarak değerlendirdi. Windows işletim sistemini hedef alan virüsler ‘Re: My details’, ‘Request’ ve ‘Thank You!’ gibi aldatıcı başlıklar ile e-posta kutularına düşüyor. Daha önceki Netsky versiyonları bilgisayarlarda arka kapı açmak yerine, rekabete girdikleri Bagle virüsünü siliyorlardı. İYİ NİYETLİ VİRÜS OLUR MU? Uzmanlar, Netsky ve Bagle virüslerinin birbiri ardına ortaya çıkmasını iki virüsün yazılımcıları arasındaki rekabete bağlıyorlar. Bagle virüsünün art arda alfabenin tüm harflerini kullanması üzerine Netsky da alfabenin sonuna kadar virüs üreteceğe benziyor. Virüslerin beraberlerinde getirdikleri mesajlarda Netsky programcısı “online suçlularla mücadele eden iyi bir insan” olarak niteleniyor. Sophos tarafından deşifre edilen metinde Netsky.Q virüsü “Herhangi bir kötü amacımız yok, bu nedenle arka kapı takmıyoruz” şeklinde bir mesaj içeriyor. BU SEFER AMACI FARKLI Buna karşın, son Netsky versiyonunun TCP (Transmission Control Protocol) port 6789’da arka kapı açtığı belirlendi. Bu son versiyon, öncekilerin aksine Bagle familyasını eleştiren bir ibare içermiyor. Bu nedenle uzmanlar, son versiyonun farklı bir programcı tarafında salınmış olabileceğinden kuşkulanıyorlar. Uzmanlar, rakip virüsleri bilgisayardan silen Netsky’ın son versiyonunun DOS saldırısı düzenleyeceğine dair bulgular elde ettiklerini bildirdiler.

I-Worm.Cult

Bu worm bulaşmış olduğu mail adreslerini ve kazaa nın dosya paylaşım ağını kullanıyor ve üstüne üstlük backdoor bileşenleri içeriyor. Worm .exe uzantılı olup 13kb civarında

Worm kendi çoğaltıp ismini winupdate.exe diye değiştiriyor ve regedit ayarlarını ona gore düzenliyor.

Örnek:

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
Microsoft auto update = winupdate.exe

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Microsoft auto update = winupdate.exe

Bunun yanında kendi için registry key oluşturup bunu içinde saklıyor.

Örnek:

HKLMSOFTWAREMicrosoftWDXDriver
stv1=
stv2=
stv3=
stv4=
xdvd=

Gösterdiği sahte uyarı mesajı ise;

Application Error

The instruction at |0x776456de| referenced memory at |0x623525dg3|. The memory
could not be |read|
Click on OK to terminate the application

Eklenmiş dosya:

BlueMountaineCard.pif

Worm sadece eklenmiş dosya açılırsa bulaşıyor ve kendini sisteme yayıyor.

Kazaa daki dağılma örneği:

Worm kendini windows a Kazaa adlı bir alt klasör diye tanımlayıp kendini kopyalıyor.

Kopyalarının örnek isimler:

"SMS_sender.exe"
"DivX 5.03 Codecs.exe"
"Download accelarator.exe"
"PaintShop Pro 7 Crack_By_Force.exe"
"ZoneAlarm Pro KeyGen.exe"

Bu sahte Kazaa klasörü, Kazaa dosya paylaşımı için açılıyor ve su sayede diğer KAzaa kullanıcılarına
yayılıyor

Backdoor uygulaması

IRC kanalına bağlanıp sahibinden gönderilen bazı komutları dinliyor

Örnek komutlar:

- sistem bilgileri hakkında ayrıntılı rapor
- URL den dosya yüklenmesi
- dosya çalıştırma
- gibi ...

Netsky.V

Yeni Posta Kurdu: Netsky.V


Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor.

Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor. Bunun için de üreticinin geçtiğimiz Ekim ayında yayınladığı bir yama ile kapattığı Microsoft browserındaki bir güvenlik açığını kullanıyor. Kurt, yayılmak için bulaştığı bilgisayardaki posta adreslerini arıyor ve posta göndermek için de kendi SMTP motorunu kullanıyor. Sophos’un açıklamalarına göre virüslü e-postalar “Converting message. Please wait” veya “Please wait while loading failed message” gibi metinler içeriyor.

Mosuck

Backdoor.Mosuck


Bu Backdoor’u tamamen silmek icin symantec tarafindan bir Tool gelistirilmistir.

W32/Bagle.z@MM

Dikkat Yeni Virüs: W32/Bagle.z@MM

Virüs Belirtileri: Makinede TCP port 2535’in açılması/dinlenmesi. Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı

Risk Seviyesi: Orta
Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı

Diğer isimleri: WORM_BAGLE.X (Trend Micro)

Etkilediği sistemler: Windows 95, 98, ME, NT, 2000 ve XP

Bu toplu eposta atma solucanı (worm) aşağıdaki karakteristiklere sahip:

* Mesajları göndermede kendi SMTP motorunu kullanıyor
* Bulaştığı makinadan eposta adreslerini topluyor
* Sahte From: (Gönderen) adresi oluşturuyor
* Ek dosya şifreli bir zip dosyası olabiliyor (Şifre mesajın gövdesinde bulunuyor)
* Uzaktan erişim bileşeni içeriyor (Virüs yazarını otomatik haberdar ediyor)
* Kendi kopyalarını içinde shar kelimesi içeren klasörlere kopyalıyor (bazı genel peer-to-peer dosya paylaşım yazılımları bu tip klasörler kullanıyor. Ör: KaZaa, Bearshare, Limewire)

W32/Sasser.worm (Yüksek Risk)

Bu kendini yayan virüs Microsoft’un LSASS güvenlik açığını ( MS04-011) kullanıyor. Solucan avserve.exe dosyası ile yayılıyor. Diğer worm’ların (solucan) aksine eposta ile yayılmıyor. Makineye bulaşması için kullanıcı müdahelesi gerektirmiyor.

Solucan etkilenen sistemlerin virüslü kodu indirerek çalıştırmasını sağlıyor.

Semptomları:

Virüs kendisini Windows klasörüne avserve.exe olarak kopyalıyor ve açılışta kendisinin otomatik olarak çalıştırılması için aşağıdaki registry anahtarını yaratıyor:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun "avserve.exe" = C:WINDOWSavserve.exe

Solucan açık için rastgele IP adreslerini tarıyor. TCP port 5554’de FTP sunucusu olarak çalışıyor ve TCP port 9996’da remote shell açıyor.

C sürücüsünün kök dizininde win.log isminde bir dosya yaratıyor. Bu dosya yerel makinenin IP adreslerini içeriyor.

Virüsün kopyaları Windows System klasöründe #_up.exe olarak yaratılıyorlar.

Örnek:

c:WINDOWSsystem3211583_up.exe
c:WINDOWSsystem3216913_up.exe
c:WINDOWSsystem3229739_up.exe

Solucanın yan etkilerinden biri LSASS.EXE’nin çökmesi ve sonucunda makinenin reboot etmesi.

Diğer İsimleri:

W32.Sasser.Worm (Symantec)
W32/Sasser.A (F-Secure)

TrojanProxy.Win32.Bobax.a

+ Bu trojen bulastıgı bilgisayarları bir proxy server gibi kullanıyor
++ Microsoft LSASS acıgını kullanarak yayılıyor.
++ Bu torjen Microsoft Visula C++ da yazılmıs olup, bOdy kısmı şifrelenmiştir.
+ Windows altında calısmakta olup, 20480 byte buyukluğundedir.

Acıldıgı zaman şifreli bOdy kısmını acar ve kendini gecici klasore (temp)
~xxxx.tmp olarak kopyalar burdaki xxxx rastgele uretilmiş hexadecimal
sayılardan olusur. bu dll torjenin asıl bolumu olup bu dll paketi UPX kullanır
ve boyutu 17920 byte kadardır.

Acıldıktan sonra bu dll kendini windows dizinine kopyalar ve rastgele uretilmiş
isimler kullanır. bilgisayar hafızasında 00:24:03:54A9D mutex i yaratır, ve
sistemde hazır durumda bekler. ve registry e otomatik calısan soyle bir anahtar
koyar

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServices]
"[Rastgele anahtar adı]" = "[dosyayı calıstırmak için gerekli yol]"

Anahtar adı rastgele olup, hexadecimaldir.

Trojen netten ;

Kendini guncelliyecek bilgileri, kurban bilgisayara netten her hangi bir program indirim, acmayı, net yardımı ile Microsoft LSASS acıgı olan diğer bilgisayarlara yayılmayı, kurban bilgisayardan gereksiz emaillar gondermeyi, ve son olarak kurban bilgisayar hakkında bilgi edinmeyi sağlar.

Plexus.a Worm

MS Visual C++ da Mydoom un yeniden geliştirilmiş hali olan bu worm (FSG ile sıkıstırılmıs hali 16208 byte yada 57856) 3 farklı yol ile yayılıyor, birincisi emailların yanında ataclanmıs olarak, diğeri dosya paylaşımı bulunan ağlarda sonuncu olarakta LSASS ve RPC DCOM acıgını kullarak (aynı Sasser ve Lovesan da oldugu gibi) ve ana kodları encrypted edilmiştir.

Plexus bir kez acıldıktan sonra kendini Windows/System32 e upu.exe, ve regadit e de [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun]
"NvClipRsv"=[acılacak dosya yolu]

olarak kopyalar ve yazar.Ve kendini sisteme tanıtmak için ’expletus’ adında bir tanıtıcı kullanır.

Örnekler :

++ Yerel ağ ve dosya paylaşımı bulunan ağlarda

AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe

Kendini bu isimlerle ağ uzerinde ulasım izni olan yerlere kopyalar

++ MS Windows ve LSASS acıklarında

Bunu anlatmaya gerek yok cunku MS Windows bunun patch ini çıkarttı. Bu worm Mydoom un geliştirilmişi oldugu için burdan yayılması soz konusu değil

++ Email eklentileri halinde

Bu uzantılı lokal disk içinde arar htm, html, php, tbb, txt
Ve bu dosyalarda bulunan tum email adreslerine kendi kopyasını gonderir.

++ Trojan olarak özelliği

1250 no'lu portu virus yazarına acarak, sahibine dosya yukleme yada acma hakkı saglar.


W32/Zafi.b@MM

Belirtileri:

* Güvenlik yazılımlarının çalışmasında problemler
* Ağ trafiği
* Sistem yavaşlaması

Bu virüs/solucan kendisini toplu-eposta atarak yayıyor. Eposta mesajlarını kendi SMTP motorunu kullanarak ve From: adreslerini sahte eposta adreslerinden oluşturarak gönderiyor. Ayrca kendisini yerel sistemde (klasör isminde ’share’ veya ’upload’ geçen) klasörlere kopyalayarak P2P ile de yayılıyor.

Çalıştırıldığında kendisini %windowsklasörü%system32 klasörüne rastgele dosya isimleri ile .EXE ve .DLL uzantıları ile kopyalıyor.

Örnek :

C:\WINNT\system32\jrbtgmqi.exe
C:\WINNT\system32\enfrbatm.dll

Makine her açıldığında otomatik olarak çalışabilmesi için registry’ye aşağıdaki anahtarı ekliyor:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun "_Hazafibb" = %windir%System32jrbtgmqi.exe

Çözüm:

Sisteminizde virüs olduğundan şüpheleniyorsanız NAI firmasının ücretsiz aracı Stinger ile sisteminizi taratabilirsiniz. Antivirüs yazılımı kullanıcıları en son virüs veritabanına güncellemeli ve sistemlerini taratmalılar.

WORM_LOVGATE.C

Trend Micro hızla yayılmaya başlayan yeni bir solucanı duyurdu. WORM_LOVEGATE.C hem bir solucan hemde bir arka-kapı (backdoor) programı. Yayılmak için kendi kopyalarını ağdaki paylaşımlara bırakıyor ve eposta ile gönderiyor.

Solucan eposta göndermek için kendi SMTP sunucusunu (SMTP.163.com) kullanıyor. Aşağıdaki mesajı içeren eposta gönderiyor:
I’ll try to reply as soon as possible.
Take a look to the attachment and send me your opinion!

Arkakapı olarak, 10168 nolu portu açıyor ve uzaktaki kullanıcıların sisteme erişip kontrol edebilmesini sağlıyor.

W32/Bagle.ad@MM (Orta Risk)

W32/Bagle.ad@MM önceki Bagle varyantları gibi bulaştığı bilgisayarda bir arkakapı açarak uzaktan erişilebilmesini sağlıyor. Virüs kendisini topladığı eposta adreslerine göndererek ve Kazaa, Bearshare ve Limewire gibi popüler dosya-paylaşımı uygulamaları ile yayıyor. Ayrıca bulaştığı makinadaki Antivirüs ve güvenlik duvarı yazılımlarını kapatmaya çalışıyor.

Not: Sizden virüslü eposta geldiğine dair uyarı aldığınızda bu size virüs bulaştığı anlamına gelmiyor -- virüs genelde gönderen adresini (from) topladığı eposta adreslerinden oluşturuyor.

Örnek :

Gönderen (FROM): değişiyor (spoof ediliyor).
Konu (SUBJECT): değişiyor (örnekler : Re: Msg reply, Re: Hello, Re: Yahoo!)
Mesaj (BODY): Çeşitli metodlar ile oluşturuyor.
Ek dosya (ATTACHMENT): Değişiyor. Şifrenin mesaj gövdesinde belirtildiği şifre korumalı bir zip dosyası olabiliyor. Örneğin:
Information, Details, text_********

Sonuç :

Bilgisayarınız 1234 nolu TCP portunu dinler. Yukarıda belirtilen özelliklere sahip gönderilen epostalar. Registry’de değişiklikler. Detaylar için aşağıdaki bağlantıya tıklayın.

Backdoor.Delf.au

Çıkış tarihi : 19.07.2004

Delphi de yazılmıs olup, ASPack ile sıkıştırılmıstır.

Bulastıgı yer ve dosya;

C:\WINDOWS\SYSTEM\Kernel32.exe
Boyut: 210.944 byte

Kullandıgı port: 1979 TCP

Baslangıc için regeditteki yeri:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Current Version\Run "Kernel"
Data: C:\WINDOWS\SYSTEM\Kernel32.exe


SlimFTPd 3.15

Türü ; Görünmez FTP server
Yazarı ; WhitSoft
Programlama dili ; Visual C++
Çıkış tarihi ; 2004 Temmuz

NOT : + eski surumleride bulunmaktadır [ SlimFTP 2.2 / 3.1 / 3.12 / 3.13 / 3.14]

+ AVP bu trojen i tanımıyor

Açıklama ;

SlimFTPd standart FTP server içerikli,komplike bir sanal dosya yonetimi hizmeti bulunan bir programdır. Ve inanılmaz kucuk boyutludur.Ama size tam boyutu vermemek için bir cok bos byte ile doldurulmustur. Hiç bir ek bir sey kullanılmadan saf Win32 C++ da yazılmıstır. Ve aynı anda bircok işlemi yapma kapasitesi ile Windows 98 / ME / NT / 2K / XP de sorunsuz calısmaktadır. Ve sistemden rahat eklenip kalkmak için kullanıslı bir paket ile yayınlanmıstır. Bir kez program calıstıgında SlimFTPd sessizce sistemin arkaplanında iş gormektedir. Ayarlarını bir config dosyasından alıp loglarını bulundugu klasore kaydeder.Sanal dosya yonetimi serverda herturlu veri depolama aygıtlarını yonetmeyi saglar.SlimFTPd size kişisel izinler olusturmanız içinde imkan sağlar. "SlimFTPd.conf" dosyasını notepad gibi tet editorleri ile acıp ayarlayabilirsiniz.

Server boyutu ; 14.848 byte

Kullandıgı port ; 21 TCP

Saldırı metodu : Saldırgan bu programa ayar yaparak kendine acık sistemler olusturabilir.

Bin Ladin virüsüne dikkat

El Kaide terör örgütünün lideri Osama Bin Ladin’in intihar resimlerini taşıyan bir Truva Atı programı internette dolaşıyor.

Osama Bin Ladin’in ününden yararlanmak isteyen Truva Atı programını taşıyan mesajın açılmaması ve silinmesi gerekiyor. Virüs, e-posta yoluyla yayılmıyor. Virüs, internetteki sohbet gruplarında, grup içinden yollanmış bir mesaj gibi görünüyor.Mesajın açılması durumunda ise, yüklenen Truva Atı programı kullanıcının bilgisayarını ‘zombi’ makineye dönüştürüyor. Virüsün programcısı hacker, Truva Atı yüklenen bilgisayarları uzaktan kontrol edebiliyor, makine üzerinden spam gönderebiliyor veya yeni saldırılar düzenliyor. Hacker tarafından ele geçirilen bu tür bilgisayarlara ‘zombi makine’ler deniyor.

Virüs programcıları kullanıcıları kandırabilmek için çeşitli numaralar icat ediyorlar. Son yayılan Osama virüsü de buna en güzel örnek. Ancak, Bin Ladin’in intihar görüntülerini görmek isteyen kullanıcıları bir sürpriz bekliyor, zira bu haber gerçek değil, sadece bir virüs programı.

ÜNLÜLERİN ADLARINI TAŞIYAN VİRÜSLER

Sophos virüs izleme şirketi baş analisti Graham Cluley, hacker’ların küresel politik gelişmeleri de virüs programlarına vitrin haline getirdiklerini belirterek, söz konusu mesajın açılmamasını ifade etti.
Osama Bin Ladin’den önce de, virüs programcıları yine popüler ikonlar olan tenis oyuncusu Anna Kournikova ve aktris Catherine Zeta Jones’un adını taşıyan virüsleri internete salmışlardı.

Mydoom virüsüne önlem alın

Symantec, en tehlikeli virüslerin kategorisini 5 olarak değerlendirildiği sıralamada 4. kategori olarak nitelenen W32.Mydoom.M@mm virüsünün, 26 Temmuz’da yayılmaya başladığını açıkladı.

Etkilediği sistemlerdeki tüm e-posta adreslerine kendini gönderen virüsün bat, .cmd, .com, .exe, .pif, .scr, or .zip uzantılı bir de eki bulunuyor. Aynı mesajın içinde .doc, .txt, .htm, or .html uzantılı ikinci bir dosya da bulunabiliyor. Virüs etkilendiği sistemlerde arka kapılar açarak sistemlerin hacker saldırılarına açık hale getiriyor.

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP sistemlerinde etkili olan bu solucan, Symantec’in Worm Blocking fonksiyonuna sahip ürünleri kullanan kullanıcıları etkilemiyor.


Nick Berg virüsü internette

Iraklı radikal İslamcı gruplar tarafından kafası kesilerek öldürülen ABD’li işadamı Nick Berg’in canlı olduğuna dair görüntülerini taşıyan bir virüs internette dolaşıyor.

Nick Berg’in infaz görüntülerini içeren virüslü video dosyası internetteki bir çok sohbet odasına konulduğu tespit edildi. Daha önce de El Kaide terör örgütünün lideri Osama Bin Ladin’nin görüntülerini içerdiğini iddia eden bir başka virüslü kayıt internete sızdırılmıştı.Kendine Hackarmy adını takan hacker grubu tarafından tasarlanan virüsler kullanıcının bilgisayarını zombi makineye dönüştürüyor. Virüs, Nick Berg’in canlı görüntülerinin Arap televizyonu El Cezire tarafından yayınlandığını iddia ediyor. Virüsü taşıyan mesaj videonun Berg’in canlı olduğuna dair komplo teorilerine atıfta bulunarak ABD vatandaşının bu görüntülerle canlı olduğunun kanıtlandığını öne sürüyor.

Ek dosyanın açılması durumunda Truva Atı programı kullanıcının bilgisayarına yükleniyor. Virüsü, İngiliz güvenlik şirketi Sophos ortaya çıkardı.

Daha önce de El Kaide terör örgütünün lideri Osama Bin Ladin’nin görüntülerini içerdiğini iddia eden bir başka virüslü kayıt internete sızdırılmıştı.
Kullanıcı İmzası
İmkansızı hedefle.
cor-vo, SpecialForces Teşekkür etti.

26-04-2014 10:17
#2
cor-vo - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Mesajlar:
8.047
Teşekkür (Etti):
4149
Teşekkür (Aldı):
2323
Konular:
2193
ilk teşekkür ilk mesaj Çatal bıçak seti kazanmış olmalıyım

Yararlı konuya benziyor okuyayim cevabı sonra veririm. Zaten çok uzun
Kullanıcı İmzası
cor-vo | corvo9394
26-04-2014 11:28
#3
Üyelik tarihi:
04/2014
Nereden:
Hollyweed
Mesajlar:
432
Teşekkür (Etti):
142
Teşekkür (Aldı):
51
Konular:
111
Cok uzun ama Cok güzel bi konu Okudukca okuyasım geliyo
Kullanıcı İmzası
Sırıtayım. Belki senin için yok şu sıra tadım.
Sırat adım. Gölgendeki kuyruklara sıra tadın.
Ben senin için sıradanım. Çünkü bende sıradayım.
Sıradaki de hevesse sıramı sıradakine bırakayım.
09-07-2015 22:41
#4
'Unqre - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
06/2015
Nereden:
İstanbul
Yaş:
22
Mesajlar:
863
Teşekkür (Etti):
43
Teşekkür (Aldı):
311
Konular:
49
Teşekkürler.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı