Bu Viruse Dikkat !!! Upatre Malware !!!

irfanCyberoam, Güvenlik0 Yorum7 Nisan 2015

MalwareSon günlerde bir çok antivirus tarafıdan tespit edilen ve trojan downloader özelliği bulunan Upatre Malware gün geçtikçe dahada tehlikeli olmaya başladı.Cyberoam tarafından yapılan açıklamaya göre Trojan Downloader:Win32 Upatre (Microsoft) bulaştığı bilgisayarda bir kod parçası çalıştırarak kurbanın bilgisayarını ele geçirmekle birlikte bilgilerinede ulaşabiliyor. Tehlike türünü Zeus, Rovnix VBR, Banking Trojan şeklinde açıklayan Cyberoam mühendisleri yaptıkları duyuru ile kullanıcıları uyarmaya çalıştı.

CryptoLocker tarzında bir virus olduğunu belirten yetkililer tek farkın Upatre Malware virüsü içeren maillerde birde ek olduğunu açıkladılar.Daha önce CryptoLocker saldırısına maruz kalan bir çok kullanıcının dosyalarını kaybetmesi ile sonuçlanan serüven sanırım bu kezde Upatre Malware ile devam edecek.

Tcp ve Udp portları üzerinden istek göndererek kurban ip adresini takip edebilme ve yönetme özelliği bulunan virusun Vagomit.exe adında bir programla entegreli olabileceği şüphesi bulunmaktadır.

HTTP istekleri

URL: http://checkip.dyndns.org/
TYPE: GET
USER AGENT: Mazilla/5.0

URL: http://141.105.141.87:13839/0104us22/<MACHINE_NAME>/0/51-SP3/0/GKBIMBFIBL
TYPE: GET
USER AGENT: Mazilla/5.0

URL: http://editioncamelias.com/css/sdoc4.rtf
TYPE: GET
USER AGENT: Mazilla/5.0

URL: http://141.105.141.87:13838/0104us22/<MACHINE_NAME>/41/7/4/
TYPE: GET
USER AGENT: Mazilla/5.0

DNS istekleri

checkip.dyndns.org (216.146.38.70)
editioncamelias.com (94.23.6.64)

TCP bağlantıları

91.198.22.70:80
141.105.141.87:13839
94.23.6.64:80
141.105.141.87:13838

UDP iletişim

23.101.187.68:123

Dosya Detayları

En_en.exe md5sum 2f08aec7f64e4c5f25c218fdd77a0145
Sdoc4.rtf md5sum ebac7f259fc1397f3cdff65a4f7589d4

Yukarıdaki isteklere ve dns bilgilerine göre güvenlik duvarınızdan gerekli engelleme işlemlerini yaparak kullanıcılarınızı bu virusten uzak tutabilirsiniz.

upatre

 

Yukarıdaki resimde görüldüğü şekilde e-mailler göndererek kurban bilgisayara bulaşmaya çalışan virus kod parçacıklarını ve dosyalarını  C:DOCUME~1UserLOCALS~1TempVagomit.exe ve C:DOCUME~1UserLOCALS~1Temptemp15.pdf şeklinde gizlemeye çalışmaktadır.

Virustotal tarafından yapılan inceleme sonuçları aşağıdaki gibi olup halen daha bir çok antivirus programı tarafından tanınmamaktadır.

Virustotal

 

.exe ve .pdf uzantılarına bürünerek kendini gizlemek isteyen bu zararlı yazılımın ekran görüntülerinden birisi aşağıdaki gibidir.

pdf

 

Virüsü tespit eden ve gerekli önlemleri alan Antivirus programlarını kullanarak sisteminizi test edebilirsiniz.

BitDefender- Trojan.Agent.BITQ
ESET-NOD32- Win32/TrojanDownloader.Waski.F
Kaspersky- Trojan-Downloader.Win32.Upatre.vuw
Malwarebytes- Trojan.Email.FakeDoc
McAfee- Upatre-FAAR!2F08AEC7F64E
Microsoft- TrojanDownloader:Win32/Upatre
Panda- Trj/Genetic.gen
Sophos- Mal/EncPk-ANE
Symantec- Downloader.Upatre!gen9

Not : Virusten korunmak için geliştireceğiniz farklı yöntemler olursa ve bu bilgileri tarafıma iletirseniz konu altında farklı senaryolar ile korunma yöntemlerini kullanıcılarımıza iletebiliriz.

Umarım bilgilerin faydası olur.

Etiketler: , , ,

Bu Viruse Dikkat !!! Upatre Malware !!! Hakkında Yorum Yaz

Yorum yapmak için giriş yapmalısınız.

Sponsor Reklam Sponsor Reklam Sponsor Reklam Sponsor Reklam
Cyberoam Captive Portal Kaldırma

Cyberoam Captive Portal Kaldırma

Merhaba ; Googlede Cyberoam ile ilgili kelimeleri ararken en çok

irfan8 Yorum17 Aralık 2015
Cyberoam SSL VPN Kurulumu

Cyberoam SSL VPN Kurulumu

Merhaba ; Cyberoam güvenlik duvarının en çok tercih edilme nedenlerinden

irfan7 Yorum7 Mayıs 2015
Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam Transparent Authentication Suite (CTAS) :  Şeffaf kimlik doğrulama sistemi

irfan6 Yorum31 Mayıs 2015
Cyberoam DHCP Kuralı Oluşturma

Cyberoam DHCP Kuralı Oluşturma

Merhaba ; Bu makalemizde güvenlik duvarı üzerinde dhcp oluşturmayı elimden

irfan5 Yorum23 Nisan 2015
Cyberoam Log Viewer Nedir?

Cyberoam Log Viewer Nedir?

Cyberoam Firewall bir çok işlemi yönetim panelinden extra bir cihaz

irfan4 Yorum3 Ekim 2015
WannaCry Nedir , Nasıl Engellenir?

WannaCry Nedir , Nasıl Engellenir?

Cryptolocker ve benzeri fidye yazılımı özelliklerini içinde barındıran WannaCry şifreleyici

irfan0 Yorum14 Mayıs 2017
Cyberoam ile  DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam ile DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam güvenlik duvarının en önemli modüllerinden birisi olan IPS modülü

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği kişi ve kurumları ilgilendirdiği kadar yasal zorunlulukları

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği Nedir

Kurumsal Bilgi Güvenliği Nedir

Son zamanlarda sıkça karşımıza çıkan Bilgi güvenliği , kişisel verileri

irfan0 Yorum27 Mart 2017
Sophos Intercept X (Anti Fidye Yazılımı)

Sophos Intercept X (Anti Fidye Yazılımı)

Sophos tarafından yeni nesil uç nokta güvenlik çözümü olarak geliştirilen Intercept

irfan0 Yorum17 Ekim 2016
Sera Sistemleri
Merhaba, Faydalı bir bilgi paylaşımı olmuş. İşime yaradı. Teşekkürler. İyi çalışmalar
Ayna
Makaleniz için teşekkür ederim, çok faydalı bilgiler teşkler.
irfan
Merhaba , Hattınızda Load Balance varsa bu söylemiş olduğunuz sitelere girişlerde sorun yaratabilir.Eğer hatta load balance yoksa sorun…
cemal
Merhaba, Kurumumuzda server alt yapısında cyberoam firewall bulunmaktadır. Fakat bundan 2 3ay öncesine kadar biruni.tuik.gov.tr ve 2…
irfan
Merhaba ; Active directory üzerindeki kullanıcıların logon ve logoff bilgilerini firewallun çekebilmesi için control panali/administary tools/ local security policy/…

Sponsonr Reklamlar