Bu Viruse Dikkat !!! Upatre Malware !!!

MalwareSon günlerde bir çok antivirus tarafıdan tespit edilen ve trojan downloader özelliği bulunan Upatre Malware gün geçtikçe dahada tehlikeli olmaya başladı.Cyberoam tarafından yapılan açıklamaya göre Trojan Downloader:Win32 Upatre (Microsoft) bulaştığı bilgisayarda bir kod parçası çalıştırarak kurbanın bilgisayarını ele geçirmekle birlikte bilgilerinede ulaşabiliyor. Tehlike türünü Zeus, Rovnix VBR, Banking Trojan şeklinde açıklayan Cyberoam mühendisleri yaptıkları duyuru ile kullanıcıları uyarmaya çalıştı.

CryptoLocker tarzında bir virus olduğunu belirten yetkililer tek farkın Upatre Malware virüsü içeren maillerde birde ek olduğunu açıkladılar.Daha önce CryptoLocker saldırısına maruz kalan bir çok kullanıcının dosyalarını kaybetmesi ile sonuçlanan serüven sanırım bu kezde Upatre Malware ile devam edecek.

Tcp ve Udp portları üzerinden istek göndererek kurban ip adresini takip edebilme ve yönetme özelliği bulunan virusun Vagomit.exe adında bir programla entegreli olabileceği şüphesi bulunmaktadır.

HTTP istekleri

URL: http://checkip.dyndns.org/
TYPE: GET
USER AGENT: Mazilla/5.0

URL: http://141.105.141.87:13839/0104us22/<MACHINE_NAME>/0/51-SP3/0/GKBIMBFIBL
TYPE: GET
USER AGENT: Mazilla/5.0

URL: http://editioncamelias.com/css/sdoc4.rtf
TYPE: GET
USER AGENT: Mazilla/5.0

URL: http://141.105.141.87:13838/0104us22/<MACHINE_NAME>/41/7/4/
TYPE: GET
USER AGENT: Mazilla/5.0

DNS istekleri

checkip.dyndns.org (216.146.38.70)
editioncamelias.com (94.23.6.64)

TCP bağlantıları

91.198.22.70:80
141.105.141.87:13839
94.23.6.64:80
141.105.141.87:13838

UDP iletişim

23.101.187.68:123

Dosya Detayları

En_en.exe md5sum 2f08aec7f64e4c5f25c218fdd77a0145
Sdoc4.rtf md5sum ebac7f259fc1397f3cdff65a4f7589d4

Yukarıdaki isteklere ve dns bilgilerine göre güvenlik duvarınızdan gerekli engelleme işlemlerini yaparak kullanıcılarınızı bu virusten uzak tutabilirsiniz.

upatre

 

Yukarıdaki resimde görüldüğü şekilde e-mailler göndererek kurban bilgisayara bulaşmaya çalışan virus kod parçacıklarını ve dosyalarını  C:DOCUME~1UserLOCALS~1TempVagomit.exe ve C:DOCUME~1UserLOCALS~1Temptemp15.pdf şeklinde gizlemeye çalışmaktadır.

Virustotal tarafından yapılan inceleme sonuçları aşağıdaki gibi olup halen daha bir çok antivirus programı tarafından tanınmamaktadır.

Virustotal

 

.exe ve .pdf uzantılarına bürünerek kendini gizlemek isteyen bu zararlı yazılımın ekran görüntülerinden birisi aşağıdaki gibidir.

pdf

 

Virüsü tespit eden ve gerekli önlemleri alan Antivirus programlarını kullanarak sisteminizi test edebilirsiniz.

BitDefender- Trojan.Agent.BITQ
ESET-NOD32- Win32/TrojanDownloader.Waski.F
Kaspersky- Trojan-Downloader.Win32.Upatre.vuw
Malwarebytes- Trojan.Email.FakeDoc
McAfee- Upatre-FAAR!2F08AEC7F64E
Microsoft- TrojanDownloader:Win32/Upatre
Panda- Trj/Genetic.gen
Sophos- Mal/EncPk-ANE
Symantec- Downloader.Upatre!gen9

Not : Virusten korunmak için geliştireceğiniz farklı yöntemler olursa ve bu bilgileri tarafıma iletirseniz konu altında farklı senaryolar ile korunma yöntemlerini kullanıcılarımıza iletebiliriz.

Umarım bilgilerin faydası olur.

İlk yorum yapan olun

Bir yanıt bırakın