Win32/AutoRun.IRCBot Virusünden Korunma

irfanCyberoam, Güvenlik0 Yorum24 Mayıs 2015

Cyberoam Tehdit Araştırma Labaratuvarı tarafından yapılan incelemelerde internet kullanıcılarının yeni bir irc chat virüsü ile karşı karşıya geldiklerini resmi sitelerinden duyurdur.Yapılan incelemelerde Variant.Symmi ismini taşıyan malware türevi virüsün tüm windows sistemlerini etkileği tespit edilmiştir.Bu zararlı yazılım taşınabilir diskler yada download şeklinde kullanıcı bilgisayarlarına bulaşmaktadır.

Web tarayıcıların açıklarını kullanan zararlı yazılım kullanıcı bilgisayarına otomatik olarak indirilip aynı şekilde çalışarak saldırganın bilgisayara müdahele etmesine ve yönetmesine yardımcı olmaktadır.Saldırganın ActiveX denetimleri ve web browser eklentileri üzerinden spam e-posta gönderimi ve Ddos (Distributed Denial-of-Service) atakları yapmasına olanak sağlanıyor.Yani eğer bu virus bilgisayarınıza bulaşmış ise sizin haberiniz olmadan dış ip adresiniz kullanılarak toplu e-posta gönderimi ve farklı adreslere saldırılar yapılmaktadır.

Not : Resimleri büyütmek için üzerine tıklayınız.

Dosya Detayları :
Dosya adı : up.exe
md5sum: d3637696af867b9237b60fe5294cbd18
SHA256:59d8d831712350dab4f7301334b30fe7cfd14e47bdf2142b7129983403d5d472

Cyberoam tarafından virustotal üzerinde yapılan incelemede up.exe dosyasının %80 lere varan zararlı içerik barındırdığı gözlemlenmiştir.Antivirus geliştiricileri tespit edilen virus için yeni güncellemeler hazırlamaktadır.

virustotal2

 

Kullanıcıdan habersiz olarak bilgisayarına indirilen bu .exe uzantılı dosyayı kullanan saldırganlar kurban bilgisayara yeni krw.exe isimli dosyayı kurban bilgisayara  indirerek saldırılar için alt yapı oluşturmaktadır.

binary1

 

İndirilen .exe uzantılı dosya kendine yeni bir arkadaş daha çağırarak isim değiştirme yöntemi ile kendini gizler ve %temp% klasöründe barınır.Aşağıdaki resimde de göreceğiniz gibi karmaşık isimler alan bu dosyayı tanımlamak kullanıcılar tarafından biraz zor olmaktadır.

svgniltsbk

 

Karmaşık isim yapısı kullanan bu dosya otomatik çalışma özelliğine sahip olduğu için kurban bilgisayardaki yerini aldıktan sonra uzak irc sunucusuna bağlanmaya çalışır.

irc-server2

 

İrc sunucusuna bağlantı işlemi gerçekleştirildikten sonra bot tarafından gönderilen isteklere hizmet etmek için hazır hale gelmiş olur.Saldırganın göndereceği tüm SMTP ve IP/Domain bazlı saldırı komutlarına cevap vererek kurbanı istem dışı olarak saldırı gerçekleştirmeye zorlar.

smtp-server2

 

Testler sırasında tanımlanmış server listeleri aşağıda yer almaktadır.

cinthyz.tumblr.com
sarahmilespoetryandprose.tumblr.com
deanartmanni.blogspot.com
chmop.skyrock.com
le-clan-kog.skyrock.com
team-kog-cod6.skyrock.com
helicow.olympiqueforum.com
pencilteststudios.com
kognederland.wordpress.com
kmvsansthan.com
peebles.boatverse.com
airs-kmv.ya.ru
kookieblehhh.tumblr.com
capetocape.blogspot.com
warmy-sun.blogspot.com
mikelouth.co.uk
artistesconseils.fr
marygrace-heenimkim.blogspot.com
tesa11.livejournal.com
jsportsnow.com
endouyumi.tumblr.com

predefined2-server1

 

predefined2-server2

 

Tehtidin ortaya çıkması ile Cyberoam tarafından IPS ve antivirus veri tabanları güncellenerek kullanıcılara bu güncellemeler otomatik olarak gönderilmiştir.Eğer kullanmakta olduğunuz Cyberoam güvenlik duvarınızda servislerin otomatik güncellemeleri kapalı ise bu güncelleme işlemini manuel olarak yapmalısınız.

Şuana kadar 11 antivirus programı tarafından tespit edilen zararlı içerik için gerekli güncellemeler yapılmıştır.Antivirus programınızı güncelleyerek sizde bu zararlı içeriğe karşı bilgisayarınızı koruyabilirsiniz.

Kaynak : Cyberoam Blog

Etiketler: , , ,

Win32/AutoRun.IRCBot Virusünden Korunma Hakkında Yorum Yaz

Yorum yapmak için giriş yapmalısınız.

Sponsor Reklam Sponsor Reklam Sponsor Reklam Sponsor Reklam
Cyberoam Captive Portal Kaldırma

Cyberoam Captive Portal Kaldırma

Merhaba ; Googlede Cyberoam ile ilgili kelimeleri ararken en çok

irfan8 Yorum17 Aralık 2015
Cyberoam SSL VPN Kurulumu

Cyberoam SSL VPN Kurulumu

Merhaba ; Cyberoam güvenlik duvarının en çok tercih edilme nedenlerinden

irfan7 Yorum7 Mayıs 2015
Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam Transparent Authentication Suite (CTAS) :  Şeffaf kimlik doğrulama sistemi

irfan6 Yorum31 Mayıs 2015
Cyberoam DHCP Kuralı Oluşturma

Cyberoam DHCP Kuralı Oluşturma

Merhaba ; Bu makalemizde güvenlik duvarı üzerinde dhcp oluşturmayı elimden

irfan5 Yorum23 Nisan 2015
Cyberoam Log Viewer Nedir?

Cyberoam Log Viewer Nedir?

Cyberoam Firewall bir çok işlemi yönetim panelinden extra bir cihaz

irfan4 Yorum3 Ekim 2015
WannaCry Nedir , Nasıl Engellenir?

WannaCry Nedir , Nasıl Engellenir?

Cryptolocker ve benzeri fidye yazılımı özelliklerini içinde barındıran WannaCry şifreleyici

irfan0 Yorum14 Mayıs 2017
Cyberoam ile  DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam ile DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam güvenlik duvarının en önemli modüllerinden birisi olan IPS modülü

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği kişi ve kurumları ilgilendirdiği kadar yasal zorunlulukları

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği Nedir

Kurumsal Bilgi Güvenliği Nedir

Son zamanlarda sıkça karşımıza çıkan Bilgi güvenliği , kişisel verileri

irfan0 Yorum27 Mart 2017
Sophos Intercept X (Anti Fidye Yazılımı)

Sophos Intercept X (Anti Fidye Yazılımı)

Sophos tarafından yeni nesil uç nokta güvenlik çözümü olarak geliştirilen Intercept

irfan0 Yorum17 Ekim 2016
Sera Sistemleri
Merhaba, Faydalı bir bilgi paylaşımı olmuş. İşime yaradı. Teşekkürler. İyi çalışmalar
Ayna
Makaleniz için teşekkür ederim, çok faydalı bilgiler teşkler.
irfan
Merhaba , Hattınızda Load Balance varsa bu söylemiş olduğunuz sitelere girişlerde sorun yaratabilir.Eğer hatta load balance yoksa sorun…
cemal
Merhaba, Kurumumuzda server alt yapısında cyberoam firewall bulunmaktadır. Fakat bundan 2 3ay öncesine kadar biruni.tuik.gov.tr ve 2…
irfan
Merhaba ; Active directory üzerindeki kullanıcıların logon ve logoff bilgilerini firewallun çekebilmesi için control panali/administary tools/ local security policy/…

Sponsonr Reklamlar