Antivirüs yazılımları tarafından tanımlanamayan bir trojan loader mail yolu ile yayılmaya başladı. Türkiye kaynaklı olan malware kariyer.net'ten gelmiş gibi gözüken bir mail ile yayılmaktadır.
Rastlanma Tarihi: 14-12-2006
İlk Çözümleme Tarihi: 14-12-2006
Çözümleme Durumu: İlk çözümleme safhası

Yayılma yöntemi:
Zararlı dosya kariyer.net'ten gelen sahte bir email yoluya yayılmaktadır. Yakalanan örnek sahte e-mail; " nur_karayel@kariyer.net Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır" adresi ve "selam" subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna bağlı 88.233.33.192 ip'si ile gonderilmiştir.

Mail içeriği de şu şekildedir:

"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..

NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)

iyi calismalar dilegiyle.

Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."

İlgili resime tıklanıldığında, "www.freewebtown.com/nurkarayel/cv-resimlerim.zip" adresinden dosya indirme işlemi yapılmakta, indirilen zip dosyası içerisinde, kendini açan-çalıştırılabilir (self decompress-executable) dosya görüntüsündeki cv.exe dosyası bulunmaktadır.

cv.exe dosyası bir antivirus yazılımlarının halen tanımlayamadığı bir trojan loader olarak çalışmakta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak tanımlanan bir dosyayı yüklemektedir.

smss.exe dosyası keylogger, screen capturer, spyware-trojan loader olarak çalışmaktadır.

__________________
__________________________________________________ _________________________________

haber için teşekkürler

__________________

saolasın haber için.belli olmaz gelir melir

__________________
[Sadece Kayıtlı Kullanıcılar Linkleri Görebilir. Üye Olmak İçin Tıklayın...]

gelebilir elbet
kariyer net kullanicisi cok falza
belki bi göz atar aklinda bulunur

__________________
__________________________________________________ _________________________________

W32.Sober.X@mm worm’unun hayat döngüsünü ve nasıl ilginç işler çevirdiğini anlatmaya, biraz olsun bilgisayarınızda güvenliğe önem vermenizi sağlamaya çalışacağım. Ha, unutmadan, W32.Sober.X@mm tipi wormlar Linux dağıtımlarını etkilemiyor, haberiniz olsun
Neden W32.Sober.X@mm?

Çok özel bir sebebi yok, yalnızca biraz önce gelen bir epostada bu worm’a rastladım, Google’da search edip Symantec‘teki açıklamaları okudum, hoşuma gitti, ondan…
Hayat Döngüsü

Worm bir şekilde bilgisayarınız tarafından fark edilmezse, çalıştırdığınız zaman aşağıdakiler oluyor:

* Size WinZip Self-Extractor başlıklı, Error in packed Header yazan bir mesaj gösteriyor, sanki dosya bozukmuş da açılmamış gibi.
* Kendini %Windir%\WinSecurity\ dizinindeki csrss.exe, services.exe ve smss.exe dosyalarına kopyalar. Bu dosyalar görev yöneticisinde çalışıyor görünüyorsa korkmayın, çünkü aslında bunlar sistem dosyalarıdır ve System32 dizininde bulunurlar. Başka bir dizinde rastlarsanız muhtemelen worm ya da spyware’dırlar.
* Yine %Windir%\WinSecurity\ altında socket1.ifo, socket2.ifo ve socket3.ifo dosyalarını yaratırlar. Bu dosyalar zip olarak sıkıştırılmış biçimde worm’u içerirler.
* Aynı klasörde, eposta bilgilerini toplayacağında kullanacağı dli, ory, tst, run, tro uzantılı dosyalar yaratır.
* %System% klasöründe birkaç boş dosya yaratır, bu dosyalar eski Sober worm’larının çalışmamasını sağlar.
* mrt.exe ve asw*.tmp isimli processleri sonlandırır.
* İçerisinde microsoftanti, gcas, gcip, giantanti, inetupd., nod32kui, nod32., fxsbr, avwin., guardgui., aswclnr, stinger, hijack, sober, brfix, s_t_i_n, s-t-i-n geçen processleri sonlandırır. Bunlar antivirus ve worm yakalayan programlarının isimleridir.
* Eğer yukarıdaki programlardan herhangi birini sonlandırdıysa kullanıcıya Antivirus başlıklı, No Viruses, Trojans or Spyware found! Status: OK içeren bir mesaj gösterir.
* Norton LiveUpdate için özel önlemler alır. Her LiveUpdate çalıştırıldığında worm kendini aktive eder ve bağlantının durumuna göre LiveUpdate {Symantec} başlıklı Thank you for using LiveUpdate. All of the Symantec products and components are currently up-to-date. içerikli bir mesaj gösterir.
* Registry’i değiştirerek her windows açılışında kendini aktive eder.
* Windows XP SP2 yüklü bilgisayarlarda Windows Security Center‘ı disable eder.
* 6 Ocak 2006′da internetten birçok noktada bulunan bir exe dosyasının indirmeye başlar.
* Tabii ki tarihi değiştirip worm’un etkisinden yırtmamanız için tarihi internette birçok yerden kontrol eder.
* Bilgisayarınızda email adresleri bulunabilecek muhtemel dosyaları arar ve bulduğu mail adreslerinden bu kullanıcının adreslerini çıkarır
* İnternetteki birçok smtp sunucudan mesajlar göndermeye başlar. Gönderilen mesajlar şu şekildedir:
Konu: Your Password | Registration Confirmation | smtp mail failed | Mail delivery failed | hi, ive a new mail address | You visit illegal websites | Your IP was logged | Paris Hilton & Nicole Richie
Mesaj: Konuya uygun mesajlar. Mesela Paris Hilton örneğinde “fotolar ve videolar için download manager’ımızı indirin!” tarzı
Ekli dosyalar: reg_pass.zip | reg_pass-data.zip | mail.zip | mail_body.zip | mailtext.zip | list[RANDOM CHARACTERS].zip | question_list[RANDOM CHARACTERS].zip | downloadm.zip
Worm içeren dosya: File-packed_dataInfo.exe
* Tabii ki bu mail sizin arkadaşlarınızdan birine ulaşınca aynı döngü başa dönecektir…

Sonuç, aldığımız ders

Sadece 55 kilobaytlık bir worm dosyası bu kadar sisteme hükmedebiliyor, kendi kendine yayılabiliyor, antivirüs programlarını alt edebiliyorsa şunları düşünürüm:

* Bizim yaptığımız programcılık değil, adamlar 55 KB‘a neler sığdırıp neler neler yapıyorlar…
* Windows asla güvenli bir işletim sistemi değildir. Sistem dosyalarının bu kadar rahat değiştirilmesine göz yumuyorsa, service pack’lerinin hakkından kolayca gelinebiliyorsa, her an update edilen sağlam bir antivirüs programıyla ve sağlam bir firewall’la bile desteklendiği zaman bile güvenlik hâlâ şans işiyse, Windows bir işletim sistemi bile olamaz. (win95′i filan düşünemiyorum bile…)
* “Eğer smss.exe diye bir dosya çalışıyorsa ve System32 klasörünüzde bulunuyorsa hemen sonlandırın ve dosyayı silin” gibi mailler alıyorsanız hemen inanmayın. Yukarıda belirttik, bu bir sistem programıdır ve bu tarz programları silivermek problemler yaratır. En azından bir google search yapın, işin aslını anlayın. Maili gönderen adamın da bilgisayarını camdan aşağı atın Hatta tüm mail forward’layan arkadaşlarınıza aynı işlemi uygulayın

Windows kullanıyorsanız

* Windows update‘leri unutmayın.
* Antivirüs programı kullanın ve sık sık güncelleyin.
* Firewall kullanın, update’lerini yapın ve verdiği uyarıları dikkate alarak iletişimlere onay verin.
* Maillerde gelen .vbs, .bat, .exe, .pif ve .scr dosyalarını açarken değil 2, 10-15 kere düşünün. Hatta hiç açmayın, mail en yakınınızdan bile geliyor olsa kendinizi mail sanki hiç gelmemiş gibi hayal edin.
* Yavaş yavaş daha güvenli programlar kullanmaya başlayın. Misal: Mozilla Firefox

Linux kullanıyorsanız

* İstediğiniz eki rahatlıkla açabilir, halinize şükredebilirsiniz

__________________


ÇookK oluyozZZ

-*-*-*-*-*-*-*-*-*-*-*-*-*-

BAYRAĞIMIZA VE VATANIMIZA
sahip çıkalım.

Gidilecek Başka bir Türkiye YOK !