Friday, July 25, 2008

Fake Milliyet Browser - Sanal Klavye kaydedicisi

Bugun doctus.org sitesinde karşılaştığımız bir haber ilgimizi çekti. Haberde Türkiye’nin en popüler download sitelerinden olan inndir.com da Milliyet EmlakBrowser adı altında bir tarayıcı dagıtıldığını ve bu tarayıcıda tanımlanmamiş bir virüs olduğu yazıyordu.

Program'ın acıklamasında ise emlakcıların bu browser ile özellikle emlak sayfalarını daha hızlı görünteleyebileceği vaad ediliyor.

Detayli bilgiye ulaşmak için sözkonusu tarayıcıyı indirip laboratuvarımızda incelemeye aldık.

Karşılaştığımız sonuçlar çok ürkütücüydü. Sonuçları aşağıda not ettik.
İlgili program açıldığı anda kullanıcının anlamaması için fake bir browser gösteriyor, arka planda gizlice kalvyeyi ve ekranı izlemek için iki ayrı komponent yüklüyordu.

Keylogger komponenti klavyeden tum basılan tuşları bir text dosyasına kaydediyor, ekranı izleyen komponent ise sadece https:\\ ile başlayan ssl'in aktif olduğu sitelerdeki mouse tıklamalarının 40X40 px yani aşagı yukarı 1cm kare civarında olacak şekilde ekrandan fotoğraflarını çekiyordu. Durum böyle olunca sadece sanal klavye tıklamalarını değil, sayfadaki diğer tıklamalarında resmini çekiyordu. Çok fazla resim çekildiğinden kaplayacağı yerde büyüktü. Bu durumun önüne geçmek için jpeg teknolojisi kullanılarak resimlerin boyutları küçültülüyor. Daha sonra klavye kayıtları ile beraber arşivlenip uzaktaki ftp sunucusuna yollanıyor.

Bağlantıları dinlediğimiz için doğal olarak ftp'ye girmek için kullandığı şifreye de ulaştık ve saldırganın ftp'sine yeni bilgilere ulaşmak için girdik. İçeride karşılaştığımız durum dahada korkutucuydu. Farklı kullanılardan çalınmış binlerce şifre dosyası.

Zararli çok yeni olduğu için AntiVirus'ler tarafından ilk çıktığında tespit edilememiş bu yüzden bir çok kullanıcı zararlıdan etkilenmiştir. Aylardır Sezgisel Savunmanın öneminden bahsediyoruz. Kullanıcılar eğer sezgisel koruma modülleri olan güvenlik programları kullanmış olsalardı zararlıyı ilk çıktığı anda yakalayıp etkilenmeyeceklerdi. Zemana AntiLogger kullanıcıları sözkonusu zararlıdan etkilenmediler. Benzer zararlılarda da etkilenmeyeceklerdir. Buradan kullanıcılara bir kez daha sesleniyoruz. Bilgi güvenliğinizi hedef alan bu ve benzeri saldırılardan korunmak istiyorsanız ; bilgisayarlarınıza sezgisel koruma modülleri olan sizi anında koruyacak güvenlik programları kurumanızı öneririz.

Programın bundan sonraki yayılışını durdurmak için programın yüklü olduğu hosting firmaları,inndir.com ve milliyet.com ile irtibata geçtik. Umarız en kısa zamanda daha fazla kişiye bulaşmadan yüklü olduğu yerlerden kaldırılır.

Download.com ,inndir.com gibi download sitelerindeki editörlerde kendilerine gönderilen dosyaları en güncel AntiVirüs’ler ile test ediyorlar ancak yeni yazılan bir zararlı AntiVirus veri tabanında olmadığı için temiz sanılıp ürün listesine alınabiliyor. Zaten bu tür sitelerin sözleşmelerine bakarsanız dosyaların %100 temiz olacağı garantisi verilmiyor ve verilemezde.
Eğer bu programı bilgisayarınıza yükledi iseniz aşağıdaki yönergeleri izleyerek kaldırabilirsiniz.
Aşağıdaki uygulamaları sonlandırın ve dosyaları silin.

%SystemRoot%\twain_32\lsass.exe
%SystemDrive%\Program Files\Internet Explorer\PC\csrss.exe
%SystemDrive%\Program Files\Internet Explorer\PC\smss.exe
%SystemDrive%\Program Files\Internet Explorer\PC\KeyHook.dll
%SystemDrive%\Program Files\Internet Explorer\PC\MouseHook.dll
%SystemDrive%\Program Files\Internet Explorer\PC\loaderrors.txt
%SystemDrive%\Program Files\Internet Explorer\PC\img\*.jpg

İlave olarak aşagıdaki kayıt defteri anahtarlarınıda silin.

HKEY_LOCAL_MACHINE\SOFTWARE\doctus\tansu2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\srlabsp

Sonra bilgisayarınızı yeniden başlatın. Ve öncelikli kredi kartı şifreleri olmak üzere tüm şifrelerinizi bir an önce değiştirin.

Not: Trojan'i kodlayan saldırgan, dosya ve kayıt derteri isimlerinde bilindik güvenlik sitelerini ve yöneticilerinin isimlerini kullanmış.




3 comments:

  1. Tansu arkadaşımız da meşhur oldu bu arada :D

    Teşekkürler analiz için Zemana! ^_~

    ReplyDelete
  2. Yazıdaki resim gerçekten ürkütücü, resimdeki ufak tuşlar hangi sanal klavye'ye ait?

    ReplyDelete
  3. antiloger Fiyatı çok pahalı daha makul olması lazım herkes kullanabilsin.

    ReplyDelete