Sektörün öncü firmalarından birisi olan Symturk firmasının Flash Güvenlik bülteni başlığı ile ilettiği mesajı sizlerle paylaşmak istedik. 1 Aralık 2014 günü FBI (A.B.D. Federal Araştırma Bürosu) “Backdoor.Destover” olarak adlandırlan çok tehlikeli bir zararlı yazılım ile ilgili bir flaş uyarı bülteni yayınladı. Geniş bir yelpazedeki kurumsal ağları hedef alan bu zararlı yazılım bulaştığı bilgisayarda Master Boot Record (MBR – Ana Önyükleme Kaydı) alanını silerek bilgisayarı kullanılamaz ve verileri ulaşılamaz hale getirmektedir.
“Backdoor.Destover” dikkat çekecek ve önemli hedeflere karşı kullanılan ve kimin yazdığını henüz bilminmeyen bir zararlı yazılımdır. Bu zararlı yazılımın henüz duyulmuş kurbanları olmasa bile, geçtiğimiz hafta SONY firmasına karşı düzenlenen saldırıda kullanıldığı düşünülmektedir.
- Zararlının ilk bileşeni “diskpartmg16.exe” henüz bilinmeyen bir yöntemle hedef bilgisayara bulaştırılıyor. Saldırganların bulaştırma işlemini oltalama saldırısı (phishing) veya normal internet kullanımı sırasında (“drive-by-download”) ile gerçekleştirdiği düşünülmektedir. İlk bulaştırma işlemi konusunda araştırmalar devam etmektedir.
- Zararlı yazılımın bileşeni çalıştırıldığında kendini, -K komut satırı argümanını kullanarak, bir servis (“WinsSchMgmt”) olarak sisteme yüklemektedir. Bu işlemden sonra –S komut satırı argümanını kullanarak kendini bir kez daha çalıştırmakta ve sonlandırmaktadır.
- “WinsSchMgmt” servisi –S parametresini aldıktan sonra son derece tehlikeli olan “igfxtrayex.exe” ve “net_ver.dat” dosyalarından oluşan (Wiper) zararlısını indiriyor ve igfxtrayex.exe’yi çalıştırıyor.
- “Net_ver.dat”, kurbanın makine adı (hostname), IP adresini, ve 2 rakamını içeren (HOSTNAME|IPAddress|2) bir konfigürasyon dosyası. dosyası bir konfigürasyon dosyasıdır. Daha sonra 139 ve 445 portları üzerinden ağ bağlantısı kurmaktadır, bu özelliği solucan (worm) benzeri yeteneklerinin olabileceğinin bir göstergesidir.
- “WinsSchMgmt” tarafından çalıştırılan “igfxtrayex.exe” dosyası, kendini kopyalıyor. Bu kopya 10 dakika bekledikten sonra “taskhostXX.exe” (buradaki XX rastgele belirlenen ASCII karakterlerdir) adıyla 3 dosya içerisine kendini 3 kez kopyalıyor.
- Bu kopyalar kendi içlerinde bulunan sabit iletişim bilgilerini kullanarak 8000 ve 8080 portları üzerinden komuta sunucularıyla iletişim kurmaktadır. Önceden belirlenmiş IP adreslerden birine ulaşamazsa bir sonrakini deniyor.
- Komuta sunucularından hiç birine bağlanamazsa “cmd.exe/c net stop MSExchengeIS /y” komutunu çalıştırıp zararlının 2 saat uyumasını sağlıyor. 2 saatin sonunda bilgisayar yeniden başlatılıyor.
- Zararlı daha sonra “usbdrv3_32bit.sys” ve “usbdrv3_64bit.sys” sistem dosyalarını igfxtrayex.exe’nin 0X81 ve 0X83 bölümlerinden indiriliyor. Zararlı yazılım Windows 2000, XP, 2003, Vista ve 2008 (32 bit) için ticari olarak satılan bir yazılıma ait olan bu .sys dosyalarını kullanarak dosyalara ve disk alanlarına erişip okuma/yazma işlemlerini gerçekleştiriyor.
- “Igfxtrayex.exe” bu .sys dosyalarını kullanarak MBR kayıtlarının üzerine veri yazıyor.
Yukarıda da belirtildiği gibi virüs oldukça tehlikelidir. Bireysel kullanıcılarının da antivirüs programlarını güncellemeleri korunmak için şuan en önemli işlemdir. Virüslerle ilgili yaşadığınız her türlü sorun için İndirKaydol “Virüs Uzmanı”ndan yardım isteyebilirsiniz.