Bir malware'in izlerini sürmeye ne dersiniz?

Bir blog yorumundan yola çıkarak profesyonel bir zararlıyı adım adım takip etmeye ne dersiniz?

Malware'in ayak izleri

Blog'lar günümüzde artık birçok kişi tarafından kullanılıyor ve bu bloglar sayesinde insanlar, kendi görüşlerini ve yorumlarını dünyanın öbür ucundaki insanlarla en kolay şekilde paylaşabiliyor.

Fakat blog sahibi hemen herkes blog spam'ını da fark etmiştir.Bloglara yapılan yorumlar blogcular için son derece önemlidir; ne de olsa bu yorumlar sayesinde blog yazarları okurlarının ilgili yazıyla ilgili ne düşündüğünü öğrenme fırsatını yakalar ve gelen öneri ve eleştirilere göre yeni yazılarına şekil verir. Oysa gelen yorumlardan bazıları gerçekte bir yorum bile değildir ve sahte bir yorum kılığına bürünen bu tür spam'lar insanları farklı web sitelerine yönlendirirler.

Çoğu zaman reklamı yapılmakta olan siteler arama motoru derecelendirmesinde üst sıralara çıkar ve bu sayede daha fazla reklam geliri elde edilebilir. Bir web sitesine yönlendiren linklerin sayısının fazla olması arama motorlarının da bu siteyle daha yakından ilgilenmesi anlamına gelir.

Blog spam'ları da bu nedenle arama motorları derecelendirmesinde daha iyi bir noktaya çıkabilmek için iyi bir çözüm olarak görülür, ancak bazı durumlarda bunun yararından çok zararı görülür.

Şimdi isterseniz blogger Jesper M. Johansson'ın ağzından bir malware'in ayak izlerini adım adım takip edelim.

Blog'a gelen sahte yorumlar

Blog'a gelen sahte yorumlar

Birkaç hafta önce, bana sinsice zarar veren bir şey fark ettim. Ardından blogumda bulunan tüm yorumları gözden geçirdim. Çalışmalarımı çalan sitelerden korunmak içinse arama motoru derecelendirmede en üst seviyede kalmaktan kaçındım. Ancak bir sonraki gün yorumdan ziyade Google etiketli sahte bir link içeren bir yazıyla karşılaştım: google-images.google-us.info/index.html.

Bu durum elbette bana çok şüpheli göründü ve bu nedenle bu linki bir yere not ettim. Ardından geçen birkaç hafta sonra, bu linklere benzer linkleri daha fazla almaya başladım; ama bu sefer sadece Google etiketli değildi gelen sahte linkler: Yahoo ve MSN de listeye eklenmişti.

Dikkatimi çeken bir diğer nokta ise bu sahte sitelerin beni göndermek istediği sunucular da yapıları itibariyle benzer nitelikteydi: google-homepage.google-us.info, msn-us.info, yahoo-us.info gibi. Bu sahte linklerin yer aldığı yorumlar ise hep aynı IP adresine aitti: 124.217.253.8. Bu IP adresiyle ilgili bir araştırma yaptığımda ise bu adresin Singapur'da bulunan Piradius.net'e ait olduğunu fark ettim. Kuala Lumpur kaynaklı olduğunu düşündüğüm bu sunucuların yanında domain'lerin ise Ukrayna'da kayıtlı olduğunu öğrenmem çok sürmedi.

Registrant Name: ermua

Registrant Organization: santa banta

Registrant Street1: lenina str. 43/67

Registrant City: Kiev

Registrant State/Province:

Registrant Postal Code: 0444

Registrant Country: RU

Registrant Phone: 044.763238

Registrant Email: [email protected]

Domaintools.com adresi de bu bilgiyi doğruladı neticede. Bunu gördükten sonra ise bu sitelerin ne yapmak istediklerini öğrenmeye karar verdim.

Sahte web sayfalarına ait linkler

Sahte web sayfalarına ait linkler
Figür-1

Bu gibi ayrıntılara dikkat etmeyen potansiyel bir kurbanın yapacağı ilk şey tahmin edeceğiniz gibi bu sitelere direkt olarak tıklayarak girmek olurdu. Yaptığım testlerim için www.msn-us.info adresini kullandım. İlk testimi ise Vista altında gerçekleştirdim ve ardından resimde (Figür-1) gördüğünüz uyarıyı aldım.

Sanal makinem Windows Vista'yı çalıştırıyordu; oysa popup XP ismini taşıyordu. Kapatıldığında ise, söz konusu popup artık bir popup olmaktan çıkmıştı ve tüm sayfa sadece, bir dosyayı indirmek için link verilmiş bir resimden oluşuyordu.

Ekran görüntüsündeki popup'tan önce de aslında ekranda bir tane daha vardı. Bu görüntü ise bilgisayarınızda bir virüs taraması yapıyormuş gibi görünen bir GIF dosyasıydı.

Şimdi ise artık www.msn-us.info adresinde değiliz; yeni adres: virus-securityscanner.com. Blog yorumlarına linki bulunan sitelerin herhangi bir tanesine giriş yaptığınızda bir dosya indirmeye başlıyorsunuz ve ardından da bu site sizi http://vifrus-securityscanner.com/2008/3/freescan.php?aid=880421 adresine yönlendiriliyor.

Aslında bir şey çok açık: Tüm bu sitelerin arasında bir bağlantı bulunuyor ancak farklı görünümlerle karşımıza geliyorlar. Virus-securityscanner.com'un sunucu kaynağı ise Pennsylcania'daki bir ISP'de görülüyor. Ancak bu yazıyı kaleme alırkenki süreçte Virus-securityscanner.com olan sitenin ismi aradan geçen kısa bir sürenin ardından virus-onlinescanner.com oluveriyor.

Amaç size malware dosyasını indirtmek

Amaç size malware dosyasını indirtmek
Figür-2

Başlangıca döndüğümüzde, ilk olarak www.msn-us.info adresine girdiğimde ise, resimde gördüğünüz bir uyarıyı ekranımda görüyorum. Elbette bir malware konusunda uyarılmam hoş bir şey; bunun yanında malware'lerle ilgili tüm problemleri çözmem için bana seçenekler sunması da bir diğer takdir edilesi olaydı.

Figür-2'de gördüğünüz pencerede OK butonuna bastığınızda ise yeni pencereyle karşılaşıyorsunuz: XP antivirus, tehditlere karşı sisteminizi taramadan geçirmek istiyor ve bunun için yapmanız gereken şey ise sadece OK butonuna basmak ve olacakları izlemek.

Eğer resimde gördüğünüz pencere ekranınıza geldiğinde Cancel butonuna tıklasaydık, o taktirde direkt olarak sahte olan bir anti-malware programını indirmek için yönlendirilecektiniz.

Aslında 'XP antivirus sisteminizi tehditlere karşı tarayacak' içeriğine sahip pencere karşınıza geldiğinde bir kaynaktan dosya indireceğini aşağı yukarı tahmin edebiliyorsunuz. Bu penceredeki OK'a bastıktan sonra ise bir önceki sayfamızda yer alan Figür-1'dekine benzer bir uyarı alıyoruz. Vista'da bu malware'nin yüklenmesi mümkün olmadığından testime XP altında devam ediyorum.

Geri dönüşü olmayan yol

Geri dönüşü olmayan yol
Figür-3

Karşıma gelen bu uyarı penceresi de popup3.gif isimli bir GIF resim dosyası. Söz konusu sayfanın her yeri bu GIF dosyası da dahil olmak üzere bir link içeriyor:

function onloadExecutable()
{
dat=new Date(1214372723);
var dlth=dat.getHours()-dat.getUTCHours();
rrc = 1;
location.href="../_download.php?aid=880421&dlth="+dlth;
};

Oldukça karışık görünen bu yapının ana amacı belli aslında: Sizin istedikleri bir dosyayı indirmeniz. Bu popup3.gif dosyasının en ilginç yanı ise sahte 'kapat' butonunun aslında özel bir uyarı penceresine sizi yönlendirmesi. Bu butona tıklarsanız, Figür-3'deki uyarıyı almanız kuvvetle muhtemel.

Bu pencerede 'OK' butonuna basarsanız, onloadExecutable() fonksiyonu devreye girecektir. Cancel'a bastığınızda ise başka bir uyarı alacaksınız. 'Harmful and malicious software detected. These programs may damage your computer' şeklindeki bir uyarı penceresini gören kullanıcılar, bu pencerede sadece OK tuşuna basabiliyorlar; başka alternatifleri yok. Penceredeki kırmızı X butonuna tıklasanız da bir şey değişmiyor.

Bu nedenle ne yaparsanız yapın, bir dosya indirmeniz kaçınılmaz gibi görünüyor. Bu dosya ise http://virus-securityscanner.com/2008/download/XPantivirus2008_v880421.exe. Linkin v880421 olan parçasının sahte bir sürüm numarası olduğunu da söylemek mümkün.

Dosyanın indirilmesinin ardından,bu dosyayı dosyalar üzerinde talebe göre tarama işlemi yapan virustotal.com adresine gönderdim ve malware uyarısını da aldım.

Lisans anlaşmasındaki ufak ayrıntı

Lisans anlaşmasındaki ufak ayrıntı
Figür-4

Dikkatle bakıldığında, bu malware'nin oldukça profesyonel bir yapıda olduğu söylenebilir; zira Figür-4'e de baktığınızda, karşınıza gelen pencerenin Windows logolu bir yükleme penceresi olduğunu kolayca görebilirsiniz.

Bu yükleme penceresinin ardından ise karşınıza gelen 'Terms and Conditions' yani lisans anlaşması sayfasının profosyonel bir elden çıktığını sanabilirsiniz; çünkü bu sayfayı gerçeğinden ayırmak son derece güç. Aslında lisans anlaşmaları genelde ticari kaygısı olan yazılımlarla ilgili beklentileri kullanıcılara açıklar. Oysa karşınıza gelen bu lisans anlaşması daha çok yazılım yerine web sitesi üzerine odaklanmış durumda.

Bunun yanında anlaşma sayfası aynı zamanda başka bir yardımcı siteye de link veriyor ve kullanıcıları bu linke yönlendiriyor. Mazeret ise bilindik tarzda: Yüklediğiniz bu programla ilgili online destek almak istiyorsanız bu adres size öneriliyor.

Ancak bunun malware olduğunu bilince iş komik bir hal alıyor haliyle. Bu sayfaya girdiğinizde yükleyeceğiniz yazılımın fiyatıyla ilgili ayrıntılara da ulaşıyorsunuz. Sitede yer alan destek forumlarında yer alan malware listesinde ise şunlar yer alıyor: Antispywareboss.com, antivirus-2008-pro.com, securityscannersite.com, winantispyware2008.com, xpsecuritycenter.com, W32.Trojan.Downloader.s.

Sahte Windows Güvenlik Merkezi

Sahte Windows Güvenlik Merkezi
Figür-5

Eğer bu yazılım için gerçekten ödeme yapmak istiyorsanız, site sizi direkt olarak https://secure.software-payment.com adresine yönlendiriyor. Bunun yanında sitenin sunucusu da Barbados ülkesine ait.

Ürünün fiyatı ise 49.95 USD. Ancak bu yazılıma kayıtlı kullanıcı oluyorsanız, bunun dışında yazılım, sizi sadece 39.95 Dolara File Shredder 2008'e güncelleme konusunda teklifte bulunuyor. Ancak bu güncellemenin verilerinize nasıl zarar verdiği belli değil. Ancak şu bir gerçek ki sitenin amacı sizin hem paranızı hem de kimliğinizi çalarak, verilerinizi size 'çaktırmadan' yok etmek.

Ayrıca Premium destek için de 24.95 doları gözden çıkarmanız gerekiyor.

Yükleme işleminin ardından Windows Security Center sizi karşılayacak. Ancak bu pencerenin gerçek Windows Security Center ile uzaktan yakından bir ilgisi yok; fakat bu pencereyi gerçeğinden ayırmak da hiç kolay değil. Dikkat edildiğinde, gerçek olanının anti-virüs programı olarak malware kontrolü gibi bir fonksiyonunun olmadığı ortada. Bunun yanında 'Öneriler' yani 'Recommendations' link'i de sizi sahte bir anti-malware yazılımını satın almanız yönünde yönlendiriyor; yani buradan da bu pencerenin sahte olduğunu anlayabilmek mümkün. Gerçek olanda ise söz konusu link sizi doğrudan anti-malware edinmek için gereken noktaların anlatıldığı bir 'yardım dosyasına' yönlendiriyor.

Sahte Windows Security Center'ı (Windows Güvenlik Merkezi) gerçeğinden ayırmanın bir diğer yolu da Başlat/Denetim Masası yolunu izlemekten geçiyor: Dikkat edileceği gibi denetim masasına girildiğinde 'Security Center'ın da bu bölümde yer aldığını görüyorsunuz. Ancak hemen altında (harf sırasına göre) Windows Security Center da bulunuyor. Yani görüldüğü gibi ikisinden birinin sahte olduğu açık ve sahte olanının da 'W' ile başlayanı olduğu ortada.

Hacker'ın bozuk İngilizcesi

Hacker'ın bozuk İngilizcesi
Figür-6

Bunun yanında sistem çubuğunda yer alan söz konusu malware'nin farklı uyarılara sahip olduğu ilk bakışta dikkati çekiyor. Ve bir diğer önemli nokta da buraya kadar bu malware'nin kusursuz bir İngilizce'ye sahip olmasıydı. Yani İngilizce öyle mükemmel bir şekilde kullanılmıştı ki, gerçeğinden bu sahte olanını ayırt etmek de haliyle kullanıcılar için pek kolay değildi.

Ancak sistem çubuğunda yer alan uyarılarda İngilizce dil bilgisine gereken özen gösterilmemiş; yani öncekilerin aksine sistem çubuğundaki uyarılarda, birçok dil bilgisi hatasına rastlayabilmek mümkün.

Ancak aradan bir süre geçtikten sonra yeni bir popup ekranıyla karşı karşıya kalmanız çok sürmüyor. Bu pencerede dikkati çeken en önemli husus ise yazılımınızın güncellenmesi gerektiğine dair bir uyarı içeriyor olması. Güncelleme de elbette belirli bir ücretle yapılabiliyor.

Malware'lere elveda

Malware'lere elveda
Figür-7

Son olarak ise bu malware'yi sistemimden kaldırıp kaldıramayacağımı denemeye karar verdim. Kaldıramasam bile en azından bu yazılımın bir malware olduğunu görmek istiyordum. Microsoft Malicious Software Removal Tool ile bunu denediğimde maalesef başarısız oldum.

Ancak neyse ki sistemimde kurulu olan diğer anti-malware yazılımı (AVG) işe yaradı ve yaptığım tarama neticesinde Figür-7'de gördüğünüz uyarıyı almam çok sürmedi.

Bunun yanında AVG, bu malware'nin sistemime yüklediği diğer yüklü vektörleri de tek tek kaldırdı ve neyse ki tüm malware'lerden bu sayede kurtulmam mümkün oldu.

Sonuç: Malware'ler artık çok daha profesyonel

Sonuç: Malware'ler artık çok daha profesyonel

Sonuç itibariyle oldukça rahatsız edici olan bu malware serüveni bu şekilde sona erdi. Ancak bir şeyi çok iyi biliyoruz ki, kullanıcıların çoğu bu gibi ayrıntılara asla dikkat etmiyor ve kendini gerçek bir Windows uygulaması olarak gösteren bu gibi malware'ler kullanıcıların aklını kolayca çelebiliyor.

Bu gibi yazılımlar sadece kullanıcıların verilerini çalmakla kalmıyor, kimlik hırsızlığı da dahil olmak üzere kullanıcıların paralarına da göz dikiyor.

CHIP Online yorumu:
Günümüzde internet üzerinde dolaşan malware'lerin artık büyük bir kısmı profesyonel bir şekilde hazırlanıyor ve kullanıcılar, bu malware'lerin zararını görene kadar durumun farkına maalesef varamıyorlar.

Ancak bu yazıda geçen amansız takibi okuduktan sonra bir kez daha anlıyoruz ki kullanıcıların internette bulunan sayısız tehlikeye karşı son derece bilinçli olması şart.

Okuyucu Yorumları