Bir malware'in izlerini sürmeye ne dersiniz?

Bir blog yorumundan yola çıkarak profesyonel bir zararlıyı adım adım takip etmeye ne dersiniz?

Adım adım malware takibi

Blog'lar günümüzde artık birçok kişi tarafından kullanılıyor ve bu bloglar sayesinde insanlar, kendi görüşlerini ve yorumlarını dünyanın öbür ucundaki insanlarla en kolay şekilde paylaşabiliyor.

Fakat blog sahibi hemen herkes blog spam'ını da fark etmiştir.Bloglara yapılan yorumlar blogcular için son derece önemlidir; ne de olsa bu yorumlar sayesinde blog yazarları okurlarının ilgili yazıyla ilgili ne düşündüğünü öğrenme fırsatını yakalar ve gelen öneri ve eleştirilere göre yeni yazılarına şekil verir. Oysa gelen yorumlardan bazıları gerçekte bir yorum bile değildir ve sahte bir yorum kılığına bürünen bu tür spam'lar insanları farklı web sitelerine yönlendirirler.

Çoğu zaman reklamı yapılmakta olan siteler arama motoru derecelendirmesinde üst sıralara çıkar ve bu sayede daha fazla reklam geliri elde edilebilir. Bir web sitesine yönlendiren linklerin sayısının fazla olması arama motorlarının da bu siteyle daha yakından ilgilenmesi anlamına gelir.

Blog spam'ları da bu nedenle arama motorları derecelendirmesinde daha iyi bir noktaya çıkabilmek için iyi bir çözüm olarak görülür, ancak bazı durumlarda bunun yararından çok zararı görülür.

Şimdi isterseniz blogger Jesper M. Johansson'ın ağzından bir malware'in ayak izlerini adım adım takip edelim.

Blog'a gelen sahte yorumlar

Birkaç hafta önce, bana sinsice zarar veren bir şey fark ettim. Ardından blogumda bulunan tüm yorumları gözden geçirdim. Çalışmalarımı çalan sitelerden korunmak içinse arama motoru derecelendirmede en üst seviyede kalmaktan kaçındım. Ancak bir sonraki gün yorumdan ziyade Google etiketli sahte bir link içeren bir yazıyla karşılaştım: google-images.google-us.info/index.html.

Bu durum elbette bana çok şüpheli göründü ve bu nedenle bu linki bir yere not ettim. Ardından geçen birkaç hafta sonra, bu linklere benzer linkleri daha fazla almaya başladım; ama bu sefer sadece Google etiketli değildi gelen sahte linkler: Yahoo ve MSN de listeye eklenmişti.

Dikkatimi çeken bir diğer nokta ise bu sahte sitelerin beni göndermek istediği sunucular da yapıları itibariyle benzer nitelikteydi: google-homepage.google-us.info, msn-us.info, yahoo-us.info gibi. Bu sahte linklerin yer aldığı yorumlar ise hep aynı IP adresine aitti: 124.217.253.8. Bu IP adresiyle ilgili bir araştırma yaptığımda ise bu adresin Singapur'da bulunan Piradius.net'e ait olduğunu fark ettim. Kuala Lumpur kaynaklı olduğunu düşündüğüm bu sunucuların yanında domain'lerin ise Ukrayna'da kayıtlı olduğunu öğrenmem çok sürmedi.

Registrant Name: ermua

Registrant Organization: santa banta

Registrant Street1: lenina str. 43/67

Registrant City: Kiev

Registrant State/Province:

Registrant Postal Code: 0444

Registrant Country: RU

Registrant Phone: 044.763238

Registrant Email: yura_gpz@mail.ru

Domaintools.com adresi de bu bilgiyi doğruladı neticede. Bunu gördükten sonra ise bu sitelerin ne yapmak istediklerini öğrenmeye karar verdim.

Sahte web sayfalarına ait linkler

Bu gibi ayrıntılara dikkat etmeyen potansiyel bir kurbanın yapacağı ilk şey tahmin edeceğiniz gibi bu sitelere direkt olarak tıklayarak girmek olurdu. Yaptığım testlerim için www.msn-us.info adresini kullandım. İlk testimi ise Vista altında gerçekleştirdim ve ardından resimde (Figür-1) gördüğünüz uyarıyı aldım.

Sanal makinem Windows Vista'yı çalıştırıyordu; oysa popup XP ismini taşıyordu. Kapatıldığında ise, söz konusu popup artık bir popup olmaktan çıkmıştı ve tüm sayfa sadece, bir dosyayı indirmek için link verilmiş bir resimden oluşuyordu.

Ekran görüntüsündeki popup'tan önce de aslında ekranda bir tane daha vardı. Bu görüntü ise bilgisayarınızda bir virüs taraması yapıyormuş gibi görünen bir GIF dosyasıydı.

Şimdi ise artık www.msn-us.info adresinde değiliz; yeni adres: virus-securityscanner.com. Blog yorumlarına linki bulunan sitelerin herhangi bir tanesine giriş yaptığınızda bir dosya indirmeye başlıyorsunuz ve ardından da bu site sizi http://vifrus-securityscanner.com/2008/3/freescan.php?aid=880421 adresine yönlendiriliyor.

Aslında bir şey çok açık: Tüm bu sitelerin arasında bir bağlantı bulunuyor ancak farklı görünümlerle karşımıza geliyorlar. Virus-securityscanner.com'un sunucu kaynağı ise Pennsylcania'daki bir ISP'de görülüyor. Ancak bu yazıyı kaleme alırkenki süreçte Virus-securityscanner.com olan sitenin ismi aradan geçen kısa bir sürenin ardından virus-onlinescanner.com oluveriyor.

Amaç size malware dosyasını indirtmek

Başlangıca döndüğümüzde, ilk olarak www.msn-us.info adresine girdiğimde ise, resimde gördüğünüz bir uyarıyı ekranımda görüyorum. Elbette bir malware konusunda uyarılmam hoş bir şey; bunun yanında malware'lerle ilgili tüm problemleri çözmem için bana seçenekler sunması da bir diğer takdir edilesi olaydı.

Figür-2'de gördüğünüz pencerede OK butonuna bastığınızda ise yeni pencereyle karşılaşıyorsunuz: XP antivirus, tehditlere karşı sisteminizi taramadan geçirmek istiyor ve bunun için yapmanız gereken şey ise sadece OK butonuna basmak ve olacakları izlemek.

Eğer resimde gördüğünüz pencere ekranınıza geldiğinde Cancel butonuna tıklasaydık, o taktirde direkt olarak sahte olan bir anti-malware programını indirmek için yönlendirilecektiniz.

Aslında 'XP antivirus sisteminizi tehditlere karşı tarayacak' içeriğine sahip pencere karşınıza geldiğinde bir kaynaktan dosya indireceğini aşağı yukarı tahmin edebiliyorsunuz. Bu penceredeki OK'a bastıktan sonra ise bir önceki sayfamızda yer alan Figür-1'dekine benzer bir uyarı alıyoruz. Vista'da bu malware'nin yüklenmesi mümkün olmadığından testime XP altında devam ediyorum.

Geri dönüşü olmayan yol

Karşıma gelen bu uyarı penceresi de popup3.gif isimli bir GIF resim dosyası. Söz konusu sayfanın her yeri bu GIF dosyası da dahil olmak üzere bir link içeriyor:

function onloadExecutable()
{
dat=new Date(1214372723);
var dlth=dat.getHours()-dat.getUTCHours();
rrc = 1;
location.href="../_download.php?aid=880421&dlth="+dlth;
};

Oldukça karışık görünen bu yapının ana amacı belli aslında: Sizin istedikleri bir dosyayı indirmeniz. Bu popup3.gif dosyasının en ilginç yanı ise sahte 'kapat' butonunun aslında özel bir uyarı penceresine sizi yönlendirmesi. Bu butona tıklarsanız, Figür-3'deki uyarıyı almanız kuvvetle muhtemel.

Bu pencerede 'OK' butonuna basarsanız, onloadExecutable() fonksiyonu devreye girecektir. Cancel'a bastığınızda ise başka bir uyarı alacaksınız. 'Harmful and malicious software detected. These programs may damage your computer' şeklindeki bir uyarı penceresini gören kullanıcılar, bu pencerede sadece OK tuşuna basabiliyorlar; başka alternatifleri yok. Penceredeki kırmızı X butonuna tıklasanız da bir şey değişmiyor.

Bu nedenle ne yaparsanız yapın, bir dosya indirmeniz kaçınılmaz gibi görünüyor. Bu dosya ise http://virus-securityscanner.com/2008/download/XPantivirus2008_v880421.exe. Linkin v880421 olan parçasının sahte bir sürüm numarası olduğunu da söylemek mümkün.

Dosyanın indirilmesinin ardından,bu dosyayı dosyalar üzerinde talebe göre tarama işlemi yapan virustotal.com adresine gönderdim ve malware uyarısını da aldım.

Lisans anlaşmasındaki ufak ayrıntı

Dikkatle bakıldığında, bu malware'nin oldukça profesyonel bir yapıda olduğu söylenebilir; zira Figür-4'e de baktığınızda, karşınıza gelen pencerenin Windows logolu bir yükleme penceresi olduğunu kolayca görebilirsiniz.

Bu yükleme penceresinin ardından ise karşınıza gelen 'Terms and Conditions' yani lisans anlaşması sayfasının profosyonel bir elden çıktığını sanabilirsiniz; çünkü bu sayfayı gerçeğinden ayırmak son derece güç. Aslında lisans anlaşmaları genelde ticari kaygısı olan yazılımlarla ilgili beklentileri kullanıcılara açıklar. Oysa karşınıza gelen bu lisans anlaşması daha çok yazılım yerine web sitesi üzerine odaklanmış durumda.

Bunun yanında anlaşma sayfası aynı zamanda başka bir yardımcı siteye de link veriyor ve kullanıcıları bu linke yönlendiriyor. Mazeret ise bilindik tarzda: Yüklediğiniz bu programla ilgili online destek almak istiyorsanız bu adres size öneriliyor.

Ancak bunun malware olduğunu bilince iş komik bir hal alıyor haliyle. Bu sayfaya girdiğinizde yükleyeceğiniz yazılımın fiyatıyla ilgili ayrıntılara da ulaşıyorsunuz. Sitede yer alan destek forumlarında yer alan malware listesinde ise şunlar yer alıyor: Antispywareboss.com, antivirus-2008-pro.com, securityscannersite.com, winantispyware2008.com, xpsecuritycenter.com, W32.Trojan.Downloader.s.

Sahte Windows Güvenlik Merkezi

Eğer bu yazılım için gerçekten ödeme yapmak istiyorsanız, site sizi direkt olarak https://secure.software-payment.com adresine yönlendiriyor. Bunun yanında sitenin sunucusu da Barbados ülkesine ait.

Ürünün fiyatı ise 49.95 USD. Ancak bu yazılıma kayıtlı kullanıcı oluyorsanız, bunun dışında yazılım, sizi sadece 39.95 Dolara File Shredder 2008'e güncelleme konusunda teklifte bulunuyor. Ancak bu güncellemenin verilerinize nasıl zarar verdiği belli değil. Ancak şu bir gerçek ki sitenin amacı sizin hem paranızı hem de kimliğinizi çalarak, verilerinizi size 'çaktırmadan' yok etmek.

Ayrıca Premium destek için de 24.95 doları gözden çıkarmanız gerekiyor.

Yükleme işleminin ardından Windows Security Center sizi karşılayacak. Ancak bu pencerenin gerçek Windows Security Center ile uzaktan yakından bir ilgisi yok; fakat bu pencereyi gerçeğinden ayırmak da hiç kolay değil. Dikkat edildiğinde, gerçek olanının anti-virüs programı olarak malware kontrolü gibi bir fonksiyonunun olmadığı ortada. Bunun yanında 'Öneriler' yani 'Recommendations' link'i de sizi sahte bir anti-malware yazılımını satın almanız yönünde yönlendiriyor; yani buradan da bu pencerenin sahte olduğunu anlayabilmek mümkün. Gerçek olanda ise söz konusu link sizi doğrudan anti-malware edinmek için gereken noktaların anlatıldığı bir 'yardım dosyasına' yönlendiriyor.

Sahte Windows Security Center'ı (Windows Güvenlik Merkezi) gerçeğinden ayırmanın bir diğer yolu da Başlat/Denetim Masası yolunu izlemekten geçiyor: Dikkat edileceği gibi denetim masasına girildiğinde 'Security Center'ın da bu bölümde yer aldığını görüyorsunuz. Ancak hemen altında (harf sırasına göre) Windows Security Center da bulunuyor. Yani görüldüğü gibi ikisinden birinin sahte olduğu açık ve sahte olanının da 'W' ile başlayanı olduğu ortada.

Hacker'ın bozuk İngilizcesi

Bunun yanında sistem çubuğunda yer alan söz konusu malware'nin farklı uyarılara sahip olduğu ilk bakışta dikkati çekiyor. Ve bir diğer önemli nokta da buraya kadar bu malware'nin kusursuz bir İngilizce'ye sahip olmasıydı. Yani İngilizce öyle mükemmel bir şekilde kullanılmıştı ki, gerçeğinden bu sahte olanını ayırt etmek de haliyle kullanıcılar için pek kolay değildi.

Ancak sistem çubuğunda yer alan uyarılarda İngilizce dil bilgisine gereken özen gösterilmemiş; yani öncekilerin aksine sistem çubuğundaki uyarılarda, birçok dil bilgisi hatasına rastlayabilmek mümkün.

Ancak aradan bir süre geçtikten sonra yeni bir popup ekranıyla karşı karşıya kalmanız çok sürmüyor. Bu pencerede dikkati çeken en önemli husus ise yazılımınızın güncellenmesi gerektiğine dair bir uyarı içeriyor olması. Güncelleme de elbette belirli bir ücretle yapılabiliyor.

Malware'lere elveda

Son olarak ise bu malware'yi sistemimden kaldırıp kaldıramayacağımı denemeye karar verdim. Kaldıramasam bile en azından bu yazılımın bir malware olduğunu görmek istiyordum. Microsoft Malicious Software Removal Tool ile bunu denediğimde maalesef başarısız oldum.

Ancak neyse ki sistemimde kurulu olan diğer anti-malware yazılımı (AVG) işe yaradı ve yaptığım tarama neticesinde Figür-7'de gördüğünüz uyarıyı almam çok sürmedi.

Bunun yanında AVG, bu malware'nin sistemime yüklediği diğer yüklü vektörleri de tek tek kaldırdı ve neyse ki tüm malware'lerden bu sayede kurtulmam mümkün oldu.

Sonuç: Malware'ler artık çok daha profesyonel

Sonuç itibariyle oldukça rahatsız edici olan bu malware serüveni bu şekilde sona erdi. Ancak bir şeyi çok iyi biliyoruz ki, kullanıcıların çoğu bu gibi ayrıntılara asla dikkat etmiyor ve kendini gerçek bir Windows uygulaması olarak gösteren bu gibi malware'ler kullanıcıların aklını kolayca çelebiliyor.

Bu gibi yazılımlar sadece kullanıcıların verilerini çalmakla kalmıyor, kimlik hırsızlığı da dahil olmak üzere kullanıcıların paralarına da göz dikiyor.

CHIP Online yorumu:
Günümüzde internet üzerinde dolaşan malware'lerin artık büyük bir kısmı profesyonel bir şekilde hazırlanıyor ve kullanıcılar, bu malware'lerin zararını görene kadar durumun farkına maalesef varamıyorlar.

Ancak bu yazıda geçen amansız takibi okuduktan sonra bir kez daha anlıyoruz ki kullanıcıların internette bulunan sayısız tehlikeye karşı son derece bilinçli olması şart.

Selim Öztürk

Okuyucu Yorumları

Toplam 15 Yorum

Adamlar neler yapıyorlar ya.Milletin parasını çalacam diye.
Bu kadar zahmeti,aklı hayırlı bir şeyde kullansalar zengin olurlardı ve insanlığıda hizmetleri olur,vicdan azabınlada uğraşmak zorunda kalmazlardı.Vicdan saaatli bombaya benzer.Durur durur sonrada patladımı fena patlar.Vay ki vicdan insanı yakmaya görsün.

gerçekten güzel paylaşımdı teşekkürler

hayatta okuduğum en mükemel yazı bu heralde. teşekkürler chip

yazi cok guzel ozellikle anlatim tarzi :)

Süper bir anlatım eğer bunu okumasaydım veya bu konu açılmamış olsaydı bu duruma çok rahat düşerdim yok yok düşmezdim yazılıma para vermediğim için düşmezdim :D

Abi süper olmuş.Ellerinize sağlık

evet düşmem çünkü evimde net yok iş yerindede denildiği üzere geçen gün başıma geldi sahte bir spyware yazılımı xp adı altında kendini araç çubuğunda gösteriverdi ve 100 yakın zararlının olduğunu gösterdi bende inanmadım çünkü güçlü spyware programlarım vardı olsa bile bir kaçtaneden fazlası olamazdı. yazıldığı gibi programı almam hakkında beni yönlendimeye kalktı yermi anadolu çocuğu. hemen baktım kurulum yapmamış zaten anti virüs programım hemen işi bitirdi. birde güzel bir tarattırma ile işe kesin çözüm verdim.

maalesef yukarıdaki uyarı msj banada geliyor. kendiliğinden tarama yapıyor.bir şeyler indirmemi istiyor. bi türlü kurtulamadım. vürüs taraması falan yaptım ama çare olmadı.bilgisi olan varsa yardımcı olabilirmi.

aynı durum benimde başıma geldi. ne yaptıysan çare olmadı. format atmak zorunda kaldım. yakın bir zaman önce tekrar etti. ama bu sefer "malwarebytes' antimalware" programını buldum nette yaklaşık 40-50 dk tarama yaptı. 15-20 tane zararlı buldu. onları temizledi ve pc kendine geldi.

bu da linki http://download.chip.eu/tr/download_tr_1535529.html

Arkaslar türkler cracklemeyi sever bizler hep illegal kullaniyok zati kesin Bir Program icin crack arariz ama baktiki olmadi format atar gider :D

Ama chip ellerine saglik hespini okudum cok güzel bir hikaye

bu olay aynen bizim debaşımıza geldi. bir üniversitede bölüm öğretim üyelerimizden birisinin beni çağırmasıyla bu pencereyle karşılaştım. kendisine gelen bir spam emaildeki linke tıklamasıyla bu pencereler tarafından yönlendirilmişti. henüz bir şey indirmemiş olduğu için antivirüs programı uyarı vermemişti fakat Resim 1'deki uyarıya inanmıştı. Bir an ben de şaşaladım fakat sonra uyarı penceresini kapatıp antivirüs tarayıcıyı çalıştırdım. şu an bir sorun yok. ancak spam emailleri Outlookta preview bile etmemek gerekli. açmak istenilen email çift tıklanarak açılmalı, preview özelliğinin açık olması direkt olarak zararlı kodların çalıştırılmasına neden olabiliyor.

Arkadaşlar bundan 1 ay önce bende tanıştım malware ile bir programın carckını araken download sonucu bulaştı bilgisayara, neyi tıklasam sürekli programı açmak yerine internette bir siteye ve virüs programını indirmeye yönlendiriyordu .Neyseki araştırmalarım sonucunda antimalwarebytes2 programını buldum ve tarattıktan sonra işini bitirdim. Ama çok can sıkıcı trust siteler haricinde hiçbiryerden bişi indirmemek gerek

aynen bende pc bomboşken bi anda freewall dediki abi dedi alg.exe üzerinden dedi HDdriver.exe gibi bi ismi vardı bu pc ye inicek dedi izin veriyomusun dedi bende dedim güncelleme :D ok dedim bi baktım ekranda aniden kırmızı wallpaper deskop web sitesi açıldı başlattaki programla vs herbişey yok oldu :S bilgisayarım desen bi ayrı oldu :D ne oldugunu hala çözmüş deyilim format attım kurtuldum yanlız

www.spybot.info malware ve spywareler için birebir çözüm sunan bir program.

Geçenlerde de benim başıma aynı olay geldi. Yazıda da dendiği gibi adamlar profosyonel bi şekilde hazırlamışlar. Web'te gezinirken bi baktım ikinci bi pencere açılıyor. Pencerede Google arama moturu. Kapatıyorum tekrar açılıyor. Sonra yazıda ki gibi uyarı yazıları çıktı. Tabii X işaretine bas no ya bas. Ama yok! Güvenlik duvarını kontrol ettim.Normal! tekrar girip tekrar açtım bu sefer güncelleştirmeler kapalı. Açıyom kapanıyo kafayı yiyecem. Microsoft'un Kötü Amaçlı Programları Temizleme programı (MRT)'yi çalıştırmak istedim açılmıyor! Dedim son dan bi önceki son çare Sistem Geri Yükleme ye bakayım dedim. 1tane geri dönüşüm noktası var! "Last configuration" diğer eski geri dönüşüm noktaları silinmiş! Ben yine onayladım ama yazının ingilizce olmasından zaten onuda kapattığını anladım! Yine de denedim. Sonuç tabii ki hüsran! Daha yeni format atmıştım. Son olarak tekrar format attım. Malware'e kesin çözüm!!! Bu arada antivirüs olarak ESET Smart Security kullanıyorum! Malware'da faydası yok!!!

Sen de yorum yaz

 


CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda

İlginizi çekebilir