ForumTayfa  

Go Back   ForumTayfa > Güvenlik & Bilgisayar & İnternet & Webmaster & Programlama Bölümü > Güvenlik & Bilgisayar & İnternet & Webmaster & Programlama > Güvenlik ve Güvenlik Açıkları

Güvenlik ve Güvenlik Açıkları Pc güvenliği ile ilgili tüm konuların tartışıldığı bölüm...

Yeni Konu aç  Cevapla
 
LinkBack Seçenekler Stil
Alt 08.01.07, 17:25   #1 (permalink)
Yeni Tayfa
 
RaHaN - ait Kullanıcı Resmi (Avatar)
 
Üyelik Tarihi: Jan 2007
Nereden: İstanbul
Mesaj Sayısı: 208
Konu Sayısı: 14
Rep Gücü: 102
Rep Puanı: 8894
Rep Derecesi : RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000
Ruh Hali:

Exclamation Dikkat!!! "Tanımlanmamış Trojan Loader"




Antivirüs yazılımları tarafından tanımlanamayan bir trojan loader mail yolu ile yayılmaya başladı. Türkiye kaynaklı olan malware kariyer.net'ten gelmiş gibi gözüken bir mail ile yayılmaktadır.
Rastlanma Tarihi: 14-12-2006
İlk Çözümleme Tarihi: 14-12-2006
Çözümleme Durumu: İlk çözümleme safhası

Yayılma yöntemi:
Zararlı dosya kariyer.net'ten gelen sahte bir email yoluya yayılmaktadır. Yakalanan örnek sahte e-mail; " [email protected] Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır" adresi ve "selam" subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna bağlı 88.233.33.192 ip'si ile gonderilmiştir.

Mail içeriği de şu şekildedir:

"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..

NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)

iyi calismalar dilegiyle.

Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."

İlgili resime tıklanıldığında, "www.freewebtown.com/nurkarayel/cv-resimlerim.zip" adresinden dosya indirme işlemi yapılmakta, indirilen zip dosyası içerisinde, kendini açan-çalıştırılabilir (self decompress-executable) dosya görüntüsündeki cv.exe dosyası bulunmaktadır.

cv.exe dosyası bir antivirus yazılımlarının halen tanımlayamadığı bir trojan loader olarak çalışmakta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak tanımlanan bir dosyayı yüklemektedir.

smss.exe dosyası keylogger, screen capturer, spyware-trojan loader olarak çalışmaktadır.


__________________
__________________________________________________ _________________________________






RaHaN isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 08.01.07, 20:06   #2 (permalink)
28:06:42:12
 
-BuRAk- - ait Kullanıcı Resmi (Avatar)
 
Üyelik Tarihi: Dec 2006
Nereden: Ankara
Mesaj Sayısı: 11.490
Konu Sayısı: 2068
Takım: Galatasaray
Rep Gücü: 543106
Rep Puanı: 54308119
Rep Derecesi : -BuRAk- 0-10000000-BuRAk- 0-10000000-BuRAk- 0-10000000-BuRAk- 0-10000000-BuRAk- 0-10000000-BuRAk- 0-10000000-BuRAk- 0-10000000-BuRAk- 0-10000000-BuRAk- 0-10000000-BuRAk- 0-10000000-BuRAk- 0-10000000
Ruh Hali:

Standart Cevap: Dikkat!!! "Tanımlanmamış Trojan Loader"




haber için teşekkürler


__________________


Forumla ilgili aklınıza takılan sorular için [Sadece Kayıtlı Kullanıcılar Linkleri Görebilir.Kayıt Olmak İçin Tıklayınız...].

[Sadece Kayıtlı Kullanıcılar Linkleri Görebilir.Kayıt Olmak İçin Tıklayınız...]

-BuRAk- isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 08.01.07, 20:43   #3 (permalink)
GaLaTaSaRaY..
 
elegannnce - ait Kullanıcı Resmi (Avatar)
 
Üyelik Tarihi: Dec 2006
İlişki Durumu: Evli
Mesaj Sayısı: 16.679
Konu Sayısı: 1889
Takım: Galatasaray
Rep Gücü: 997326
Rep Puanı: 99729659
Rep Derecesi : elegannnce 0-10000000elegannnce 0-10000000elegannnce 0-10000000elegannnce 0-10000000elegannnce 0-10000000elegannnce 0-10000000elegannnce 0-10000000elegannnce 0-10000000elegannnce 0-10000000elegannnce 0-10000000elegannnce 0-10000000
Ruh Hali:

Standart Cevap: Dikkat!!! "Tanımlanmamış Trojan Loader"




saolasın haber için.belli olmaz gelir melir


__________________
Melike Sedat Yusuf Eymen


[Sadece Kayıtlı Kullanıcılar Linkleri Görebilir.Kayıt Olmak İçin Tıklayınız...] [Sadece Kayıtlı Kullanıcılar Linkleri Görebilir.Kayıt Olmak İçin Tıklayınız...]








Hiç Bir Stad Dolduramaz, Senin Bizdeki Yerini
Son Bir Defa Haykıralım, İnletelim Sami Yeni
Kimler Geldi Kimle Geçti, Herkes Tattı Cehennemi
Bütün Dünya Burdan Duydu, Sana Olan Sevgimizi.
elegannnce isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 08.01.07, 20:50   #4 (permalink)
Yeni Tayfa
 
RaHaN - ait Kullanıcı Resmi (Avatar)
 
Üyelik Tarihi: Jan 2007
Nereden: İstanbul
Mesaj Sayısı: 208
Konu Sayısı: 14
Rep Gücü: 102
Rep Puanı: 8894
Rep Derecesi : RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000RaHaN 0-250000
Ruh Hali:

Standart Cevap: Dikkat!!! "Tanımlanmamış Trojan Loader"




gelebilir elbet
kariyer net kullanicisi cok falza
belki bi göz atar aklinda bulunur


__________________
__________________________________________________ _________________________________






RaHaN isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 23.01.07, 13:42   #5 (permalink)
ÇookK oluyozZZ
 
Barış - ait Kullanıcı Resmi (Avatar)
 
Üyelik Tarihi: Dec 2006
Nereden: İSTANBUL
Mesaj Sayısı: 4.119
Konu Sayısı: 1927
Takım: Beşiktaş
Rep Gücü: 44597
Rep Puanı: 4457981
Rep Derecesi : Barış 0-5000000Barış 0-5000000Barış 0-5000000Barış 0-5000000Barış 0-5000000Barış 0-5000000Barış 0-5000000Barış 0-5000000Barış 0-5000000Barış 0-5000000Barış 0-5000000
Ruh Hali:

Standart Cevap: Dikkat!!! "Tanımlanmamış Trojan Loader"






[email protected] worm’unun hayat döngüsünü ve nasıl ilginç işler çevirdiğini anlatmaya, biraz olsun bilgisayarınızda güvenliğe önem vermenizi sağlamaya çalışacağım. Ha, unutmadan, [email protected] tipi wormlar Linux dağıtımlarını etkilemiyor, haberiniz olsun
Neden [email protected]?

Çok özel bir sebebi yok, yalnızca biraz önce gelen bir epostada bu worm’a rastladım, Google’da search edip Symantec‘teki açıklamaları okudum, hoşuma gitti, ondan…
Hayat Döngüsü

Worm bir şekilde bilgisayarınız tarafından fark edilmezse, çalıştırdığınız zaman aşağıdakiler oluyor:

* Size WinZip Self-Extractor başlıklı, Error in packed Header yazan bir mesaj gösteriyor, sanki dosya bozukmuş da açılmamış gibi.
* Kendini %Windir%\WinSecurity\ dizinindeki csrss.exe, services.exe ve smss.exe dosyalarına kopyalar. Bu dosyalar görev yöneticisinde çalışıyor görünüyorsa korkmayın, çünkü aslında bunlar sistem dosyalarıdır ve System32 dizininde bulunurlar. Başka bir dizinde rastlarsanız muhtemelen worm ya da spyware’dırlar.
* Yine %Windir%\WinSecurity\ altında socket1.ifo, socket2.ifo ve socket3.ifo dosyalarını yaratırlar. Bu dosyalar zip olarak sıkıştırılmış biçimde worm’u içerirler.
* Aynı klasörde, eposta bilgilerini toplayacağında kullanacağı dli, ory, tst, run, tro uzantılı dosyalar yaratır.
* %System% klasöründe birkaç boş dosya yaratır, bu dosyalar eski Sober worm’larının çalışmamasını sağlar.
* mrt.exe ve asw*.tmp isimli processleri sonlandırır.
* İçerisinde microsoftanti, gcas, gcip, giantanti, inetupd., nod32kui, nod32., fxsbr, avwin., guardgui., aswclnr, stinger, hijack, sober, brfix, s_t_i_n, s-t-i-n geçen processleri sonlandırır. Bunlar antivirus ve worm yakalayan programlarının isimleridir.
* Eğer yukarıdaki programlardan herhangi birini sonlandırdıysa kullanıcıya Antivirus başlıklı, No Viruses, Trojans or Spyware found! Status: OK içeren bir mesaj gösterir.
* Norton LiveUpdate için özel önlemler alır. Her LiveUpdate çalıştırıldığında worm kendini aktive eder ve bağlantının durumuna göre LiveUpdate {Symantec} başlıklı Thank you for using LiveUpdate. All of the Symantec products and components are currently up-to-date. içerikli bir mesaj gösterir.
* Registry’i değiştirerek her windows açılışında kendini aktive eder.
* Windows XP SP2 yüklü bilgisayarlarda Windows Security Center‘ı disable eder.
* 6 Ocak 2006′da internetten birçok noktada bulunan bir exe dosyasının indirmeye başlar.
* Tabii ki tarihi değiştirip worm’un etkisinden yırtmamanız için tarihi internette birçok yerden kontrol eder.
* Bilgisayarınızda email adresleri bulunabilecek muhtemel dosyaları arar ve bulduğu mail adreslerinden bu kullanıcının adreslerini çıkarır
* İnternetteki birçok smtp sunucudan mesajlar göndermeye başlar. Gönderilen mesajlar şu şekildedir:
Konu: Your Password | Registration Confirmation | smtp mail failed | Mail delivery failed | hi, ive a new mail address | You visit illegal websites | Your IP was logged | Paris Hilton & Nicole Richie
Mesaj: Konuya uygun mesajlar. Mesela Paris Hilton örneğinde “fotolar ve videolar için download manager’ımızı indirin!” tarzı
Ekli dosyalar: reg_pass.zip | reg_pass-data.zip | mail.zip | mail_body.zip | mailtext.zip | list[RANDOM CHARACTERS].zip | question_list[RANDOM CHARACTERS].zip | downloadm.zip
Worm içeren dosya: File-packed_dataInfo.exe
* Tabii ki bu mail sizin arkadaşlarınızdan birine ulaşınca aynı döngü başa dönecektir…

Sonuç, aldığımız ders

Sadece 55 kilobaytlık bir worm dosyası bu kadar sisteme hükmedebiliyor, kendi kendine yayılabiliyor, antivirüs programlarını alt edebiliyorsa şunları düşünürüm:

* Bizim yaptığımız programcılık değil, adamlar 55 KB‘a neler sığdırıp neler neler yapıyorlar…
* Windows asla güvenli bir işletim sistemi değildir. Sistem dosyalarının bu kadar rahat değiştirilmesine göz yumuyorsa, service pack’lerinin hakkından kolayca gelinebiliyorsa, her an update edilen sağlam bir antivirüs programıyla ve sağlam bir firewall’la bile desteklendiği zaman bile güvenlik hâlâ şans işiyse, Windows bir işletim sistemi bile olamaz. (win95′i filan düşünemiyorum bile…)
* “Eğer smss.exe diye bir dosya çalışıyorsa ve System32 klasörünüzde bulunuyorsa hemen sonlandırın ve dosyayı silin” gibi mailler alıyorsanız hemen inanmayın. Yukarıda belirttik, bu bir sistem programıdır ve bu tarz programları silivermek problemler yaratır. En azından bir google search yapın, işin aslını anlayın. Maili gönderen adamın da bilgisayarını camdan aşağı atın Hatta tüm mail forward’layan arkadaşlarınıza aynı işlemi uygulayın

Windows kullanıyorsanız

* Windows update‘leri unutmayın.
* Antivirüs programı kullanın ve sık sık güncelleyin.
* Firewall kullanın, update’lerini yapın ve verdiği uyarıları dikkate alarak iletişimlere onay verin.
* Maillerde gelen .vbs, .bat, .exe, .pif ve .scr dosyalarını açarken değil 2, 10-15 kere düşünün. Hatta hiç açmayın, mail en yakınınızdan bile geliyor olsa kendinizi mail sanki hiç gelmemiş gibi hayal edin.
* Yavaş yavaş daha güvenli programlar kullanmaya başlayın. Misal: Mozilla Firefox

Linux kullanıyorsanız

* İstediğiniz eki rahatlıkla açabilir, halinize şükredebilirsiniz


__________________
ÇookK oluyozZZ


گẽήί گẽήℓε Ўαگαмακ √αяκεή گ£ήگįz !!!


[Sadece Kayıtlı Kullanıcılar Linkleri Görebilir.Kayıt Olmak İçin Tıklayınız...]




Barış isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Cevapla


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil

Yetkileriniz
Konu Acma Yetkiniz Yok
Cevap Yazma Yetkiniz Yok
Eklenti Yükleme Yetkiniz Yok
Mesajınızı Değiştirme Yetkiniz Yok

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodu Kapalı
Trackbacks are Açık
Pingbacks are Açık
Refbacks are Açık



Tüm Zamanlar GMT +3 Olarak Ayarlanmış. Şuanki Zaman: 15:52.


Powered by vBulletin® Version 3.8.0
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.6.0
User Alert System provided by Advanced User Tagging v3.0.6 (Lite) - vBulletin Mods & Addons Copyright © 2020 DragonByte Technologies Ltd.
ForumTayfa

Arşiv: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 16 22 23 24 25 26 27 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 95 96 97 98 99 100 102 103 104 105 106 155 156 157 158 159 160 161 162 163 164 167 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271


ForumTayfa - Link Değişimi
Telinka İletişim | Voip Ürünleri | Link Değişimine Katılın |

Sitemiz bir forum sitesi olduğundan dolayı, kullanıcılar her türlü görüşlerini önceden onay olmadan anında siteye yazabilmektedir. ForumTayfa Yöneticileri mesajları itina ile kontrol etse de, bu yazılardan dolayı doğabilecek her türlü sorumluluk yazan kullanıcılara aittir. Yine de sitemizde yasalara aykırı unsurlar bulursanız [email protected] email adresine bildirebilirsiniz, şikayetiniz incelendikten sonra en kısa sürede gereken yapılacaktır.

Any member of our web site has the right of adding comments instantly without getting permisson due to the forum structure of our site basis. Althought, our site modarators check comments with care, all the responsibilities sourced from these comments directly belong to the members. If you still find any illegal content in our site ( A.buse, H.arassment, S.camming, H.acking, W.arez, C.rack, D.ivx, Mp.3 or any Illegal Activity ), please report us via [email protected] .Your reports will be evaluated as soon as the arrival of your e-mail.