İlk olarak tespit edildiği 2007 yılından itibaren Zeus Trojanı birçok probleme yol açtı ve açmaya da devam ediyor. Aslına bakarsanız sizin bilgisayarınız da bu zararlı yazılımı bünyesinde barındırıyor olabilir. Peki bu trojanı bu kadar güçlü kılan ne?

Zeus’u kalıcı ve yaygın kılan 2 tane neden var:

1: Tamamen paraya yönelik bir amaçlar. Zeus, eğer kendisi ile enfekte olan bilgisayar, finans ve bankacılık ile ilgili sitelere girdiğinde kendini aktif hale getiren bir yazılım. Yani aktivitesini en az miktarda tutuyor ve bu da onun dikkat çekmesini engelliyor.

2: “Zeus’un her sürümü birbirinden farklı” Bu gerçek, Zeus’un açık kaynak kodlu bir yazılım olmasından kaynaklanıyor. Kötü niyetli biri; bu yazılımın kodlarını indirebilir ve kendine göre düzenleyebilir. Sonuç olarak Zeus’un parmak izi sürekli değişiyor ve bu da antivirüs yazılımlarının onu tanımlamasını zor hale getiriyor. Güvenlik uzmanlarına göre Zeus’un tespit edilmesi halinde temizlenmesi kolay ama problem tespit edilmesinde çıkıyor.

Vigilant güvenlik firması yöneticisi Lance James’a göre 20 milyondan fazla bilgisayar Zeus ile enfekte ve ona göre Zeus zararlı yazılımların kralı…

Çünkü antivirüs araçları ona karşı çalışamıyor. Bu da güvenlik uzmanlarını Zeus’a karşı daha farklı bir savaş metodu bulmalarına zorluyor. Bu savaşa başlama noktası kullanıcıların eğitiminden geçiyor. Çünkü virüsün başlıca bulaşma yolu sosyal mühendislik: Vergi kuruluşundan bir e-posta geliyor. Kullanıcıya, “bazı bilgilerin doğruluğunu sağlamak için” diye gönderdiği zararlı onay linkine tıklamalarını istiyor. Buna tıklandıktan sonra bazı kodlar indiriliyor. İşte olay asıl burada başlıyor. İndirildikten sonra bu kodlar hiçbir şey yapmıyor. Böylece antivirüsler bir tehlikenin geldiğinin farkına varamıyorlar.

Yazılım öylece bekliyor ve kullanıcının her hareketini izliyor. Eğer kullanıcı, Zeus’un hedef sitelerinden(bunlar genellikle bankacılık ile ilgili siteler) birisine girerse, virüs uyanışa geçiyor. Sonra site üzerindeki tüm aktiviteyi kaydediyor ve ardından Zeus’u kodlayan kişiye gönderiyor.

Zeus’un zararlarına maruz kalmak istemiyorsanız en iyi yöntemlerden birisi Windows kullanmamak. Şu an için Zeus’un bilinen sürümleri Windows tabanlı. Sayısı hızla artan Apple kullanıcılarını düşündüğümüzde yazılım zamanla diğer işletim sistemleri için tehlikeli hale gelebilir.

Apple cihazları ya da Google ChromeBook kullanın. Çünkü bunlar büyük ihtimalle Zeus’a karşı dayanıklılar.

Diğer bir koruyucu adım ise sadece bankacılık işleri için bir tane bilgisayar kullanmak. Bu bilgisayar üzerinde anlık mesajlaşma yapmayacaksınız, e-posta kontrol etmeyeceksiniz vs. Bu bilgisayar sadece bankacılık işleriniz için kullanılacak. Bunları yaptığınız sürece büyük ihtimalle Zeus’tan uzak kalmış olacaksınız.

Kaynak: http://www.esecurityplanet.com/hackers/zeus-still-wants-your-wallet-.html

Çeviri: Serdar Baraklı

10 Ağustos 2010 Haberi

Kaspersky Laboratuvarları Android yüklü akıllı telefonlara bulaşan ilk SMS trojanını tespit etti.

Tehlike Ne?

Bu tojan Movie Player adlı bir uygulamanın içine gömülmüş vaziyette. Kullanıcılar bir websitesinden görünüşte media oynatıcı olarak algılanan 13 KB’lık  programı yüklerken trojan da otomatik olarak yükleniyor. Uygulama yüklenirken “Services that cost you money” seçeneğini kullanmak için izin istiyor.

Nasıl Çalışıyor?

Yüklendikten sonra normal tarifenin dışında, yüksek ücretli tarife ile çalışan özel servislere(hani alo seks hattı felan varya) SMS mesajı göndererek çalışıyor. Her mesajda ücret ödemelerine neden oluyor ve cep telefonu sahibinin bu olaydan haberi olmuyor.

Etkilenen Telefonlar?

Şu an için sadece Rusyadaki ve Rus ağları üzerinde çalışan Android akıllı telefonları etkilemiş vaziyette. Şu an için Android Merket’te böyle bir yazılımın olduğuna dair herhangi bir kanıt yok.

Size bulaşıp bulaşmadığını anlama:

*Telefon faturanıza göz atın, herhangi bir ücretli tarife ile çalışan özel servislere SMS göndermemiş olduğunuza emin olun.

*Eğer bir media oynatıcı uygulaması yüklemiş iseniz, bu uygulamanın SMS gönderme iznine sahip olmadığından emin olun. Bunun için Ayarlar – Uygulamalar – Uygulamaları Yönet yolunu izleyin.

Güvende Kalın.

*Sadece güvendiğiniz kaynaklardan uygulama indirin. Kullanıcı görüşlerini ve uygulamanın aldığı puanı da dikkate alın.
*Herhangi bir uygulamayı indirirken istediği izinleri kontrol edin. İndirdiğiniz uygulamanın türüyle istediği izinlerin birbiriyle uyumlu olduğundan emin olun.
*İndirdiğiniz her uygulamayı tarayabilen mobil güvenlik programı edinin.

Önceden de belirttiğimiz gibi artık yeni Android trojanının da keşfiyle, ne indirdiğimize artık daha çok dikkat etmemiz gerekiyor. Bu medya oynatıcısı yüklenmeden önce erişmek istediği servis izinlerini sıralıyor. Bunlar arasında “Services that cost you money” seçeneği de var.

İstediği izinler

Programı Kaldırma

Güvenlik uygulaması olarak önerebileceğimiz:

Lookout programını kullanabilirsiniz. Eğer zaten bu programı kullanıyorsanız, yapılacak olan güncelleme güvende olmanızı sağlayacaktır. Eğer bu uygulamaya sahip değilseniz, telefonunuzdan mylookout.com adresine gidip uygulamayı indirebilirsiniz ya da Android Market’te bulabilirsiniz.

Kaynak: http://blog.mylookout.com/2010/08/security-alert-first-android-sms-trojan-found-in-the-wild/

Çeviri: Serdar BARAKLI

Virüsler ve Trojanların Başlangıç Sırasında Gizlendiği Yerler

1) Başlangıç Klasörü: Windows, Başlat Menüsü’nün Başlangıç Klasörü’ndeki her öğeyi açmaktadır. Bu dosya, Başlat Menüsü’nün Programlar kısmındaki dikkati çeken bir klasördür.

Windows’un Başlangıç Klasörü’nde bulunan her programı çalıştırdığını söylemediğime dikkat edin. Windows buradaki her öğeyi açmaktadır. Burada önemli bir fark vardır.

Başlangıç Klasöründeki programlar tabii ki çalışacaktır. Ama Başlangıç Klasörü’nde kısayol olarak program değil de dökümanlar da bulundurabilirsiniz.

Örneğin, Eğer Başlangıç Klasörü’ne Microsoft Word belgesi koyarsanız, Word, bu dökümanı makineniz açıldıktan sonra otomatik olarak çalıştıracaktır. Eğer oraya bir Wav dosyası koyarsanız, audio yazılımınız otomatik olarak çalışacaktır ve eğer favori web sitenizi koyarsanız, Internet Explorer veya seçtiğiniz tarayıcı, bilgisayarınızı başlattığınızda otomatik olarak bu web sayfasını açacaktır.

2) Registry: Windows, registrydeki Çalıştır bölümünde bulunan tüm yönergeleri çalıştırır. Çalıştır bölümünde(ve aşağıda sıralanan diğer registry bölümlerinde) bulunan öğeler program veya başka programların açtığı herhangi bir dosya olabilir.(1. Örnek)

3) Registry: Windows, registrydeki “RunServices” bölümünde bulunan tüm yönergeleri çalıştırır.

4) Registry: Windows, registrydeki “RunOnce” bölümünde bulunan tüm yönergeleri çalıştırır.

5) Registry: Windows, registrydeki ” RunServicesOnce” bölümünde bulunan tüm yönergeleri çalıştırır.(Windows, programları çalıştırmak için 2 tane “RunOnce” bölümü kullanır.)

6) Registry: Windows, registrydeki HKEY_CLASSES_ROOT\\\\exefile\\\\shell\\\\open\\\\command “%1″ %* bölümünde bulunan yönergeleri çalıştırır. Herhangi bir exe dosyası çalıştırılacağı zaman komutlar buraya yerleştirilir.

Diğer Olasılıklar:

[HKEY_CLASSES_ROOT\\\\exefile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”
[HKEY_CLASSES_ROOT\\\\comfile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”
[HKEY_CLASSES_ROOT\\\\batfile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”
[HKEY_CLASSES_ROOT\\\\htafile\\\\Shell\\\\Open\\\\Command] =”\\\\”%1\\\\” %*”
[HKEY_CLASSES_ROOT\\\\piffile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”
[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\batfile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\”
%*”
[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\comfile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\”
%*”
[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\exefile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\”
%*”
[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\htafile\\\\Shell\\\\Open\\\\Command] =”\\\\”%1\\\\”
%*”
[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\piffile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\”
%*”

Eğer anahtar, gösterildiği gibi “\\\\”%1\\\\” %*” değerine sahip değilse ve “\\\\”başkabirdosya.exe %1\\\\” %*” gibi farklılık gösteriyorsa, otomatik olarak o belirlenmiş dosyayı çağırıyordur.

7) Toplu Dosya: Windows, Windows dosyasında bulunan Winstart toplu dosyasındaki tüm yönergeleri çalıştırır.(Bu dosya neredeyse tüm Windows kullanıcıları ve birçok Windows uzmanı tarafından bilinemez ve sisteminizde de olmayabilir. Ama çok kolay bir şekilde oluşturabilirsiniz. Windows’un bazı versiyonlarında Windows klasörünün “WinNT” adıyla bulunduğunu unutmayalım.) Dosyanın tam ismi “WINSTART.BAT” dır.

8 ) Biçimlendirme Dosyası: Windows; Windows veya WinNT klasöründe bulunan WIN.INI dosyasındaki “RUN=” satırında bulunan tüm yönergeleri çalıştırır.

9) Biçimlendirme Dosyası: Windows; Windows veya WinNT klasöründe bulunan WIN.INI dosyasındaki “LOAD=” satırında bulunan tüm yönergeleri çalıştırır.

Windows aynı zamanda System.ini veya c:\\\\windows\\\\system.ini deki “shell=” satırında bulunan yönergeleri de çalıştırır.

[boot]
shell=explorer.exe C:\\\\windows\\\\dosyaismi

Windows her ne zaman başlar ise,  explorer.exe yi takip eden dosya ismi de başlayacaktır.

Win.ini’de olduğu gibi, dosya isimleri birbirinden önce bulunabilir. Normal olarak dosyaların tüm yolu, bu girişte bulunacak. Eğer bulunmuyorsa Windows dizinini kontrol edin.

10) Yeniden Başlatma: Windows, bir uygulama yürütülürken o uygulamayı kapatırsa, yeniden o uygulamayı çalıştırır. Windows, Microsoft’a ait olmayan programlarda yeniden çalıştırma işlemini gerçekleştiremez. Ama Internet Explorer ve Windows Explorer ile bunu kolay bir şekilde yapacaktır. Eğer Internet Explorer’a sahipseniz; Windows’u sonlandırırken I.E’yi açın. Bilgisayarı yeniden başlattığınızda Windows, aynı sayfalarla Internet Explorer’ı yeniden açacaktır.(Eğer Windows makinenizde bu işlem gerçekleşmezse, bu özellik kapatılmış demektir. Microsoft Windows kullanıcı arayüz yönetim programı olan Tweak UI programını kullanın ve “Explorer Ayarlarını Hatırla” veya Windows versiyonunuzda nasıl isimlendirilmişse o özelliği aktif hale getirin.)

11) Görev Zamanlayıcısı: Windows, Windows Görev Zamanlayıcısında(veya Görev Zamanlayıcısının yerine veya ona eklenen diğer Zamanlayıcılarda) bulunan autorun yönergeleri çalıştırır. Görev Zamanlayıcısı, ilk versiyon olan Windows 95 haricinde Windows’un tüm versiyonlarında resmi bir bölümdür ama eğer Windows 95’te Microsoft Plus Pack yüklüyse burada da bulunmaktadır.

12) İkincil Yönergeler: Windows başlarken çalışan programlar, birbirinden bağımsız olarak çalışan ayrı programlardır. Teknik olarak bunlar Windows’un çalıştırdığı programlar değillerdir; ama temel programların hemen ardından çalışan sıradan programlarla sıklıkla karıştırılmaktadırlar.

13) C:\\\\EXPLORER.EXE Metodu

C:\\\\Explorer.exe

Windows; ön yükleme yani açılış sırasında (genel olarak Windows dizininde bulunan) Explorer.exe’yi yükler. Ama eğer c:\\\\explorer.exe varsa, bu uygulama Windows explorer.exe yerine çalıştırılacaktır. Eğer c:\\\\explorer.exe bozuksa; kullanıcı, sisteminden dışarıda bırakılacaktır.

Eğer c:\\\\explorer.exe bir trojan ise, çalıştırılacaktır. Birbirinden farklı diğer autostart metodları, herhangi bir dosyaya veya registry değişikliklerine ihtiyaç duymayacaktır. Dosya basit bir şekilde yalnızca c:\\\\explorer.exe olarak isimlendirilmelidir.

14) İlave Metodlar

İlave autostart metodları. İlk ikisi Trojan SubSeven 2.2 tarafından kullanılmaktadır.

HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Active Setup\\\\Installed Components
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\Currentversion\\\\explorer\\\\Usershell folders

Icq Inet

[HKEY_CURRENT_USER\\\\Software\\\\Mirabilis\\\\ICQ\\\\Agent\\\\Apps\\\\test]
“Path”=”test.exe”
“Startup”=”c:\\\\\\\\test”
“Parameters”=”"
“Enable”=”Yes”

[HKEY_CURRENT_USER\\\\Software\\\\Mirabilis\\\\ICQ\\\\Agent\\\\Apps\\\\]

Bu anahtar; eğer ICQNET herhangi bir internet bağlantısını saptarsa, tüm uygulamaların çalıştırılacağını belirler.

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\ShellScrap] =”Scrap object”
“NeverShowExt”=”"

Bu anahtar, dosyaların belirlenmiş uzantılarını değiştirir.

Kaynak: http://www.governmentsecurity.org/articles/Placesthatvirusesandtrojanshideonstartup.php

Çeviri: Serdar BARAKLI

Kötü Niyetli Programların Tanımları

Kötü niyetli programlar şu şekilde sıralanabilir: Solucanlar(worms), virüsler, trojanlar, hacker altyapı programları ve diğer kötü yazılımlar(malware). Tüm bunlar enfekte olmuş makine veya diğer ağ makinelerine zarar vermek için tasarlanmıştır.

Ağ Solucanları

Bu kategori, yerel alan ağları veya Internete aşağıda sıralanan etkileri yayan programlardan oluşur:

-Uzak makinelere nüfuz edebilme
-Kurban makinelerde kopyalama işlemi yapabilme
-Daha uzak yeni makinelere yayılabilme

Solucanlar üremek için farklı ağ sistemlerini kullanırlar: E-posta, geçici mesajlaşma, dosya paylaşımı(P2P-peer to peer), IRC kanalları, yerel alan ağları(LANs), geniş alan ağları(WANs), ve dahası da sayılabilir.

En çok mevcut olan solucanlar ise dosya şeklinde bir şekil ile e-posta ekiyle, ICQ içinde veya IRC mesajlarında, enfekte olmuş website veya FTP serverlarında depolanmış dosya linkleriyle, P2P ağlarında erişilebilir dosyalar yardımı ile ve daha birçok yol ile yayılabilir.

Az sayıda da dosyasız veya paket solucanlar diye adlandırılan solucanlar mevcuttur. Bunlar, kodların akdedilmiş olduğu yerlerde, ağ paketleriyle ve kurban makinenin doğrudan doğruya olası erişim hafızalarına(RAM) gömülü bir şekilde yayılabilirler.

Solucanlar, kurban makineye işlemek için ve hemen akabinde kodların orada uygulanması için aşağıdaki maddeleri içeren çeşitli yöntemler kullanırlar:

-Sosyal Mühendislik: Gönderilen kişileri açmaya teşvik eden çeşitli e-postalar.
-Zayıf yapılandırılmış ağlar: Yerel makinelerden ayrılan ve makinelere olan erişimi dışarıdan açmaya çalışan ağlar
-İşletim sistemi veya uygulamalardaki savunmasızlıklar.

Günümüzün zararlı yazılımları(malware) karmaşık yapıdadırlar: Solucanlar sıklıkla trojan fonksiyonu içermektedirler veya kurban makinedeki exe uzantılı dosyalara enfekte olabilirler. Onlar artık kusursuz solucanlardır ama harmanlanmış tehditlerdir.

Klasik Virüsler

Bu sınıf zararlı programlar, aşağıdakilerini sağlamak amacıyla kendi kopyasını kurban makineye çıkararak tek makineye boylu boyunca yayılan programları içerir.

-İlk olarak kullanıcının kullandığı belirlenmiş hareketlere bu kodu yerleştirmek
-Kurban makine içinde diğer kaynakların içine işlemek.

Solucanlardan farklı virüsler, diğer makinelere bulaşmak için ağ kaynaklarını kullanmazlar. Virüslerin kopyaları, diğer makinelere sadece eğer enfekte olmuş bir şeye erişilirse ve kod kullanıcı tarafından enfekte olmamış bir makinede çalıştırılırsa yayılabilir. Bu aşağıdaki sırayı izleyen şekilde olabilir:

-Virüs, diğer kullanıcıların erişebildiği ağ kaynaklarına bulaşır.
-Virüs kaldırılabilir bellek aracına enfekte olur ve ondan sonra temiz bir makineye bulaşır.
-Kullanıcı enfekte olmuş dosyayı e-postaya bulaştırır ve onu sağlıklı makine kullanıcısına gönderir.

Virüsler, solucanlar tarafından taşınır veya enfekte olmuş makinede verileri bozan kendi kendine arkakapı(backdoor) veya trojan işlevselliği gösteren özellikler içerebilir.

Trojan Programları

Bu sınıf zararlı yazılımlar(malware), kullanıcıların bilgileri veya rızası olmaksızın işlev gören geniş bir çeşitlilik gösteren gösteren programları kapsar: Verileri toplaması ve siber suçlulara göndermesi, kötü niyetli amaçlarla verileri bozması veya değiştirmesi, bilgisayarın bozulmasına neden olması, kötü niyetli veya suç unsuru olan amaçlarla bilgisayarın özelliklerini kullanması ve spam göndermesi.

Trojanların alt kümesini oluşturan programlar, enfekte olmuş makinelere zarar vermeden ağlara veya uzak makinelere zarar verir. Bu tür trojanlar, oluşturulmuş websitelere yapılan DoS ataklarında ortak olmak için, kurban makinenin özelliklerini kullanırlar.

Hackerların Menfaatleri ve Diğer Kötü Niyetli Programlar

Bu muhtelif sınıfın içeriği:

-Menfaatler o kadar yapıcı ki virüsler, solucanlar ve trojanlar üretmek için kullanılabilir.
-Zararlı yazılımları üretmek için özellikle program kütüphaneleri geliştirilebilir.
-Hackerlar menfaatleri doğrultusunda, enfekte olmuş dosyaları şifreleyerek antivirüs yazılımlarından saklayabilir.
-Normal bilgisayar fonksiyonlarıyla çatışan şakalar
-Kullanıcıların sistemde yaptıkları hareketleri kasıtlı olarak hatalı gösteren programlar
-Yerel veya ağdaki makinelere doğrudan veya dolaylı olarak zarar vermek için tasarlanan diğer programlar.

Kaynak: http://www.viruslist.com/en/virusesdescribed

Çeviri: Serdar BARAKLI