Yayılma yöntemi:
Zararlı dosya kariyer.net'ten gelen sahte bir email yoluya yayılmaktadır. Yakalanan örnek sahte e-mail; "nur_karayel@kariyer.net" adresi ve "selam" subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna bağlı 88.233.33.192 ip'si ile gonderilmiştir.
Mail içeriği de şu şekildedir:
"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..
NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)
iyi calismalar dilegiyle.
Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."
İlgili resime tıklanıldığında; "
www.freewebtown.com/nurkarayel/cv-resimlerim.zip" adresinden dosya indirme işlemi yapılmakta, indirilen zip dosyası içerisinde, kendini açan-çalıştırılabilir (self decompress-executable) dosya görüntüsündeki cv.exe dosyası bulunmaktadır.
cv.exe dosyası bir antivirus yazılımlarının halen tanımlayamadığı bir trojan loader olarak çalışmakta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak tanımlanan bir dosyayı yüklemektedir.
smss.exe dosyası keylogger, screen capturer, spyware-trojan loader olarak çalışmaktadır.
İlk çözümleme:
Cv.exe dosyası Borland Delphi ile yazılmış ve içerisine yine Borland Deplhi ile yazılmış smss.exe ve Bitlogic Software firması tarafından eğitim amaçlı açık kaynak kodlu olarak dağıtılan MouseHook.dll dosyaları gizlenmiştir. Dosya ilk kez çalıştırıldığında, "HKEY_LOCAL_MACHINE\Software" registry key'i altına "cupra" Key'i ve bu key'in de altına "checker" key'ini oluşturmakta ve değerini de 1 olarak belirlemektedir. Hemen sonrasında, smss.exe ve mousehook.dll dosyalarını "c:\windows\driver cache\Winapp\AppData\" klasörü altına kopyalamaya çalışmakta ve kopyalama işlemi biter bitmez smss.exe'yi çalıştırmaktadır.
cv.exe dosyası smss.exe'yi çalıştırdıktan hemen sonra "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run" registry key'i içerisine "Winloader" isimli key'i oluşturarak değerini de "C:\WINDOWS\Driver Cache\Winapp\AppData\smss.exe" olarak berlirlemektedir.
smss.exe dosyası tüm tuş basımlarını ve internet explorer üzerindeki mouse'un sol butonuna basılma işlemlerini takip etmektedir.
Bulaşmasının anlaşılması:
- Registry üzerinde oluşturulan kayıtlar izlenerek.
- Dosya sistemi üzerinde oluşturulan dosyalar izlenerek.
Manuel Temizlenmesi ;
smss.exe isimli windows işletim sisteminin "Session Manager Subsystem" olarak adlandırılan bir parçası da vardır ve bu parça kapatılmamalıdır. Ancak zararlı yazılım olan smss.exe'si ile kullandığı bellek miktarı ile ayrılabilir. "Session Manager Subsystem" olan smss.exe dosyası genellikle 100-300 KB civarında hafıza kullanırken zararlı yazılım olan smss.exe çalışma zamanına bağlı olarak çok daha fazla miktarda bellek kullanmaktadır.
Ancak smss.exe ile oluşturulan işlem (process) task manager üzerinden kapatılamamaktadır. Bu nedenle temizlemek için öncelikle registry'deki "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run" içerisindeki smss.exe değerli key silinmelidir. Yakalanan örnekte bu key daima "Winloader" ismindedir.
Daha sonra windows restart edilmeli; ve "c:\windows\driver cache\Winapp\AppData\" klasörü altındaki "smss.exe", "MouseHook.dll", varsa "ioerrors.txt", ve "img" klasörü silinmelidir
Ptsi Mart 24, 2008 5:53 am