Truva Atı Kendi Anti-Virüs Tarayıcısını Kuruyor
Deneyimli “zararlı” araştırmacısı Joe Stewart, SpamThru Trojan adlı truva atını analiz ederken çok ilginç özelliklerle karşılaştı. Zararlının asıl amacı bulaştığı bilgisayarı kullanarak spam e-posta yollamak. Trojan peer-to-peer (P2P) teknolojisini kullanarak bulaştığı bilgisayara komutlar veriyor. İşin en ilginci, içerisinde kendi anti-virüs tarayıcısı bulunması ve bu tarayıcının, bazı ticari anti-virüs yazılımları ile rekabet edebilecek kadar kompleks ve iyi bir mimariye sahip olması. SecureWorks’un deneyimli araştırmacısı Stewart, “Bunun yapıldığını ilk defa görüyorum” dedi.
Stewart’ın analizine göre bu trojanın bazı gelişmiş özellikleri şunlar.
Trojan, hemen hemen diğer tüm trojanlar gibi HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run anahtarını kullanarak kendini başlangıca yerleştiriyor. Fakat ayrıca HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler ve SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad anahtarlarına da yerleşmeye çalışarak Run anahtarının silinmesine karşı önlemini alıyor.
Bir diğer fark, SpamThru bilgiyi paylaşmak için P2P teknolojisi kullanıyor. Ve transferleri diğer “peer”ler ile, buna kontrol sunucusunun IP adresleri, portları ve yazılım sürümleri de dahil, P2P teknolojisi ile yapıyor. Kontrol gene de merkez sunucu tarafından sağlanıyor ancak eğer kontrol sunucusu bir sebeple kapanırsa, “peer”lerden biri, bir kontrol sunucusuna sahip olduğu müddetce yeni kontrol sunucusunu diğer “peer”lere gönderip ayakta kalabiliyor.
Diğer bazı virüsler ve trojanlar gibi, SpamThru da anti-virüs yazılımının güncelleme yapmasını engellemek için %sysdir%\drivers\etc\hosts dosyasını değiştirerek, anti-virüs yazılımının güncelleme sunucularına bağlanmasını engellemeye çalışıyor. Bunun değişik türevleri olan, anti-virüs yazılımını kapatmaya çalışan, kayıt defteri anahtarlarını silmeye çalışan veya kandırmaya çalışan zararlıları biliyoruz. SpamThru bu oyunu bir üst seviyeye taşıyor. Başlangıca yerleştiğinde, sunucularından bir .dll dosyası istiyor. .Dll dosyası indirilirken, Kaspersky Anti-virus’un korsan bir kopyasına dönüşüyor. Kaspersky‘yi, lisans süresi dolduğundan çalışmamasına karşı kırıyor (crack). On dakika kadar sonra da sistem taraması yapıyor, tabii ki kendi kurduğu dosyaları ve kayıtları atlayarak. Tarama sonunda da “Any other malware found on the system is then set up to be deleted by Windows at the next reboot,” diyor, yani bulduğu zararlıları bir dahaki Windows açılışında sileceğini söylüyor.
İşte en akkılıca yönü de bu, önce neden Kaspersky‘yi kullanıyor diye düşünebiliriz, ancak teori çok başarılı. SpamThru, rakip zararlıları sistemden temizleyerek, tüm kaynağı kendisine ayırıyor.
Bir Yorum Var “Truva Atı Kendi Anti-Virüs Tarayıcısını Kuruyor”
Yorum Yapın
mrb benim adımda tansuu çok memnun oldum ama virüss programı arıyorum bulamadım gönderirsen sevinirimkeci_tansu@hotmail.com