Yeni Yorum Gönder 
 
Konuyu Oyla:
  • Toplam: 0 Oy - Ortalama: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Solucan: Win32/Dorkbot
Yazar Konu
mivikivimi Çevrimdışı
Editör
***
Editör

Yorum Sayısı: 847
Üyelik Tarihi: 29-06-2011
Yorum: #1
Solucan: Win32/Dorkbot







Bu ay MMPC, Microsoft Kötü Amaçlı Yazılımları Temizleme aracına Win32/Hioles, Win32/Pluzoks ve Win32/Yeltminky'nin yanında Win32/Dorkbot'u da ekledi.

Zararlıya genel olarak verilen isimler aşağıdaki gibi:
Win-Trojan/Injector.636416.D(AhnLab)
W32/Dorkbot.B.gen!Eldorado(Command)
                Trojan.Injector!mcxcCCeftrA(VirusBuster)
                W32.IRCBot.NG(Symantec)
                WORM_DORKBOT.QUN(Trend Micro)
                ngrBot(other)

Win32/Dorkbot IRC tabanlı bir botnet olmakla birlikte, rootkit yeteneğine sahip şifre çalınmasında kullanılan solucan olarak da bilgisayar kullanıcılarının korkulu rüyası haline geliyor. Komut ve kontrol sunucusu için (C & C) basit bir IRC protokolü kullanmasına rağmen gayet etkili olan Win32/Dorkbot, bazı davranışları ve gelişmiş özellikleri nedeniyle bir başka zararlı olan Win32/EyeStye'ye benzemektedir.

Dorkbot, EyeStye tarafından kullanılan "kancalama" tekniğine benzer bir teknik kullanır. Rookit algılamaözelliğine sahip bir güvenlik yazılımına sahip olmayan kullanıcılar, Dorkbot'un kayıt defteri ve dosya bileşenlerini gizleme özelliğine maruz kalabiliyor. Bu tehdit ve saldırılar ile kullanıcının kimlik bilgileri veya banka hsap bilgileri gibi hassas verileri çaınabilir.

Saldırgan için Dorkbot, EyeStye'e göre daha kolay yapılandırılması ve kontrol edilmesiyle tercih sebebidir. EyeStye ise daha karmaşık özel bir protokol kullanmaktadır.

Aşağıda kötücül yazılıma ait bir site görüntüsü verilmiştir:

[Resim: 6136.Dorkbot_2D00_002b.png]

Win32/Dorkbot aşağıdaki üç faktörle bilgisayarlara bulaşır:
  • USB Sürücüler: Solucan, kurulu olduğu bilgisayara takılan USB medyaya kendini aktarır ve bulaşmak için başka bir bilgisayara takılmayı bekler.
  • Anında Mesajlaşma (IM) : C&C (Komut & Kontrol) sunucusu IRC kanalı vasıtasıyla Win32/Dorkbot'la kötü niyetli linkler için iletişim kurar. Solucan, IM yazılımnın iletişiminden faydalanmak için yazılıma kanca atarak kullanıcının sohbet ve yazışma pencerelerine kötü niyetli bağlantıları enjekte eder.
  • Sosyal Ağ Siteleri: IM yayılma mekanizmasına benzer bir yayılma mekanizması da sosyal ağ siteleri için de geçerli. Dorkbot, Twitter, Facebook ve diğer popüler sosyal ağları izler. Sosyal ağdaki sohbet işlevini kullanarak, sohbetlerin içine kötü niyetli linki enjekte ederek yayılır. Sosyal ağların günümüzdeki popülerliği Dorkbot'un yayılma hızının arkasında yatan gerçeklerden biri.
Bunların dışında Dorkbot, kanca yeteneği sayasinde veri hırsızlığı yapma, servis saldırısı, rootkit yeteneği, DNS ayarı değiştirme ve birçok özelliğe de sahip bir zararlı.
Dorkbot, "Dnsapi.dll" API'lerine çengelleyerek, güvenlikle ilgili web sitelerine girişi engeller. Etki alanında olan web sitelerinin örneğini aşağıdaki görüntüde görebilirsiniz:

hxxp :/ / <removed>. fuskbugg.se / <removed> / 4e28ae2064f07_av.txt

[Resim: 2335Dorkbot-004.png]

Sistemde Yaptığı Değişiklikler: "Aşağıda belirtilen sistem değişiklikleri zararlının varlığına dair sonuçlardır."

Aşağıdaki dosyaları varlığı:
facebook-profile-pic-<random number>-JPEG.exe
facebook-pic00<random number>.exe

Aşağıdaki mesaj kutularının varlığı:

[Resim: 52137dc7a4dbfdae.jpg]

Kancalama Yaptığı API'ler:

CopyFileA/W
CreateFileA/W
DeleteFileA/W
DnsQuery_A/W
GetAddrInfoW
HttpSendRequestA/W
InternetWriteFile
LdrLoadDll
MoveFileA/W
NtEnumerateValueKey
NtQueryDirectoryFile
NtResumeThread
PR_Write
RegCreateKeyExA/W
send
URLDownloadToFileA/W

Değiştirdiği Dosyalar:

regsvr32.exe
cmd.exe
rundll32.exe
regedit.exe
verclsid.exe
ipconfig.exe

Hassas Bilgi Hırsızlıkları:

Dorkbot, Firefox ve Internet Explorer gibi web tarayıcılarından girilen hasaplardaki kullanıcı kimlik ve hesap bilgilerini çalmak için API'lere kanca atarak veri hırsızlığına sebep olur. Veri hırsızlığı için aşağıdaki siteleri hedef alır:

4shared
AOL
Alertpay
Bcointernacional
BigString
Depositfiles
DynDNS
Facebook
Fastmail
Fileserve
Filesonic
Freakshare
GMX
Gmail
Godaddy
Hackforums
Hotfile
IKnowThatGirl
Letitbit
LogMeIn
Mediafire
Megaupload
Moneybookers
Moniker
Namecheap
Netflix
Netload
NoIP
OfficeBanking
Oron
PayPal
Runescape
Sendspace
Sms4file
Speedyshare
Steam
Thepiratebay
Torrentleech
Twitter
Uploaded
Uploading
Vip-file
Whatcd
Yahoo
YouTube
eBay

Engellediği Web Siteleri:
Solucan, etkisini kalıcı kılmak için aşağıdaki güvenlik ağırlıklı sitelere erişimi engellemektedir.

avast
avg
avira
bitdefender
bullguard
clamav
comodo
emsisoft
eset
fortinet
f-secure
garyshood
gdatasoftware
heck.tc
iseclab
jotti
kaspersky
lavasoft
malwarebytes
mcafee
onecare.live
norman
norton
novirusthank
onlinemalwarescanner
pandasecurity
precisesecurity
sophos
sunbeltsoftware
symante
threatexpert
trendmicro
virscan
virus
virusbuster.nprotect
viruschief
virustotal
webroot

[Resim: Userbar.gif]
HijackThis Tr Takımı'na Katılmak İster misiniz?

Eski nick: Dword >> Yeni nick: mivikivimi
16-03-2012 22: 30:55
kullanıcının web sitesini ziyaret et kullanıcının tüm mesajlarını bul Alıntı ile Cevapla
ata_306 Çevrimdışı
Yeni Üye
*
Üye

Yorum Sayısı: 1
Üyelik Tarihi: 09-04-2012
Yorum: #2
RE: Solucan: Win32/Dorkbot
arkadaşlar benim harici disk bi arkadaşıma verdim sonra geri aldığım bu dorkbot bulaşmış benim verilerimi kendi pc mde göremiyorum ama arkadaşın pc de görülüyor ben takınca uyarı veriyor dorkbot için ben windovsun güvenlik yazılımını kullanıyorum o ise macaffe kullanıyor sonuç onun pcye benim verilerimi kopyaladık harici diski de biçimlendirdik ama yine geliyor bunu verilerimi kaybetmeden nasıl kurtulurum başka bi harici takdığımızda bile aynı onada bulaşıyor burda yeni harici alıp bulaştırmadan nasıl kurtarırım lütfen çok çok acil bi bilgisi olan yardımcı olursa çok sevinirim [***] buradan da mj atabilirsiniz şimdiden teşekkür ederim ilgilenecek arkadaşlara

Felâsife Üzerinde düzenleme 13-04-2012 10: 59:38 Düzenleme sebebi:

Mail adresinin açıktan paylaşımı yasaktır.

13-04-2012 10: 52:33
kullanıcının tüm mesajlarını bul Alıntı ile Cevapla
tekir06 Çevrimdışı
Baş Editör
*****
Baş Editör

Yorum Sayısı: 2,941
Üyelik Tarihi: 29-06-2011
Yorum: #3
RE: Solucan: Win32/Dorkbot
Merhaba @ata_306,

Bilişim Platformuna hoşgeldiniz.

HijackThis TR Temel Kılavuzu'nu
okuyarak orada sizden istenilen raporlarla birlikte HijackThis TR Yardım (Kötücül Yazılım Temizliği) bölümümüze yeni konu açarsanız sisteminizin durumuna bakabiliriz.

http://www.techsupportforum.com/forums/m...29806.html
http://malwarecrypt.com/index.php?PHPSES...opic=768.0
13-04-2012 13: 27:44
kullanıcının tüm mesajlarını bul Alıntı ile Cevapla
Yeni Yorum Gönder 


Bookmarks

Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
  win32 chir.b şenol12 1 491 29-08-2013 2: 08:50
Son Yorum: olgun52
  Win32:VBCrypt-CAP [Trj] virüsü [Yardım Lazım] akincanbayir 0 690 04-02-2013 17: 48:50
Son Yorum: akincanbayir
  MSRT Nisan 2012: Win32/Claretore mivikivimi 2 758 12-04-2012 20: 40:34
Son Yorum: mivikivimi
  Sahte Güvenlik Yazılımı: Win32/FakePAV mivikivimi 0 5,108 04-03-2012 18: 31:18
Son Yorum: mivikivimi
  Sahte güvenlik yazılımı. Win32.HomeMalwareCleaner. olgun52 0 489 25-02-2012 21: 41:35
Son Yorum: olgun52

Hızlı Menü:


Şu anda bu konuyu okuyanlar: 1 Ziyaretçi