Geçenlerde internet hızım yavaşladığı için UyduNet‘e arıza kaydı açtırmıştım. Telefonun ucundaki görevli, hattımda veri kaybı yaşandığını teknik elemanlarını göndererek ilgileneceklerini söylemişti. Gelen elemanların bilgisayarımıa RAT (remote access trojan)  bulaştıracağını nereden bilebilirdim…

Bu çok ciddi bir iddia gibi duruyor diyebilirsiniz. Ama bu bir iddia değil. Şöyle ki;
Şahsen web browsing için internet explorer kullanana birisi değilim, çoğunlukla hızı ve uyum standartlarına gösterdiğini özenden ötürü Chrome kullanırım ve soranlara da Google Chrome kullanmalarını tavsiye ederim. Durum böyleyken kullandığım antivirüs gecenin bir yarısında, iexplore.exe‘nin bir web adresinden aşağıdaki uygulama dosyasını yüklemeye çalıştığını uyardı.

http://www.suforum.net/includes/datastore/flash.exe

Bazen gezinilen sitelere enjekte edilmiş blackhole, zeus, spyeye, oddjob ve sunspot exploit kitleri yerel zaafiyetleri kullanarak sisteme kod bulaştırmaya çalışabiliyor. Keza kendi açtığım bir Internet Explorer yok iken bu uyarı kafamda alarm zillerinin çalmasına neden oldu! Yoksa Windows’un alt bileşenlerinden birinin browse ettiği Microsoft domainlerinden birine virüs mü bulaşmıştı veyahut microsoft hostunda değilse birisi trafiğime injection mı yapıyordu.

Görev yöneticisini açtığımda gerçekten de iexplore.exe nin çalışmakta olduğunu gördüm. Hem de 2 ayrı kopyası. Bilgisi olanlar hemen tahmin edecektir popüler RAT’ların çoğu iexplore.exe ve explorer.exe gibi yerel ve güvenilir uygulamaları internete ulaşmak için paravan olarak kullanıyorlar. Böylece binary dosya antivirüsten kaçabildiyse güvenlik duvarından da böylece atlatarak dışarı bağlanabiliyor. Bunu iexplore.exe’nin RAM’deki kod bloğuna code injection yaparak başarıyorlar.

Kaynak izleyicisini açıp iexplore.exe’nin hangi bilgisayar ile iletişim kurduğunu incelemeye başladım. 31.192.209.128 IP numaralı bilgisayarın 1907 numaralı portuna ortalama 10Kb/sec hızında bir trafik olduğunu gördüm. Aşağıda ekran görüntüsü yer alıyor.

Trafiği WireShark ile incelediğimde bir IRC domain’ine PING/PONG mesajları gönderdiğini gördüm. Bu IRC üzerinden yönetilen bir BOT (robot yazılım)’du.

http://irc.evdenevenakliyatin.org

Peki bu şey bilgisayarıma ne zaman ve nasıl bulaşmıştı ve nasıl temizleyecektim. Genelde el yordamıyla temizliği severim. Önce Autoruns ile Windows’un autostart konumlarını gözden geçirdim ve tahmin ettiğim gibi mahlukat orada duruyordu.

C:\Users\thales\AppData\Roaming\ konumuna gittiğimde benzer tarihli D77A.exe isminde bir başka mahlukatın da orada olduğunu gördüm. O anda düşman hakkında biraz daha bilgi sahibi olmak için virustotal.com‘dan davranış analizi yaptırmak istesemde hosts dosyamın da modifiye edilmiş olduğunu anladım. Sonradan öğrendiğim üzere Xthytv.exe bir IRC botu D77A.exe ise downloader olarak işaretlenmişti. Bu yazıyı yazdığım şu sıralar bu dosyaları kendi SandBox’ım da detaylı incelemek düşüncesindeysem de her an vazgeçebilirim. Malum iş güç,neyse..

Hosts dosyamu düzeltip, autostart kaydnı kaldırıp zararlı dosyaları sildikten sonra sistemi yeniden başlattım ve enaz 10 farklı Anti Rootkit ile inceledim. Neler mi onlar: F-Secure BlackLight, Sophos Anti-Rootkit, GMer, DarkSpy, Lavasoft ARIES Rootkit Remover, Rootkit Revealer, AVG Anti rootkit, Panda Antirootkit PAVARK, Rootkit_Detective, RootkitBuster ve Hypersight, Eset SysInspecter, iDefense SysAnalyzer ve diğer bazı lowlevel araçlar… Ve daha saatlar süren parola güncellemeler, sertifika ve anahtarların yeninden üretilmesi.. Disk taramaları… Lanet olsun.

Gelelim bam telinin koptuğu yere bu dosyanın oluşturulma tarihine baktığımda tam da UyduNet’in teknik elamanlarının geldiği tarih ve saat. (Geldiklerin de evde yoktum ve büyük bir salaklık yaparak sorunu rahatça görüp teşhis etmeleri için konsolumu açık bırakmıştım) Annem 50 yaşında yaşlı bir kadın nerden bilsin bu lamerlerin böyle birşey yapacaklarını. Yapsalarda anlamaz zaten. Keza bunu da deneyimlemiş de olduk zaten. Evet sadede geleyim. Topu topu 2 tane flash belleğim var ve bilgisayarımın mutlak tek kullanıcısıyım. USBDeview ile tam da o saatte bilgisayarıma yabancı bir flash belleğin takıldığını anladım. Windows’un tuttuğu log aşağıdaki gibiydi.

Port_#0001.Hub_#0004 JetFlash TS2GJFV30 USB Device Mass Storage No Yes No No OWMCVBVJ 29.08.2012 18:23:42 N/A 058f 6387 1.41 08 06 50 USBSTOR USB Yığın Depolama Sürücüsü USBSTOR.SYS USB @usbstor.inf,%generic.mfg%;Uyumlu USB depolama aygıtı USB Yığın Depolama Aygıtı 6.1.7600.16778

Ne mi yapıcam? O botmaster’a host’luk yapan provider’a (Netinternet Bilgisayar Telekominukasyon San. ve Tic. Ltd. Sti.) telefon açıp ilgilenmelerini isteyeceğim.  UyduNet elemanlarına gelicek olursak, bir dahaki sefere onlar için güzel bir süprizim var. Tabiki hukuki kanallardan… Beni izlemeye devam edin.

2 YORUMLAR

CEVAP VER

This site uses Akismet to reduce spam. Learn how your comment data is processed.