Mart Ayı Virüs Tespitleri

[sade_kahve]

Banbra.DUG Truva atlarının Banbra ailesine aittir. Bu Truva atları 2006 yılı süresince en çok tespit edilenler olup belirli on-line bankacılık hizmetleri için müşteri bilgilerini çalmak üzere tasarlanmış durumda. Banbra.DUG kullanıcıların belirli on-line bankacılık hizmetlerine erişimini gözlüyor. Bu olduğunda, kullanıcıların banka hesap numaraları veya şifre gibi giriş bilgilerini girmek zorunda oldukları ve gerçeğine çok yakın hileli bir web sayfasını görüntüye getiriyor.

Banbra.DUG bilgiyi saklıyor ve daha sonra bunu etkilenen kullanıcının parasını çalmak için kullanacak olan yaratıcısına e-posta ile gönderiyor. Bütün Truva atlarında olduğu gibi, Banbra.DUG kendiliğinden bulaşmıyor, ancak bilgisayarlara ulaşmak için kullanıcının e-postaları açmak veya dosya indirmek gibi belirli eylemleri yapmak üzere müdahalesine ihtiyaç duyuyor. Bu haftanın raporunda yer alan ikinci Truva atı Cimuz.CS olarak karşımıza çıkıyor. Bir önceki Truva atı gibi, Cimuz.CS de, yalnız bankacılık bilgilerini değil, ama kullanıcıların bir Web formuna girdikleri bütün bilgileri çalmak için Web trafiğini gözlüyor. Bulaştığı bilgisayardan IP adresleri, ülke, sistem ID, anasistem, vb. gibi verileri çalmak ve bunları info.txt adlı bir dosyada saklamak için tasarlanmış. Elde ettiği bütün bilgileri bunlardan yararlanacak yaratıcısına dönemsel olarak gönderiyor.

 Tekrarlamak gerekirse, bu iki Truva atı siber-suçluların eylemlerinin arkasındaki esas güdünün maddi kazanç olduğunu ve Truva atlarının en çok kullandıkları araçlardan birisi olduğunu gösteriyor. Atnas.A tehlikeli ve garip bir solucandır. Tehlikesi, belirli web sitelerine dağıtılmış hizmet reddi (DDoS) saldırısına neden olmak üzere tasarlanmış olmasından doğmaktadır. Bu DDoS saldırıları bir sunucuya veya sisteme aynı anda saldırıp kullanılabilir bant genişliğini tamamen kullanan ve böylece hizmetleri engelleyen çeşitli sistemlerden oluşuyor. Bu solucan, aynı zamanda çeşitli güvenlik programları ve P2P klasörlerine ait dosyaları kendisine ait ve orijinal dosya ile aynı adı verdiği bir dosya ile değiştirerek bunların orijinal uzantılarını değiştiriyor. Atnas.A kendisini paylaşılan klasörlerdeki P2P ağlarına ilişkin adlara (emule, Kazaa, … gibi) sahip yasal programların adı ile kopyalama yoluyla bulaşıyor.

Bu şekilde, eğer bir ad kullanıcıların indirmek istedikleri bir şey ile çakışırsa, aslında solucanı indirmiş oluyorlar. Atnas.A ayrıca Windows Registry’de bir anahtar yaratıyor ve Windows her başlatıldığında o da çalıştırılıyor. Bu solucanın garip özelliği, ilk çalıştırıldığında bir hata mesajı vermesi, fakat daha sonra harflerden oluşan çıplak bir kadın görüntüsü oluşturmasıdır. Bu mesajlar kullanıcıların bilgisayarlarına bu virüsün bulaştığını tanımlamaları açısından yararlı olabilir.