Virüs ve saldırı hakkında haftalık rapor Bu haftaki virüs ve saldırı raporunda Bobax.A, Bobax.B, Bobax.C, Kibuv.A ve Lovgate.AF solucanları ile trojan görünümündeki Ldpinch.W incelenecek. Bobax solucanının üç varyantı (A,B ve C) birbirlerine çok benzemektedirler. Aralarındaki tek fark kullandıkları kodların boyutlarıdır. Bu yeni solucan ailesinin temel özelliği Sasser solucanına çok benzemek olup, yayılması için Windows’un LSASS açığından faydalanıyor olmasıdır. Bu solucanlar böylelikle bahsedilen açığa sahip olan bilgisayarlar için web i araştırıyor. Eğer başarırsa Bobax, etkilenen bilgisayarlara yüklenmesi için içeriğini gönderir ve solucanın kopyalanması işlemini başlatır. Bu solucanlar LSASS açığından yararlandığında bilgisayarlarda önbellek taşması yaratıp bilgisayarların yeniden başlamasına sebep olurlar. Bununla birlikte LSASS açığından sadece Windows XP ve 2000 makineler etkilenir. Fakat Bobax ve onun tüm varyantları diğer Windows platformlarını etkileyebiliyorlar. Bu ikinci durumda Bobax solucanları bu bilgisayarlara otomatik bir biçimde dağılamıyorlar: Bu solucanların enfeksiyonlarını tamamlamaları için kullanıcıların dosyaları çalıştırmalarına ve solucanların kendilerini kopyalamasına ihtiyaçları vardır. Kullanıcılar bir kez dosyaları çalıştırdıklarında Bobax solucanları birkaç TCP portu açar böylelikle hackerların etkilenen bilgisayarları SMTP mail sunucuları gibi kullanmalarına izin verir. Sonuçta bu solucandan etkilenen bilgisayarlar spam mail göndermek için zombilere dönüşebiliyor. Kibuv.A, Sasser solucanın bir diğer taklitçisi ve etkileri birbirlerine çok benziyor. Bu solucan da LSASS açığından faydalanarak yayılıyor ve sonuçta bilgisayarları yeniden başlatıyor. Bobax solucanı gibi Kibuv.A solucanı da tüm Windows işletim sistemlerini etkiliyor. Fakat sadece Windows XP ve 2000 bilgisayarlarına otomatik bir şekilde yayılıyor. Lovgate.AF bir solucandır. Yayılmak için backdoor karakteristikleri ile birkaç teknoloji kullanır. Örneğin e-mail mesajları, P2P paylaşım programı KaZaA, paylaştırılmış network kaynakları,vb. Bir kez bilgisayara bulaştığında Lovgate.AF bir port açar ve uzak kullanıcılara etkilenen bilgisayarları ve erişimi olan açık portları bildirmek için e-mail mesajları gönderir. Son olarak Ldpinch.W trojanı büyükçe bir şekilde hackerlar tarafından konusunda “Iraktaki askerlerimiz hakkında önemli haberler” yazan e-mail mesajları gönderdi. Mesaj Iraktaki savaş hakkında bir yazı ve bir web sayfasına bir link içerir. Bu e-mail mesajı IMPORTANT INFORMATION.ZIP isminde sıkıştırılmış ek içerir. Aynı zamanda IMPORTANT INFORMATION.SCR isimli bir dosya içerir. Kullanıcı bu dosyayı çalıştırdığında Ldpinch.W bilgisayara yüklenecektir. Ldpinch.W etkilenen bilgisayarlardaki önemli bilgileri çalar ve sonra bu bilgileri özel e-mail adreslerine gönderir. Böylelikle virüs yazarı bu bilgileri kötü niyetli işlerinde kullanabilir. Bu ve diğer IT tehditleri hakkında daha fazla bilgi için http://www.pandasoftware.com/virus_info/encyclopedia/ adresini ziyaret edebilirsiniz. |
