Bugünkü makalemde sizlerle çok önemli bir virüs olan Torpig yada diğer ismiyle Sinowal virüsünden bahsedeceğim.
Çok fazla teknik bilgi verip kafanızı karıştırmayacağım, aslında eski bir virüs bu fakat yüzlerce değişik sürümü çıkmış durumda. 2008 yılında ortaya çıkan bir virüs bu ( gerçi 2005 yılından itibaren konuşulmaya başlanmıştı) ve gerçekten son derece profesyonel bir grup yada bir uzman tarafından yazılmış. HTML enjekte yöntemi ile banka hesap numaraları, kullanıcı adları ve şifreleri toplayıp belli serverlara bağlanıp bu bilgileri karşı taraftaki Hacker'lara aktarma işi yapıyor. Bugüne kadar belki milyonlarca insanın banka bilgileri bu virüs tarafından çalınmış bulunmakta. Windows XP işletim sistemi yüklü makinalarda daha çok Mebroot olarakta karşımıza çıkmakta.
Bunca yıl geçmesine rağmen benim karşılaştığım en güçlü virüslerden biri bu virüs olmuştur. Çünkü çok ciddi ve çok karmaşık bir yapıya sahip bir virüs bu, bu makaleyi yazdığım şu günlerdeki hiçbir virüs tarayıcı yada koruyucu bu virüsü yakalayamadı dersem sorunun nekadar büyük olduğunu anlarsınız.
Torpig Sinowa/Mebroot ilk olarak çalıştırıldığında hemen Windows XP makinaların Master Boot Record (MBR) sine kendisini bulaştırıyor. Makina her çalıştığında tabiki boot işlemi sırasında gizlice hafızaya yükleniyor. Her nekadar Vista SP1 den itibaren MBR ye kayıt ve ulaşım bloke edilsede yinede belli sektörlere ulaşım var ve virüs bu bölgeleri kullanıyor. Virüs karmaşık bir bekleme yöntemide kullanıyor, mesela MBR ye kendini direk kaydetmiyor önce 8 dakika bekliyor ve sonra bilgisayarı analiz etmeye başlıyor ve 10 dakika sonra Registry ve bilgisayar ayarlarını değiştiriyor. Bütün bu işlemleri 42 dakika içinde yapıyor ve arkasında hiçbir iz bırakmadan kendisini gizliyor.
Sisteme birkez başarılı bir şekilde bulaştıktan sonra, sistem kaynaklarında görülmeyecek şekilde gizli olarak arka planda çalışıyor. Tabiki bu hali ile Windows işletim sisteminin en alt tabanı olan kernel mode da çalışıyor ve kendi network iletişim sistemini kuruyor ve yaptığı bütün network iletişimlerini 128-bit şifreliyor.
Virüsün bünyesinde uzun bir banka listesi var bu liste ile sahte banka sayfalarını sizin önünüze getiriyor ve formları doldurmanızı bekliyor.
Bundan sonraki adımda ise; Hafızada çalışırken bir exe dosyası kullanmıyor ve Registry de yaptığı değişiklikleri bulmak oldukça zor oluyor. Ayrıca sürücü modül de kullanmıyor bu sebeple Task manager da svchost.exe yada rundll32.exe dosyaları altında herhangi bir process de göremiyorsunuz.
Eğer bilgisayarınızdan bilgi alacaksa onları alıp gizli birşekilde gönderiyor fakat eğer gerekiyorsa yaptığı dış bağlantı ile yeni Truva yazılımınıda download edip kendisi çalıştırıyor ve bu programda kesinlikle farkedilemiyor.
Windows XP kullanıcıları bu virüs için son derece kolay hedef oluyor. Windows un üzerindeki firewall ise kesinlikle işe yaramıyor. Hemen hemen her ay yeni bir sürümü çıktığı için neredeyse hiçbir virüs programı bu virüsü yakalayamıyor. Virüs tarama ve silme programı yazılımcılarını bile hayrette bırakan bir virüs bu, çünkü her yeni versiyonu farklı bir tip yazılım ile hafızaya yükleniyor ve virüs programı yazılımcıları günler sonra güncelleme çıkarabiliyor.
Aslında bu virüsten korunma yolu pek yok, mümkün olduğunca yabancı mailleri ve özellikle ek olarak gönderilen dosyaları açmamak ayrıca bilmediğiniz websitelerine girmemek en öncelikli korunma yolları arasında. Ayrıca Adobe PDF okuyucu, Flash Player, Apple Quicktime gibi program dosyalarınada dikkat etmek gerekiyor. Mümkünse en son sürümlerini bilgisayarınıza yüklemeniz gerekiyor.
Bu virüsün ilk versiyonları Vista SP1 den itibaren sisteme bulaşamıyordu, fakat benim bugünlerde gördüğüm kadarıyla Windows 7 ye bile kolaylıkla bulaşabiliyor. Windows XP zaten artık savunmasız durumda.
Bu virüs hangi yolla bilgisayarınıza bulaşıyor?
a- Virüsün ilk çıktığı zamanlarda gelen bir mail ile kullanıcıya sahte bir bilgi veriliyordu ve bankanızdaki bir sorun yüzünden üyelik bilgilerinizi güncellemeniz isteniyordu ve size bir link üzerinde bankanızın sayfasının birebir kopyası sahte bir form yüklü siteye yönlendiriliyordunuz (Phishing).
b- Yine yakın bir arkadaşınızın ismi ile gelen bir mailde bir firmaya yada bir kuruma borcunuzun bulunduğu ödenmeyen faturaların mailin ekinde PDF dosyası halinde gönderildiği açıp bakmanızı ve iletişime geçmenizi istiyor. Fakat her nekadar PDF densede dosya ismi fatura.pdf.zip gibi bir dosya oluyor, zip (sıkıştırılmış) dosyayı açtığınızda yine içeride faturalar.exe gibi bir exe dosyası çıkıyor ve onuda çalıştırmayı denerseniz virüs hemen kendini çalıştırıyor. Bu yüzden gelen maillerin ekindeki dosyaları asla açmamak gerekiyor. Çünkü hiçbir kurum yada firma mail ile durup dururken size ödenmeyen faturaları göndermez.
Burada dikkat edilmesi gereken diğer bir husus ise, windows kullanıcısının yönetici olması yada kısıtlı kullanıcı olması hiç önemli değil, benim sistemlerimde kullanıcıların yönetici hakları olmamasına rağmen bu virüs sisteme hemen bulaşabilmişti.
Bu virüsün bulaştığını nasıl anlayabiliriz?
Birincisi dış dünya IP adresinizi spam blacklist lerde kontrol etmeniz gerekiyor, eğer ip adresiniz listelenmiş ise zaten hemen uyarı ekrana çıkacaktır.
Ikincisi Torpig virüsü sisteminizde varsa blacklist sitesinde de sizin sisteminizden belli bir dış ip adresine bağlantı var diyorsa (ki o ip adresi benim virüs bulaşan sistemimde 108.61.18.43 idi.) hemen ilgili pc yi networkten çıkartıp temizlik işlemine başlamak gerekiyor.
Eğer sisteminiz büyük ve 10 pc yada daha fazla pc ye sahipseniz, işiniz biraz daha zor olacaktır. Virüslü pc yi bulmak için ben Microsoft TMG Firewall Server i kullanıp 108.61... ipsine bağlanan bütün bilgisayarları dinlemeye alıp listelettim ve virüslü makinayi 15 dakika içinde buldum. Fakat sizin böyle bir imkanınız yoksa wireshark gibi bir network dinleme programı ile networkünüzdeki trafiği dinleyip virüslü pc yi bulmanızı öneririm. Eğer o da olmuyorsa mecburen her pc yi ayrı ayrı taramanız gerekecek.
Hangi Virüs Programları Kullanılabilir?
Kısaca söylemek gerekirse benim denediğim hiçbir virüs programı bu virüsü bulamadı!!!!
Denediklerim;
Malwarebytes anti root kit BETA
Malwarebytes Antimalware
Norton Power Eraser
TDSS Root Kit Killer
GMER Root kit Scanner
Yukarıda ismi yazılı programların hiçbiri Torpig Virüs ü tespit edemedi. Ayrıca Microsoft Security Essentials ile yaptığım kontrolde de hiçbir iz yoktu.
En son denediğim program ismi pek duyulmayan IBM e ait Trusteer isimli bir virüs programı idi. Bu program aslında bankalar tarafından öneriliyor. Virüslü sisteme bu programı yükleyip birkaç dakika bekledikten sonra program hemen beni uyardı ve sistemde Torpig virüsü tespit edildiğini bildirdi. Hemen Restart yapıp bilgisayarı yeniden başlattı ve bu virüsü silmeyi başardı.
Fakat henüz bitmedi!!! Bu virüs silseniz bile geri gelme ihtimali var, nasıl mı?
Master Boot Record (MBR) üzerinden yeniden kendini aktif hale getirebiliyor. Bu sebeple bilgisayardaki önemli dosyaları dikkatle yedekleyip, bilgisayarımızın sabit diskini değil formatlamak ancak Partition dediğimiz sabit diskin üzerindeki bölümleri de silmemiz gerekiyor. Yani sanki fabrika ayarlarına geri getirmek gibi birşey bu. Formatlama işlemi partition dediğimiz bölümü silmediği için bu yeterli bir işlem olarak görülmüyor. Sabit diskin bölümleri silinip yeni bölümler açıp işletim sisteminizi yeniden kurmanız gerekiyor.
Bu virüs beni birkaç gündür baya bir yordu ama umarım sizleri çok fazla yormaz...
Hiç yorum yok:
Yorum Gönder