Potansiyel Trojan

10 yıl

Yüzbaşı

Konu Sahibi

Battle.Net Amerika forumlarında dün paylaşılan ve göründüğü kadarıyla çözüme ulaşma yolunda hızla ilerleyen bir trojan tehlikesiyle ilgili uyarıda bulunmak istedim.

Disker ya da Disker64 adındaki gerçek zamanlı çalışan trojan, girildiği anda hem hesap şifresini hem de(varsa) authendicator kodunu ele geçirebildiği söyleniyor. Geçen yıl Mart ayında ilk kez tespit edilmiş fakat forumlarda söz konusu olan farklı bir versiyon olabilir deniyor.

Bilgisayarda genellikle aşağıdaki konumlarda bulunduğu söylenmiş:

Disker rundll32.exe c:\users\name\appdata\local\temp\w_win.dll,dw Name-PC\Name Startup

Disker64 rundll32.exe c:\users\name\appdata\local\temp\w_64.dll,dw Name-PC\Name Startup

Mac bilgisayarları etkilediğiyle ilgili henüz bir bir rapor ulaşmamış.

Linkte bulunan Antivirüs, Antimalware vs. programların trojani tanıdığı belirtilmekle birlikte, AVG, Avast, ClamAV, Comodo, DrWeb, ESET/NOD32, F-Pro, Kaspersky, Malwarebytes, MSE, Norman, SuperAntiSpyware, Sophos, TrendMicro, nProtect gibi programlarla henüz tespit edilemediği söyleniyor.

Dikkatli olmakta fayda var :)

Y

Ywizzle

10 yıl

Binbaşı

Nasıl tespit edileceği belli yerlerde gösterilmiş ama yinede bulamayanlar için burada anlatayım ;

Çalıştır diyerek (Windows tuşu + R) MSInfo32 yazın ve çalıştırın. Açılan pencerede üst menüden File (Dosya) ya gelip Export a tıklayın ve dosyayı bir yere istediğiniz isimle kaydedin. Daha sonra bu dosyayı açarak CTRL + F komutuyla arama yapın ve "Disker" veya "Disker64" diye arama yapın. Eğer sonuç bulunuyorsa virus bilgisayarınıza bulaşmış demektir. Şu şekilde bir satırla karşılaşacaksınız ;

Disker rundll32.exe c:\users\name\appdata\local\temp\w_win.dll,dw Name-PC\Name Startup
Disker64 rundll32.exe c:\users\name\appdata\local\temp\w_64.dll,dw Name-PC\Name Startup

Blizzard henüz bu virusu tanıyan bir antivius olmadığını ve en temiz yöntem için bilgisayarınızı formatlamanızı öneriyor. Dosya, antivirus firmalarına gönderilmiş durumda, yani kısa süre içerisinde bir sonuç gelecektir ama yinede bu kısa sürede de dikkatli olmak gerek.

< Bu mesaj bu kişi tarafından değiştirildi Ywizzle -- 3 Ocak 2014; 14:46:02 >
Bu mesaja 2 cevap geldi.

C

ChaosBreed

10 yıl

Yarbay

Sistem geri yükleme ftw

M

mczaga

10 yıl

Yarbay

quote:

Orijinalden alıntı: Ywizzle

Nasıl tespit edileceği belli yerlerde gösterilmiş ama yinede bulamayanlar için burada anlatayım ;

Çalıştır diyerek (Windows tuşu + R) MSInfo32 yazın ve çalıştırın. Açılan pencerede üst menüden File (Dosya) ya gelip Export a tıklayın ve dosyayı bir yere istediğiniz isimle kaydedin. Daha sonra bu dosyayı açarak CTRL + F komutuyla arama yapın ve "Disker" veya "Disker64" diye arama yapın. Eğer sonuç bulunuyorsa virus bilgisayarınıza bulaşmış demektir. Şu şekilde bir satırla karşılaşacaksınız ;

Disker rundll32.exe c:\users\name\appdata\local\temp\w_win.dll,dw Name-PC\Name Startup
Disker64 rundll32.exe c:\users\name\appdata\local\temp\w_64.dll,dw Name-PC\Name Startup

Blizzard henüz bu virusu tanıyan bir antivius olmadığını ve en temiz yöntem için bilgisayarınızı formatlamanızı öneriyor. Dosya, antivirus firmalarına gönderilmiş durumda, yani kısa süre içerisinde bir sonuç gelecektir ama yinede bu kısa sürede de dikkatli olmak gerek.

Export yani "ver" diyeceğiz demi eğer öyle ise yaptım bulamadı yani temiz çıktı

teşekkür ederim bilgiler için çok önemli bir konu.

K

kurtlar1971

10 yıl

Binbaşı

Hiçbir Antivirüs`ün bulmaması, Authendicator bile etkisiz kalması bu trojan`i gerçekten de tehlikeli yapıyor.

Çok dikkat edilmesi gereken bir konu.

< Bu ileti mini sürüm kullanılarak atıldı > Bu mesaja 1 cevap geldi.

D

DRHARMLESS

10 yıl

Binbaşı

Authendicator nasıl etkisiz kalıyor?. Kod 1 dk sonra işe yaramaz hale geliyor, bu tip trojanlar genelde maile, sunucuya bilgileri yükleme yöntemi ile çalışır. Ya karşınızda şirket olacak her Authendicator girilen hesabı izleyip anında giriş yapıp hack atacak ya da Authendicator kullanan kişilere hiç zarar gelmeyecek. Elbette sunucuda bot falan çalışıyorsa işler değişir, malum bot programının neler yapabildiğini herkes biliyor. Giriş yapıp, goldu, eşyayı mail ile yollaması hiç zor gözükmüyor.

Bu mesaja 2 cevap geldi.

V

Vilgefortz of Roggeveen

10 yıl

Binbaşı

Authenticator bu gibi durumlarda işe yaramayacaksa ne diye var ki?

Y

Ywizzle

10 yıl

Binbaşı

quote:

Orijinalden alıntı: For the Horde

Authendicator nasıl etkisiz kalıyor?. Kod 1 dk sonra işe yaramaz hale geliyor, bu tip trojanlar genelde maile, sunucuya bilgileri yükleme yöntemi ile çalışır. Ya karşınızda şirket olacak her Authendicator girilen hesabı izleyip anında giriş yapıp hack atacak ya da Authendicator kullanan kişilere hiç zarar gelmeyecek. Elbette sunucuda bot falan çalışıyorsa işler değişir, malum bot programının neler yapabildiğini herkes biliyor. Giriş yapıp, goldu, eşyayı mail ile yollaması hiç zor gözükmüyor.

Gerçek zamanlı çalışan bir trojan olduğu söyleniyor, yani authenticator kodunu girdiğin anda o kodu kendiside kullanıyor. Bende anahtarlık şeklinde olan authenticator var, her 10 saniyede 1 kod oluşturuyor. Bu oluşan kod birden fazla yerde kullanılamıyor, yani oyuna girdikten hemen sonra siteyede giriş yapamıyorum ben, 10 saniye bekleyip yeni kod almam gerekiyor. Bu trojan ya kodu aynı anda kullanıyor ve bu sayede giriş yapmayı başarıyor, ya da birileri authenticatorun mantığını çözmüş, o koddan sonra gelecek olan kodun ne olduğunu biliyor ve onunla giriş yapıyor. İkinci seçenek daha kötü çünkü bu virusu temizleyince ortalık durulmaz, devamı gelir.

Battle.net clienti var yazın beta olarak çıkmıştı. Onu indirdim ve en son 3 ay önce giriş yapmıştım. O cliente bir kez giriş yapınca, çok nadir durumlar dışında tekrar giriş yapmak gerekmiyor ve clienti açınca otomatik olarak hesaba giriş yapıyor. Oradan hesaptaki tüm oyunlar görülebiliyor ve istediğini seçip play e tıklayınca oyuna giriyor ve yine herhangi bir parola veya authenticator kodu vs. bir şey istemiyor, otomatik olarak hepsini yaparak hesaba giriş yapıyor. Siteye girmekte aynı şekilde, clientteki bir linke tıklayınca otomatik olarak siteye girişte yapıyor. Yani 3 aydır ne parola ne authenticator kullanıyorum. Şu an için ne derece güvenilirdir bilinmez ama ortalık durulunca bu yöntemi herkese öneririm bilgisayarı sadece siz kullanıyorsanız.

Bu mesaja 1 cevap geldi.

D

DRHARMLESS

10 yıl

Binbaşı

quote:

Orijinalden alıntı: Ywizzle

quote:

Orijinalden alıntı: For the Horde

Authendicator nasıl etkisiz kalıyor?. Kod 1 dk sonra işe yaramaz hale geliyor, bu tip trojanlar genelde maile, sunucuya bilgileri yükleme yöntemi ile çalışır. Ya karşınızda şirket olacak her Authendicator girilen hesabı izleyip anında giriş yapıp hack atacak ya da Authendicator kullanan kişilere hiç zarar gelmeyecek. Elbette sunucuda bot falan çalışıyorsa işler değişir, malum bot programının neler yapabildiğini herkes biliyor. Giriş yapıp, goldu, eşyayı mail ile yollaması hiç zor gözükmüyor.

Gerçek zamanlı çalışan bir trojan olduğu söyleniyor, yani authenticator kodunu girdiğin anda o kodu kendiside kullanıyor. Bende anahtarlık şeklinde olan authenticator var, her 10 saniyede 1 kod oluşturuyor. Bu oluşan kod birden fazla yerde kullanılamıyor, yani oyuna girdikten hemen sonra siteyede giriş yapamıyorum ben, 10 saniye bekleyip yeni kod almam gerekiyor. Bu trojan ya kodu aynı anda kullanıyor ve bu sayede giriş yapmayı başarıyor, ya da birileri authenticatorun mantığını çözmüş, o koddan sonra gelecek olan kodun ne olduğunu biliyor ve onunla giriş yapıyor. İkinci seçenek daha kötü çünkü bu virusu temizleyince ortalık durulmaz, devamı gelir.

Battle.net clienti var yazın beta olarak çıkmıştı. Onu indirdim ve en son 3 ay önce giriş yapmıştım. O cliente bir kez giriş yapınca, çok nadir durumlar dışında tekrar giriş yapmak gerekmiyor ve clienti açınca otomatik olarak hesaba giriş yapıyor. Oradan hesaptaki tüm oyunlar görülebiliyor ve istediğini seçip play e tıklayınca oyuna giriyor ve yine herhangi bir parola veya authenticator kodu vs. bir şey istemiyor, otomatik olarak hepsini yaparak hesaba giriş yapıyor. Siteye girmekte aynı şekilde, clientteki bir linke tıklayınca otomatik olarak siteye girişte yapıyor. Yani 3 aydır ne parola ne authenticator kullanıyorum. Şu an için ne derece güvenilirdir bilinmez ama ortalık durulunca bu yöntemi herkese öneririm bilgisayarı sadece siz kullanıyorsanız.

Cliente 2 kod giriyorsun, gerçek kullanıcı olduğunu onaylıyorsun. Bundan sonra girişlerde yine authendicator üretiliyor fakat senin launcherın bu görevi yapmaya başlıyor, ekranda görmesende sunucu onay alıyor. Gerçek zamanlı olsun olmasın, anlık izleyen analiz eden bir sistem yoksa Authendicator kullanan bu işten zarar görmez. Arkadaşımdan telefonda kod alıp girerken bile sıfırlanıyor bazen. Malum ülkemizin alt yapısı ile çalınan kodun bile karşıya ulaşması 30 saniye alır :D

Bu mesaja 1 cevap geldi.

E

emrecanonline

10 yıl

Yüzbaşı

Konu Sahibi

Güncelleme yapayım.

Trojanin sahte(ama çalışan) Curse Addon Client'ı içine yerleştirildiği ve yine sahte Curse sitesi üzerinden yayınlandığı tespit edilmiş. Bu sitenin büyük arama motorlarında 'Curse Client' şeklinde arama yapıldığında listelendiği ve bu şekilde insanlara ulaştığı belirtilmiş.

Şu noktada trojanden kurtulmanın en kolay yolunun sahte curse clientı silip, bilgisayarı ücretsiz anti-malware programı olan Malwarebytes ile taratmak olduğu söyleniyor.

Teknik ekibin çabalarıyla şu sıralar çoğu antivirüs programının trojani tanıdığı belirtilmiş.

Merak edenler için 2012 yılı başlarındaki Configuring/HIMYM trojanı dahil yıllardır karşılaşılan ilk MitM tipi trojan saldırısı olduğu da söylenmiş. Bu kısa süreli durumların can sıkıcı olduğu ama Authendicator'ın hesapları %99 güvenli tuttuğu da eklenmiş.