2009'un kötü amaçlı yazılımları

December 21, 2009 yazan ErtanKurt

2009 Internet kullanan herkesin gelen kutusunda, google arama sonuçlarında, sosyal ağda ve bazen en favori sitelerinde tehlike olabileceğini öğrendiği bir yıl oldu.

Bu yıl kötü amaçlı yazılımlar büyük çoğunlukla kapınıza teslim edildi. En büyük tehditlerin bazılarına göz atalım.

Conficker
Kido, Downadup veya Downup olarak da bilinen bu kurtçuk ilk olarak 1 sene kadar önce Çin kaynaklı olarak tespit edilmişti. Windows çalışan sistemleri hedefliyor ve varyantları A ve E işletim sisteminin bir güvenlik açığından (MS08-067) yararlanarak kendisini kuruyordu. Kendisini özel hazırlanmnış RPC (Remote Procedure Call) paketleri ile diğer makinalara yayıyordu. Açıktan etkilenen makinalar kurtuçuğun bir kopyasını indiriyor ve onlara da bulaşmış oluyordu. RPC ağdaki bir bilgisayara uzaktan kod enjekte edilmesine izin veriyordu ve kurtçuğu yazanın bu makineleri uzaktan kontrol etmesine izin veriyordu.

Ayrıca yerel ağlarda USB cihazlar ve ağ paylaşımları ile de yayılıyordu (B ve C varyantları). Kurtçuğun kendisini sürekli güncellemesi ve yeni sürümlerini bulaştığı makinalara indirmesi ve bunu çeşitli farklı, değişken IP lerden yapması hem tehlikenin boyutunu büyültüyor hem de bloklamayı zorlaştırıyordu.

Aynı sürede, E varyantı diğer kötü amaçlı yazılımları (Waledac spambot, SpyProtect 2009 scareware) bulaştığı makinelere indiriyordu. Bunun ileride büyük çapta bir saldırıda kullanılacağından korkuluyordu. 1 nisanda kurtçuğun davranışlarında büyük bir değişiklik bekleniyordu fakat Conficker 50,000 yeni URL yaratmaya başladı ve kendisini yeni sürümlere güncellemeye devam ederek büyük çapta bulaşmalara yol açtı.

Şu an kaç tane bilgisayara Conficker veya bir varyantının bulaştığını söylemek zor. PandaLabs ocak ayında taradıkları 2 milyon bilgisayarın %6sında conficker olduğunu rapor etmişti.

Bilgisayara bulaştığında kendisinin keşfedilmesini ve temizlenmesini zorlaştırmasıyla ünlendi. Windows güncelleme servisini kapatarak yararlandığı güvenlik açığının kapatılmasını engelliyordu ve çeşitli güvenlik yazılımı üreticilerinin internet adreslerine erişimi engelliyordu.

Şu ana kadar Conficker hakkında topladığımız bilgilerin dışında, para kazanma amaçlı olduğu konusunda inanışlar olsa da, hala kurtçuğu yazanların ana amacının ne olduğuna emin değiliz.

Zeus/Zbot
WSNPOEM, NTOS ve PRG olarak da bilinen bu online bankacılık truvası günümüzde Internet'teki en yaygın finansal kötü amaçlı yazılım.

Tüketici bilgisayarlarına bulaştığında kullanıcının hedeflenen banka ve finans kuruluşlarına giriş yapmasını bekliyor, ağ trafiğini dinleyip tuşa basma işlemlerini yakalıyor, karşı sunucuya gönderilen login bilgilerini gerçek zamanlı olarak çalabiliyor. Ayrıca kullanıcı web tarayıcısında bankanın web sayfalarını değiştirerek kredi kartı numarası, PIN gibi bilgileri sorarak çalıyordu. Rus siber suçluları tarafından kontrol edildiğine inanılıyor.

Trusteer'in bir raporuna göre güncel anti-virüs programı çalıştıran bilgisayarların %77 sine bulaşmış. ScanSafe araştırmasına göre veri-çalma truvaları geçtiğimiz sene %1424 artmış (2007'den beri %4955!).

Truva nasıl yayılıyor? Bulaştığı makinalarda kullanıcıyı kandırıp kendisini kurduruyor. Bu genelde kullanıcıların ilginç buldukları bir epostadaki linke tıklamaları ile (ör. H1N1 aşı profil arşivi, Myspace güncelleme aracı, Flash oynatıcı güncellemesi vb) oluyor.

Eylül sonunda, Finjan sibersuçluların online banka hesaplarını soymak için kullandıkları (bankacılık truvaları dahil) yeni teknikleri ortaya çıkartan yeni araştırmasını yayınladı.

Kasım sonunda 20 yaşlarında bir erkek ve kadın Manchester'da Zeus/zbot truvasını yayma şüphesiyle tutuklandı.

Koobface
Sosyal ağlar 2009'da büyük bir patlama yaptığından suçlular tarafından hedef olmaları da gecikmedi. Koobface (facebook'un tersten yazılışı) Facebook, Myspace, twitter, friednster ve diğer sosyal ağ sitelerini hedefleyen bir kurtçuk. Ana amacı kişisek ve finansal (kredi kartı numaraları gibi) bilgileri toplamak. Zeus/zbot truvası ile aynı şekilde yayılıyor - kullanıcılar kandırılıp zararlı dosya indirtiliyor.

Çok farklı şekillerde çalışıyor. Facebook giriş bilgilerinizi çalabiliyor. Siteye giriş yapıyor, resimlerinizi ve arkadaşlarınızın eposta adreslerini çalıyor, facebook resiminiz ile sahte Youtube sayfası yaratarak arkadaşlarınıza bir youtube videosunda etiketlendiklerini söyleyen bir eposta gönderiyor.

Internet Explorer'ın facebook kullanıcı hesapları yaratmasını sağlayan yeni bir Koobface bileşeni bir ay kadar önce çıktı. Tüm işlemi otomatikleştiriyor - web tarayıcı kayıt oluyor, gmail ile kaydı onaylayıp aktifleştiriyor, rastgele facebook gruplarına katılıyor, arkadaş ekliyor ve onların duvarlarına mesaj yazıyor.

Ayrıca diğer fonksiyonlara sahip ek modüllerini de Internet üzerinden yükleyecek şekilde dizayn edilmiş. Bulaştığı makinaların sadece sosyal ağ sitelerinde link yaymanın dışında botnet'lerde de kullanılması planlanmış olabilir.

Çetenin geri kalanı
PandaLabs her ay 35 milyon bilgisayara (tüm bilgisayarların yaklaşık %3.50si) zararlı yazılım bulaştığını ve siber suçluların her ay (rogueware ile) $34 milyon dolar kazandıklarını rapor ediyor.

Skype kullanıcıları da yaptıkları konuşmaları dinleyip kaydedebilen yeni bir truva ile hedefleniyorlar.

2009 sonunda birkaç hafta içinde çıkan dört iPhone exploit'i ile iPhone platformuna ilk ciddi saldırı olan ve bot fonksiyonuna sahip ilk iPhone veri-çalma hedefli kötü amaçlı yazılımı görüldü. Websense firması artan kullanıcı tabanı, iş dünyasına adapte olması ve finansal işlemleri gerçekleştirmedeki kullanımının artışıyla saldırganların 2010 yılında akıllı telefonları daha çok hedef seçeceklerini belirtti.

Sonuç
Acı gerçek suçluların para neredeyse oraya gitmesi ve para dijitale geçti. Kötü amaçlı yazılımlar çevrimiçi tecrübemizin bir parçası olmaya devam edecekler, bu yüzden nasıl farkedeceğimizi, korunacağımızı ve bulaşırsa nasıl kurtulacağımızı bilmemiz gerekiyor.

Ref: http://www.net-security.org/malware_news.php?id=1171