HİKAYELER

BOT HİKAYELERİ BOT HİKAYELERİKasım 8, 2007Bilgisayar ustaları ".com" uzantılı dosya tipine aşinadır. Com uzantılı dosyalar, MS DOS altındaki ikilik program dosyaları tarafından sık sık kullanılır. Bu niçin önemlidir? Bir Windows sistemindeki tüm com uzantıya sahip olanlar, çalıştırılabilir dosya olarak dikkate alınırlar ve bir user tarafından çift tıklandığın zaman çalışırlar. Aynısı “.scr” dosya uzantıları içinde geçerlidir. Gördüğümüz zararlı kod yazarları, kullanıcıları kandırarak yazılımlarını yüklemek ve çalıştırmak için dosyalarını “.com” uzantılı olarak değiştirirler.Bugün bazı kullanıcılar Internet Reyal Chat servisine bağlandıklarında aşağıdaki mesajı alırlar."OMG is that you naked?: http://xxxxxxxx.com/contact.php?e-mail=foo@hotmail.com".User burada verilen linkin normal bir link olduğunu düşünür ve bu bir URL değil, o çalıştırılabilir bir uygulama yükleyecektir. Yüklenmesi, üzerine program normal bir PE formatında dosya gibi olacaktır. Bu tehdit yenidir. Yalnızca 2 antivirüs firması bu tehditi bulabilidi. Nod32, bu zararlıyı Win32/IRCBot.AAJ trojan olarak keşfetti. Bu numune çüzümlemek  için eğlenceli idi, çünkü nisbeten küçük ve özellikle zevk aldığım bir şey ihtiva ediyordu. Kodlanmış şifre dizileri ! Kodlara baktığımız zaman, aşağıdakiler görüntülenecektir..data:0040C150 str1 db ‘Z\J]’,0.data:0040C158 str2 db ‘_FAH/5′,0 .data:0040C160 str3 db ‘E@FA’,0 .data:0040C168 str4 db ‘AFLD’,0 .data:0040C170 str5 db ‘DFLD’,0 .data:0040C178 str6 db ‘_@AH/5′,0Bir parça daha derinden baktığımızda, Şu gördüğümüz bütün diziler, şifre çözme döngüsü gibi aynı fonksiyonlar tarafından erişilir. Şifre çözme döngüleri çok tipiktir. Basit olarak XOR uygulamaları kullanır, dizelerdeki tüm karakterler için. Dizi şifresini çözmek için küçük IDA Python script’ini birlikte koyarız ve aşağıdaki gibi gelir. .data:0040C150 str1 db ‘Z\J]’,0 ; USER .data:0040C158 str2 db ‘_FAH/5′,0 ; PING : .data:0040C160 str3 db ‘E@FA’,0 ; JOIN .data:0040C168 str4 db ‘AFLD’,0 ; NICK .data:0040C170 str5 db ‘DFLD’,0 ; KICK .data:0040C178 str6 db ‘_@AH/5′ ; PONG :Bu dizelerden, şu sonuca varırız, bunlar IRC serverine bağlanmak için bir bot’tur. Bu tehdit’in iki fonksiyonu, indirmek ve IRC kullanıcılarına mesajlar göndermek için ilave programları uygulamaya koymaktır. Bu saldırının arkasındaki botustaları, halen kurdukları bir dialer’i IRC serverlerine bağlanmak için bulaştırırlar. Bu dialer modeminizde başlatılacak bir programdır ve bir telefon çevirme ucreti kadardır. Eğer sisteminizde kuruldu ise, gelecek ay telefon faturanız çok fazla gelebilir. Özellikle dünyanın diğer ülkelerindeki bir yerin numarası olabiliyor. Ve sadece sizin sahip olduğunuz telefon servisindeki bir  numarayı çevirebilir. Kablonun kullanıcıları, DSL ve wireless bağlantınızı direk telefon hattına bağlamazsanız, dialerin aramalar yapmasına engellemiş olursunuz

Döküman Arama

Başlık :

Kapat