Korsan Yazılımlardaki Tehlike



Benzer belgeler
Aracın kullanımı oldukça basit. Yapmanız gereken elinizdeki ip adreslerini ip.txt dosyası içine kayıt etmek ve daha sonrasında aracı çalıştırmak.

2. dönem itibariyle ben de Zararlı Yazılım Analizi 101 dersi vererek bu programa katkıda bulunacağım.

Twitter da bu durumla karşılaşan başka kullanıcılar var mı diye twitter virüs anahtar kelimeleri ile genel bir arama yaptığımda ise bu durumun Nisan

BitTorrent İstemci Kullanımı

Korsan Yazılımlardaki Tehlike

Trickbot Zararlı Yazılımı İnceleme Raporu

IDA Pro ile Remote Linux Debugging

Akademik Bilişim 2009 LOSTAR Bilgi Güvenliği A.Ş. Teknoloji: Kontrol Kimde?

NETCAD 6 AKTİVASYON İŞLEMİ

(Bilgisayar ağlarının birbirine bağlanarak büyük bir ağ oluşturmasıdır)

Flash dosyası, kaynak koduna çevrilip incelendikten sonra Flash dosyasının kullanıcıyı sayfasına yönlendirdiği,

ESPRIT KURULUM KILAVUZU

Kullanıcı Dostluğu vs Kullanıcı Güvenliği

Anti-Virüs Atlatma 3. Kurulum

DESTEK DOKÜMANI. Ürün : Tiger Enterprise/ Tiger Plus/ Go Plus/Go Bölüm : Kurulum İşlemleri

Checkpoint SSL-VPN Kurulum Prosedürü. Checkpoint Endpoint VPN Client

ETA:MOBİL KURULUM TALİMATI

Güncel CryptoLocker Saldırısına Dikkat

Şekil 1- CryptoLocker Tarafından Kullanıcılara Gönderilen Eposta

EXIF verisi, Firefox eklentisi olan Exif Viewer gibi gibi çeşitli araçlarla incelenebilmektedir. Exif Viewer eklentisi sayesinde görüntülenen

Veritabanı Dersi. Teoriden Pratiğe. Çağıltay N.E., Tokdemir G. Veritabanı Sistemleri Dersi -Bölüm XXV: Web'den Erişim Çağıltay, N., Tokdemir, G.

18/09/2013. Sayın Av. Kemal Yener SARAÇOĞLU,

erişmeniz bu uyarılarla karşılaştıktan sonra sunucuya/koda erişimin yasaklanması/kaldırılması nedeniyle pek mümkün olamayabiliyor.

ÖRÜN (WEB) GÜVENLİĞİ. Hazırlayan: Arda Balkanay

KANTAR UYGULAMASI Kurulum Kılavuzu

Ajanda. Siber Güvenlik Nedir? Siber Suç Ne Demek7r? Sosyal Ağlardaki Tehditler Nelerdir? Nasıl Önlem Alabiliriz? Bilgisayar Kullanımında E7k Değerler

İnternet ve İnternet Tarayıcıları BİLGİ VE İLETİŞİM TEKNOLOJİSİ DERS NOTU - 2

GĐRĐŞ. 1 Nisan 2009 tarihinde BDP programının yeni bir sürümü yayınlanmış ve bu sürümde yapılan değişikliklere

ŞEHİT FEHMİ BEY ORTAOKULU

Pandora'nın Kutusu Nasıl Açılır?


EK 1 Sayısal Verilerin Özel İncelemesi - Dosya İncelemesi

Finale de Türk Sanat Müziği ve Türk Halk Müziği donanımlarını kullanarak nota yazabilirsiniz.

DruzOnline Otomasyon Programı Kurulum Bilgileri

Güvenlik, Telif Hakları ve Hukuk

V Daq Kurulum adımları

PTT Terazileri Yazılım Güncelleme Dokümanı

Windows İşletim Sistemi

Yerel Okul Sunucusu Uygulama Yazılımları Prototipi

... ROBOTİK VE KODLAMA EĞİTİMİ ÇERÇEVESİNDE ÖĞRETİM YILI BİLİŞİM TEKNOLOJİLERİ DERSİ ÜNİTELENDİRİLMİŞ YILLIK DERS PLANI

Beyhan KARPUZ, Uzman Kütüphaneci Karadeniz Teknik Üniversitesi 2016

MODELLER D6330, D6530

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

KÖTÜ AMAÇLı YAZıLıMLAR VE GÜVENLIK

19 Şubat 2018 itibariyle kurumsal faturalı aboneler için aşağıdaki Pass paketleri geçerli olacaktır.

Hızlı Kurulum Kılavuzu MODELLER P4320, P4520 UYARI!

Yazılım Güncelleştirmeleri Kullanıcı Kılavuzu

Bulaşma Şekli. Zararlı yazılım fatura epostaları şeklinde kullanıcılara eposta göndermektedir.

EN TEHLİKELİ 10 BİLGİSAYAR VİRÜSÜ

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

(... GÜÇLÜ KORUMA, DÜŞÜK SİSTEM KAYNAĞI KULLANIMI...)

Foobar2000. Bu yazının hiçbir hakkı mahfuz değildir. Istediğiniz gibi kulanabilirsiniz. Foobar Mart

Okuyarak kelime öğrenmenin Yol Haritası

ÜNİTE 4 ÜNİTE 2 ZARARLI YAZILIMLAR VE GÜVENLİ INTERNET BİLGİSAYAR II İÇİNDEKİLER HEDEFLER

İleri Düzey Bilgisayar Ağları

BİLGİ GÜVENLİĞİ. Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar Alınacak Tedbirler Güvenlik Yazılımları

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Bir Bilgisayar Bağlanıyor Diğeri Bağlanmıyor

MODELLER D8210, D8220, D8520

Okul Web Sitesi Yönetim Paneli Kullanımı

Güvenlik, Telif Hakları ve Hukuk

VPN KURULUM ve KULLANIM REHBERİ

Web Servis-Web Sitesi Bağlantısı


B2C E-Ticaret. İşletmeden Tüke ciye E-Ticaret. Sa n almak için yardım alın STANDART AVANTAJLI PROFESYONEL

MODELLER B8220, B8520

Malware Analizi Yöntem ve Araçları. Huzeyfe ÖNAL Bilgi Güvenliği

ÖĞRETME ve ÖĞRENME MERKEZİ

Android Uygulamalarında Güvenlik Testi

EKLER EK 12UY0106-5/A4-1:

Yazılım Güncelleştirmeleri

İNTERNET VE BİLGİSAYAR AĞLARI

BİLGİSAYAR TEMEL KAVRAMLAR. Bilgi ve İletişim Teknolojisi Ders Notları

Bellek Analizi ile Zararlı Yazılım Analizi

HĠTĠT ÜNĠVERSĠTESĠ REKTÖRLÜĞÜ BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI

Lanschool Sınıf yönetim yazılımının (V7.4) Ncomputing sistemlerinde kullanılması

2014 PROGRAMININ AUTODESK SİTESİNDEN İNDİRİLMESİ

Bilgi ve iletişim teknolojileri

SQL 2005 SQL STUDIO MANAGER ACP YAZILIMI KURULUM KILAVUZU

Haftalık İletişim Pass Paketi, sesli ve görüntülü konuşmada geçerli değildir.


Bilişim Teknolojileri

Sqlmap pyhton dili yazılarak geliştirilmiş Sql injection için testerlara son derece yardımcı olan bir araçtır.

BİLGİ VE VERİ GÜVENLİĞİ VİRÜSLER VE DİĞER ZARARLI YAZILIMLAR KİŞİSEL MAHREMİYET VE TACİZ

MPLAB PROGRAM GELİŞTİRME ORTAMINDA CC8E İLE KOD HAZIRLAMA HAZIRLAYAN: DOÇ. DR. HAMİT ERDEM ARAŞ. GÖR. GENCER TULAY

E-İMZA OTOMATİK KURULUM PAKETİ DÖKÜMANI

Windows Temelli Zararlı Yazılımlarla Mücadele

CLIENT MAKİNELERE IBM SPSS Statistics 21 nin KURULMASI

Siber Dünyada İzleme ve Takip. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ Twitter:

Teknoloji Özeti vspace Kurulum Değişiklikleri Windows Yükleyicisi.MSI

ÇOK ÖNEMLİ GÜVENLİK VE YEDEKLEME UYARISI

1.SINIFLAR PYP VELİ BÜLTENİ. ( 04 Mayıs - 13 Haziran 2018 )

NASIL MÜCADELE EDİLİR?

Virtual Pirate Network (VPN)

Windows 7 - IIS 7.5 üzerine PHP ve MySQL kurulumu

Bilgisayar Yazılımları

E-Ticaret Kiti Satış Ortaklığı Tavsiyeleri

MAKİNELERE IBM SPSS Statistics 24 nin KURULMASI. IBM SPSS Statistics 24 Yüklemeye Başlamadan Önce Kontrol Edilmesi Gerekenler

Exobot Bankacılık Zararlısı İnceleme Raporu

ESGM+ ESGM+ programımız kolay kurulumu, basit kullanımı ve küçük boyutu ile her bilgisayarda kullanılmak üzere tasarlanmıştır.

Transkript:

Korsan Yazılımlardaki Tehlike Nedense korsan yazılım denilince aklıma hemen Kadıköy Yazıcıoğlu İşhanı gelir. Orta okul yıllarında (1996-1998) usanmadan sıkılmadan her haftasonu arkadaşlarla buluşup yeni oyun almak için oraya giderdik. Önüne koca koca tezgahlar kurulur, yazılım, oyun, video ne ararsak bulurduk. O zamanlar ne bittorrent ne de başka p2p programları vardı. Warez sitelerden dial-up bağlantı ve 28k modem ile indirmekte peygamber sabrı gerektirirdi. Aradan yıllar geçtikçe öğrendik korsanın ne demek olduğunu, neden emek hırsızlığı olduğunu, neden ülke ekonomisine ve sektöre zarar verdiğini. Her ne kadar günümüzde korsanla mücadelede büyük adımlar atılıyorda olsa eski yıllara kıyasla bağlantı hızlarının yüksek olması, dosya paylaşım sitelerinin çokluğu ve torrent programlarının neredeyse işletim sistemleri ile kurulu geliyor olması nedeniyle paylaşım kolaylaşıyor, mücadele ise zorlaşıyor. Emek hırsızlığıydı, ekonomiye zararıydı bir kenara, günümüzde korsan yazılım kullanmamanız için çok büyük bir neden daha var, korsan yazılımla gelen zararlı yazılımlar. Art niyetli kişiler çoğunlukla zararlı yazılımlarını yaymak için o gün için popüler olan sistemleri (misal facebook üzerinden yayılan trojan), insanlanları kandırmak için popüler isimleri veya güncel olayları kullanmayı severler. Korsan yazılım kullanımın yüksek olduğu son yıllarda bu yazılımların art niyetli kişilerin ciddi anlamda hedefi haline ne zaman geleceğini merak eder dururdum. Yine bir rutin zararlı yazılım kontrolü amacıyla göz attığım popüler paylaşım sitesinden rastgele bir paket indirdim. Paketi açtığımda her zamanki gibi içinden 1 kurulum dosyası ve bir de keygen dosyası çıktı.

Kurulum dosyasını çalıştırdığımda güvenlik duvarı GoogleUpdate.exe programının bir ip adresi ile haberleşmek istediği uyarısını verdi. Şüpheli bu durum karşısında kurulum paketi tarafından oluşturulan kurulum paketlerine göz atmaya karar verdim. %temp% klasörü içinde oluşturulan ve bu pakete ait olan klasörün içine baktığımda dosya isimleri şüphe duymama yetti.

Kurulumu tekrar başlatıp Procmon ile setup.exe, update.exe, updater.exe ve googleupdate.exe için filtrele hazırladıktan sonra updategillerin davranışlarını yakından inceledim. updater.exe 196 CreateFile C:\Documents and Settings\Administrator\Application Data\GoogleUpdate.exe updater.exe 196 RegSetValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run\GoogleUpdate update.exe 3224 CreateFile C:\Program Files\Trillian\users\default\msn.ini update.exe 3224 CreateFile C:\Program Files\Trillian\users\default\aim.ini update.exe 3224 CreateFile C:\Program Files\Trillian\users\default\yahoo.ini Settings\Administrator\Application Data\.purple\accounts.xml Settings\All Users\Application Data\DynDNS\Updater\config.dyndns update.exe 3224 QueryEaInformationFile C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data Settings\Administrator\Application Data\chrtmp Settings\Administrator\Application Data\Opera\Opera\wand.dat Settings\Administrator\Application Data\FileZilla\recentservers.xml Settings\All Users\Application Data\FlashFXP\3\Sites.dat

Settings\Administrator\Application Data\GlobalSCAPE\CuteFTP Pro\8.0\sm.dat Settings\Administrator\Application Data\GlobalSCAPE\CuteFTP Home\8.0\sm.dat Settings\Administrator\Application Data\GlobalSCAPE\CuteFTP Lite\8.0\sm.dat GoogleUpdate.exe 320 CreateFile C:\Documents and Settings\Administrator\Local Settings\Temp\dclogs.sys GoogleUpdate.exe 320 CreateFile C:\Documents and Settings\Administrator\Cookies\index.dat GoogleUpdate.exe 320 CreateFile C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat Daha kurulum penceresi gelmeden sistemimdeki bir çok programa bu kadar ilgi ve alaka göstermesi ve başlangıçta çalışmak sistemde değişiklik yapması kurulum dosyasının zararsız olmadığını kanıtlıyor gibiydi. Wireshark ile trafiği incelediğimde program şüpheli iki alan adı ile iletişime geçmeye çalışıyordu. Bunun üzerine ek olarak %temp% klasörü altında bulunan dclogs.sys dosyasını açtığımda tuş kayıtlarım ile karşılaştığıma hiç şaşırmadım.

Kurulum dosyası tarafından oluşturulan klasör içinde yer alan DoctoR.qsp dosyasını açtığımda ise kurulum dosyasının (setup.exe) özel olarak oluşturulduğunu ve kurulumda orjinal programa ilave olarak tuş kayıt bilgilerini çalmak üzere hazırlanmış olan update.exe ve updater.exe adındaki iki trojanıda çalıştırmak üzere hazırlanmış olduğunu gördüm. Arg-000-13=setup.exe Arg-000-16=update.exe Arg-000-25=updater.exe C:\Documents and Settings\Administrator\Application Data\chrtmp dosyasına SQLite Database Browser ile göz attığımda internet tarayıcısı tarafından kayıt altına alınan bilgileride çaldığını öğrenmiş oldum.

Son olarak Virustotal sonuçlarına baktığımda ise bunların zararlı yazılım oldukları konusunda artık hiç şüphem kalmamıştı. ( update.exe, updater.exe, googleupdate.exe ) Sonuç olarak günümüzde korsan yazılımlarında art niyetli kişilerin hedefi haline geldiğini, ülke ekonomisini düşünmeyenlerin en azından kendi sistemlerinin, verilerinin güvenliği için lisanslı yazılımlar kullanmaları gerektiğinin altını bu vesileyle çizmek isterim. Bir sonraki yazıda görüşmek dileğiyle herkese güvenli haftalar dilerim.

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim