Virüs ağı, içine Türkiye’yi de alarak büyüyor

‘Virüs ağı’ terimini kullanmamızın nedeni, ülkemizde botnet teriminin yeterince bilinmemesi. Genel olarak zararlı içeriğe ülkemizde virüs dendiğinden, bunu yayan ağa da virüs ağı demek çok yanlış olmaz. Ancak konumuz Andromeda botnet’i.

Aslında 2011 yılında ortaya çıkan Andromeda, bu yıl daha güçlü bir şekilde geri döndü. Bu botnet içinde en yoğun aktivite GAMARUE zararlısına ait. Andromeda Botnet, GAMARUE ve varyantlarını yayan bir spam ağı. GAMARUE, bulaştığı sistemlerde arka kapılar oluşturan ve genelde USB bellekler gibi taşınabilir depolama birimleriyle yayılan bir zararlı.

GAMARUE salgınını birkaç haftadır takip ediyoruz ve yayılma hızında ciddi bir artış söz konusu. Geçtiğimiz 30 günde, 17 Mayıs tarihinde ani bir yükseliş gözlemledik. 17-18 Mayıs tarihlerinde, GAMARUE varyantlarının aktivitesi sırayla %82 ve %32 artış gösterdi.

gamarue-chart-30days-copy

Daha önceki bir blog yazımızda Avustralya’nın ciddi şekilde etkilendiğini yazmıştım. Geçtiğimiz sene aynı şey Almanya’nın başına gelmişti.  Ancak şu an baktığımızda, aktivitenin çoğunluğu Hindistan, Meksika ve Türkiye kaynaklı.

Andromeda-graph-distribution-1

Aktivite artışının bahsettiğimiz tarihlerde neden yükseldiğini bilmiyoruz. Ancak elimizdeki bilgiler, GAMARUE’nun aktif olduğunu ve kullanıcılar için risk oluşturduğunu gösteriyor.

2013 ilk çeyrek raporumuzda, eski tehditlerin yeniden gündeme geleceğini söylemiştik. Andromeda spam botnet’i bunun güzel bir örneği.

Bu tehdit, e-posta yoluyla yayılıyor ve ekinde GAMARUE varyantlarından birini ya da zararlı sitelere linkleri taşıyor. Tıklandığı zaman, bilgisayarınız saldırganların emirlerini yerine getirmeye hazır hale geliyor. Bulunmasının zorlaşması için, kendini kopyalamak yerine farklı dosyalar bırakıyor. Ayrıca son zamanların meşhur yöntemi, masum işlemler içine kendini enjekte etme özelliği de var.

Yayılma yollarının haricinde, GAMARUE arka kapı özelliklerine de sahip olduğundan, komut almak ve göndermek için başka sistemlerle iletişime geçebiliyor. Bu sayede sisteminiz başkasının kontrolüne geçiyor. Belli başlı komutlardan biri, ZeuS/ZBOT gibi bilgi çalan zararlı yazılımların, indirilip çalıştırılması. Dolayısıyla sisteminizde ne kadar önemli şifre ve kimlik bilgisi varsa çalınıyor.

Andromeda’nın yolladığı spam mesajları, otel gibi ticari kaynaklardan gelen, düzgün içerikler gibi görünüyor. Dolayısıyla tipik spam tespit yollarını aşabiliyor.

Her zaman olduğu gibi, sisteminizde Java gibi uygulamalar varsa mutlaka güncel tutmalı, ya da Java’yı silmeyi düşünmelisiniz. Elbette Trend Micro gibi bir yazılım kurarak, sisteminizi bu zararlı yazılımlardan koruyabilirsiniz.

 

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir