Trend Micro milyonları etkileyen virüsten ücretsiz olarak korunmanın yolunu açıklıyor!

Bir Cevap Yazın

Trend Micro ve FBI tarihin en büyük siber suçlu baskınında milyonlarca insanı etkileyen siber suç çetesinin yakalanmasından dolayı memnuniyetini açıkladı. Ancak siber dünyada yapılan saldırılar neticesinde oluşan sorunları da ortadan kaldırmak gerekiyor.

Estonya’da altı kişinin gözaltına alınmasına, New York ve Chicago’daki veri merkezlerinde bulunan 100 sunucunun kapatılmasına ve 100’ü aşkın ülkede 4 milyondan fazla kullanıcının zarar görmesine sebep olan virüsün sizi etkileyip etkilemediğini mutlaka kontrol etmelisiniz.

DNS ayarlarının değiştirilmesiyle kullanıcıların istenmeyen web sitelerine yönlendirilmesine sebep olan virüsün bilgisayarınızda yer alıp almadığını bulabilmek için FBI özel bir araç yayımladı.

Bu aracı kullanabilmeniz için öncelikle DNS sunucu ayarlarınızı bilmeniz gerekiyor:

Öncelikle Windows yüklü bilgisayarınızda Başlat (Start) menüsünü açarak Çalıştır (Run) kısmına girin. Burada açılan pencerede “cmd” yazıp Tamam’a (OK) tıklayın. Karşınıza beyaz yazılı bir siyah ekran çıkacak. Bu ekranda doğrudan “ipconfig/all” yazarak enter’a basın. Bu ekranda karşınıza birçok veri çıkacak. Bu veriler arasında “DNS Servers” yazanın karşısında bulunan sayısal adresi not edin.

Mac kullanıcıları da sol üst köşedeki Apple ikonuna tıklayarak “System Preferences”ı seçin. Bu paneldeki “Network” ikonuna tıklayın. Açılan pencerenin sol sütununda şu anda aktif olan ağ bağlantınızı seçin ve sağ taraftaki DNS sekmesini tıklatın. Burada yazan DNS sunucu adreslerini not edin.

Şimdi Hayalet Tık Operasyonu’yla göz altına alınan suçluların sizin bilgisayarınıza ulaşıp ulaşmadığını görmek için FBI aracını https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS adresinden kullanabilirsiniz. Bu adrese girdiğinizde yer alan kutuya IP adresinizi girerek bir sorun olup olmadığını görebilirsiniz.

Bahsettiğimiz yöntem karışık geldiyse, Trend Micro’nun bedava yazılımı HouseCall’u http://housecall.trendmicro.com/ adresinden indirerek virüs varsa bulabilir, ücretsiz olarak bilgisayarınızı temizleyebilirsiniz. Ayrıca bir diğer tavsiyemiz de internet servis sağlayıcınızla iletişime geçerek kalıcı DNS ayarlarınızın değiştirilmesini talep etmenizdir.

Çin’deki Android uygulama mağazaları tehdidin kaynağı haline geliyor

Bir Cevap Yazın

Android’in ABD ve dünya pazarında büyümesiyle birlikte, Andorid işletim sistemi Çin’de de her geçen gün daha popüler hale geliyor. Güçlü fonksiyonlar, çok sayıda telefon çeşidi makul fiyatlar ve sayısız uygulama nedeniyle çoğu kullanıcı Android tabanlı cihazları kullanmayı tercih ediyor. Android işletim sistemi, bu geniş çaplı kullanımın sonucu olarak Çin’de en çok kullanılan akıllı telefon işletim sistemi haline gelmiş durumda.

Çin’de Android kullanıcılarının artışı, Google ile Çin hükümeti arasındaki zorlu ilişkiyi farklı bir boyuta taşıyor. 2009’dan bu yana Google Android Market’e erişim kesintili şekilde sürüyor.

Android Market’e girişte problem yaşanması, Çinli kullanıcıların Android uygulamalarını nereden indireceklerine dair seçimlerinde önemli bir faktör haline gelmiş durumda.

Daha önce bazı Android kullanıcıları için online forum şeklinde üçüncü parti uygulama mağazaları kurulmuştu. Android meraklıları online forumlarda, işletim sistemi hakkında belirli başlıklar üzerine fikir alışverişinde bulunuyordu ve birkaç uygulama bu platform üzerinden sunuluyordu. Geçtiğimiz yıl Çinli kullanıcılar için Android Market erişilemez olunca, bu forumlar Android geliştiricileri ve kullanıcıları için daha da popüler hale geldi.

Android kullanıcılarının sayısının her geçen gün artmasıyla, bu kullanıcıların çoğu uygulama mağazası alanına dahil olmayı seçti. Şu anda yaklaşık 20 adet Çinli üçüncü parti uygulama mağazası var. Bunların başında gelen üç uygulama mağazası ise Hiapk, Gfan ve aynı zamanda Goapk olarak da bilinen Anzhi.

Uygulamaların çoğu mağazalarda ücretsiz olarak sunuluyor. Geliştiriciler uygulamalarında yer alan reklamlardan gelir elde ediyorlar.

Tabii Android Market’te olduğu gibi üçüncü parti Android uygulama mağazaları da güvenlik problemleriyle karşı karşıya kalıyor. Çin’den gelen kötücül yazılım uygulamalarının çoğunun bu mağazalarda bulunduğunu görüyoruz. Neden oldukça açık aslında: Bu mağazalar çok sayıda kullanıcıya kötücül yazılım göndermenin en iyi yolu.

Kötücül yazılım uygulamaları bir yana, zararlı yazılımlar eklenerek yeniden paketlenen uygulamalar ve korsan yazılımlar da bu mağazalarda barındırılıyor.

Çin’de bulunan çoğu uygulama mağazası, küresel örnekleriyle karşılaştırıldığında nispeten küçük. Uygulamaların etkin seviyede izlenmesi ve test edilmesini sürdürmek için gereken kaynak yeterli değil. Bu onları, kötücül yazılım uygulamalarını barındırmak için daha da açık hale getiriyor. Bu nedenle cihazların güvenliğini yeterli seviyede sağlayabilmek son kullanıcılara kalıyor.

Güvenliği sağlamanın ilk adımı ise kaynağı bilinen uygulamaların cihazlara yüklenmesinde kararlı olmak. Üçüncü parti marketlerden uygulama indirmemek de bir diğer çözüm olabilir.

Windows’lardaki DUQU açığı giderilemiyor

Bir Cevap Yazın

DUQU kötücül yazılımıyla ilgili yeni geliştirmeleri, bu tehdit ortaya çıktığından beri yakından takip ediyoruz.  Geçtiğimiz günlerde Macaristan merkezli bir güvenlik laboratuvarı, DUQU adlı tehdidin yapısına ışık tutan bazı bilgiler yayınladı.

Bu rapora göre bir Microsoft Word dokümanının tetiklediği güncellemelerin yapıldığı gün (zero-day) kernel açığı (exploit), DUQU’yu harekete geçiriyor. Buna göre, Microsoft Word dosyası ilk olarak bundan birkaç hafta önce duyurulan DUQU’nun bileşenlerini yükleyen dosyaları harekete geçiriyor. Yükleyici dosyalar RTKT_DUQU.B olarak tespit edilen bir .SYS dosyasıyla sisteme TROJ_DUQU.B yükleyen bir .DLL dosyasının birleşimi.

Aşağıda bu tehdidin basitçe nasıl işlediğini görebilirsiniz:

Sıfırıncı gün tehdidinin işleyişiyle ilgili ayrıntılar henüz açığa çıkmış değil. Microsoft konuyla ilgili bir açıklama yaparak açığın varlığını kabul etti ve Salı günü gerçekleştirilen güncellemeler sırasında yamanın bilgisayarlara yüklenmediğini aktardı. Bu nedenle henüz Windows tabanlı bilgisayarların güvende olduğunu söyleyemeyiz.Güvenlik zaafiyeti nedeniyle Win32k TrueType ayrıştırma motorunda bulunuyor ve bilgisayarın izlenmesine izin veriyor. Başarılı bir saldırı, saldırganın kernel modda herhangi bir kod çalıştırmasına izin verebiliyor.

Yeni bilgiler DUQU saldırılarının nasıl gerçekleştiği hakkında daha sağlıklı teorilere sahip olabilmeyi sağlıyor. Microsoft Word’ün kullanımını dikkate aldığımız zaman, bu saldırının ilk olarak hedeflenen organizasyonlardaki çalışanlara gönderilen e-postalar ile gerçekleşmiş olabileceğini düşünüyoruz. Bu bizim daha önce ortaya koyduğumuz DUQU’nun hedeflenen kullanıcılardan bilgi çalmak üzere gerçekleşen geniş kapsamlı saldırının bir parçası olabileceği varsayımımızı destekliyor.

DUQU bileşen dosyalarının gelecek versiyonlarını adreslemek üzere TROJ_DUQUCFG.SME ve RTKT_DUQU.SME’nin proaktif algılayıcısını yarattık. Aynı zamanda Threat Discovery Appliance (TDA), 473 TCP_MALICIOUS_IP_CONN, 528 HTTP_Request_DUQU ve 529 HTTP_Request_DUQU2 kurallarıyla C&C sunucusuna bağlı olan ağ aktivitelerini ve kötücül yazılımları saptayarak kurumsal ağları koruyor.

Bu konuda daha fazla bilgiye ulaşmak için çalışmalarımız sürüyor. Konuyla ilgili sizleri bilgilendirmeye devam edeceğiz.

Facebook’taki Starbucks promosyonlarına dikkat!

Bir Cevap Yazın

Şimdiye kadar kullanıcıların mobil telefon numaralarını soran anketler dahil Facebook sahtekârlıklarıyla ilgili pek çok yazıyı sayfamızda sizlerle paylaştık. Bu tür tehditler artık iyice yaygınlaşmış durumda ve Google+ daveti, bedava film bileti gibi pek çok yem ortaya atılıyor.

Geçtiğimiz günlerde saptadığımız Starbucks’ın promosyon sayfası olduğunu iddia eden ve ücretsiz kahve sunan bir Facebook sayfası ise başka bir örnek. Bu sayfadaki linke tıkladığınız zaman, yeni yönlendirmeleri harekete geçiren bir siteye bağlanmak üzere yeni bir tarayıcı sayfası açılıyor.

Bu tehdidin geçmiş örneklerden bildiğimiz kadarıyla, kullanıcılar telefon numaralarını sitede girdikleri zaman izinleri olmadan belirli servislere kayıt ediliyorlar. Bu servislere kayıt olmak ise onların telefon faturalarına ekstra ücret eklenmesi anlamına geliyor.

Bu siteyi daha ayrıntılı incelediğimiz zaman, daha önce gördüğümüz pek çok saldırının aynısı olduğunu gördük.

Web sitesi, (http://{ENGELLENDİ}factory.com) siber suçlular tarafından kullanıldığı bilinen ENOM şirketine kayıtlı. 2008’de tasarlanmış ve son kullanma tarihi ise 2012.

Bu site özellikle mobil kullanıcıları hedefliyor. Site için en çok kullanılan anahtar kelimeler arasında zil tonları ve polifonik zil tonlarının yanı sıra ekran koruyucular ve duvar kâğıtları yer alıyor. Görünen o ki, bu sitenin arkasındaki kötü çocuklar Facebook anket sahtekârlıklarını gerçekleştirenlerle aynı.

Bu sahtekârlık sıkça rastlanan ücretli servislerin suiistimali üzerine mobil bir kötücül yazılımla benzerlikler gösteriyor. Ücretli servis suiistimalcileri gibi anket sahtekârları da istenmeyen kabarık telefon faturalarıyla baş başa bırakıyor. Aradaki tek fark ise sahtekârlığın nasıl yapıldığı. Çünkü ücretli servis suiistimalcileri daha sert şekilde araya giriyor ve mobil cihaza kötücül dosyanın yüklenmesini sağlıyorlar. Anket sahtekarlarının yolu ise daha çok sosyal mühendisliğe dayanıyor. Her iki tür tehditte de kurbanları bekleyen aynı son oluyor.

Hem mobil cihazlar hem de sosyal medyada kullanıcı sayısının büyümesine paralel olarak, bunun gibi tehditleri görmekse bizi hiç şaşırtmıyor.

Kaddafi’nin ölümü de spam olarak kullanılıyor

Bir Cevap Yazın

Sosyal mühendislik teknikleriyle kullanıcıların kandırılmaya çalışılması son dönemde popüler olayların üzerinden yürütülüyor. Steve Jobs ve Amy Winehouse’un ölümlerinin ardından yaşananları sizlerle paylaşmıştık. Bir benzeri bu kez Kaddafi’nin son anlarını gösteren videolar üzerinden yaşanıyor.

Kaddafi’nin ölümüyle ilgili video olduğunu iddia eden birçok istenmeyen mesajla karşılaşıyoruz. Büyük ihtimalle sizler de bu videolara Reuters, Ntvmsnbc gibi gerçek haber sitelerinde rastladınız. Videoların gerçekten var olması bu kez saldırganların işini kolaylaştırıyor. Çünkü mesajı alanlar bu gönderilende de gerçek bir video olabileceğine inanıyor.

CNN bülteni gibi tasarlanmış bir e-postada doğrudan Kaddafi’nin videosu olduğu belirtilen Video-Gadhafi.mpeg.exe bağlantısına yönlendiriliyor. Bağlantı doğrudan bilgisayara zararlı yazılım indiriyor. Bu zararlı yazılımla saldırgan, bilgisayarı uzaktan kontrol edebiliyor. Ayrıca zararlı yazılım kendini güncelliyor.

Bir başka istenmeyen mesaj örneğinde de .RAR uzantılı bir dosya ve elbette yine bir zararlı yazılım bulunuyor. Bu RAR dosyasının içinde Kaddafi’nin öldükten sonra çekilmiş fotoğrafları olduğu iddia ediliyor.

Bir diğer istenmeyen mesajda da Kaddafi’nin kanlı bir fotoğrafı yer alıyor. Bu fotoğrafa tıklandığında videoya ulaşılacağı belirtilse de başka bir zararlı yazılımın bilgisayara inmesi kaçınılmaz oluyor.

Zararlı dosyalar, linkler ve istenmeyen mesajların tamamı Trend Micro Smart Protection Network’te tespit edilerek engellendi. Yine de tüm kullanıcılara önerimiz bilinmeyen ya da şüpheli bulunan e-postalardaki bağlantıların tıklanmamasıdır.