Worm ve Spyware, Ransomware isimli bu yazımızda sizlerle beraber bu türdeki zararlılara göz atacağız.
Zararlı yazılımlar arasında günümüzde en çok rastlanan ve büyük pastayı alanlar, daha çok bu yazımızda değineceğimiz türlerden olan solucan ve fidye yazılımlarından oluşuyor. Kimi zararlı, bilgisayarda casusluk amaçlı çalışırken kimisi dosyaları izinsiz şekilde şifreleyip fidye istiyor. Kimisi de bulaştığı bilgisayarları botnet ağına dahil ediyor.
Önceki yazıda zaman geçtikçe zararlı yazılımlar sınıflara ayrıldı demiştik hatırlarsanız. Bugün daha detaylı şekilde başlıkta yer alan diğer zararlıları da ele alacağız. Şimdi hep beraber diğer zararlı yazılımları tanıyalım.
Solucan (Worm) Zararlıları
Kendi kendisini kopyalayabilen ve yayabilme özelliğine sahip olduğu için bu türe solucan zararlısı denilmiştir. Gerçek hayattaki solucanlar bilindiği üzere vücutları kesildiğinde veya ikiye bölündüğünde iki canlı formu olarak yaşamlarına devam ederler.
Bu fikrin temeli ilk olarak 1945 yılında matematikçi ve bilgisayar bilimci John von Neuman tarafından ortaya atılmış kendi kendisini kopyalayabilen program parçası teorisidir. Bu solucan türü zararlı yazılımlar için ilham kaynağı olmuştur.
İlk solucan örneği dünya çapında 1988 yılında bilgisayar dahisi Robert Morris tarafından yazılmış olan Morris Worm’dur. Amacı dünyaya kendisini kopyalayabilen yazılımın mümkün olduğunu göstermektir. Robert Morris ilk solucanı yazdığında solucanın belirli bir sayıda diğer kopyalarını imha ederek çoğalmasını hedeflemişti. Fakat yazdığı kod parçasını kontrol etmediğinden kodlardaki bir hata ABD çapında bilgisayar sistemlerinde tıkanmaya yol açmış, sistemleri yavaşlatmış ve çoğu devlet kurumunun kilitlenmesine neden olmuştur. Robert Morris bunun üzerine teslim olmuş ve ceza almıştır.
Günümüzde ise solucanlar sadece kendilerini amaçsız yere çoğaltmak yerine artık yapımcısının belirli hedeflerine hizmet etmek amaçlı yazılıyorlar. Genelde günümüzde solucanlar ya beraberinde başka bir zararlı yazılımlar getirmekte ya da kullanıcıları botnet ağına düşürüp büyük çaplı DDoS saldırılarında köle olarak kullanmak için yazılmaktalar.
Şimdi isterseniz dünya çapında bilinen en büyük Worm saldırılarına bakalım ve tanıyalım.
Conficker
Ekim 2008 yılında ortaya çıkan ve RPC açığını kullanarak bilgisayarlara yayılan Conficker solucanının ocak 2009’a kadar dünya çapında tahmini 9 milyon ila 15 milyon arası bilgisayara bulaştığı düşünülüyor.
Türünün en büyük örneklerinden olan bu zararlı gelişmişliği ile dikkat çekiyordu. Bu solucan dünya çapında sistemlere zarar verdi. Zararlının Ukrayna çıkışlı olduğu düşünülüyor.
Zotob
2005 yılında Türkiye’de çıkmıştır. TCP/445 portunu istismar eder.
FBI tarafından Türk yazılımcı A.E ve Fas’lı yazılımcı F.E tarafından yazıldığı iddia ediliyor. Bulaştığı dönemde ABD üzerinde Microsoft, CNN, New York Times ve ABC gibi ünlü devlerin sistemlerine zarar verdi ve bu sistemlerin bazılarının işleyişlerini aksattı. 100 kadar büyük şirketi etkilediği düşünülüyor.
Detaylı FBI takibi ve araştırması ile Türk polisi işbirliği sonucu 25 Ağustos 2005 yılında yapılan gece operasyonu ile Adana’da yaşayan 23 yaşındaki A.E gözaltına alındı. Aynı şekilde F.E Fas sınırları içerisinde göz altına alındı. Zararlının ilerleyen dönemde yayılması durduruldu.
WannaCry
Evet, tipik olarak bir Worm örneğidir. Buna daha detaylı olarak Ransomware kısmında bakacağız ama şimdilik solucanlara benzeyen kısmına odaklanabiliriz.
WannaCry, SMB açığını istismar edip ağ üzerinde bu şekille yayıldığından ve kendini kopyalama özelliğinden dolayı Worm sınıfına da dahildir. Yayılma hızından dolayı dünya çapında olay ve gündem olmuştur.
-
WannaCry zararlısından bir görüntü. Bulaştığı bilgisayarlarda böyle bir ileti görüntülüyordu.
MusaLLaT (Win32 AutoRun.VB/AAO)
Türk yazılımcılardan biri tarafından yazılmıştır. Tipik özelliği kendisini kopyalaması ve sistemin yönetimsel haklarını devre dışı bırakmasıdır.
Trojan olarak adlandırılsa da özellikleri solucanlara daha çok uymaktadır. Kendisini kopyalar ve çoğaltır. Klasör görünümlü dosyalar oluşturur ve genelde USB yoluyla yayılır.
Zararlıyı yapanın pişman olduğu ve sonra kaldırma aracını yazdığı rivayet edilir. Ama doğruluğu belli değildir.
VirusRadar – Win32.AutoRun.VB.AAO
Brontok
Endonezya kökenli bir solucandır. Farklı varyantları bulunmaktadır. Genel itibariyle bulaştığı bilgisayarda yönetimsel hakları ele alır ve engeller. Antivirüs sitelerine veya güvenlik sitelerine girince, komut istemini açmaya çalışınca sistem yeniden başlar. Kendisini görev yöneticisinde sistem dosyası gibi göstermeye çalışır.
Bazı varyantları kurbanları botnet gibi kullanmaktadır.
Kötü alışkanlıkları protesto eder.
-
Brontok zararlısı bulaştığı sistemlerde belirli aralıklarla bu mesajı görüntülüyordu.
Spyware / Adware
Spyware/Adware türevi zararlılar casusluk amaçlı veya reklam amaçlı yazılmış yazılımlardır. İlk çıktıkları dönemde birçoğu yasal gözüktüğü için AV yazılımları tarafından tespit edilmediğinden anti-malware yazılımları denilen bir pazarın oluşmasını sağlamıştır. Bir süre sonra AV yazılımları da adware türevlerini zararlı olarak tespit etmeye başlamıştır.
Genel itibariyle amaçları istatistik bilgileri, kişinin ilgi alanları vs. gibi bilgileri toplamak veya sinir bozucu reklamlar çıkartarak yapımcısına para kazandırmaktır.
En ünlü bilinen örneklerinden birisi Claria Corporation tarafından yazılan Gator Adware/Spyware’dir.
-
Gator Spyware kurulum ekranı.
Tuş Kaydediciler (Keylogger)
Tipik özelliği klavyede basılan her tuşu kaydetmesi veya ekran görüntüleri alarak bilgileri kendisini kontrol edene göndermesidir. Kaydettiği bilgileri mail yoluyla, şifreli kanallar yoluyla veya bilgisayarda bir dizininde depolarlar.
Diğer zararlılara nazaran birçok yüksek profilli saldırıda Keylogger yazılımları kullanılmıştır. Kolay gizlenebilmesi, uzaktan doğrudan bağlantı gerektirmemesi nedeniyle korsanların ilgisini çeken bir zararlı türüdür.
Browser Hijacking (Tarayıcı Zararlıları)
Tarayıcıları hedefleyen, arama motorunu değiştiren veya eklenti yoluyla saçma sapan reklamlar çıkartan zararlı türüdür.
Kullanıcıyı çok rahatsız eder. Adware sınıfına dahil edilebilir.
Ransomware (Fidye Yazılımları)
Bu zararlıların amacı bulaştığı bilgisayarlardaki dosyaları askeri şifreleme standartları ile şifreleyip dosyaların kurtarılabilmesi için belirli bir ücret talep eden zararlılardır. Bazıları aynı zamanda Worm özelliği de gösterebilmektedir.
Bazı fidye yazılımları hem trojan/backdoor hem de worm sınıfına dahil edilebilirler.
Bu türün dünyaca bilinen örneklerini sıralayacak olursak:
WannaCry
2017 yılında ortaya çıkan WannaCry yakın zamanlarda çok geniş bir alanı etkileyen en büyük fidye zararlılarından birisidir. Yayılmak için Worm gibi ağ yolunu ve diğer zararlılar gibi normal dosya yolunu kullanmaktadır.
Yayılmak için SMB protokolü ile ilgili güvenlik açığını sömüren EternalBlue’dan faydalanır. Ağ içerisinden herhangi bir bilgisayarda bulunduğu takdirde önce ağı tarar sonra bu güvenlik açığından yararlanarak diğer bilgisayarlara geçmeye çalışır. Bu açığa sahip olan diğer bilgisayar da enfekte olur.
Petya Ransomware
Petya, 2016 yılında çıkan türünün en tehlikeli ve bilinen örneklerinden birisidir. Orijinal varyantında bulaştığı sisteme önce sahte bir hata verdirir. Sistem yeniden başlarken kurbanın inanması için sahte bir chkdsk ekranı göstererek şifreleme işlemini başlatır.
Sistemin önyükleme tablosu ile birlikte dosyaları şifreler ve fidye isteyen metni görüntüler. Windows’un başlatılmasını engelleyen bir yapıya sahiptir. Daha sonra NotPetya denen bir türü daha çıkmıştır.
Aynı WannaCry gibi SMB protokolünü kullanan EternalBlue’dan faydalanır. Bu açığın bulunduğu diğer bilgisayarlara da ağ yoluyla yayılabilir.
Bu yazımızda detaylıca ilgili türdeki zararlılar hakkında bilgi vermiş olduk. Bir sonraki yazımızda tekrardan görüşmek üzere.
