Türkiye’ye özel hazırlanmış bir zararlı yazılım olduğunu biliyor muydunuz? İşte ülkemizi hedefleyen Tinba zararlı yazılımının özellikleri ve tespit yöntemleri…
Tinba isimli zararlı yazılım sadece 18kb boyutunca ama son derece tehlikeli, zira Türkiye için özelleştirilmiş bir zararlı yazılım. Veri çalan buuygulama kullanıcıların oturum bilgilerini topladığı gibi ağ trafiğini dinliyor, siteerin görünümünü değiştiriyor, kendisini araya sokarak bilgileri çalıyor.
Blackhole Exploit araçlarını kullanan bu yazılım indirilen bir zararlı yazılım çalıştırıldığında “%APPDATA%\Default\bin.exe” ya da Windows XP’de “%systemDriver%\DocumentsandSettings\%UserName%\Application Data\default\bin.exe” dosya oluşturarak kendisini kopyalıyor.
Windows Registry altında “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default” kaydını açarak kendisini otomatik olarak sistemle birlikte başlatıyor. “winver.exe”,“svchost.exe” ve “explorer.exe” uygulamalarına dll injection yöntemi kullanarak sızıyor. Sızma ve kopyalama işlemleri başarılı olunca orijinal dosyasını silerek saklanan zararlı yazılım, uzaktaki sunucuya erişerek veri transferi gerçekleştiriyor.
Tinba bu yüzden ağ trafiği takibiyle tespit edilebiliyor. Ayrıca kayıt defteri altında “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default” ve “%APPDATA%\Default\bin.exe” dosyasına bakılarak varlığı doğrulanabiliyor. Bu dosya ve kayıtlar temizlenerek zararlı yazılımdan kullanılabiliyor.
Kaynak: Bilgi Güvenliği
