Üye Girişi
Bağlan Google+ ile Bağlan Facebook ile Bağlan
Yeni Kayıt
Tüm Forumlar
  • Tüm Forumlar
  • Oyun
  • Çok kişili online RPG Oyunları
  • World of Warcraft
  • Bu Konuda
Şimdi Ara

Potansiyel Trojan

Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
2 Misafir - 2 Masaüstü
5 sn
10
Cevap
0
Favori
1.485
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
Konuya Özel
0 oy
Öne Çıkar
Cevapla
Sayfa: 1
Giriş
Mesaj
  • Battle.Net Amerika forumlarında dün paylaşılan ve göründüğü kadarıyla çözüme ulaşma yolunda hızla ilerleyen bir trojan tehlikesiyle ilgili uyarıda bulunmak istedim.

    Disker ya da Disker64 adındaki gerçek zamanlı çalışan trojan, girildiği anda hem hesap şifresini hem de(varsa) authendicator kodunu ele geçirebildiği söyleniyor. Geçen yıl Mart ayında ilk kez tespit edilmiş fakat forumlarda söz konusu olan farklı bir versiyon olabilir deniyor.

    Bilgisayarda genellikle aşağıdaki konumlarda bulunduğu söylenmiş:

    Disker rundll32.exe c:\users\name\appdata\local\temp\w_win.dll,dw Name-PC\Name Startup

    Disker64 rundll32.exe c:\users\name\appdata\local\temp\w_64.dll,dw Name-PC\Name Startup

    Mac bilgisayarları etkilediğiyle ilgili henüz bir bir rapor ulaşmamış.

    Linkte bulunan Antivirüs, Antimalware vs. programların trojani tanıdığı belirtilmekle birlikte, AVG, Avast, ClamAV, Comodo, DrWeb, ESET/NOD32, F-Pro, Kaspersky, Malwarebytes, MSE, Norman, SuperAntiSpyware, Sophos, TrendMicro, nProtect gibi programlarla henüz tespit edilemediği söyleniyor.

    Dikkatli olmakta fayda var :)







  • Nasıl tespit edileceği belli yerlerde gösterilmiş ama yinede bulamayanlar için burada anlatayım ;

    Çalıştır diyerek (Windows tuşu + R) MSInfo32 yazın ve çalıştırın. Açılan pencerede üst menüden File (Dosya) ya gelip Export a tıklayın ve dosyayı bir yere istediğiniz isimle kaydedin. Daha sonra bu dosyayı açarak CTRL + F komutuyla arama yapın ve "Disker" veya "Disker64" diye arama yapın. Eğer sonuç bulunuyorsa virus bilgisayarınıza bulaşmış demektir. Şu şekilde bir satırla karşılaşacaksınız ;

    Disker rundll32.exe c:\users\name\appdata\local\temp\w_win.dll,dw Name-PC\Name Startup
    Disker64 rundll32.exe c:\users\name\appdata\local\temp\w_64.dll,dw Name-PC\Name Startup

    Blizzard henüz bu virusu tanıyan bir antivius olmadığını ve en temiz yöntem için bilgisayarınızı formatlamanızı öneriyor. Dosya, antivirus firmalarına gönderilmiş durumda, yani kısa süre içerisinde bir sonuç gelecektir ama yinede bu kısa sürede de dikkatli olmak gerek.



    < Bu mesaj bu kişi tarafından değiştirildi Ywizzle -- 3 Ocak 2014; 14:46:02 >




  • Sistem geri yükleme ftw
  • quote:

    Orijinalden alıntı: Ywizzle

    Nasıl tespit edileceği belli yerlerde gösterilmiş ama yinede bulamayanlar için burada anlatayım ;

    Çalıştır diyerek (Windows tuşu + R) MSInfo32 yazın ve çalıştırın. Açılan pencerede üst menüden File (Dosya) ya gelip Export a tıklayın ve dosyayı bir yere istediğiniz isimle kaydedin. Daha sonra bu dosyayı açarak CTRL + F komutuyla arama yapın ve "Disker" veya "Disker64" diye arama yapın. Eğer sonuç bulunuyorsa virus bilgisayarınıza bulaşmış demektir. Şu şekilde bir satırla karşılaşacaksınız ;

    Disker rundll32.exe c:\users\name\appdata\local\temp\w_win.dll,dw Name-PC\Name Startup
    Disker64 rundll32.exe c:\users\name\appdata\local\temp\w_64.dll,dw Name-PC\Name Startup

    Blizzard henüz bu virusu tanıyan bir antivius olmadığını ve en temiz yöntem için bilgisayarınızı formatlamanızı öneriyor. Dosya, antivirus firmalarına gönderilmiş durumda, yani kısa süre içerisinde bir sonuç gelecektir ama yinede bu kısa sürede de dikkatli olmak gerek.

    Export yani "ver" diyeceğiz demi eğer öyle ise yaptım bulamadı yani temiz çıktı


    teşekkür ederim bilgiler için çok önemli bir konu.




  • Hiçbir Antivirüs`ün bulmaması, Authendicator bile etkisiz kalması bu trojan`i gerçekten de tehlikeli yapıyor.

    Çok dikkat edilmesi gereken bir konu.

    < Bu ileti mini sürüm kullanılarak atıldı >
  • Authendicator nasıl etkisiz kalıyor?. Kod 1 dk sonra işe yaramaz hale geliyor, bu tip trojanlar genelde maile, sunucuya bilgileri yükleme yöntemi ile çalışır. Ya karşınızda şirket olacak her Authendicator girilen hesabı izleyip anında giriş yapıp hack atacak ya da Authendicator kullanan kişilere hiç zarar gelmeyecek. Elbette sunucuda bot falan çalışıyorsa işler değişir, malum bot programının neler yapabildiğini herkes biliyor. Giriş yapıp, goldu, eşyayı mail ile yollaması hiç zor gözükmüyor.
  • Authenticator bu gibi durumlarda işe yaramayacaksa ne diye var ki?
  • quote:

    Orijinalden alıntı: For the Horde

    Authendicator nasıl etkisiz kalıyor?. Kod 1 dk sonra işe yaramaz hale geliyor, bu tip trojanlar genelde maile, sunucuya bilgileri yükleme yöntemi ile çalışır. Ya karşınızda şirket olacak her Authendicator girilen hesabı izleyip anında giriş yapıp hack atacak ya da Authendicator kullanan kişilere hiç zarar gelmeyecek. Elbette sunucuda bot falan çalışıyorsa işler değişir, malum bot programının neler yapabildiğini herkes biliyor. Giriş yapıp, goldu, eşyayı mail ile yollaması hiç zor gözükmüyor.

    Gerçek zamanlı çalışan bir trojan olduğu söyleniyor, yani authenticator kodunu girdiğin anda o kodu kendiside kullanıyor. Bende anahtarlık şeklinde olan authenticator var, her 10 saniyede 1 kod oluşturuyor. Bu oluşan kod birden fazla yerde kullanılamıyor, yani oyuna girdikten hemen sonra siteyede giriş yapamıyorum ben, 10 saniye bekleyip yeni kod almam gerekiyor. Bu trojan ya kodu aynı anda kullanıyor ve bu sayede giriş yapmayı başarıyor, ya da birileri authenticatorun mantığını çözmüş, o koddan sonra gelecek olan kodun ne olduğunu biliyor ve onunla giriş yapıyor. İkinci seçenek daha kötü çünkü bu virusu temizleyince ortalık durulmaz, devamı gelir.

    Battle.net clienti var yazın beta olarak çıkmıştı. Onu indirdim ve en son 3 ay önce giriş yapmıştım. O cliente bir kez giriş yapınca, çok nadir durumlar dışında tekrar giriş yapmak gerekmiyor ve clienti açınca otomatik olarak hesaba giriş yapıyor. Oradan hesaptaki tüm oyunlar görülebiliyor ve istediğini seçip play e tıklayınca oyuna giriyor ve yine herhangi bir parola veya authenticator kodu vs. bir şey istemiyor, otomatik olarak hepsini yaparak hesaba giriş yapıyor. Siteye girmekte aynı şekilde, clientteki bir linke tıklayınca otomatik olarak siteye girişte yapıyor. Yani 3 aydır ne parola ne authenticator kullanıyorum. Şu an için ne derece güvenilirdir bilinmez ama ortalık durulunca bu yöntemi herkese öneririm bilgisayarı sadece siz kullanıyorsanız.




  • quote:

    Orijinalden alıntı: Ywizzle

    quote:

    Orijinalden alıntı: For the Horde

    Authendicator nasıl etkisiz kalıyor?. Kod 1 dk sonra işe yaramaz hale geliyor, bu tip trojanlar genelde maile, sunucuya bilgileri yükleme yöntemi ile çalışır. Ya karşınızda şirket olacak her Authendicator girilen hesabı izleyip anında giriş yapıp hack atacak ya da Authendicator kullanan kişilere hiç zarar gelmeyecek. Elbette sunucuda bot falan çalışıyorsa işler değişir, malum bot programının neler yapabildiğini herkes biliyor. Giriş yapıp, goldu, eşyayı mail ile yollaması hiç zor gözükmüyor.

    Gerçek zamanlı çalışan bir trojan olduğu söyleniyor, yani authenticator kodunu girdiğin anda o kodu kendiside kullanıyor. Bende anahtarlık şeklinde olan authenticator var, her 10 saniyede 1 kod oluşturuyor. Bu oluşan kod birden fazla yerde kullanılamıyor, yani oyuna girdikten hemen sonra siteyede giriş yapamıyorum ben, 10 saniye bekleyip yeni kod almam gerekiyor. Bu trojan ya kodu aynı anda kullanıyor ve bu sayede giriş yapmayı başarıyor, ya da birileri authenticatorun mantığını çözmüş, o koddan sonra gelecek olan kodun ne olduğunu biliyor ve onunla giriş yapıyor. İkinci seçenek daha kötü çünkü bu virusu temizleyince ortalık durulmaz, devamı gelir.

    Battle.net clienti var yazın beta olarak çıkmıştı. Onu indirdim ve en son 3 ay önce giriş yapmıştım. O cliente bir kez giriş yapınca, çok nadir durumlar dışında tekrar giriş yapmak gerekmiyor ve clienti açınca otomatik olarak hesaba giriş yapıyor. Oradan hesaptaki tüm oyunlar görülebiliyor ve istediğini seçip play e tıklayınca oyuna giriyor ve yine herhangi bir parola veya authenticator kodu vs. bir şey istemiyor, otomatik olarak hepsini yaparak hesaba giriş yapıyor. Siteye girmekte aynı şekilde, clientteki bir linke tıklayınca otomatik olarak siteye girişte yapıyor. Yani 3 aydır ne parola ne authenticator kullanıyorum. Şu an için ne derece güvenilirdir bilinmez ama ortalık durulunca bu yöntemi herkese öneririm bilgisayarı sadece siz kullanıyorsanız.

    Cliente 2 kod giriyorsun, gerçek kullanıcı olduğunu onaylıyorsun. Bundan sonra girişlerde yine authendicator üretiliyor fakat senin launcherın bu görevi yapmaya başlıyor, ekranda görmesende sunucu onay alıyor. Gerçek zamanlı olsun olmasın, anlık izleyen analiz eden bir sistem yoksa Authendicator kullanan bu işten zarar görmez. Arkadaşımdan telefonda kod alıp girerken bile sıfırlanıyor bazen. Malum ülkemizin alt yapısı ile çalınan kodun bile karşıya ulaşması 30 saniye alır :D




  • Güncelleme yapayım.

    Trojanin sahte(ama çalışan) Curse Addon Client'ı içine yerleştirildiği ve yine sahte Curse sitesi üzerinden yayınlandığı tespit edilmiş. Bu sitenin büyük arama motorlarında 'Curse Client' şeklinde arama yapıldığında listelendiği ve bu şekilde insanlara ulaştığı belirtilmiş.

    Şu noktada trojanden kurtulmanın en kolay yolunun sahte curse clientı silip, bilgisayarı ücretsiz anti-malware programı olan Malwarebytes ile taratmak olduğu söyleniyor.

    Teknik ekibin çabalarıyla şu sıralar çoğu antivirüs programının trojani tanıdığı belirtilmiş.

    Merak edenler için 2012 yılı başlarındaki Configuring/HIMYM trojanı dahil yıllardır karşılaşılan ilk MitM tipi trojan saldırısı olduğu da söylenmiş. Bu kısa süreli durumların can sıkıcı olduğu ama Authendicator'ın hesapları %99 güvenli tuttuğu da eklenmiş.
    • 
Sayfa: 1

Benzer içerikler

- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.
Hizmet kalitesi için çerezleri kullanabiliriz. DH’ye girerek kullanım izni vermiş sayılırsınız.
Anladım Veri Politikamız