Bu haber Almanya’dan. Ancak spam mesajların salgın gibi yayıldığını düşündüğümüzde, sıradaki ülke biz de olabiliriz. Spam mesajlar ile gödnerilen bu zararlı, sisteminizi uzaktan kontrol edebildiği gibi MBR yani ‘master boot record’ bilgisini silebiliyor. Bu durumda işletim sisteminizin yüklenmesi gereken yerde, siyah ekranla baş başa kalıyorsunuz. Daha önce Güney Kore’nin başını ağrıtan sistemin aynısı.
Trend Micro bu arka kapıyı bazı spam e-postaların içinde buldu. Almanca hazırlanmış içerik, size borcunuz olduğunu ve detayları ekteki dosyadan almanız gerektiğini söylüyor. Dosyayı açarsanız sisteminiz ele geçiriliyor.
Tipik bir arka kapı olan BKDR_MATSNU.MCB, komut alıp verebiliyor, sisteminizdeki bilgileri transfer edebiliyor ve kendini özel kılan özelliği, MBR’yi silebiliyor. Daha önce Güney Kore’ye kuruluşlarına yapılan saldırı da buna benzer bir sistemle yapılmıştı. Yani aslında yüksek profil dediğimiz türden saldırılarda kullanılıyordu.
Bu sistemi baş belası yapan şey ise, sistemi açılmaz hale getirdiği için, içine girdiği bilgisayarı kullanım dışı bırakması.
Arka kapıdan giren bir diğer komut ise ekran kilitleme. Sistem açılıyor ancak kilitlendiği için kullanılamıyor. Kilidi açmanız için para ödemeniz gerektiğini söyleyen bir ekran çıkıyor. Bu yöntem daha çok Rusya’da kullanılsa da, diğer ülkelerde de yerel versiyonlarına rastladık. Türkiye’de Emniyet Genel Müdürlüğünden geldiğini söyleyen versiyonu dolaşımda.
Testlerimiz sırasında BKDR_MATSNU.MCB zararlısı, MBR silme işlemini yerine getirdi. Tek yapması gereken, ana sunucusundan bu komutu almaktı. Ancak ekran kilidi için bu komut gerekmiyor. Bunun için farklı bir modül indiriliyor ve kilit işlemini gerçekleştiriyor. Hangi işlemin yapılacağı, sunucuyu kontrol eden kişinin insiyatifinde. İstediği komutu gönderebilir. Her ikisini de yapabilir elbette.
BKDR_MATSNU.MCB’nin bir diğer versiyonu, ekran kilit işlemini daha kolay başlatıyor. Bu versiyonu arama çalışmaları devam etmekte.
Daha iyi bir koruma için, dosya eklerini açarken çok dikkatli olmalı ve en ufak şüphede açmamayı tercih etmelisiniz. Eğer sisteminize girilmişse, kesinlikle para ödemeyin. Silmek için şuradaki bilgilerden faydalanabilirsiniz.
Trend Micro bu arka kapıyı bazı spam e-postaların içinde buldu. Almanca hazırlanmış içerik, size borcunuz olduğunu ve detayları ekteki dosyadan almanız gerektiğini söylüyor. Dosyayı açarsanız sisteminiz ele geçiriliyor.
Tipik bir arka kapı olan BKDR_MATSNU.MCB, komut alıp verebiliyor, sisteminizdeki bilgileri transfer edebiliyor ve kendini özel kılan özelliği, MBR’yi silebiliyor. Daha önce Güney Kore’ye kuruluşlarına yapılan saldırı da buna benzer bir sistemle yapılmıştı. Yani aslında yüksek profil dediğimiz türden saldırılarda kullanılıyordu.
Bu sistemi baş belası yapan şey ise, sistemi açılmaz hale getirdiği için, içine girdiği bilgisayarı kullanım dışı bırakması.
Arka kapıdan giren bir diğer komut ise ekran kilitleme. Sistem açılıyor ancak kilitlendiği için kullanılamıyor. Kilidi açmanız için para ödemeniz gerektiğini söyleyen bir ekran çıkıyor. Bu yöntem daha çok Rusya’da kullanılsa da, diğer ülkelerde de yerel versiyonlarına rastladık. Türkiye’de Emniyet Genel Müdürlüğünden geldiğini söyleyen versiyonu dolaşımda.
Testlerimiz sırasında BKDR_MATSNU.MCB zararlısı, MBR silme işlemini yerine getirdi. Tek yapması gereken, ana sunucusundan bu komutu almaktı. Ancak ekran kilidi için bu komut gerekmiyor. Bunun için farklı bir modül indiriliyor ve kilit işlemini gerçekleştiriyor. Hangi işlemin yapılacağı, sunucuyu kontrol eden kişinin insiyatifinde. İstediği komutu gönderebilir. Her ikisini de yapabilir elbette.
BKDR_MATSNU.MCB’nin bir diğer versiyonu, ekran kilit işlemini daha kolay başlatıyor. Bu versiyonu arama çalışmaları devam etmekte.
Daha iyi bir koruma için, dosya eklerini açarken çok dikkatli olmalı ve en ufak şüphede açmamayı tercih etmelisiniz. Eğer sisteminize girilmişse, kesinlikle para ödemeyin. Silmek için şuradaki bilgilerden faydalanabilirsiniz.
0 Yorumlar