Backdoor Darkmoon

dracula-iconKeylogger özelliği taşıyan bilgi hırsızlarından biri de Darkmoon Trojanıdır. E-mail yolu ile yayılır. Genellikle e-postanın konusu ilgi çekici bir haber başlığı olarak görülmektedir. Dikkat etmeyen kullanıcı e-posta ekini ya da metin kısmında bulunan URL’ye tıklamak suretiyle zararlıyı bilgisayarına bulaştırmış olur.

  • Adı : Darkmoon
  • Keşif Tarihi : 18 Ağustos 2005
  • Tipi : Trojan
  • Seviye : Orta
  • Platform : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Sisteme bulaşır bulaşmaz şu dosyaları oluşturur.
%System%\Yxgunlzu.d1l
%System%\drivers\Yxgunlzu.sys
%Windir%\@@@\___.exe
%Windir%\@@@\mydll.exe
%Windir%\@@@\win32.exe
%Windir%\win32log.dat
%Temp%\~MS[RANDOM CHARACTERS].doc
%Temp%\~$~MS[RANDOM CHARACTERS].doc

Aynı zamanda şu klasörü:
%Windir%\@@@\plugins

Kayıt defterinde şu değişiklikleri yapar, bu sayede Windows her açıldığında kendini çalıştırmış olur.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Microsoft” = “%Windir%\@@@\win32.exe”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters\”ServiceDll” = “%System%\Yxgunlzu.d1l”

Ve gelelim önemli bölüme; kayıt defterinde oluşturduğu Yxgunlzu adıyla Rootkit işlevi sağlar.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Yxgunlzu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YXGUNLZU

Yani bu ismin geçtiği tüm işlevleri gizler. Yine aynı şekilde internet explorer a aynı dosyayı enjekte eder.

Pencere ve bazı diğer bilgileri %Windir%\@@@\[DATE].txt adı altında kaydeder.

6668 ve 7777 portunu arka kapı gibi açarak uzaktaki saldırganın komutunu bekler.
Saldırgan uzaktan tüm sistem ve network bilgisini alabilir. İstediği dosyayı indirip, upload edebilir. CD sürücüsünü açıp kapatır, email gönderir ve hatta komut satırı ile işlem gerçekleştirebilir.

Ele geçirmenin eş anlamlı zararlısı Darkmoon olsa gerek.

Önemli Not: 28 Ekim 2014 tarihi itibariyle Backdoor.Darkmoon!g11 adı altında 0-day olabilitesi bulunan, yazımızda bahsettiğimiz Darkmoon ailesi ile W32.SillyFDC ailesinden geldiği düşünülen zararlı peydah olmuş, ancak herhangi bir Antivirus firması tarafından teknik detayları henüz paylaşılmamıştır.

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s