Downloader.Dromedan

89789

Son günlerde özellikle USB Flash Disk’lere bulaşan ve gitgide cansıkıcı bir hal alan Dromedan zararlısı nedir? Bilgisayarlardan nasıl temizlenir? Özellikle USB’deki dosyaları gizleyerek, içerisine kısayol oluşturarak, kullanıcıya dosyalara erişim için bu kısayola tıklanmasını zorlar ve C sürücüsü içerisindeki tetikleme mekanizmasıyla birlikte işlev görür. Özellikle kaynak olarak *.doc uzantılı dosyalar üzerinden yayıldığı belirlenmiştir. Bir çok varyantı bulunduğundan zaman zaman AV programları yakalayamamaktadır. Bunun sebebi sürekli olarak MD5 hash değerini değişerek ve random karakterler ile ortaya çıkmasıdır. Basit bir şekilde dosyanın tespit edilip, sistem üzerinden kaldırılması mümkündür.

  • Adı : Dromedan
  • Keşif tarihi : 5 Ağustos 2013
  • Diğer isimleri :Win32:Konar [Trj], Worm.Win32.Gamarue!IK, W32/Trojan3.DAJ, W32/Kryptik.CQW!tr, Win32:Konar , Artemis!E716BEF8827E, Downloader.Dromedan, Mal/FakeAV-OQ, WORM_GAMARUE.B
  • Tipi: Trojan
  • Seviye : Orta
  • Platform : W32, W64


E-mail eklentisinde mevcut aşağıdaki dosyalar ile sistemlere infekte olduğu değerlendirilmektedir.

  • Profiel.Doc.exe
  • Informazioni.Doc.exe

Trojan aktif hale geldiğinde svchost.exe, wuauclt.exe, rundll32.exe işlemlerine kendini bulaştırır.  Aşağıdaki dosyaları

  • %SystemDrive%\Documents and Settings\All Users\Local Settings\Temp\[rastgele karakterler].com
  • %AllUsersProfile%\LOCALS~1\Temp\[rastgele karakterler].com

 

Bazı sistemlerde; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AA registry anahtarını oluşturur. Her açılışta başlaması için aşağıdaki girdileri gerçekleştirir.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\”2600″ = “%SystemDrive%\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\[RANDOM CHARACTERS].com”

Özellikle burada yaptığı işlemi son görülen varyantlarında ms********.exe dosyası olarak oluşturmaktadır. Manuel olarak sistemden kaldırmak için HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ registry anahtarı silinir. Ayrıca görev yöneticisinden el ile ms*****.exe işlemi sonlandırılarak ilgili dosya bilgisayardan yer gösterme yöntemiyle bulunarak infekte olmuş sistem böylece temizlenebilir. Bu işlem şayet yapılmadığı taktirde sisteme takılan tüm USB diskler Dromedan’dan etkilenir.

Bazı varyantlarının aşağıdaki siteler ile bağlantıya geçtiği tespit edilmiştir.

 

 

Reklamlar

Downloader.Dromedan” üzerine bir yorum

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s