F-Secure’ün yayınladığı bültene göre Bugbear/Tanatos kurtçuğu kendisini Windows Sistem directory altında rastgele bir isimle kopyalıyor (mesela JFMV.EXE) ve Registry’e de bir başlangıç anahtarı ekliyor.
F-Secure kurtçuğun ayrıca Windows Sistem klasörü altına rastgele üretilmiş isimli (mesela ZLQPUPP.DLL) bir DLL dosyası yarattığı belirtiyorlar. Kurtçuk ayrıca içine encypt edilmiş veriler sakladığı 2 başka DLL dosyası ve Windows’un ana klasörü içine 2 rastgele isimli DAT dosyası yaratıyor.
Çalıştırıldığı zaman Bugbear/Tanatos kurtçuğu bazı bilgisayarlarda otomatik olarak çalışmasına müsade edilen iFrame sızmasını oluşturuyor. Bu hata bazı maillerin üstüne gidildiğinde bile çalışabiliyor. Microsoft açığı hemen tamir etti ve bir de yama yayınladı. Yamayı bu adresten yükleyebilirsiniz.
Kurumlara yönelik olarak anti-virüs yazılımlar, dosya encyption ve network güvenlik yazılımları konusunda uzman olan F-Secure, kurtçuğun rastgele isimli dosyalar eklenmiş e-mailler kanalıyla yayıldığını belirtiyor. Şirket “Virüs bulaşmış mailin konusu ve içeriği farklı. Kendisini kitlelere ulaştırma yöntemi son derece karmaşık.” diyor. Temizlemek için ilgili dosyaları silmek ve sistemi yeniden başlatmak yeterli oluyor.
Ancak virüs eğer network ortamına bulaşmış ise network durdurulması gerekli. Tüm sistem incelenmeli. Her bölümü ayrı ayrı enfekte olmuş olabilir. Böyle yapılmazsa sistem temizlendi sanılsa bile yeniden enfekte olacaktır. Enfekte sistem temizlendikten sonra, tüm login isimleri ile şifrelerin de değiştirilmesi önemle hatırlatılıyor. Çünkü bu kurtçuğun şifre çalıcı bir özelliği olduğunda da şüpeleniliyor. F-Secure “enfekte olmuş sistemlerin ve networklerin muhtemel hacker saldırılarına karıı kontrol edilmesini tavsiye ederiz çünkü bu virüsün arka kapı bileşeni var” diyor.
Şirket bu virüs için “seviye 2” türü bir alarm verdi. Çünkü Bugbear/Tanatos 36794 portunu sürekli yineleyerek dinliyor ve işlemleri durduruyor. Enfekte olmuş sistemlere içerde yerleşmiş olan arka kapı bileşenini kullanarak erişim sağlayabiliyor.
Bugbear/Tanatos virüsü ilk olarak dün tespit edildi. Dahili network içinde yayılma kabiliyeti büyük. Network kaynaklarını kullanarak uzaktaki sisteme Start MenuProgramsStartup klasörü yerleştiriyor. Bu işlem yapılınca virüs kendini bunun altına rastgele bir isimle kopyalıyor. Uzaktaki sistem açıldığında virüs kontrolü eline alıyor ve sistemi etkiliyor.
F-Secure “Arka kapı bileşeni, saldırgana erişim imkanı veriyor. Virüs HTML sayfalar yaratıyor. Saldırgan enfekte olmuş sistemin işletim sistemini, işlemci türünü ve sürücüleri hakkındaki tüm bilgileri elde edebiliyor. ” diyor.
F-Secure son olarak “kurtçuğun şifre çalma yeteneği de var. İçeriye bir bileşen yerleştiriyor. bu bileşen tüm tuşların hareketlerini takip ederek bir dosya içine kopyalıyor. Bu dosyayı kurtçuk daha sonta kendi içinde encrypted edilmiş bir adrese gönderiyor. Bu adresinin SMTP sunucu adları da encypted edilmiş şekilde. ” diyor.
Kaynak : 