bu srlabs ın sitesi nedense pek bi boş ve tek çözüm bu cv.exe üstelik şöyle bişey var aynı trojan yada sizin deyiminizle trojan loader benim destek verdiğim şirketlerin maillerine de gelmişti ve incelemek için bir yedeğini almıştım şimdi ikisini karşılaştırıyorum....

Haklısınız, sitemizin içeriği "şimdilik" pek dolu değil. Ancak dikkat ederseniz bir çok "güvenlik sitesi" gibi tercüme edilerek yayınlanmış yazılar değil sadece kendi emeğimiz ve araştırmalarımız neticesinde oluşmuş bir içeriği yayınlamaktayız.

Dikkat ederseniz, sitenin içerisinde önemli ActiveX objelerinde bulunan çeşitli güvenlik açıkları da yayınlanmaktadır.

İsminin trojan veya trojan loader olması arasındaki fark, birinin torjan olması diğerinin de bir trojanı sisteme yüklüyor (ing: load) olmasıdır. Aynı şekilde trojan-downloader diye de bir tanım vardır ama burada bahsetmeye gerek yok sanırım.

1.gelen kişinin mail adresi farklı programın saklandığı mail adresi farklı.

Muhtemelen elinizdeki dosya da farklı. Aynı türün varyant'ı olabilir veya çok farklı bir zararlı yazılımdan bahsediyor olabilirsiniz. Mesela bahsi geçen cv.exe programı "mail adresinde" saklamamaktadır.

2. ( BURASI ÇOK ÖNEMLİDİR ) : iki exe birbirinden farklı birinin ( benim incelediğimin ) iconu 32bit iken diğerinin 16bit bu da asıl exenin kurcalandığını fakat ufak bir ayrıntının gözden kaçırıldını gösteriyor.

Bkz. 1. Madde, cevap kısmı.

Ayrıca programı derinlemesine inceleyememişsin senin o icadın pek bi işe yaramamış anlaşılan :)

Evet, program derinlemesine incelenmemiş ve bu durum hem bültende hemde buradaki yorumların içerisinde belirtilmiştir.

Sanırım okuduğunuz cümleyi algılayamamışsınız, bahsedilen X546P yöntemi mevcut ve benim icadım olan bir yöntem değildir. Bahsi geçen tekrar okumanızı tavsiye ederim.

Ve ayrıca bitlogic o mousehook.dll i opensource olarak yayınlamıyor... belli bir ücret karşılığı satıyor...

Bu konuda haklısınız, sitedeki içerik en kısa zamanda ".. kaynak kodu para ile satılan ..." şeklinde değiştirilecektir. Uyarınız için teşekkürler.

Ve ayrıca bahsettiğin kadar bilgili değilsin smss.exe senin sandığın kadar basit değil yazarını bulsam alnının ortasından öpecem

Dikkat ediniz, ilgili bülten içerisinde sadece cv.exe'den bahsedilmekte ve smss.exe'nin antivirüs yazılımları tarafından tanımlanabilen bir "kötü amaçlı program" olduğu geçmektedir. smss.exe ile ilgili olarak herhangi bir analiz yayınlanmamıştır.

Kötü amaçlı kod yazarak insanların banka hesaplarını boşaltmak gibi bir eylemin aslında hırsızlık / kapkaç gibi gasp suçlarından bir farkı yoktur! En azından bu örnek için teknolojik olarak herhangi bir pırıltı gözükmemektedir. Dolayısıyla ilgili kişileri öpmenin yersizliğini kavramışsınızdır, umarım.

Ve ayrıca registry kayıtları o kadarla kalmıyor senin icad gene yetersiz kalmış

smss.exe antivirüs yazılımları tarafından tanımlanabildiği için analiz edilmemiştir. cv.exe ile ilgili registry işlemleri bültende belirtilmiştir. Ancak sizin elinizdeki örnek ile incelenen örnek farklı olabilir.

Ve ayrıca programı antivirüsler tanımadığı gibi FIREWALL larda fark etmiyor.... bunu da gözden kaçırmışsınız....

Firewall'ların bunu nasıl farketmesini beklemektesiniz? Eğer firewall'dan anladığımız aynı şeyse (örneğin checkpoint vpn1) bunu yapması mümkün değil. Ancak ev kullanıcılarına yönelik application (uygulama) bazlı firewall'lardan bahsediyorsanız, hangi uygulama ile kendini gizlediğini de yazarsanız daha bilgi verici olur. Ayrıca ağ bağlantıları cv.exe kapsamında değil smss.exe kapsamında yapıldığından ve bu smss.exe antivirüs yazılımları tarafından tanımlanabildiğinden analizi yapılmamıştır.

SAYIN SERELAPIS YETKİLİSİ ayrıca program senin değilse, yada sen bu programı bi şekilde kurcalamadıysan yada ne biliiim bu işte senin parmağın yoksa buyur yeni TANIMLANAMAYAN TROJANLARI DA TANIMLA :S

Sanırım trojanı yazmamış veya trojanı kurcalamamış(?) olmayı kanıtlamak için trojan çözümlemesi yapmak teklifi ile karşılaşan ilk kişiyim.

Kötü amaçlı kod analizi yapıp, bunları yayınlayıp; haklarında da çeşitli forumlarda meydana gelen bol miktardaki yanlış anlaşılmalara cevap yetiştirmeye çalışarak hayat kazanılmamaktadır.

İnsanları korumak maksadıyla yayınlanan bir bülten konusunda anlamsız yere bu kadar tartışma çıkması ve söylemlerin de bu kadar seviyesiz olması üzücüdür. Bir çok insan (büyük ihtimalle siz bile) bu zararlı yazılımdan bültenler sayesinde haberdar olup zarara yol açmadan önlem alabilmiştir.

windows binary bir truva atından bahsediyoruz?

Bulaşabilmesi için cv.exe'nin yetkili bir kullanıcı tarafından çalıştırılmasına mahkum bir mekanizması olan trojan-loader'dan bahsediyoruz.

işin psikolojik etkilerini gözardı etmişiz

Ne demek istediğinizi yanlış anlamış olabilirim ama bahsettiğiniz malware yazarlarının heveslendirilmesi ise; mouse hook işlemini bile sample source'lar ile yapabilen insanların, ürettiği zararlı yazılımların ifşa edilmesiyle değil de başka motivasyonlarla hareket ettiklerini sanırım kabul edersiniz.

herkesin bildiği fakat sizin burda bahsetmek istemediğiniz acaip geleneksel bir yöntem mevcut.

Bunu da yanlış anlamış olabilirim ama benim bu zararlı yazılımla ilgim olduğunu kastediyorsanız, ben mouse hook'u kendim implement edebilecek kadar bilgi sahibiyim :)

Kısaca internet sitenizdeki bu kısma aykırı düşmemişmiyiz?

Bu konuda "kötü amaçlı kod geliştirilmesini engellemek" sözü amacını aşmış olmuş olabilir, sanki bir çelişki varmış gibi de algılanabilir. Ancak sizde iyi biliyorsunuz ki, kimseye bulaşmayan bir trojan ne kadar yüksek teknoloji sahip olursa olsun işe yaramaz olacaktır. Bu nedenle zararlı yazılımların ifşa edilmesi de bir engelleme yoludur.Gene de eleştirinizde haklı olabileceğinizi düşünerek en kısa sürede sitedeki bu ibare yeniden düzenlenecektir.

İyi güzel bu tanımlanamayan truva atını tanımlamışsınız, çözümünü yazmışsınız. Peki bunu pazarın küçüklüğüne bakarak hıyarlık eden bizi kaale almayan Kaspersky Lab., BitDefender, Symantec, McAfee, Trend Micro gibi firmalara da gönderdiniz mi?

Hayır göndermedim. Bence AV şirketlerinin bu iş için (yeni zararlı yazılım bulma) kurdukları mekanizmalar yeterli olmalı veya yeterli hale getirmeliler. Bakınız TrendMicro geçenlerde Türkiye ofisinin açılışını duyurdu. Eğer bu ofis sadece al-sat işlemleri yapmayacaksa, bence çoktan bir kopyasını elde etmişlerdir.

Sizde iyi bilirsiniz ki truva atlarının, solucanların, virüslerin yada diğer pisliklerin bölgesel olması gibi bir durum yoktur. Benim boot sektörümde saklanıp sizin web sayfanızdaki activex nesnesine bulaşabilecek türde virüsler mevcut.

Eğer lokal'in karşılığına global tanımını koyacaksak, bu malware için birazcık bile global dememiz mümkün değil. Öyle tahmin ediyorum ki Çinlilerin ilgili e-mail'in alıcısı olması; e-mail ile resmi gönderilen bayanın iletişim bilgilerine ve diğer resimlere ulaşmak arzusu ile bu e-mail'in içerisindeki exe dosyasını çalıştırması nüfusun yok sayılabilecek oranında olacaktır :)

Bu truva atı yükleyicisinin varlığını kanıtladınız. Peki üreticisi sizi yada fazlamesai.net sitesini takip ediyorsa anlattığınız çözümü görüp cv.exe nin çalışma şeklini değiştirirse?

Aslında bu bir kısır döngü. Yani birileri (bunlar para verdiğimiz AV şirketleri; ben değil) bu virüslerin çözümlerini bulup kendi yazılımlarına ekleyecek ve virüs yazarları da yeni yöntemler ve yeni exe'ler yaratarak AV kullanıcılarına yeni zararlı yazılımlarını bulaştırmaya çalışacaklar. Ben bunların çözümlerini bulmak, yayınlamak, AV yazılımlarında uygun değişiklikleri yapmak dışında -şimdilik- bir yol göremiyorum. Sizin öneriniz nedir?

Truva atını nasıl debug ettiniz? Çözümlemeyi nasıl yaptınız?

Aslında insanların açıklamayı tercih etmedikleri tam olarak da bu bilgi. Kendi yazdıkları çözümleme araçları hakkında bilgi vermemek o araçların ömürlerini uzatır. Ancak benim yaptığım analiz için özel bir araç kullanmam söz konusu değil. Zaten analizin derinliğine baktığınız da çok da fazla bir bilgi içermediği; sadece bu exe'nin bir trojan loader olduğu ve eğer process'i durdurmak isterseniz ne yapmanız gerektiği yazıyor. Gene de merak ettiyseniz, herkesin bildiği yöntemler dışında; kendi icadım olan X546P gibi bir yöntem falan kullanmış değilim :)

"smss.exe windows işletim sistemi üzerinde oturum yönetimi gerçekleştiren otomatik bir servis. Ancak trojan bu çalıştırılabilir dosyaya (exe) nüfuz edebilirse o zaman sorunlar başlayabiliyor. "

Sanırım srlabs.net sitesindeki bültenin tamamını okumadınız. Orada da belirtildiği gibi; Windows'a ait smss.exe'ye (Session Management Subsystem) herhangi bir nufüz işlemi yok. Trojan güvenli gözükme işleminin parçası olarak smss.exe ismi ile çalışıyor.

"Bu arada haberin "Tanımlanamayan Dağıtık Cisim" (TDC) modunda aktarılmasıda ayrıca ilginç."

Galiba burada yazılan ifadeden anlaşılamıyor ama "tanımlanamayan" sözü antivirüs programlarının genelinin -henüz- tehdit olarak sınıflandırmamasını ifade etmek için kullanılmıştır. Yani sadece güncel antivirüs yazılımınıza güvenirseniz sisteminize bulaşma ihtimali yüksek. Gürültüde aslında bundan ötürü. Antivirüs firmaları Türkiye gibi küçük pazar konumundaki ülkelere yönelik lokal tehditlere cevap vermek konusunda biraz yavaş davranıyorlar.