Veri Çalıcı Program

'Asp.NET - C# - VB.net' forumunda deadsound1 tarafından 29 Nisan 2018 tarihinde açılan konu

Konu Durumu:
Yanıtlara kapalı.
  1. Semtex ER

    Katılım:
    6 Kasım 2016
    Mesaj:
    800
    Alınan Beğeniler:
    1,321

    Özel Mesaj
    Tasarlandı falan ?

    Edilgen çatılı cümle...

    Kendiliğinden olmuş gibi...

    Bahsettiğim alıntı programların işleyişini anlatabilir misin?

    Kendimiz kodlayalım mesela?
     
    DuhaYunus, dragov ve note bunu beğendi.
  2. dragov ER

    Katılım:
    10 Ocak 2017
    Mesaj:
    487
    Alınan Beğeniler:
    866

    Özel Mesaj
    Bazı özel dosyaları okuyabilmek için yüksek yetki gereklidir. NT \AUTHORITY SYSTEM yetkisi biraz fazla değil mi? En üst yetki seviyesinde çalışıyor program. Ve herhangi bir bilgi toplama işlemi başlamadan bu yetkiyi alıyor. Geçici alıp bırakmıyor.

    [​IMG]

    Yalnızca ilgili dosyalardan bilgi alıp bize sunması gereken program neden kernel32.dll kullanır? Program ile beraber başka bir process daha çalışıyor. Ve o process belleği yavaşça çaktırmadan şişiriyor. Gizlenmiş bir buffer overflow shellcode içeriyor program. Bir bilgi toplama aracı için fazlasıyla manidar değil mi :) en üst seviye yetki, önemli dll dosyalarına erişim, buffer overflow
     
    note, DuhaYunus ve deadsound1 bunu beğendi.
  3. note ER

    Katılım:
    20 Nisan 2017
    Mesaj:
    2,780
    Alınan Beğeniler:
    4,258

    Özel Mesaj
    C diski üzerinde oluşturduğu Klasör adı: VTRoot

    Ve diğer bütün klasörlerimi bunun içine kopyalamaya başladı. Şişme olayı burda başlıyor. Comodo Security sağolsun :)

    Programı indirecek olanlara söylüyorum. İndirmeyin. Program virüslü, kendisi de yazmamış programı. Yapması gereken sadece browser klasörlerini arayıp bilgi vermek olduğu halde, başka işler karıştırıyor, internete bağlanıyor, verileri kopyalıyor. Yönetime bildirdiğim halde kaldırılmadı. Bari burdan bildirelim. İndirmeyin.
     
    DuhaYunus ve dragov bunu beğendi.
  4. dragov ER

    Katılım:
    10 Ocak 2017
    Mesaj:
    487
    Alınan Beğeniler:
    866

    Özel Mesaj
    Aynen ben de Comodo ile fark ettim :) SysInternal ve tcp view dan gördüm bunları. Dotnet reactor ile obfuscate edildiği için IDA da doğrudan açamadım. Unpack edip de uğraşmadım. Zaten bariz belli yaptığı işlem. ole32.dll, mscore.dll gibi hiç kullanmaması gereken DLL dosyalarına erişim sağlıyor.

    Programı paylaşan da bunların farkında olmadan paylaşıyor. Dikkatli olmakta fayda var. En üst yetkide çalıştığı için program kapandığında bile arka planda process devam ediyor. Sanal sistemde bile zor kapattım bellek şiştiği için. Dosyayı çalıştıranlar varsa taskkill /F /IM suphelidosya.exe /T komutu ile cmd den yönetici olarak sona erdirebilirsiniz.
     
    DuhaYunus ve note bunu beğendi.
    Katılım:
    20 Ocak 2017
    Mesaj:
    102
    Alınan Beğeniler:
    28

    Özel Mesaj
    Görüşleriniz için teşekkürler.İnceleyeceğim.
     
    Katılım:
    20 Ocak 2017
    Mesaj:
    102
    Alınan Beğeniler:
    28

    Özel Mesaj
    Programın kod yapısı çağrı yapmaktan ibaret içerisinde çağırdığı diğer programlar var ondan dolayıdır edilgen cümle kurmam.
     
  5. AYDOĞAN ALBAY

    Katılım:
    11 Ağustos 2012
    Mesaj:
    8,248
    Alınan Beğeniler:
    38,182
    Meslek:
    Defender Ayt Savunma

    Özel Mesaj
    Konu kaldirildi.Paylastigiz konuda paylasimi once deneyin sonra paylasin.Hatalari duzelt emin olunca konu ac.Aksi takdirde viruslu prigram paylasmaktan sinirdisi edilirsin.
     
    deadsound1 ve dragov bunu beğendi.
Konu Durumu:
Yanıtlara kapalı.