6.09.2012

TR/Agent.AWQX.1 Truva Atı (zero day)

Başka bir zararlı kod aktivitesi. Avira Professional Security 12 kurulu bir bilgisayarında Excel.exe'ye virüs bulaştığına dair ekrana çıkan bir uyarı mesajı ile başladı hikaye.


Elbette bu gerçek bir antivirüs yazılımı değil ve Excel.exe'ye virüs bulaştığına dair görüntülenen bu uyarı da gerçekleri yansıtmıyor. Bu pembe tonlara sahip "Live Security Platinum" penceresi sahte; ona şüphe yok. Ama muhtemelen sadece sahte olmakla kalmayacak, bazı zararlı bileşenleri de olacak.

Söz konusu bilgisayarda görev yöneticisinin, process explorer'ıın ve komut satırının açılması engelleniyor. Uzak bir bilgisayardan pslist ile baktığımda ise %ALLUSERSPROFILE%\Application Data klasöründe 32 tane rastgele karakterden oluşan bir isme sahip klasör içinde aynı isimde bir exe dosyasının bu işin sorumlusu olduğunu gördüm. pskill ile sonlandıramadım maalesef. Ama Windows komut satırı aracı taskkill başarılı oldu.

Yukarıdaki resimde görüldüğü gibi sistem tepsisinde Avira'nın simgesi gözüküyor. Yani Avira bu işler olurken çalışıyormuş. Şimdi nasıl oluyor da antivirüs sistemi hiçbirşey yapmıyor diye düşünürken Avira TR/Agent.AWQX.1 tanımlamasıyla virüs bulduğu uyarısını verdi. O zaman yeni sorumuz şu: Niye sisteme bulaşmadan tespit edemedi?

Zararlı kodun adını (TR/Agent.AWQX.1 olarak gözüküyor) kullanarak Google'da yaptığım bir aramada şu an itibariyle kaydadeğer bir sonuç alamadım. Ama AWQX anahtar kelimesi ile yaptığım aramada bunun bir truva atı bileşeni olduğunu, çalıştığı bilgisayarlarda bir arka kapı (backdoor) açtığını, muhtemelen daha fazla zararlı bileşen indirerek bilgisayarı bir botnetin parçası haline getirdiğini öğrendim [1],[2],[3].

Sonra Avira'nın virüs tanımlamalarını (vdf) incelerken 7.11.41.238 numaralı vdf'inde bu virüsün adını gördüm. Avira web sitesinde bu tanımlamanın tam olarak hangi saatte yayınlandığı bilgisini vermiyor maalesef. Ama yerel ağımızdaki AMC Sunucu'nun kayıtlarından 7.11.41.238 numaralı güncellemenin bugün (6 Eylül) saat 4:15'te download edildiğini gördüm. Tahmin ediyorum ki bu güncelleme Avira.com'da saat 01:15-04:15 saatleri arasında yayınlanmış. Yani çok yeni. Kullanıcı sabah bilgisayarını açtıktan bir süre sonra güncellemeyi almış.

Peki acaba bu bilgisayarı kullanan kullanıcımız acaba bu trojanın bulaşmasına sebep olan aktiviteyi ne zaman yapmış? Bugün içinde kayda değer bir trafik gözükmüyordu. Bir önceki günün kayıtlarına baktığımızda bir şüphelimiz oldu: http://ucpbcsyt.justdied.com.

Kesinlikle bu site diyemiyorum ama bir önceki gün bu siteden bazı veri alışveri olmuş ve bu site şu anda McAfee'nin trustedsource.org sitesinde "Malicious Sites" olarak kategorize edilmiş ve yüksek riskli olarak işaretlenmiş.

Yukarıda bahsettiğim All Users\Application Data klasöründeki exe dosyasını sonlandırdıktan,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
altında bu exe dosyasına işaret eden ve sistem tekrar başladığında çalışmasını sağlayacak girişi de sildikten sonra Avira'nın 7.11.41.242 (daha da yeni) virüs tanım dosyası ile tarama yaptım. Birşey bulamadıktan sonra dosya kapandı.

Çok yeni bir virüstü (zero day) ama Avira yaklaşık 12 saat farkla bir güncelleme yayınladı. Herhangi bir zarar oluşmadan tehdit etkisiz hale getirildi.

Referanslar
[1] http://www.spywareviruscleaner.com/How-to-Remove-Generic12.AWQX.html
[2] http://www.emsisoft.com/en/malware/?Backdoor.Win32.LolBot.awqx.AMN
[3] http://www.paretologic.com/resources/definitions.aspx?remove=Magania%20Awqx%20Trojan

Hiç yorum yok: