WoLFHeLL
New member
- Katılım
- 30 Mar 2008
- Mesajlar
- 195
- Reaction score
- 0
- Puanları
- 0
Güvenlik forumlarından düzenli olarak aldığımız Microsoftun resmi güvenlik açık bültenleri ve diğer konularla ilgili tüm açıkları, yayınlanan yamaları burdan takip edebilirsiniz. Tek başlık altında toplanmasıylada konuyu takip eden arkadaşlarımız hiç zorlanmıyacaktır. Şimdiden herkese teşşekür ederim..
----------------------------------------------------------------------------------------------------------------------------------
Mozilla, Firefox, Thunderbird ve SeaMonkey
Mozilla, Firefox, Thunderbird ve SeaMonkey yazılımlarındaki kritik güvenlik açıkları için yama çıkardı ve yamayı geçmeyen kullanıcıların bilgisayarlarının kontrolünü başkalarının ele geçirebileceği konusunda uyardı.
Firefox güncellemesi 1.5x sürümleri için geçerli. Mozilla, Firefox güncellemelerinin 24 Nisan 2007 tarihine kadar çıkarılacağını fakat bu tarihten sonra sadece Firefox 2 için çıkarılacağını duyurdu.
Yeni sürümü aşağıdaki linkten indirebilirsiniz.
Tıklayın
Kaynak;
Eweek
--------------------------------------------------------------------------------------------------------------------------------
Eski İnternet Explorer Açığı IE'7 de Tekrar Ortaya Çıktı.
Önceki IE sürümlerini etkileyen ve browser penceresi içeriğinde değişiklik yapılabilmesine izin veren açığın IE 7'nin son sürümlerini etkilediği rapor edildi.
Aralık 2004'den beri Internet Explorer sürümlerinde görülen bu açık Olta saldırılarında (Phishing) ve kimlik hırsızlığında kullanılabiliyor.
Açığı kritik olarak değerlendiren güvenlik sitesi Secunia "problem eğer browser hedef penceresinin ismi biliniyorsa bir web sitesinin bu pencere içeriğine ekleme yapabilmesinde" diyor.
Açığın örnek kullanımı aşağıdaki adreste görülebilir:
Tıklayın
Bir Microsoft sözcüsü firmanın bunu bir güvenlik açığı olarak değerlendirmediğini söyledi:
"Secunia popüler web browser'lardaki dizayn-gereği bir davranış olan, bir web sitesinin pop-up pencere açabilmesi veya tekrar kullanabilmesini söylüyor. IE 7'de web sayfasının gerçek URL'si kullanıcıların karar verebilmesi için pop-up penceresi adres çubuğunda gösteriliyor."
Bu açık IE 7'nin Ekim 19'da çıkmasından beri 3. güvenlik problemi. Browser'ın çıktığı gün güvenlik araştırmacıları bir bilgi görüntüleme açığı tespit etmişti fakat Microsoft açığın Outlook Express'de olduğunu ve Internet Explorer açığı olmadığını söylemişti.
3. problem ise olta saldırılarında kullanılan ve URL'ye bazı özel karakterler ekleyerek adres çubuğundaki adresin farklı gösterilebilmesini sağlayan bir açıktı.
Bu açığın exploit kodu aşağıdaki adreste görülebilir:
Tıklayın
Eweek
----------------------------------------------------------------------------------------------------------------------------------
Tanımlanmamış Trojan Loader
Rastlanma Tarihi: 14-12-2006
Yayılma yöntemi:
Zararlı dosya kariyer.net'ten gelen sahte bir email yoluya yayılmaktadır. Yakalanan örnek sahte e-mail; "[email protected]" adresi ve "selam" subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna bağlı 88.233.33.192 ip'si ile gonderilmiştir.
Mail içeriği de şu şekildedir:
"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..
NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)
iyi calismalar dilegiyle.
Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."
İlgili resime tıklanıldığında; "www.freewebtown.com/nurkarayel/cv-resimlerim.zip" adresinden dosya indirme işlemi yapılmakta, indirilen zip dosyası içerisinde, kendini açan-çalıştırılabilir (self decompress-executable) dosya görüntüsündeki cv.exe dosyası bulunmaktadır.
cv.exe dosyası bir antivirus yazılımlarının halen tanımlayamadığı bir trojan loader olarak çalışmakta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak tanımlanan bir dosyayı yüklemektedir.
smss.exe dosyası keylogger, screen capturer, spyware-trojan loader olarak çalışmaktadır.
İlk çözümleme:
Cv.exe dosyası Borland Delphi ile yazılmış ve içerisine yine Borland Deplhi ile yazılmış smss.exe ve Bitlogic Software firması tarafından eğitim amaçlı açık kaynak kodlu olarak dağıtılan MouseHook.dll dosyaları gizlenmiştir. Dosya ilk kez çalıştırıldığında, "HKEY_LOCAL_MACHINE\Software" registry key'i altına "cupra" Key'i ve bu key'in de altına "checker" key'ini oluşturmakta ve değerini de 1 olarak belirlemektedir. Hemen sonrasında, smss.exe ve mousehook.dll dosyalarını "c:\windows\driver cache\Winapp\AppData\" klasörü altına kopyalamaya çalışmakta ve kopyalama işlemi biter bitmez smss.exe'yi çalıştırmaktadır.
cv.exe dosyası smss.exe'yi çalıştırdıktan hemen sonra "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run" registry key'i içerisine "Winloader" isimli key'i oluşturarak değerini de "C:\WINDOWS\Driver Cache\Winapp\AppData\smss.exe" olarak berlirlemektedir.
smss.exe dosyası tüm tuş basımlarını ve internet explorer üzerindeki mouse'un sol butonuna basılma işlemlerini takip etmektedir.
Bulaşmasının anlaşılması:
- Registry üzerinde oluşturulan kayıtlar izlenerek.
- Dosya sistemi üzerinde oluşturulan dosyalar izlenerek.
Manuel Temizlenmesi ;
smss.exe isimli windows işletim sisteminin "Session Manager Subsystem" olarak adlandırılan bir parçası da vardır ve bu parça kapatılmamalıdır. Ancak zararlı yazılım olan smss.exe'si ile kullandığı bellek miktarı ile ayrılabilir. "Session Manager Subsystem" olan smss.exe dosyası genellikle 100-300 KB civarında hafıza kullanırken zararlı yazılım olan smss.exe çalışma zamanına bağlı olarak çok daha fazla miktarda bellek kullanmaktadır.
Ancak smss.exe ile oluşturulan işlem (process) task manager üzerinden kapatılamamaktadır. Bu nedenle temizlemek için öncelikle registry'deki "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run" içerisindeki smss.exe değerli key silinmelidir. Yakalanan örnekte bu key daima "Winloader" ismindedir.
Daha sonra windows restart edilmeli; ve "c:\windows\driver cache\Winapp\AppData\" klasörü altındaki "smss.exe", "MouseHook.dll", varsa "ioerrors.txt", ve "img" klasörü silinmelidir.
Kaynak; SrLabs
--------------------------------------------------------------------------------------------------------------------------------
Ucla Veri Tabanı Hırsızlığı
Geçen hafta, Kaliforniya Üniversitesinin veritabanına sızıldığının anlaşılmasının ardırdınan FBI olayı araştırmaya başladı.
FBI suçun 800.000 kişiyi etkileyebilceği ihtimali ile IC3'ü bu iş için kullanmaya başladı.
IC3 ( Internet Suç Şikayet Merkezi) , Merkezi bir gelişmiş veritabanı ve ilişkilendirme sistemi kullanarak, daha önce veritananına giren kişilerin bilgilerini takip etme prensibi ile çalışıyor.
IC3'ü 6 yıl önce, FBI ve National White Collar Crime Center (NW3C) ile beraber geşliştirilmiş.
IC3 ekononik ve siber suçlar ile ilgileniyor. IC3 Geçen yıl 231.493 ilişkilendirme yapmış.
UCLA'daki veritabanının çalınmasının ardından, hesapların takibi için her kişinin sisteme şikayet kaydını girmesi gerekiyor.
Böylece bu sisteme giriş yapılan bilgiler kullanılmaya başladığı anda, şüpheli kayıtlar ve kaynakları araştırılıp, esas kaynak bulunabilecek...
IC3 Online Başvuru formu: Burdan..
Kaynak : FBI
-----------------------------------------------------------------------------------------------------------------------
Mozilla Firefox Olta (pishing) Saldırısı Zayıflığı
Firefox'daki açık scriptlerin boş adres çubuğu ile yeni bir sekme açabilmelerinden ve buna içerik ekleyebilmelerinden kaynaklanıyor. Bu açıktan yararlanılarak istenilen değerler girilerek kullanıcılar yanıltılabilir ve olta (phishing) saldırıları yapılabilir.
Açığın 2.0.0.1 sürümünde olduğu rapor edildi fakat diğer sürümler de muhtemelen etkileniyor olabilir.
Çözüm;
Güvenilmeyen sitelere girilmemesi tavsiye ediliyor.
Kaynak; Secunia
Referans; Neohapsis
----------------------------------------------------------------------------------------------------------------------------------
Daha Güncellicem Duyurulur... :clap
----------------------------------------------------------------------------------------------------------------------------------
Mozilla, Firefox, Thunderbird ve SeaMonkey
Mozilla, Firefox, Thunderbird ve SeaMonkey yazılımlarındaki kritik güvenlik açıkları için yama çıkardı ve yamayı geçmeyen kullanıcıların bilgisayarlarının kontrolünü başkalarının ele geçirebileceği konusunda uyardı.
Firefox güncellemesi 1.5x sürümleri için geçerli. Mozilla, Firefox güncellemelerinin 24 Nisan 2007 tarihine kadar çıkarılacağını fakat bu tarihten sonra sadece Firefox 2 için çıkarılacağını duyurdu.
Yeni sürümü aşağıdaki linkten indirebilirsiniz.
Tıklayın
Kaynak;
Eweek
--------------------------------------------------------------------------------------------------------------------------------
Eski İnternet Explorer Açığı IE'7 de Tekrar Ortaya Çıktı.
Önceki IE sürümlerini etkileyen ve browser penceresi içeriğinde değişiklik yapılabilmesine izin veren açığın IE 7'nin son sürümlerini etkilediği rapor edildi.
Aralık 2004'den beri Internet Explorer sürümlerinde görülen bu açık Olta saldırılarında (Phishing) ve kimlik hırsızlığında kullanılabiliyor.
Açığı kritik olarak değerlendiren güvenlik sitesi Secunia "problem eğer browser hedef penceresinin ismi biliniyorsa bir web sitesinin bu pencere içeriğine ekleme yapabilmesinde" diyor.
Açığın örnek kullanımı aşağıdaki adreste görülebilir:
Tıklayın
Bir Microsoft sözcüsü firmanın bunu bir güvenlik açığı olarak değerlendirmediğini söyledi:
"Secunia popüler web browser'lardaki dizayn-gereği bir davranış olan, bir web sitesinin pop-up pencere açabilmesi veya tekrar kullanabilmesini söylüyor. IE 7'de web sayfasının gerçek URL'si kullanıcıların karar verebilmesi için pop-up penceresi adres çubuğunda gösteriliyor."
Bu açık IE 7'nin Ekim 19'da çıkmasından beri 3. güvenlik problemi. Browser'ın çıktığı gün güvenlik araştırmacıları bir bilgi görüntüleme açığı tespit etmişti fakat Microsoft açığın Outlook Express'de olduğunu ve Internet Explorer açığı olmadığını söylemişti.
3. problem ise olta saldırılarında kullanılan ve URL'ye bazı özel karakterler ekleyerek adres çubuğundaki adresin farklı gösterilebilmesini sağlayan bir açıktı.
Bu açığın exploit kodu aşağıdaki adreste görülebilir:
Tıklayın
Eweek
----------------------------------------------------------------------------------------------------------------------------------
Tanımlanmamış Trojan Loader
Rastlanma Tarihi: 14-12-2006
Yayılma yöntemi:
Zararlı dosya kariyer.net'ten gelen sahte bir email yoluya yayılmaktadır. Yakalanan örnek sahte e-mail; "[email protected]" adresi ve "selam" subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna bağlı 88.233.33.192 ip'si ile gonderilmiştir.
Mail içeriği de şu şekildedir:
"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..
NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)
iyi calismalar dilegiyle.
Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."
İlgili resime tıklanıldığında; "www.freewebtown.com/nurkarayel/cv-resimlerim.zip" adresinden dosya indirme işlemi yapılmakta, indirilen zip dosyası içerisinde, kendini açan-çalıştırılabilir (self decompress-executable) dosya görüntüsündeki cv.exe dosyası bulunmaktadır.
cv.exe dosyası bir antivirus yazılımlarının halen tanımlayamadığı bir trojan loader olarak çalışmakta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak tanımlanan bir dosyayı yüklemektedir.
smss.exe dosyası keylogger, screen capturer, spyware-trojan loader olarak çalışmaktadır.
İlk çözümleme:
Cv.exe dosyası Borland Delphi ile yazılmış ve içerisine yine Borland Deplhi ile yazılmış smss.exe ve Bitlogic Software firması tarafından eğitim amaçlı açık kaynak kodlu olarak dağıtılan MouseHook.dll dosyaları gizlenmiştir. Dosya ilk kez çalıştırıldığında, "HKEY_LOCAL_MACHINE\Software" registry key'i altına "cupra" Key'i ve bu key'in de altına "checker" key'ini oluşturmakta ve değerini de 1 olarak belirlemektedir. Hemen sonrasında, smss.exe ve mousehook.dll dosyalarını "c:\windows\driver cache\Winapp\AppData\" klasörü altına kopyalamaya çalışmakta ve kopyalama işlemi biter bitmez smss.exe'yi çalıştırmaktadır.
cv.exe dosyası smss.exe'yi çalıştırdıktan hemen sonra "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run" registry key'i içerisine "Winloader" isimli key'i oluşturarak değerini de "C:\WINDOWS\Driver Cache\Winapp\AppData\smss.exe" olarak berlirlemektedir.
smss.exe dosyası tüm tuş basımlarını ve internet explorer üzerindeki mouse'un sol butonuna basılma işlemlerini takip etmektedir.
Bulaşmasının anlaşılması:
- Registry üzerinde oluşturulan kayıtlar izlenerek.
- Dosya sistemi üzerinde oluşturulan dosyalar izlenerek.
Manuel Temizlenmesi ;
smss.exe isimli windows işletim sisteminin "Session Manager Subsystem" olarak adlandırılan bir parçası da vardır ve bu parça kapatılmamalıdır. Ancak zararlı yazılım olan smss.exe'si ile kullandığı bellek miktarı ile ayrılabilir. "Session Manager Subsystem" olan smss.exe dosyası genellikle 100-300 KB civarında hafıza kullanırken zararlı yazılım olan smss.exe çalışma zamanına bağlı olarak çok daha fazla miktarda bellek kullanmaktadır.
Ancak smss.exe ile oluşturulan işlem (process) task manager üzerinden kapatılamamaktadır. Bu nedenle temizlemek için öncelikle registry'deki "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run" içerisindeki smss.exe değerli key silinmelidir. Yakalanan örnekte bu key daima "Winloader" ismindedir.
Daha sonra windows restart edilmeli; ve "c:\windows\driver cache\Winapp\AppData\" klasörü altındaki "smss.exe", "MouseHook.dll", varsa "ioerrors.txt", ve "img" klasörü silinmelidir.
Kaynak; SrLabs
--------------------------------------------------------------------------------------------------------------------------------
Ucla Veri Tabanı Hırsızlığı
Geçen hafta, Kaliforniya Üniversitesinin veritabanına sızıldığının anlaşılmasının ardırdınan FBI olayı araştırmaya başladı.
FBI suçun 800.000 kişiyi etkileyebilceği ihtimali ile IC3'ü bu iş için kullanmaya başladı.
IC3 ( Internet Suç Şikayet Merkezi) , Merkezi bir gelişmiş veritabanı ve ilişkilendirme sistemi kullanarak, daha önce veritananına giren kişilerin bilgilerini takip etme prensibi ile çalışıyor.
IC3'ü 6 yıl önce, FBI ve National White Collar Crime Center (NW3C) ile beraber geşliştirilmiş.
IC3 ekononik ve siber suçlar ile ilgileniyor. IC3 Geçen yıl 231.493 ilişkilendirme yapmış.
UCLA'daki veritabanının çalınmasının ardından, hesapların takibi için her kişinin sisteme şikayet kaydını girmesi gerekiyor.
Böylece bu sisteme giriş yapılan bilgiler kullanılmaya başladığı anda, şüpheli kayıtlar ve kaynakları araştırılıp, esas kaynak bulunabilecek...
IC3 Online Başvuru formu: Burdan..
Kaynak : FBI
-----------------------------------------------------------------------------------------------------------------------
Mozilla Firefox Olta (pishing) Saldırısı Zayıflığı
Firefox'daki açık scriptlerin boş adres çubuğu ile yeni bir sekme açabilmelerinden ve buna içerik ekleyebilmelerinden kaynaklanıyor. Bu açıktan yararlanılarak istenilen değerler girilerek kullanıcılar yanıltılabilir ve olta (phishing) saldırıları yapılabilir.
Açığın 2.0.0.1 sürümünde olduğu rapor edildi fakat diğer sürümler de muhtemelen etkileniyor olabilir.
Çözüm;
Güvenilmeyen sitelere girilmemesi tavsiye ediliyor.
Kaynak; Secunia
Referans; Neohapsis
----------------------------------------------------------------------------------------------------------------------------------
Daha Güncellicem Duyurulur... :clap