SmokeLoader Arka Kapısı (Trojan:Win32/SmokeLoader) Analizi & Açıklaması

Written by Robert Bailey

SmokeLoader, modüler tasarımıyla bilinen karmaşık bir arka kapı kötü amaçlı yazılımdır ve özel sürümlerinde yer alan belirli modüllere bağlı olarak çeşitli kötü niyetli yeteneklere sahiptir. Genellikle suç faaliyetleriyle ilişkilendirilen bu kötü amaçlı yazılım, yazılım güvenlik açıklıklarını sömürme veya kullanıcıları yükünü çalıştırmaya inandırmak için olta tekniklerini kullanma gibi çeşitli yöntemlerle dağıtılır.

Özellikle, SmokeLoader, komut ve kontrol (C2) faaliyetlerini gizlemek için taktikler kullanır ve microsoft.com ve bing.com gibi meşru web sitelerine istekler oluşturur, bu da tespitten kaçınma çabalarına yardımcı olur. Bu sitelerden gelen 404 hata yanıtlarına rağmen, yanıt gövdesi hala kötü amaçlı yazılımın işlemleriyle ilgili veriler içerir. Bu özellikler, SmokeLoader’ın yetkisiz erişim, veri hırsızlığı ve diğer siber suç faaliyetlerini kolaylaştırma etkinliğine katkıda bulunur.

SmokeLoader arka kapısı, spam e-postalar, kötü amaçlı web siteleri veya sosyal mühendislik teknikleri de dahil olmak üzere çeşitli yollarla dağıtılır. Bir sisteme sızdığında kalıcılık oluşturur ve uzaktaki komut ve kontrol sunucularına iletişim kurmaya çalışarak daha fazla talimat alır ve ek kötü amaçlı yazılımı indirir.

Trojan:Win32/SmokeLoader, kötü amaçlı yazılımın sürümüne ve yapılandırmasına bağlı olarak değişebilecek belirli eylemleri gerçekleştirir. SmokeLoader ile ilişkilendirilen yaygın aktiviteler şunlar olabilir:

  • Bankacılık Truva atları, fidye yazılımları veya bilgi hırsızları gibi diğer kötü amaçlı yazılımları indirme ve yükleme.
  • Sistem ayarlarını değiştirme, kalıcılık sağlama ve güvenlik yazılımları tarafından algılanmaktan kaçınma.
  • Giriş kimlik bilgileri, tuş vuruşları veya kişisel veriler gibi hassas bilgileri yakalama.
  • Kendisini güncelleme veya komut ve kontrol sunucularından yeni talimatlar almak.

Trojan:Win32/SmokeLoader, enfekte sistemlerin güvenliğine ve gizliliğine ciddi bir tehdit oluşturur. Güncel bir antivirüs yazılımının kurulu olduğundan ve sisteminizi düzenli olarak kötü amaçlı yazılım belirtileri açısından taradığınızdan emin olmak önemlidir. Ayrıca güvenli gezinme alışkanlıkları edinmek, e-posta eklerine ve indirmelere dikkat etmek, işletim sisteminizi ve uygulamalarınızı güncel tutmak enfeksiyon riskini azaltmaya yardımcı olabilir.

GridinSoft Anti-Malware İncelemesi
Onarmak ve pişman olmak yerine önlem almak daha iyidir!
Bilgisayarınıza yabancı programların müdahalesinden bahsederken, "Önceden uyarılmak önceden hazırlıklı olmaktır" atasözü durumu mümkün olduğunca doğru bir şekilde tanımlar. Gridinsoft Anti-Malware, her zaman işe yarar bir araçtır: hızlı, verimli, güncel. En hafif enfeksiyon şüphesinde bile acil yardım olarak kullanmak uygun olacaktır.
Anti-Malware 6 günlük deneme sürümü mevcuttur.
Kullanım Koşulları | Gizlilik Politikası | 10% Off Coupon
Telegram kanalımıza abone olun ve bilgi güvenliği konusundaki haberlerden ve özel içeriklerimizden ilk siz haberdar olun!

SmokeLoader Açıklaması

SmokeLoader arka kapısı, 2014 yılında ilk kez görüldü – fidye yazılımı döneminin çok başında. Lanse edildikten sonra 8 yıl boyunca faal kalmayı başarabilen birkaç diğer kötü amaçlı yazılım mevcuttur. Bu arka kapının çok sayıda özelliği bulunmaktadır ve bu, eski olmasına rağmen hala güncelliğini korumasını sağlar. Öncelikle son derece küçüktür – yükleme boyutu yalnızca yaklaşık 30 kilobayttır. Bu tür düzenli kötü amaçlı yazılımlar genellikle en az 100 KB, genellikle 150-200 kilobayt dosya boyutuna sahiptir. Bu, onu korunan bir sistemde işlemeyi daha kolay hale getirir, çünkü kötü amaçlı yazılım tespiti için kullanılan bazı YARA kuralları dosya boyutuna dikkat eder.

Smokeloader offer forums

Darknet forumunda SmokeLoader satın alma teklifi

Diğerlerinden ayıran bir başka özellik, C ve Assembly dillerinde yazılmış olmasıdır. İkisi de düşük seviyeli dillerdir, bu da sistem içerisine derinlemesine inme yeteneklerine işaret eder. Bu arka kapının kesin kodu aşırı derecede gizlenmiştir. Bu, anti-malware programlarına karşı etkili bir önlem oldu, ancak günümüzde tespit edilen her türlü gizlilik tehlikeli olarak kabul edilmektedir. Günümüzde, sadece bu kötü amaçlı yazılımın tersine mühendislik işlemini daha zor hale getirir.

Bu arka kapının temel özellikleri, yükleme işlevleri etrafında sarılır, adından da tahmin edebileceğiniz gibi. Büyük çoğunlukla, SmokeLoader enfekte sisteme diğer kötü amaçlı yazılımları teslim etmek için kullanılır. Yine de, bu kötü amaçlı yazılımın yalnızca tek bir amacı değildir – sürekli gelişim, onun bir veri çalma aracı olarak kullanma yeteneğini getirdi. Aynı zamanda botnet dağıtımı için de uygundur – ancak böyle bir kullanımın sadece birkaç örneği vardır. Hâlâ her yıl güncellemeler almaktadır, bu nedenle gelecekteki işlevselliği genişleyebilir.

Arka kapı kötü amaçlı yazılım nedir?

SmokeLoader analizine geçmeden önce, arka kapıların ne olduğuna bir göz atalım. Bu kötü amaçlı yazılım türünün uzun ve dolambaçlı bir hikayesi vardır ve günümüzde bir eminence grise olarak kabul edilir. Arka kapı kötü amaçlı yazılımların temel hedefi, cyber suçlularının hedef bilgisayara uzaktan bağlanabileceği ve mümkün olan her türlü eylemi gerçekleştirebileceği bir yol oluşturmaktır. Bu amaçla, hedeflenen sistemin zafiyetlerini kullanmaktan asla çekinmezler ve sistem içine trojan olarak enjekte ederler.

Arka kapı enfekte edilmiş bilgisayarların temel kullanımı, botnet’e katılmalarıdır. DDoS saldırıları gerçekleştiren, spam e-postalar gönderen ve diğer kötü niyetli aktivitelerde bulunan büyük zombi sistem ağları son on yılda iyi bilinir. Bu amaçla alçaklar otomatik arka kapıları kullanır – minimum komut gerektirenlerden ve kendi başlarına çalışabilirler. Arka kapının diğer uygulaması – tamamen manuel olarak kontrol edilen – veri çalma ve kötü amaçlı yazılım uygulamasıdır. Arka kapı sonraki durumda kötü amaçlı yük için bir lokomotif gibi hareket eder, bu nedenle bazen bir solucan olarak sınıflandırılır.

SmokeLoader teknik analiz

SmokeLoader kötü amaçlı yazılımın ilk paketi sadece temel işlevselliği içerir – enfekte olmuş bilgisayara uzaktan bağlantı sağlama. Veri çalma, işlem izleme, DDoS modülü vb. sonradan yüklenmelidir. Genel olarak, tersine mühendislik, SmokeLoader’ın aynı anda işleyebileceği 9 farklı modül olduğunu göstermektedir.

Modül Adıİşlevsellik
Form YakalayıcıAçık pencerelerdeki formları izleyerek kimlik bilgilerini yakalar
Parola SnifferGelen ve giden internet paketlerini izleyerek kimlik bilgilerini ele geçirir
Sahte DNSDNS isteğini sahtecilik için kullanır. Trafik yönlendirmesini istediğiniz siteye yönlendirir
KeyloggerEnfekte ortamda tüm tuş vuruşlarını kaydeder
Procmonİşlem izleme modülü, sistemde çalışan işlemleri kaydeder
Dosya AramaDosya arama aracı
Email YakalayıcıMicrosoft Outlook adres defterini ele geçirir
Uzak PCTeamViewer gibi uzak erişim araçlarına benzer şekilde uzaktan kontrol kurma yeteneği
DDoSEnfekte PC’nin belirtilen sunucuya DDoS saldırılarına katılmasını sağlar

Bu kötü amaçlı yazılımın yükü her zaman benzersiz bir şekilde paketlenmiş olarak gelir. Tek bir örnek küçük bir kullanıcı grubu tarafından kullanılır, bu nedenle gerçek dünyada aynı örnekleri bulmak o kadar da kolay değildir. Yine de, bu teknoloji yeni bir şey değil – çoğu kötü amaçlı yazılım aynı şeyi yapar ve bazıları her saldırı için benzersiz bir şekilde paketlenmiş bir örnek bile oluşturur. Üstelik, başlangıçta paketlemenin üzerine, enjeksiyondan önce ek bir sıkıştırma veya şifreleme yapma gerekliliği vardır. İşte tam olarak, diğer anti-tespit önlemleri zinciri budur.

Hedef sisteme tamamen paketlenmiş SmokeLoader örneği ulaşır – bu diskte olan şeydir. Tüm sonraki aşamalar sistem belleğinde yürütülür, bu nedenle geleneksel anti-kötü amaçlı yazılım yazılımlarıyla yapılan taramalar yalnızca derinlemesine paketlenmiş bir örnek tespit edecektir. SmokeLoader yürütmesinin ilk aşaması, saldırılan sistemin konumunu önemli bir şekilde kontrol eder. Bu kötü amaçlı yazılım, enjeksiyondan önce yaptığınız ayarlara bakılmaksızın Bağımsız Devletler Topluluğu’nda çalıştırılamaz. Diğer kontroller arasında sanal makineleri tarama ve kum havuzu tespiti yer alır. Eğer tüm şartlar sağlanırsa, kötü amaçlı yazılım tamamen açılır ve normal şekilde başlatılır.

Çalışırken, SmokeLoader oldukça benzersiz bir obfuscation tekniği uygular. Kodunun neredeyse %80’i yürütme süresinin tamamında şifrelenmiş olarak tutulur. Başka bir işlevi kullanması gerektiğinde, önceki elemanı şifre çözerken aynı elemanı şifreler. YARA kuralları ve klasik tersine mühendislik, bu tür bir hileye karşı nearly useless hale gelir. 32 bit ve 64 bit yükleri önceden belirlenen başlangıç aşamasından son yürütme aşamasına kadar olan kontrolden sonra ilgili mimarilerdeki sistemlere yüklenir.

Encryption and obfuscation SmokeLoader

SmokeLoader’daki kod şifrelemesi

SmokeLoader’ı yürütürken bellekte tutulan kesin dosya, geçerli bir yürütülebilir dosya değildir, çünkü PE başlığı eksiktir. Aslında, backdoor’ın kodu bir kabuk kodu olarak temsil edilir – bu nedenle manuel olarak yürütülmesi gerekmektedir. Genellikle SmokeLoader tarafından yürütülen rutin komutlar, C&C’ye çağrılar veya indirmeler gibi işlemler DLL enjeksiyonları aracılığıyla yapılır. Açıkça, bunun gizliliği korumak için gereklidir. Bu adım genellikle, başka bir programın adıyla yapılan DLL enjeksiyonunu veya konsol çağrılarını içerir. SmokeLoader’ı yöneten hackerlar, yüklemek istedikleri kötü amaçlı yazılımın .exe dosyasını gönderebilir ve backdoor’ın bu dosyayı alabileceği URL’yi belirtebilirler.

Smokeloader header analysis

SmokeLoader .exe dosyasının başlığı yok – geçerli bir yürütülebilir dosya değil

Trojan:Win32/SmokeLoader Tespiti Nedir?

Sağ alt köşede görebileceğiniz Trojan:Win32/SmokeLoader tespiti, size Microsoft Defender tarafından gösteriliyor. Bu anti-kötü amaçlı yazılım programı oldukça iyi tarama yapabilir, ancak temelde güvenilmez olma eğilimindedir. Kötü amaçlı yazılım saldırılarına karşı savunmasızdır ve sorunlu bir kullanıcı arayüzüne ve hatalı kötü amaçlı yazılım kaldırma özelliklerine sahiptir. Bu nedenle, SmokeLoader ile ilgili çıkan pencere, muhtemelen Defender’ın bunu tespit ettiğine dair bir bildirimdir. Onu kaldırmak için başka bir anti-kötü amaçlı yazılım programı kullanmanız gerekebilir.

Trojan:Win32/SmokeLoader found

Microsoft Defender: “Trojan:Win32/SmokeLoader”

Kesin Trojan:Win32/SmokeLoader kötü amaçlı yazılımı oldukça hoş olmayan bir şeydir. Bu kötü amaçlı yazılım, uzaktan erişim aracı olarak çalışan gizli bir hırsız oluşturmak için yapılmıştır. Birine isteyerek uzaktan erişim verdiğinizde sorun yoktur, ancak SmokeLoader sizden izin istemez. Bilgisayarınıza bağlandıktan sonra suçlular, istediklerini yapmakta özgürdürler – dosyalarınızı çalmak, mesajlarınıza göz atmak, kişisel verileri toplamak vb. Kötü amaçlı yazılımlar genellikle ek bir veri hırsızı getirir – sizin hakkınızda mevcut tüm bilgileri toplamak için yapılmış bir virüs. Ancak, arka kapıların çok daha yaygın bir kullanımı botnet oluşturmaktır. Bundan sonra, enfekte olmuş bilgisayarların ağı, çeşitli web sitelerinde DDoS saldırıları gerçekleştirmek veya oy sonuçlarını şişirmek için kullanılabilir.

Arka Kapı Özeti:

AdıSmokeLoader Arka Kapı
TespitTrojan:Win32/SmokeLoader
HasarÇeşitli kötü amaçlı işlemleri gerçekleştirmek için işletim sistemine erişim sağlar.
BenzerMsil Androme, Lotok, Quasarrat, Asyncrat, Msil Dcrat, Rewritehttp, Msil Darkcommet
Düzeltme AracıSisteminizin SmokeLoader arka kapı tarafından etkilenip etkilenmediğini görün

SmokeLoader Arka Kapı’nın Özel Özellikleri

  • İkilik muhtemelen şifrelenmiş veya sıkıştırılmış veri içerir. Bu durumda, şifreleme, virüs kodunu antivirüslerden ve virüs analistlerinden gizlemenin bir yoludur.
  • Yürütülebilir dosya UPX kullanılarak sıkıştırılmıştır;
  • Anormal ikili özellikler. Bu, virüs kodunu antivirüslerden ve virüs analistlerinden gizlemenin bir yoludur.
Tespit Adları
GridinSoftTrojan.Ransom.Gen
Elasticmalicious (high confidence)
DrWebTrojan.Siggen8.17135
MicroWorld-eScanTrojan.Agent.EEGO
FireEyeGeneric.mg.0f426649f19c07fd
McAfeeArtemis!0F426649F19C
CylanceUnsafe
SangforMalware
K7AntiVirusTrojan ( 005582711 )
BitDefenderTrojan.Agent.EEGO
K7GWTrojan ( 005582711 )
Cybereasonmalicious.9f19c0
TrendMicroRansom.Win64.PORNOASSET.SM1.hp
BitDefenderThetaGen:NN.ZedlaF.34590.mu4@au9HqIoi
CyrenW32/S-d757aa55!Eldorado
SymantecMeterpreter
TrendMicro-HouseCallRansom.Win64.PORNOASSET.SM1.hp
AvastWin32:Miner-DM [Trj]
ClamAVWin.Trojan.CobaltStrike-8091534-0
KasperskyHEUR:Trojan.Win32.Cometer.gen
NANO-AntivirusTrojan.Win32.Cometer.eqcglk
TencentMalware.Win32.Gencirc.10b0cd02
Ad-AwareTrojan.Agent.EEGO
SophosMal/Swrort-Y
F-SecureTrojan.TR/Crypt.XPACK.Gen
ZillyaTrojan.PornoAssetGen.Win32.1
InvinceaML/PE-A
McAfee-GW-EditionBehavesLike.Win64.BadFile.rc
EmsisoftTrojan.Agent.EEGO (B)
IkarusTrojan-Spy.Agent
JiangminTrojan.PornoAsset.gbu
eGambitTrojan.Generic
AviraTR/Crypt.XPACK.Gen
Antiy-AVLTrojan[Banker]/Win32.Emotet
MicrosoftTrojan:Win32/SmokeLoader
GridinsoftTrojan.Keylogger.B.sd!yf
ArcabitTrojan.Agent.EEGO
ZoneAlarmHEUR:Trojan.Win32.Cometer.gen
GDataTrojan.Agent.EEGO
CynetMalicious (score: 100)
AhnLab-V3Trojan/Win64.Kryptik.R291657
Acronissuspicious
VBA32Trojan.Cometer
ALYacTrojan.Agent.EEGO
MAXmalware (ai score=83)
MalwarebytesRansom.FileCryptor
APEXMalicious
ESET-NOD32a variant of Win64/Filecoder.A
RisingBackdoor.CobaltStrike!1.CEA8 (CLASSIC)
YandexTrojan.GenAsa!ljywjnZY6TE
FortinetW64/ReposFxg.F!tr
AVGWin32:Miner-DM [Trj]
Kısaca Arka Kapılar Hakkında

Arka kapılar, hem ayrı hem de entegre formlarda edinilebilen virüslerdir. Ünlü bir geliştiriciden olan bir meşru programın, birinin bilgisayarınıza bağlanmasını sağlayan bir yeteneğe sahip olduğunu keşfedebilirsiniz. Bu kişi programın geliştiricilerinden mi yoksa üçüncü bir kişi mi olduğunu kimse bilemez. Ancak, bu ayrıntının meşru bir programda bulunduğu ortaya çıktığında oluşan skandal muhtemelen gözden kaçmaz. Ayrıca, Intel CPU’larında donanım tabanlı bir arka kapı olduğuna dair dedikodular da bulunmaktadır.

Trojan:Win32/SmokeLoader Tehlikeli mi?

Daha önce belirttiğim gibi, zararsız kötü amaçlı yazılım yoktur. Ve Trojan:Win32/SmokeLoader da bir istisna değil. Bu arka kapı, tanıtıldıktan hemen sonra çok fazla zarar vermez. Ancak, rastgele bir forum veya web sayfasına rastladığınızda ve IP adresinizin bir DDoS saldırısı nedeniyle yasaklandığını gördüğünüzde oldukça kötü bir sürpriz olabilir. Ancak, bu sizin için önemli değilse bile – başkalarının kolayca bilgisayarınıza erişebileceğini, sohbetlerinizi okuyabileceğini, belgelerinizi açabileceğini ve ne yaptığınızı izleyebileceğinizi bilmek hiç olumlu bir durum değil, değil mi?

Genellikle Trojan:Win32/SmokeLoader virüsüne ek olarak bulunan casus yazılım, en hızlı şekilde kaldırmanız gereken bir başka neden olabilir. Günümüzde kullanıcı bilgileri son derece değerli olduğunda, hırsızlara böyle bir şans vermek oldukça aptalca olur. Casus yazılım, finansal bilgilerinizi bir şekilde çalmayı başarırsa daha da kötüdür. Birikim hesabınızdaki sıfırı görmek benim görüşüme göre en kötü kabus.

SmokeLoader Malware’in Yayılması

SmokeLoader’ın ana yayılma yöntemleri eposta spamı, korsan yazılım ve keygenler temeline dayanmaktadır. İlk yöntem yaygındır, çünkü daha kolay ve hala oldukça etkilidir. Bu durumda, kötü amaçlı e-posta ekine gizlenir – genellikle bir MS Word veya MS Excel dosyası. Bu dosya makrolar içerir ve makroların çalıştırılmasına izin verirseniz, bir komut sunucusuna bağlanır ve yükü alır (aslında sadece bir SmokeBot). Bununla birlikte, analistler SmokeLoader’ın genellikle böyle bir iletiye eklenen kötü amaçlı bağlantı aracılığıyla geldiğini söylüyor. Bağlantıdaki site, bir açık içerebilir, özellikle bir çapraz-site betik enjeksiyonu tekniği.

Email spam

E-posta spam örneği. Dosya kötü amaçlı makro içeriyor

Kısaca Arka Kapılar Hakkında

Arka kapılar, hem ayrı hem de entegre formlarda edinilebilen virüslerdir. Ünlü bir geliştiriciden olan bir meşru programın, birinin bilgisayarınıza bağlanmasını sağlayan bir yeteneğe sahip olduğunu keşfedebilirsiniz. Bu kişi programın geliştiricilerinden mi yoksa üçüncü bir kişi mi olduğunu kimse bilemez. Ancak, bu ayrıntının meşru bir programda bulunduğu ortaya çıktığında oluşan skandal muhtemelen gözden kaçmaz. Ayrıca, Intel CPU’larında donanım tabanlı bir arka kapı olduğuna dair dedikodular da bulunmaktadır.

Trojan:Win32/SmokeLoader Tehlikeli mi?

Daha önce belirttiğim gibi, zararsız kötü amaçlı yazılım yoktur. Ve Trojan:Win32/SmokeLoader da bir istisna değil. Bu arka kapı, tanıtıldıktan hemen sonra çok fazla zarar vermez. Ancak, rastgele bir forum veya web sayfasına rastladığınızda ve IP adresinizin bir DDoS saldırısı nedeniyle yasaklandığını gördüğünüzde oldukça kötü bir sürpriz olabilir. Ancak, bu sizin için önemli değilse bile – başkalarının kolayca bilgisayarınıza erişebileceğini, sohbetlerinizi okuyabileceğini, belgelerinizi açabileceğini ve ne yaptığınızı izleyebileceğinizi bilmek hiç olumlu bir durum değil, değil mi?

Genellikle Trojan:Win32/SmokeLoader virüsüne ek olarak bulunan casus yazılım, en hızlı şekilde kaldırmanız gereken bir başka neden olabilir. Günümüzde kullanıcı bilgileri son derece değerli olduğunda, hırsızlara böyle bir şans vermek oldukça aptalca olur. Casus yazılım, finansal bilgilerinizi bir şekilde çalmayı başarırsa daha da kötüdür. Birikim hesabınızdaki sıfırı görmek benim görüşüme göre en kötü kabus.

SmokeLoader Malware’in Yayılması

SmokeLoader’ın ana yayılma yöntemleri eposta spamı, korsan yazılım ve keygenler temeline dayanmaktadır. İlk yöntem yaygındır, çünkü daha kolay ve hala oldukça etkilidir. Bu durumda, kötü amaçlı e-posta ekine gizlenir – genellikle bir MS Word veya MS Excel dosyası. Bu dosya makrolar içerir ve makroların çalıştırılmasına izin verirseniz, bir komut sunucusuna bağlanır ve yükü alır (aslında sadece bir SmokeBot). Bununla birlikte, analistler SmokeLoader’ın genellikle böyle bir iletiye eklenen kötü amaçlı bağlantı aracılığıyla geldiğini söylüyor. Bağlantıdaki site, bir açık içerebilir, özellikle bir çapraz-site betik enjeksiyonu tekniği.

Email spam

E-posta spam örneği. Dosya kötü amaçlı makro içeriyor

Kısaca Arka Kapılar Hakkında

Arka kapılar, hem ayrı hem de entegre formlarda edinilebilen virüslerdir. Ünlü bir geliştiriciden olan bir meşru programın, birinin bilgisayarınıza bağlanmasını sağlayan bir yeteneğe sahip olduğunu keşfedebilirsiniz. Bu kişi programın geliştiricilerinden mi yoksa üçüncü bir kişi mi olduğunu kimse bilemez. Ancak, bu ayrıntının meşru bir programda bulunduğu ortaya çıktığında oluşan skandal muhtemelen gözden kaçmaz. Ayrıca, Intel CPU’larında donanım tabanlı bir arka kapı olduğuna dair dedikodular da bulunmaktadır.

Trojan:Win32/SmokeLoader Tehlikeli mi?

Daha önce belirttiğim gibi, zararsız kötü amaçlı yazılım yoktur. Ve Trojan:Win32/SmokeLoader da bir istisna değil. Bu arka kapı, tanıtıldıktan hemen sonra çok fazla zarar vermez. Ancak, rastgele bir forum veya web sayfasına rastladığınızda ve IP adresinizin bir DDoS saldırısı nedeniyle yasaklandığını gördüğünüzde oldukça kötü bir sürpriz olabilir. Ancak, bu sizin için önemli değilse bile – başkalarının kolayca bilgisayarınıza erişebileceğini, sohbetlerinizi okuyabileceğini, belgelerinizi açabileceğini ve ne yaptığınızı izleyebileceğinizi bilmek hiç olumlu bir durum değil, değil mi?

Genellikle Trojan:Win32/SmokeLoader virüsüne ek olarak bulunan casus yazılım, en hızlı şekilde kaldırmanız gereken bir başka neden olabilir. Günümüzde kullanıcı bilgileri son derece değerli olduğunda, hırsızlara böyle bir şans vermek oldukça aptalca olur. Casus yazılım, finansal bilgilerinizi bir şekilde çalmayı başarırsa daha da kötüdür. Birikim hesabınızdaki sıfırı görmek benim görüşüme göre en kötü kabus.

SmokeLoader Malware’in Yayılması

SmokeLoader’ın ana yayılma yöntemleri eposta spamı, korsan yazılım ve keygenler temeline dayanmaktadır. İlk yöntem yaygındır, çünkü daha kolay ve hala oldukça etkilidir. Bu durumda, kötü amaçlı e-posta ekine gizlenir – genellikle bir MS Word veya MS Excel dosyası. Bu dosya makrolar içerir ve makroların çalıştırılmasına izin verirseniz, bir komut sunucusuna bağlanır ve yükü alır (aslında sadece bir SmokeBot). Bununla birlikte, analistler SmokeLoader’ın genellikle böyle bir iletiye eklenen kötü amaçlı bağlantı aracılığıyla geldiğini söylüyor. Bağlantıdaki site, bir açık içerebilir, özellikle bir çapraz-site betik enjeksiyonu tekniği.

Email spam

E-posta spam örneği. Dosya kötü amaçlı makro içeriyor

Sending
User Review
5 (1 vote)
Comments Rating 0 (0 reviews)

İngilizce Almanca Japonca İspanyolca Portekizce, Brezilya Fransızca Klasik Çince Kore dili Endonezya dili Hintçe İtalyanca

About the author

Robert Bailey

I'm Robert Bailey, a passionate Security Engineer with a deep fascination for all things related to malware, reverse engineering, and white hat ethical hacking.

As a white hat hacker, I firmly believe in the power of ethical hacking to bolster security measures. By identifying vulnerabilities and providing solutions, I contribute to the proactive defense of digital infrastructures.

Leave a Reply

Sending