Son zamanların en akıllı virüs bulaştırma yönteminden birisiyle dün kendi sistemimde karşılaştım. İlk bakışta Turkcell, Vodafone ve Teb adreslerini kullanarak kullanıcılara mail gelmektedir;
Bilgisayarlarınız 8000 portunu açarak, başka kişilerin ataklarına ( zombies attacks) yardımcı olacak bir kurban haline gelmektedir. Bilgisayarlarda regedit, msconfig ve users gibi yerlere kendini saklayarak sisteminizde gizlenmektedir.
Turkcell ‘den gelen; ” Fatura bildirimi”, Vodafone üzerinden; “Vodafone mms message” başlıkları adı altında mailer gelmektedir, normal bildirimlerden farklı olarak bu mailde bir winrar ( rar ) dosyası bulunmaktadır. Aslında bu tip firmalar faturalarını pdf olarak gönderim yapmaktadırlar ama başlıktan yola çıkarak bunu kullanıcılarımız gözardı edebilirler.
Etkili olduğu işletim sistemleri ;windows server 2008 ve sürümleri,windows server 2003 ve daha düşük sürümleri, Windows 7,Vista, XP gibi sürümlerde etkili olmaktadır. Windows server 2012 ve Windows 8 içerisinde etkili olmamaktadır.
Turkcell tarafından gelen maili bu makalemizde inceleyeceğiz;
Virüslü gelen mailin ayrıntıları
Received: from 89-119-150-34-static.albacom.net (89.119.150.34) by
*.beypilic.com.tr (10.1.1.11) with Microsoft SMTP Server id 14.0.639.21; Wed,
19 Dec 2012 11:25:45 +0200
Received: from mx9.mailcell1.turkcell.com.tr ([86.108.130.39]) by
ip226.226.onofis.com (IceWarp 9.3.1) with ESMTP id PBL79646 for
<ahmetyalabik@beypilic.com.tr>; Wed, 19 Dec 2012 10:35:35 +0100
Received: from EUROMAIL05 (10.210.142.107) by mx9.mailcell1.turkcell.com.tr id
hnthgm1h198s for <ahmetyalabik@beypilic.com.tr>; Wed, 19 Dec 2012 10:35:35 +0100
(envelope-from <turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>)
Date: Wed, 19 Dec 2012 10:35:35 +0100
Message-ID: <B4LV2I54OT08DL532T32CIF9QCNXIQUM@euromsg.net>
Subject: Fatura Bildirimi
From: Turkcell Kurumsal Tahsilat
<turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>
To: <ahmetyalabik@beypilic.com.tr>
X-Priority: 3
Content-Type: multipart/mixed; boundary=”—-=a__fclfriqrl_16_71_90″
MIME-Version: 1.0
Return-Path: loitering37@ato.gov.au
X-MS-Exchange-Organization-AuthSource: mail.beypilic.com.tr
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: haberdaret.turkcell.com.tr
X-MS-Exchange-Organization-SenderIdResult: PermError
Received-SPF: PermError (mail.beypilic.com.tr: domain of
turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr used an invalid SPF
mechanism)
X-ESET-AS: SCORE=84
X-MS-Exchange-Organization-SCL: 8
X-EsetResult: clean, is OK
X-EsetId: 7BEA4A3C43643C322EAB1B
Turkcell in attığı gerçek mailin ayrıntıları
Received: from mx9.mailcell1.turkcell.com.tr (86.108.130.39) *.beypilic.com.trEmail (10.1.1.11) with Microsoft SMTP Server id 14.0.639.21; Sat,
15 Dec 2012 11:57:23 +0200
Received: from EUROMAIL05 (10.210.142.107) by mx9.mailcell1.turkcell.com.tr id
hph5t41h198l for <ahmetyalabik@beypilic.com.tr>; Sat, 15 Dec 2012 12:07:14 +0200
(envelope-from <turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>)
Date: Sat, 15 Dec 2012 12:07:14 +0200
X-Priority: 3 (Normal)
Subject: =?iso-8859-9?Q?Bor=E7_Bildirimi?=
To: <ahmetyalabik@beypilic.com.tr>
From: Turkcell Kurumsal Tahsilat
<turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>
Reply-To: <noreply@haberdaret.turkcell.com.tr>
MIME-Version: 1.0
X-EMID: C89842368CC24E0BADD1DBE0923C66AA
X-EM-SYSTEM: livea
X-EM-CAMP: FA93D3EDF78147C3934AFA8E5D1EE774
Message-ID: <C89842368CC24E0BADD1DBE0923C66AA@euromsg.net>
List-Unsubscribe: <http://www.euromsg.com>,
<mailto:jmr@turkcell.com.tr?subject=C89842368CC24E0BADD1DBE0923C66AA>;
Content-Type: multipart/mixed;
boundary=”————080102000201000308030506″
Return-Path: turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr
X-MS-Exchange-Organization-AuthSource: mail.beypilic.com.tr
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: haberdaret.turkcell.com.tr
X-MS-Exchange-Organization-SenderIdResult: PermError
Received-SPF: PermError (*beypilic.com.tr: domain of
turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr used an invalid SPF
mechanism)
X-ESET-AS: SCORE=1
X-MS-Exchange-Organization-SCL: 0
X-EsetResult: clean, is OK
X-EsetId: 7BEA4A3C43643C322EAD15
Resim-1
Gelen zip dosyasını malwareantibytes isimli virüs programıyla tarattığımızda ise ;
Resim-2
Nod32 Uyarı Ekranı:
Resim-3
Msconfig ekran görüntüsü
Resim-4
Önlem olarak firewall cihazlarınızda :” ato.gov.au ” adresini engelleyerek sistemlerinize bu tip mailin ulaşmasını engelleyebilirsiniz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Merhabalar
öncelikle konu çok güzel ama aklıma takılan bir şey var. ” ato.gov.au ” adresini yasakladığımda firewalldan gelen bütün otomatik gönderim postalarını mı yasaklayacak yoksa bu virüs içeren mailler mi yasaklayacak ?
Rica ederiz Kenan bey,