Son zamanların en akıllı virüs bulaştırma yönteminden birisiyle dün kendi sistemimde karşılaştım. İlk bakışta Turkcell, Vodafone ve Teb adreslerini kullanarak kullanıcılara mail gelmektedir;
Bilgisayarlarınız 8000 portunu açarak, başka kişilerin ataklarına ( zombies attacks) yardımcı olacak bir kurban haline gelmektedir. Bilgisayarlarda regedit, msconfig ve users gibi yerlere kendini saklayarak sisteminizde gizlenmektedir.
Turkcell ‘den gelen; ” Fatura bildirimi”, Vodafone üzerinden; “Vodafone mms message” başlıkları adı altında mailer gelmektedir, normal bildirimlerden farklı olarak bu mailde bir winrar ( rar ) dosyası bulunmaktadır. Aslında bu tip firmalar faturalarını pdf olarak gönderim yapmaktadırlar ama başlıktan yola çıkarak bunu kullanıcılarımız gözardı edebilirler.
Etkili olduğu işletim sistemleri ;windows server 2008 ve sürümleri,windows server 2003 ve daha düşük sürümleri, Windows 7,Vista, XP gibi sürümlerde etkili olmaktadır. Windows server 2012 ve Windows 8 içerisinde etkili olmamaktadır.
Turkcell tarafından gelen maili bu makalemizde inceleyeceğiz;
Virüslü gelen mailin ayrıntıları
Received: from 89-119-150-34-static.albacom.net (89.119.150.34) by
*.beypilic.com.tr (10.1.1.11) with Microsoft SMTP Server id 14.0.639.21; Wed,
19 Dec 2012 11:25:45 +0200
Received: from mx9.mailcell1.turkcell.com.tr ([86.108.130.39]) by
ip226.226.onofis.com (IceWarp 9.3.1) with ESMTP id PBL79646 for
<ahmetyalabik@beypilic.com.tr>; Wed, 19 Dec 2012 10:35:35 +0100
Received: from EUROMAIL05 (10.210.142.107) by mx9.mailcell1.turkcell.com.tr id
hnthgm1h198s for <ahmetyalabik@beypilic.com.tr>; Wed, 19 Dec 2012 10:35:35 +0100
(envelope-from <turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>)
Date: Wed, 19 Dec 2012 10:35:35 +0100
Message-ID: <B4LV2I54OT08DL532T32CIF9QCNXIQUM@euromsg.net>
Subject: Fatura Bildirimi
From: Turkcell Kurumsal Tahsilat
<turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>
To: <ahmetyalabik@beypilic.com.tr>
X-Priority: 3
Content-Type: multipart/mixed; boundary=”—-=a__fclfriqrl_16_71_90″
MIME-Version: 1.0
Return-Path: loitering37@ato.gov.au
X-MS-Exchange-Organization-AuthSource: mail.beypilic.com.tr
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: haberdaret.turkcell.com.tr
X-MS-Exchange-Organization-SenderIdResult: PermError
Received-SPF: PermError (mail.beypilic.com.tr: domain of
turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr used an invalid SPF
mechanism)
X-ESET-AS: SCORE=84
X-MS-Exchange-Organization-SCL: 8
X-EsetResult: clean, is OK
X-EsetId: 7BEA4A3C43643C322EAB1B
Turkcell in attığı gerçek mailin ayrıntıları
Received: from mx9.mailcell1.turkcell.com.tr (86.108.130.39) *.beypilic.com.trEmail (10.1.1.11) with Microsoft SMTP Server id 14.0.639.21; Sat,
15 Dec 2012 11:57:23 +0200
Received: from EUROMAIL05 (10.210.142.107) by mx9.mailcell1.turkcell.com.tr id
hph5t41h198l for <ahmetyalabik@beypilic.com.tr>; Sat, 15 Dec 2012 12:07:14 +0200
(envelope-from <turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>)
Date: Sat, 15 Dec 2012 12:07:14 +0200
X-Priority: 3 (Normal)
Subject: =?iso-8859-9?Q?Bor=E7_Bildirimi?=
To: <ahmetyalabik@beypilic.com.tr>
From: Turkcell Kurumsal Tahsilat
<turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>
Reply-To: <noreply@haberdaret.turkcell.com.tr>
MIME-Version: 1.0
X-EMID: C89842368CC24E0BADD1DBE0923C66AA
X-EM-SYSTEM: livea
X-EM-CAMP: FA93D3EDF78147C3934AFA8E5D1EE774
Message-ID: <C89842368CC24E0BADD1DBE0923C66AA@euromsg.net>
List-Unsubscribe: <http://www.euromsg.com>,
<mailto:jmr@turkcell.com.tr?subject=C89842368CC24E0BADD1DBE0923C66AA>;
Content-Type: multipart/mixed;
boundary=”————080102000201000308030506″
Return-Path: turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr
X-MS-Exchange-Organization-AuthSource: mail.beypilic.com.tr
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: haberdaret.turkcell.com.tr
X-MS-Exchange-Organization-SenderIdResult: PermError
Received-SPF: PermError (*beypilic.com.tr: domain of
turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr used an invalid SPF
mechanism)
X-ESET-AS: SCORE=1
X-MS-Exchange-Organization-SCL: 0
X-EsetResult: clean, is OK
X-EsetId: 7BEA4A3C43643C322EAD15
Resim-1
Gelen zip dosyasını malwareantibytes isimli virüs programıyla tarattığımızda ise ;
Resim-2
Nod32 Uyarı Ekranı:
Resim-3
Msconfig ekran görüntüsü
Resim-4
Önlem olarak firewall cihazlarınızda :” ato.gov.au ” adresini engelleyerek sistemlerinize bu tip mailin ulaşmasını engelleyebilirsiniz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar