Geçtiğimiz ay, kendisini gizlemek için 10 sene öncesinin tekniğini kullanan yeni tip bir truva çıktı.

Symantec tarafından Trojan.Mebroot olarak adlandırılan kötü amaçlı yazılım bilgisayar açıldığında çalışmak için kendisini hard disk sürücünün ilk bölümüne yazıyor ve windows kernel'inde değişiklik yapıyor.

Saldırganlar, Master boot record (MBR) rootkit'i olarak bilinen bu truvayı aralığın ortasından beri kuruyorlar. VeriSign'ın iDefense Intelligence takımına göre 12 ve 19 aralıkta yapılan iki saldırıda yaklaşık 5000 bilgisayara bulaştırılmış. Yazılımı hedef bilgisayara kurmak için saldırganlar önce hack edilmiş bir web sitesine çekiyorlar ve buradan rootkit kodunu çalıştırmak için çeşitli saldırılar başlatıyorlar.

Kurulduktan sonra tüm kontrol saldırganların eline geçiyor.

Bu rootkit'i yazan grubun Torpig truvasını yazanla aynı ve 250,000 truva programı kurduklarına inanılıyor.

Trojan.Mebroot'un ilginç olan yanı kendisini MBR'ye yazması. Burası bilgisayar hard disk'inin ilk sektörü ve bilgisayarın işletim sistemini başlatmak için ilk baktığı yer. Symantec araştırmacısı Elie Florio "Eğer MBR'yi kontrol edebilirseniz, işletim sistemini ve çalıştığı bilgisayarı kontrol edebilirsiniz" diyor.

iDefense truva'nın çok çeşitli sürümlerinin kullanıldığını ve bunlardan bazılarının henüz antivirüs yazılımları tarafından yakalanmadığını belirtiyor.

Kaynak: http://www.networkworld.com/news/2008/010908-new-rootkit-uses-old-trick.html?page=2

İngiliz gizli servisi şefi firmaları Çin'den gelebilecek olan bir trojana karşı uyardı...

İngiliz gizli servisi MI5'in şefi Jonathan Evans firmaları Çin'den gelebilecek olan bir trojana karşı uyardı.

Londoner Times'ın bildirdiğine göre Evans, 300 firmaya bir mektup yolladı. Bu mektupta Çin trojanın nasıl tanımlanabileceğine dair açıklamalar bulunuyordu.

Çin ordusu için çalışan hackerler Federal Almanya Başbakanlığına, Pentagon'a ve İngiliz Parlamentosuna yapılan saldırılardan sorumlu tutuluyor.

Microsoft dün yayınladığı Aralık 2007 güvenlik bülteninde 7 güncelleme yayınladı. Bunlardan üçü kritik diğerleri önemli olarak seviyelendirildi. Kullanıcıların yeni çıkan yamaları sistemlerine kurmaları gerekiyor.Microsoft Update

MS07-063

SMBv2 uzaktan kod çalıştırma açığı sadece Windows Vista kullanıcılarını etkiliyor. SMBv2'de veri transferindeki bir hata, domain konfigürasyonu haberleşmesinde uzaktan kod çalıştırılabilmesine izin veriyor.

MS07-064

DirectX güvenlik açığı uzaktan kod çalıştırılabilmesine izin veriyor. Windows 2000, 2003, XP ve Vista sistemlerdeki DirectX 7.0'dan 10.0'a kadar olan sürümleri etkiliyor.

MS07-065

Mesaj Queue işlemindeki açık uzaktan kod çalıştırmaya izin veriyor. Açık Windows Server 2000, Windows 2000 ve Windows XP SP2 sistemlerini etkiliyor, Windows XP Professional x64, Windows Server 2003 ve Vista'yı etkilemiyor.

MS07-066

Windows Kernel'indeki açık imtiyazların yükseltilebilmesine izin veriyor. Açık Windows Vista kullanıcılarını etkiliyor, Windows 2000, Windows Server 2003 ve XP kullanıcıları etkilenmiyor.

MS07-067

Macrovision sürücüsündeki açık imtiyazların yükseltilebilmesine izin veriyor. Açık XP SP2 ve Windows Server 2003 sistemlerini etkiliyor, Windows 2000 veya Vista kullanıcıları etkilenmiyor.

MS07-068

Windows Medya Dosya Formatı güvenlik açığı uzaktan kod çalıştırılabilmesine izin veriyor. Açık Windows Media 7.1, 9, 9.1, 9.5 ve 11 sürümlerini kullanan Windows 2000, Windows XP SP2, Windows Server 2003 ve Windows Vista sistemlerini etkiliyor.

MS07-069

Internet Explorer için toplu yama. Bu yama ile Windows 2000, Windows Server 2003, Windows XP SP2 ve Vista sistemlerinde IE 5.1, 6 ve 7 çalıştıran sistemler için gerekli. Güncelleme 4 güvenlik açığını kapatıyor.

Kaynak:www.news.com

Cross-site kodlama açığı kullanıldığında pek çok sitenin phishing sızmaları için hazır hale geldiğini açıklayan NIST.org, detayları da verdi. Açık, HTML veya JavaScript içeren arama sonuçlarında, hacker'lara hem arama cihazını hem de Google mini handle'ın bazı özel karakterleri işleme şekli kullanılarak, sitelerin kullanılması mümkün hale geliyor. Gartner analisti John Pescatore "Saldırıları kolaylaştırıyor. Artık kurbanların sahte bir web sitesi ile kandırılmasına (phished) gerek kalmıyor. Yasal bir site üzerinden işlem yapılabiliyor" diyor ve ekliyor "Çoğu yola göre bu en tehlikelisi çünkü anlaşılması zor". Açık, Google aracında geçen yıl bulunan başka bir açıkla aynı yolu izliyor. Google sözcüsü, açığı 22 kasımda güvenlik grubu CERT'den öğrendiklerini ve müşterilerine aynı gün bu sorunu nasıl çözebilecekleri konusunda bilgi verdiklerini söyledi. Google risk hakkında genel açıklama yapmazken, sadece müşteri grubuna bilgi verdi. Bunun nedenini Pescatore, Google araç ve mini handle'larının müşteri kitlesinin daha kısıtlı sayıda olmasına bağlıyor. NIST sitesinin yöneticisi John Herron, Google'un hızlı hareket etmesini övgü ile karşıladı. Herron "Çoğu firma KOBİ türü müşterilerinin sorunları ve bu firmalar için tasarlanmış cihazlardaki açıkları yamamak için uğraşmıyor bile ama Google çok hızlı davrandı" diyor. Herron Amerikan hükümetinin de bu tür açıklara karşı uyanık olduğunu ve olağaüstü durumlarda ne yapmaları gerektiğini hemen tespit edebildiklerini söylüyor. Herron "Koordineli bir yanlış bilgilendirme saldırısından korkuyorlar. İnsanlar içinde sahte bilgiler olan gerçek hükümet sitelerine yönlendirilebilirler" diyor.

Zone-h.org son bir kaç yıldır, hacker’ların adeta merkezi haline geldi. Bir çok hacker, güvenlik uzmanı, bilişim meraklısı insan Zone-h.org’u ziyaret ederek, bugün Dünya’da ya da kendi ülkelerinde kaç site hack edilmiş, kaç site deface edilmiş, hangi hacker nereye saldırmış gibi istatistiklere bakıyor… Güvenlik uzmanlarından ve eski hacker’lardan makaleler yayınlayan ünlü site bu sefer kendisi hacker kurbanı oldu. Zone-h.org daha önce de hacker’ların saldırısına uğramıştı ancak bu sefer ki hacker’lar siteyi aynı gün de iki kere hack ederek kapattı. Hatta siteye index’lerini (mesajlarını) bile atmayı başardılar. Suudi Arap kökenli olan hacker grubu, zone-h’nin DNS Şifrelerini ele geçirerek kapattılar. İlk kapatmada index atarak mesajlarını bıraktılar. Daha sonra Zone-h.org yöneticilerinin siteyi geri alarak index’i temizlemesinden sonra, tekrar 2.kez saldırarak şifreyi tekrar ele geçirdiler ve tekrar kapattılar. Bu olay yaklaşık 48 saat boyunca devam etti. Şu an site normal durumda ve hacklist olarak devam ediyor. Zone-h ülkemizde gündeme, geçen yıl Türk Hacker Iskorpitx'in 1 gecede çok sayıda siteyi hack ederek, birinciliğe oturmasıyla gündeme gelmişti. Zone-h.org’un hack edildiği saatlerde, Google’ın Almanya sitesinin de DNS şifrelerinin ele geçirilerek kapatıldığı söyleniyor. Muhtemelen aynı Suudi Hacker Grubu, aynı yöntemi kullanarak Almanya Google.de’yi de hack etti deniliyor.