MyZec virüsünün analizi

sanal madencilik üzerine bir virüs

on

geçtiğimiz günlerde bir programın ağ trafiğini incelemek için wireshark  programını çalıştırdığım bu sırada gözüme çarpan bir MyZec.txt isimli bir dosya gördüm ve yola koyuldum böyle bir blog yazısı ortaya çıktı.

dışarıya çıkan isteklerde bir .txt dosyası vardı dedim acaba bu program mı çekiyor ???  yok kapattım programı ağı dinlemeye başladım ve gördüm ki her dakika başı bu istek gerçekleşiyor bir terslik var dedim.

bu beni dahada meraklandırdı hemen görev yöneticisini açtım oradan da bir çalışan uygulamalara göz atmak istedim ver fark ettim ki .txt’ye istek gittiğinde cmd.exe açılıyor ve MyZec.txt adlı txt içeriğini okuyor diye tahmin ettim

 

evet bir terslik var Bitsadmin.exe programı açılmış peki nedir bu Bitsadmin.exe ?

Bitsadmin Nedir ?

Bitsadmin Windows işletim sisteminin bir dosyasıdır cmd.exe gibi düşünün bununda kendine özel komutları genelde transfer üzerine kullandığına şahit oldum daha önceki yaptığım bir kaç ufak araştırma neticesinde.

şimdi yapboz parçaları yerine oturdu sanırım. bitsadmin ile .txt’yi sisteme çekiyor cmd.exe ile bunu çalıştırıyor peki cmd.exe’yi tetikleyen program neydi ? hemen proces hacker programında cmd.exe üzerine 2 kere tıklıyorum ve bana bilgileri veriyor ;

Mavi ile işaretlediğim yerde c dizini altında zec klasöründe start.bat isimli bir bat dosyası var hemen o bat dosyasını açıyorum ve analize devam ediyorum.

Bölüm bölüm işaretledim şimdi kodları yorumlarsak ;


Bölüm 1

eğer program files x86 var ise 64 bit yazan bölüme git değil ise 32 bit yazan bölüme git ; 32 bit için bir sıkıntı olmuyor doğrudan çıkış sağlanıyor yani hedefte 64 bit kullanıcıları var ; 

Bölüm 2

nircmd.exe  sistem içinde var mi yok mu kontrol ediyor yok ise bunu system32 içine kopyalıyor ; nircmd.exe nedir ?

nircmd.exe cmd’nin gelişmiş hali diyebiliriz detaylı bilgi için nircmd.exe

Bölüm 3

Bizim şu güzel virüslerin olmazsa olmazları olan şu anti virüsleri devre dışı bırakma çabaları sevgili bat dosyamız burada windows defender,Security Center ve bildirimleri devre dışı bırakıyor  bu güzellik kimsede yok inanın ufak bir kod ile ne güzel defender güvenlik merkezi ve bildirimleri kapattı heyt be yıllardır uğraşıyorum kapatamadım ama 2 kodda kapattı .) burada dikkatinizi çekmek istediğim bir diğer nokta ise ;

Google Update isimli bir görev oluşturuyor bu görev nircmd.exe üzerinden arka planda çalışacak şekilde .bat dosyasını çalıştırıyor yani şu an bizim incelediğimiz dosya peki neden ? kodların güncel versiyonlarını indirmek için ;

Bölüm 4

Bu bölümde bizim ilk bulduğumuz nokta olan .txt dosyalarını çektiği yer config.txt içeriği ;

config2.bat içeriği ;

 

Bölüm 5 ve 6 yukarıdaki config2.bat ve taskmgr.exe isimli şu analize sahip https://www.virustotal.com/tr/file/1ca62477884f4afb49a2bdbb277b19f1c6c2b49c23c39777df7a3aa56e97483a/analysis/  dosyayı çalıştırmakta.

geldik final bölümüne ;

Bölüm 7

 

Bu program arka planda sizin sisteminizi kullanarak madencilik ile uğraşıyor ve sizin sırtınızdan para kazanıyor.

 

Bilgisayarıma nereden bulaştığı hakkında bir bilgim yok ama nasıl sileriz hakkında şu an bilgi sahibiyim.

Öncelikle Yerel Disk C’ Girip Gizli klasörlerin görünün olduğundan emin olalım.

zec klasörünü sildikten sonra sıra geliyor güvenlik duvarı ve görevleri kaldırmakta  ilgili ufak bir video ;

videoda değinmeyi unuttuğum bir nokta ; system32 içerisinde nircmd.exe’yi silmeyi unutmayınız.

 

2 thoughts on “MyZec virüsünün analizi

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir