Windows Krizi Sanal Makinelere Sızıyor

Hakan Sülün

24 Ağustos 2012

Geçtiğimiz ay Mac sistemleri için geliştirilen OSX.Crisis adlı kötü amaçlı bir yazılım tespit edilmişti. Daha sonra, başka bir güvenlik üreticisi de virüsün bilgisayarlara JAR dosyasıyla sosyal mühendislik yöntemlerini kullanarak bulaştığını açıklamıştı.

Symantec’in en son “İnternet Güvenliği Tehdit Raporu”nda belirtildiği gibi günümüzde birden fazla ortama saldıran tehditler giderek daha fazla ön plana çıkmaya başladı. Bu tehdidi diğerlerinden ayıran çok önemli iki özellik bulunuyor. Bunlardan birincisi, sanal makinelere saldıran belki de ilk tehdit olması. İkincisi ise Mac, Windows, sanal makine ve Windows Mobile gibi dört farklı ortama birden saldırararak bu alanda da yeni bir sayfa açması.

Hem Windows hem de Mac sistemlerinde çalışabilen JAR dosyası, saldırılan bilgisayarın işletim sistemini kontrol ettikten sonra uygun dosyayı bilgisayara yerleştiriyor. Her iki sistem için geliştirilen dosyalar, bilgisayarlarda arka kapı açıyor.

Tehdit nasıl yayılıyor?

Tehdit yayılmak için üç yöntem kullanıyor. Bunlardan ilki, kendini kopyalayarak autorun.inf dosyasını çıkarılabilir diske yerleştirmek oluyor. İkinci bir yöntem de VMmare sanal makinesine sızmak. Özellikle sanal makinelere sızabilen ilk yazılım olduğu için önem taşıyor.

Saldırılan bilgisayarda öncelikle VMware sanal makine dosyalarını araştırıyor. Bir dosya bulduğu takdirde VMware Player kullanarak kendini kopyalıyor. Bunu yaparken VMmare sanal makinesindeki herhangi bir açıktan yararlanmıyor ve direkt olarak sanallaştırma yazılımını kullanarak sisteme sızıyor.

En son yöntem ise Windows mobil cihazına modül dosyası yüklemek oluyor. Uzaktan Uygulama Arayüz Programı (RAPI)’nı kullandığı için yazılım, Android ve iPhone’ların yerine sadece Windows mobil cihazları etkiliyor.

JAR dosyası Trojan.Maljav, Mac tehdidi OSX.Crisis; Windows zararlısı da W32.Crisis ismiyle tespit edilebiliyor.