Forum

IRON Telefon Gü...
 
Bildirimler
Hepsini Temizle

IRON Telefon Güvenlik Modülü

2 Yazılar
2 Üyeler
0 Reactions
528 Görüntüleme
(@berkgulata)
Gönderiler: 11
Eminent Member
Konu başlatıcı
 

Bu başlık henüz tanımlayamadığım bir virüsün çıkardığı pencerede yazıyor. Karşılaşan veya nasıl tespit ve takip edebileceğim konusunda fikri olan varsa paylaşmasını rica ederim.

Tespit edebildiklerim ise;

>İnternet bankacılığına girişte normal ekran karşınıza geliyor. Ardından tek kullanımlık sms girilen ikinci adım geçilip online şubenin, ana sayfanın üzerine iframe şeklinde bindirilmiş ayrı bir ekran çıkıyor.

>Bu ekranda IRON Telefon güvenlik modülü başlığı ile cep numaranızı ve modelini istiyor. Bilgileri girerseniz cep telefonunuzun modeline göre sms ile kurmanız gereken bir link gönderiliyor.

 >İşbankasına bağlantıda bir personelde karşıma geldi. McAfee 8 kurulu. Antispyware var. Ancak hiçbiri fark etmedi. Windows altında 4 harfli bir klasör altında random isimli 184KByte'lık bir exe oluşturuyor. Silersen random 4 karakterlik farklı bir klasörde random isimli bir exe daha.

>  Diğer bankalara girişte çıkmıyor.

>Farklı bir kişinin notebook'unda rastladım. ilgili exe'i bulamadım. Ancak onda da sadece YKB'da çıkıyor. Nod32 var.

> firewall sonicwall kullanıyorum. Sonicwall üzerinde bağlantı öncesi SSL'i kontrol et'i aktif ettim. Alarm vermedi.

>Bunun üzerine kontrol ettiğimde programın ilgili web sayfasını browser üzerinden açılmasını beklediğini gördüm. Örneğin DNS üzerinden www.isbank.com.tr dediğimde doğru ip çözüyor. Traceroute ile baktığımda doğru adrese doğru kanaldan gidiyor. Ancak web browser üzerinden yazıp gitmek istersem rusyadaki bir ip adresine yönleniyor. Sanırım rusya'daki makinayı proxy olarak kullanıyor. Çünkü gelen ekrandaki rakamlar gerçek gözükmekte. Sadece menüleri seçtirmiyor öncelik telefon bilginizi girmenizi istiyor.

>Fark ettiğim bilgisayar ben yokken formatlandı. Elimde örnek exe yok.

>Telefon listesini https://intsube.net/web//content/models.j s'den getiriyor. Ayrıca bu adrese ait bir SSL sertifikası yüklemek için onay istiyor veya personel onayladı belirleyemedim.

> https://intsube.net/web/gate/getcontent?id=isbank Bankaya göre farklı bir adresi de sayfa içerisinde getirmekte.

 
Gönderildi : 15/11/2013 20:11

(@ugurdemir)
Gönderiler: 9886
Illustrious Member
 

Telefon faturaları gibi görünüp gelen fatmala benziyor olabilir. Header ve içeriği incelmek gerekir. http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/fatura-zararli-yazilimi-fatmal.html

 
Gönderildi : 20/11/2013 01:56

Paylaş: