24 Aralık 2014 Çarşamba

Gholee Malware YARA Rule

C&C IP Addresses

83.170.33.60
83.170.33.37

YARA Rule

rule gholee
{
meta:
author = “www.clearskysec.com”
date = “2014/08″
maltype = “Remote Access Trojan”
filetype = “dll
strings:
$a = “sandbox_avg10_vc9_SP1_2011″
$b = “gholee
condition:
all of them
}

23 Aralık 2014 Salı

Destructive Malware YARA Rules

SMB Worm Tool:
strings:
$STR1 = "Global\\FwtSqmSession106829323_S-1-5-19"
$STR2 ="EVERYONE"
$STR3 = "y0uar3@s!llyid!07,ou74n60u7f001"
$STR4 = "\\KB25468.dat" condition:
(uintl6(0) == 0x5A4D or uint16(0) == 0xCFD0 or uint16(0) ==0xC3D4 or uint32(0) == 0x46445025 or uint32(1) == 0x6674725C) and all of them

Lightweight Backdoor:
strings:
$STR1 = ''NetMgStart"
$STR2 = ''Netmgmt.srg"
condition:
(uint16(0) == 0x5A4D) and all of them

4 Aralık 2014 Perşembe

Operation Cleaver YARA Rules

rule BackDoorLogger
{
strings:
$s1 = “BackDoorLogger”
$s2 = “zhuAddress”
condition:
all of them
}

rule Jasus
{
strings:
$s1 = “pcap_dump_open”
$s2 = “Resolving IPs to poison...”
$s3 = “WARNNING: Gateway IP can not be found”
condition:
all of them
}

Backdoor.Destover


1 Aralık 2014 günü FBI  “Backdoor.Destover” olarak adlandırılan çok tehlikeli bir zararlı yazılım ile ilgili bir flaş uyarı bülteni yayınladı. Geniş bir yelpazedeki kurumsal ağları hedef alan bu zararlı yazılım bulaştığı bilgisayarda Master Boot Record (MBR) alanını silerek bilgisayarı kullanılamaz ve verileri ulaşılamaz hale getirmektedir.



Saldırı Vektörü:
Zararlının ilk bileşeni “diskpartmg16.exe” henüz bilinmeyen bir yöntemle hedef bilgisayara bulaştırılıyor. Saldırganların bulaştırma işlemini oltalama saldırısı (phishing) veya  normal internet kullanımı sırasında (“drive-by-download”) ile gerçekleştirdiği düşünülmektedir. İlk bulaştırma işlemi konusunda araştırmalar devam etmektedir.