- Mesajlar
- 907
Bir grup programcı, Windows XP SP2 sürümünü alıp, binary dosyalarında %20'ye varan köklü değişiklikler yapıp, görsellerini ve işleyişini yeni bir işletim sistemi dedirtecek kadar değiştirerek, Windows Dark Edition adı altında yayınlıyorlar.
Söz konusu programdan, AntiLogger kullanıcılarımızın birinden gelen otomatik hata raporu sayesinde haberdar olduk.
Görünüş açısından etkileyici gözükse de yaptığımız incelemede, söz konusu Windows Dark Edition’u kullanarak, en az internet kafeden banka hesabınıza girerek oluşturduğunuz güvenlik riski kadar risk almış olursunuz.
Windows Dark Edition v6 üzerinde yaptığımız lokal testlerde, sistemde bütünleşik bir backdoor'a rastlayamadık. Zaten bu türde bir şey olsa dahi, bunu lokal olarak saptayamayacağımızı biliyorduk. Çünkü tcpip.sys'den ndis.sys’ye kadar bütün network driver'ları modifiye edilmişti.
Bu yüzden; VMware ile sanal bir network grup kurup, bu grup üzerindeki makinelerden birine ilgili işletim sistemini kurduktan sonra gateway üzerinden sniff ettiğimizde, ilgili sistemin bir IRC kanalına bağlantı kurmaya çalıştığını gördük. Yani kurulduğu sistemi zombi haline getirmek istiyordu.
Geçtiğimiz günlerde çıkan MBR rootkit bile işletim sisteminden önce başlayabilmek için çok kuvvetli bir mücadele veriyor. Çünkü bunu başarırsa (ki başarıyor da), işletim sistemi ve üzerinde kurulu olan hiç bir güvenlik programı tarafından fark edilmeden istediğini yapabiliyor.
Durum böyleyken, modifiye edilmiş böyle bir işletim sistemini kurarak, adı MBR rootkit olmayan fakat oluşturduğu güvenlik zafiyetleri ile aynı işi yapan bir zararlıyı, kendi elinizle kurmuş oluyorsunuz.
Bu nedenle bu ve bunun gibi modifiye edilmiş bir sistem üzerinde, AntiLogger veya benzer güvenlik programlarının hata vermesi, hatta sistemi tamamen kilitlemesi de çok doğaldır.
Çünkü ntoskrnl.exe'den csrss.exe (Client Server Runtime Process) 'ye kadar, neredeyse tüm binary dosyaları değiştirilmiştir. Bu durum orjinal Microsoft dijital imzalarının bozulmasına, neticesinde csrss.exe gibi kritik bir Windows bileşeninin alarm penceresi oluşturmasına neden oluyor. Sonuç: BSOD ya da sistemin kilitlenmesi olacaktır.
Bu türde modifiye edilmiş sistemler için teknik destek veremeyeceğimizi üzülerek belirtmek zorundayız. Zaten bu türde bir sistemi, sistemin kendisinden korumak da mümkün değildir.
Kaynak:Zemana Blog
Söz konusu programdan, AntiLogger kullanıcılarımızın birinden gelen otomatik hata raporu sayesinde haberdar olduk.
Görünüş açısından etkileyici gözükse de yaptığımız incelemede, söz konusu Windows Dark Edition’u kullanarak, en az internet kafeden banka hesabınıza girerek oluşturduğunuz güvenlik riski kadar risk almış olursunuz.
Windows Dark Edition v6 üzerinde yaptığımız lokal testlerde, sistemde bütünleşik bir backdoor'a rastlayamadık. Zaten bu türde bir şey olsa dahi, bunu lokal olarak saptayamayacağımızı biliyorduk. Çünkü tcpip.sys'den ndis.sys’ye kadar bütün network driver'ları modifiye edilmişti.
Bu yüzden; VMware ile sanal bir network grup kurup, bu grup üzerindeki makinelerden birine ilgili işletim sistemini kurduktan sonra gateway üzerinden sniff ettiğimizde, ilgili sistemin bir IRC kanalına bağlantı kurmaya çalıştığını gördük. Yani kurulduğu sistemi zombi haline getirmek istiyordu.
Geçtiğimiz günlerde çıkan MBR rootkit bile işletim sisteminden önce başlayabilmek için çok kuvvetli bir mücadele veriyor. Çünkü bunu başarırsa (ki başarıyor da), işletim sistemi ve üzerinde kurulu olan hiç bir güvenlik programı tarafından fark edilmeden istediğini yapabiliyor.
Durum böyleyken, modifiye edilmiş böyle bir işletim sistemini kurarak, adı MBR rootkit olmayan fakat oluşturduğu güvenlik zafiyetleri ile aynı işi yapan bir zararlıyı, kendi elinizle kurmuş oluyorsunuz.
Bu nedenle bu ve bunun gibi modifiye edilmiş bir sistem üzerinde, AntiLogger veya benzer güvenlik programlarının hata vermesi, hatta sistemi tamamen kilitlemesi de çok doğaldır.
Çünkü ntoskrnl.exe'den csrss.exe (Client Server Runtime Process) 'ye kadar, neredeyse tüm binary dosyaları değiştirilmiştir. Bu durum orjinal Microsoft dijital imzalarının bozulmasına, neticesinde csrss.exe gibi kritik bir Windows bileşeninin alarm penceresi oluşturmasına neden oluyor. Sonuç: BSOD ya da sistemin kilitlenmesi olacaktır.
Bu türde modifiye edilmiş sistemler için teknik destek veremeyeceğimizi üzülerek belirtmek zorundayız. Zaten bu türde bir sistemi, sistemin kendisinden korumak da mümkün değildir.
Kaynak:Zemana Blog
