Petya virüsünün kaynağı ve nasıl çalıştığı belli oldu

Petra adıyla anılan fidye yazılımı, saatler içinde birçok ülkeye yayılmayı başardı ve herkesi alarma geçirdi. Virüsün Ukrayna'daki bir yazılımın güncelleme paketinden yayılmaya başladığı düşünülüyor

Cisco Systems'in güvenlik araştırması kuruluşu Talos'un ilk analizleri, saldırının Ukrayna'da başladığını doğruluyor. Şirket, hazırladığı raporla MeDoc adı verilen muhasebe yazılımının güncelleme dosyası içinde yayılmaya başladığını kaydetti. MeDoc yazılımını hazırlayan aynı adlı şirket de durumu doğruladı.

Talos'un web sitesinde yayımladığı yazıya göre, virüs bulaşan sistemlerde "Perfc.dat" adlı bir dosya bulunuyor. Bu dosya sistemi ele geçirmek için gereken adımları gerçekleştiriyor.

Zararlı yazılımdaki bir kütüphane, sistemde yönetici yetkisine ulaşıyor ve başarılı olduğunda da, bilgisayarın diskinin açılış kaydının (MBR) üzerine yazıyor. Ayrıca sistemde 139 no'lu portu TCP trafiğine açıyor.

Sistem enfekte olduktan sonra üç farklı mekanizma işliyor. Bunlardan ilki EternalBlue adını taşıyor ve WannaCry tarafından kullanılan sistem açığını içeriyor.

Psexec adlı ikinci mekanizma, Windows'un içerisindeki bir sistem yönetim aracı. Üçüncü araç da Windows'ta bulunan WMI adlı Windows Yönetim Aracı adlı bir bileşen.

Bu üç mekanizma ile perfc.dat dosyası diğer sistemlere gönderiliyor ya da kuruluyor. Virüs, WannaCry'da olduğu gibi MS17-010 güncellemesi kurulu olmayan sistemleri ele geçirebiliyor.

Habertürk

İlk yorum yazan siz olun
YORUM KURALLARI: Risale Haber yayın politikasına uymayan;
Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve BÜYÜK HARFLERLE yazılmış yorumlar
Adınız kısmına uygun olmayan ve saçma rumuzlar onaylanmamaktadır.
Anlayışınız için teşekkür ederiz.

Bilim - Teknoloji Haberleri