Güvenlik uzmanları, insanların bilgisayarlarındaki içeriği ‘yok etmek’ için yaratılmış, koronavirüs temalı bir bilgisayar virüsü keşfetti.
Tüm dünyaya yayılan koronavirüs salgınını kullanan bilgisayar virüsü geliştiricileri, dosyaları silme ve bilgisayarın ana önyükleme kaydı MBR’i yeniden yazarak, sistemleri yok eden bir yazılım geliştirdi.
İnternette çeşitli ortamlarda ortaya çıkan kötü amaçlı yazılımlar, koronavirüs temasına sahip ve para kazanma gibi bir amaçtan ziyade, yıkımı amaçlayan yazılımlar.
MBR’ı hedef alan kötü amaçlı yazılımlar
Güvenlik araştırmacıları, geçtiğimiz ay tespit ettikleri dört kötü amaçlı yazılımda, bilgisayarın önyükleme kaydı olan MBR’ın hedef alındığını tespit etmişti.
Ana önyükleme kaydının hedef alınması, kolay bir teknikle yapılabilen türden bir saldırı değil. Bu anlamda, sistemlere derinlemesine bir saldırı içeren bu konuyla ilgili, bazı ileri teknik bilgilere ihtiyaç duyulduğu düşünülüyor.
MBR-rewriters, yani MBR’ı yeniden yazma amacına sahip yazılımlardan birinin geliştiricisinin MalwareHunterTeam tarafından tespit edildi. Güvenlik uzmanları, COVID-19.exe adı kullanılan kötü amaçlı yazılımın bilgisayar bulaşmasının iki aşaması olduğunu aktardı.
İlk aşamada, kötü amaçlı yazılım, Windows Görev Yöneticisi’ni devre dışı bıraktığı için, kullanıcıların kapatmaka zorluk yaşayacağı can sıkıcı bir pencere gösteriyor.
Kullanıcılar, bu pencereyle uğraşmaya çalışırken, kötü amaçlı yazılım sessiz bir şekilde bilgisayarın ana önyükleme kaydını yeniden yazıyor. Bunun ardından bilgisayar yeniden başlatılıyor ve yeni MBR devreye girerek kullanıcılar, önyükleme öncesi bir ekran ile engelleniyor.
Kullanıcılar, sonunda bilgisayarlarına tekrar erişim kazanabiliyor ancak MBR’ı kurtarmak ve yeniden çalışır duruma getirmek için bazı özel uygulamalara ihtiyaç duyabilirler.
MBR’ı yeniden yazan ikinci bir koronavirüs temalı kötü amaçlı yazılım türü daha bulunuyor. Bu, ilk yazılıma göre çok daha karmaşık bir işlem akışına sahip.
“CoronaVirus ransomware” adıyla görünen bu yazılımın ilk işlevi, virüslü bir ana bilgisayar üzerinden şifreleri çalmak ve ardından kullanıcıları kandırmak. Yazılımın amacının fidye yazılımlarını taklit etmek olduğu düşünülüyor.
Yazılımın, veri çalma işlemleri sona erdiğinde MBR’i tekrar yazıyor ve kullanıcıları önyükleme öncesi bir iletiyle engelleniyor, böylelikle bilgisayara erişilemiyor. Kullanıcıların fidye notlarını görmesi ve bilgisayarına erişememesi, bu yazılımın nihai amacı.
Güvenlik uzmanları, koronavirüs temalı kötü amaçlı virüslere karşı herkesi dikkatli olmaya davet etti.
