ZynorRAT Truva Atı

Yeni bir çapraz platform Uzaktan Erişim Truva Atı ZynorRAT Hem Windows hem de Linux sistemlerini hedef alan bir saldırı ortaya çıktı. Go ile yazılan ve Telegram üzerinden kontrol edilen ZynorRAT, tehdit aktörlerinin casusluk yapmasına, veri çalmasına ve uzaktan komut yürütmesine olanak tanırken, büyük ölçüde tespit edilememektedir. Modüler tasarımı, gizli iletişimi ve Linux sürekliliğine odaklanması, onu özellikle sistem yöneticileri ve KOBİ'ler için yüksek riskli bir tehdit haline getirmektedir.

Ne işe yaradığını, nasıl çalıştığını ve enfeksiyonları ortadan kaldırmak ve önlemek için neler yapabileceğinizi inceleyelim.

---

Tehdit Özeti – ZynorRAT

Tehdit Türü	Uzaktan Erişim Truva Atı (RAT)
Algılama Adları	Trojan.Go.Zynor, Trojan.Linux.Zynor, Backdoor.Go.Zynor
Belirtileri	Sistem yavaşlaması, şüpheli arka plan etkinliği, yetkisiz ekran görüntüleri, eksik dosyalar
Hasar ve Dağıtım	Dosya hırsızlığı, uzaktan komut yürütme, servisler aracılığıyla kalıcılık, Telegram kontrollü drop linkler aracılığıyla yayılma
Tehlike Seviyesi	Yüksek – tam sistem erişimi ve veri sızdırma

👉 SpyHunter Kaldırma Aracı →

---

ZynorRAT Sistemlere Nasıl Kurulur?

ZynorRAT, kötü amaçlı dosya indirmeleri, kırılmış yazılımlar ve genel dosya paylaşım platformlarında barındırılan truva atı haline getirilmiş yardımcı programlar aracılığıyla yayılır. Dosya.co. Çalıştırıldıktan sonra kötü amaçlı yazılım sessizce kurulur ve operatörüyle bir ağ üzerinden iletişim kurmaya başlar.  Telegram Bot.

Linux varyantı özellikle sağlamdır ve kalıcı bir hizmet oluşturur systemdİlginçtir ki, Windows sürümü bile benzer Linux tarzı kalıcılığı kullanmaya çalışıyor; bu da geliştirme sürecinin bir kısmının hala devam ettiğini gösteriyor.

Yaygın enfeksiyon vektörleri şunlardır:

• Kötü amaçlı yazılım paketleri
• Sahte araçlar veya yardımcı programlar
• Yüklere bağlantılar içeren kimlik avı e-postaları
• Korsan yazılım paketleri

---

ZynorRAT'ın Çalmaya Çalıştığı Veriler Nelerdir?

ZynorRAT, saldırganlara enfekte makine üzerinde uzaktan kontrol sağlar ve çok çeşitli casusluk ve kesinti görevleri gerçekleştirmelerine olanak tanır. Bunlar arasında şunlar bulunur:

• Dosya sistemi erişimi: Saldırganlar dosyalara göz atabilir ve onları sızdırabilir.
• Süreç yönetimi: Çalışan işlemleri görüntüleyebilir ve sonlandırabilirler.
• Sistem profillemesi:RAT işletim sistemi, donanım ve yazılım ortamı hakkında ayrıntıları toplar.
• ekran görüntüsü yakalama:İsteğe bağlı olarak ekran görüntüleri alınıp saldırgana gönderiliyor.
• Uzaktan kabuk yürütme: Komutlar doğrudan komuta-kontrol sunucusundan çalıştırılabilir.

Kötü amaçlı yazılım, aşağıdaki gibi belirli komut uç noktalarını kullanır: /fs_list, /proc_list, /capture_display, ve /metrics Bu operasyonları yönetmek için.

Tüm iletişim, normal şifreli trafikle harmanlanan ve C2 altyapısı için giderek yaygınlaşan bir yöntem olan Telegram botu aracılığıyla yönlendiriliyor.

---

ZynorRAT Tarafından Kullanılan Kalıcılık Taktikleri

ZynorRAT'ın Linux versiyonu şunları kullanır: systemd Önyükleme sırasında yeniden başlatılan kalıcı bir hizmet oluşturmak. Bu, saldırganın sistem yeniden başlatıldıktan veya kullanıcı oturumu kapatıldıktan sonra bile uzun süreli erişimi sürdürmesini sağlar.

Kötü amaçlı yazılım, görünür pencereler oluşturma veya uyarıları tetikleme gibi geleneksel kötü amaçlı yazılım davranışlarından kaçınarak tespit edilmemeye çalışır. Go (Golang) kullanımı da tespiti zorlaştırır, çünkü Go ikili dosyaları genellikle büyüktür ve eski antivirüs araçları tarafından daha az incelenir.

Kalıcılığın temel mekanizmaları şunlardır:

• Oluşturulması .service altındaki birimler /etc/systemd/system/
• Standart başlangıç ​​yöneticilerinde görünmeyen otomatik başlatma girişleri
• Şifreli Telegram tabanlı komut yoklaması

Windows sürümü daha az gelişmiş görünüyor ve Linux tekniklerini kopyalamaya başarısız bir şekilde çalışıyor. Ancak bu, gelecekte daha tehlikeli bir Windows RAT'a doğru aktif bir geliştirme ve potansiyel bir evrimin varlığını gösteriyor.

Manuel Trojan Kötü Amaçlı Yazılım Kaldırma Kılavuzu

1. Adım: Güvenli Modda Başlatın

1. Bilgisayarı yeniden başlatın.
2. Windows başlamadan önce, F8 anahtar (veya Shift + F8 (bazı sistemlerde).
3. Seç Ağ Desteği ile Güvenli Mod Gelişmiş Önyükleme Seçenekleri menüsünden.
4. Basın Keşfet önyükleme için.

Bu, Truva atının çalışmasını engeller ve kaldırılmasını kolaylaştırır.

---

Adım 2: Kötü Amaçlı İşlemleri Belirleyin ve Durdurun

1. Basın Ctrl + Shift + Esc açmak için görev Yöneticisi.
2. Git süreçler sekme (veya Detaylar Windows 10/11'de).
3. Yüksek CPU veya bellek kullanan ya da bilinmeyen isimlere sahip şüpheli işlemleri arayın.
4. Şüpheli işleme sağ tıklayın ve Dosya konumunu aç.
5. Dosya geçici veya sistem klasöründeyse ve tanıdık görünmüyorsa, büyük olasılıkla kötü amaçlıdır.
6. İşleme sağ tıklayın ve şunu seçin: son görev.
7. Dosya Gezgini'ndeki ilişkili dosyayı silin.

---

Adım 3: Truva Atı ile İlgili Dosya ve Klasörleri Kaldırın

1. Basın Win + Ryazın % Temp%, ve bas Keşfet.
2. Temp klasöründeki tüm dosyaları silin.
3. Ayrıca tanımadığınız veya yakın zamanda oluşturulmuş dosyalar için şu dizinleri kontrol edin:
   • C:\Kullanıcılar\Kullanıcınız\UygulamaVerisi\Yerel\Temp
   • C: \ Windows \ Temp
   • C: \ Program Files (x86)
   • C: \ ProgramData'nın
   • C:\Kullanıcılar\Kullanıcınız\UygulamaVerisi\Dolaşım
4. Şüpheli dosyaları veya klasörleri silin.

---

Adım 4: Kayıt Defterinden Truva Atı Kötü Amaçlı Yazılımını Temizleyin

1. Basın Win + Ryazın regedit, ve bas Keşfet.
2. Aşağıdaki yollara gidin:
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. Şüpheli konumlardan dosya başlatan girişleri arayın.
4. Tanımadığınız girdileri sağ tıklayıp silin.

Uyarı: Kayıt defterini düzenlemek, uygunsuz bir şekilde yapılırsa sisteminize zarar verebilir. Dikkatli olun.

---

Adım 5: Tarayıcı Ayarlarını Sıfırlayın

Google Chrome

1. MyCAD'de yazılım Güncelleme ye git Ayarlar > Ayarları Sıfırla.
2. Tıkla Ayarları orijinal varsayılanlarına geri yükle ve onaylayın.

Mozilla Firefox

1. MyCAD'de yazılım Güncelleme ye git Yardım > Daha Fazla Sorun Giderme Bilgisi.
2. Tıkla Yenile Firefox.

Microsoft Kenar

1. MyCAD'de yazılım Güncelleme ye git Ayarlar > Ayarları sıfırla.
2. Tıkla Ayarları varsayılan değerlerine geri yükleme.

---

Adım 6: Tam Windows Defender Taraması Çalıştırın

1. Açılış Windows Güvenlik üzerinden Ayarlar> Güncelleme ve Güvenlik.
2. Tıkla Virüs ve tehdit koruması.
3. Klinik Tarama seçenekleriseçin tam taramaVe tıklama Şimdi Tara.

---

Adım 7: Windows'u ve Yüklü Yazılımı Güncelleyin

1. Basın Kazan + I, Gidin Güncelleme ve Güvenlik > Windows Güncelleme.
2. Tıkla güncelleştirmeleri denetleyin ve mevcut tüm güncellemeleri yükleyin.

---

SpyHunter Kullanarak Otomatik Trojan Temizleme

Truva atını manuel olarak kaldırmak zor veya zaman alıcı görünüyorsa, SpyHunter önerilen yöntemdir. SpyHunter, Truva atı enfeksiyonlarını etkili bir şekilde tespit eden ve ortadan kaldıran gelişmiş bir kötü amaçlı yazılım önleme aracıdır.

Adım 1: SpyHunter'ı indirin

SpyHunter'ı indirmek için aşağıdaki resmi bağlantıyı kullanın: SpyHunter'ı indirin

Kurulumla ilgili tüm talimatlar için şu sayfayı takip edin: Resmi SpyHunter İndirme Talimatları

---

Adım 2: SpyHunter'ı yükleyin

1. yerleştirmek SpyHunter-Yükleyici.exe İndirilenler klasörünüzdeki dosya.
2. Kurulumu başlatmak için yükleyiciye çift tıklayın.
3. Kurulumu tamamlamak için ekrandaki talimatları izleyin.

---

Adım 3: Sisteminizi Tarayın

1. SpyHunter'ı açın.
2. Tıkla Şimdi Taramayı Başlat.
3. Programın Truva atı bileşenleri de dahil olmak üzere tüm tehditleri tespit etmesini sağlayın.

---

Adım 4: Algılanan Kötü Amaçlı Yazılımı Kaldırın

1. Taramadan sonra tıklayın Tehditleri Düzeltin.
2. SpyHunter, tespit edilen tüm kötü amaçlı bileşenleri otomatik olarak karantinaya alacak ve kaldıracaktır.

---

5. Adım: Bilgisayarınızı Yeniden Başlatın

Tüm değişikliklerin etkili olduğundan ve tehditin tamamen ortadan kaldırıldığından emin olmak için sisteminizi yeniden başlatın.

---

Gelecekteki Truva Atı Enfeksiyonlarını Önlemek İçin İpuçları

• Korsan yazılım indirmekten veya bilmediğiniz e-posta eklerini açmaktan kaçının.
• Yalnızca güvenilir web sitelerini ziyaret edin ve şüpheli reklamlara veya açılır pencerelere tıklamaktan kaçının.
• Sürekli koruma için SpyHunter gibi gerçek zamanlı bir antivirüs çözümü kullanın.
• İşletim sisteminizi, tarayıcılarınızı ve yazılımlarınızı güncel tutun.

---

Sonuç

ZynorRAT, platformlar arası yetenekler ve gelişmiş gizlilik özellikleriyle geliştirilmiş, tehlikeli ve modern bir Uzaktan Erişim Truva Atı'dır. Komut kontrolü için Telegram'ı kullanması, agresif kalıcılık ve veri hırsızlığı işlevleriyle bir araya geldiğinde, hem Linux hem de Windows ortamları için ciddi bir tehdit oluşturmaktadır.

Sistem yöneticileri, BT uzmanları ve bireysel kullanıcılar, hasar oluşmadan önce bu kötü amaçlı yazılımları tespit edip engellemek için garip arka plan etkinliklerini izlemeli, sistem hizmetlerini denetlemeli ve gerçek zamanlı tehdit algılama araçlarını kullanmalıdır.