Hemen hemen dünyanın bütün ülkeleri koronavirüsle uğraşırken, kötü amaçlı yazılım geliştiricileri de salgının yarattığı panik havasını kullanmaya başladılar. Koronavirüs temalı kötü amaçlı yazılımlar ortaya çıkaran geliştiriciler, bilgisayarlardaki dosyaları siliyorlar veya bir bilgisayarın önyükleme kaydı olan MBR’yi hedef alıyorlar.
Güvenlik araştırmacıları, 4 yeni koronavirüs temalı kötü amaçlı yazılım keşfettiler. Bu yazılımların hepsi koronavirüs temasını kullanıyor ve bilgisayarlarda büyük zararlar ortaya çıkarıyor. Bu yazılımlardan ikisi önyükleme kaydı olan MBR’yi hedef alırken, diğer iki yazılım da bilgisayarda bulunan verileri silecek şekilde oluşturuldu.
MalwareHunterTeam isimli güvenli araştırmacısı tarafından keşfedilen COVID19.exe isimli kötü amaçlı yazılım, bilgisayara bulaştıktan sonra iki aşama izliyor. İlk aşamada bilgisayarın Windows Görev Yöneticisi devre dışı kalıyor. Kullanıcı Görev Yöneticisi’ni açmaya uğraşırken virüs arka planda bilgisayarın önyükleme kaydını silerek yerine yenisini yazıyor. Bu sayede bilgisayarın açılışında önyükleme ekranından önce kullanıcının karşısına başka bir ekran çıkıyor.
MBR’yi hedef alan diğer kötü amaçlı yazılım ise bir fidye uygulaması gibi durmakla beraber asıl yaptığı iş, kullanıcının şifre ve verilerini çalmaktır. Kullanıcının bunu anlamaması için de ön planda kullanıcıdan para istenen bir mesaj gösterilir. Böylece verileri çalınan kullanıcı, sadece bir fidye yazılım ile karşı karşıya olduğunu düşünür.
Güvenlik araştırmacıları, ikinci kötü amaçlı yazılımın kodlarını incelediklerinde bilgisayardaki dosyaları silmek için de bir kod bloğu olduğunu gördüler. Ancak bu kodlar aktif değildi. Virüsün ikinci versiyonunda ise veri silme özelliği işlevsel bir ekran kilidi ile değiştirilmiş görünüyordu.
MBR’yi hedef alan virüslerin dışında iki tane de verileri silmek üzere geliştirilmiş kötü amaçlı yazılım ortaya çıkarıldı. Bunlardan ilki Çince bir dosya adıyla ortaya çıktı. Şubat ayında ortaya çıkan Çince dosya adlı virüs, direkt olarak kullanıcı verilerini hedef alıyordu. Dün tespit edilen ikinci veri silme uygulaması ise İtalya’da bulunan biri tarafından VirusPortal’a yüklendi.
Güvenlik araştırmacısı MalwareHunterTeam, bulaştıkları sistemdeki dosyaları silmek için kullandıkları yöntemleri verimsiz, hataya açık ve zaman alıcı olduğu için iki kötü amaçlı yazılımı da zayıf virüs türleri olarak nitelendirdi.
