Benim De Başıma Gelebilir mi.. Gelir !

Tam da başlangıç seviyesi için güvenlik yazımı yazmıştım. Aradan yaklaşık 24 saat geçmişti, Sonraki yazımda yazacaklarımı kafamda toparlıyordum, bir yandan da emule de blog programlarını araştırıyordum. (Bu arada ZOUNDRY blog programını tavsiye ederim. Blogger beta (v3) ü ve Türkçe karekterleri,başlığı ve tag leri destekliyor. ) İndirdiğim programların bir tanesi zip formatındaydı, bir klasöre açtım. "Avast nasılolsa arşivden de olsa tüm virüsleri bulur" diye düşündüğümden setup.exe dosyasını çalıştırdım. (bu arada klasörde readme.txt dosyası bir de DLL dosyası vardı. Hiç de şüphelenmedim. )

İlk başta birşey olmadı. Hiçbir program çalışmıyor gözüküyordu. Fakat o da ne? Avast ikonunda çarpı işareti olduğunu dehşetle farkettim. Birşeyler ters gidiyordu. Modern zaman virüsleri bulaşırken antivirüs programlarını sonlandırıp bilgisayardan siliyor ve tekrar kurulmasını da engelliyor. Derken avast simgesi tümden yok oldu (yani avast processleri tamemen sonlandırıldı). Hızla Spybot a yöneldim. Ama "hızlı başlat" taki Spybot ikonu yok oldu !! tamam tamam heyecan yok dedim kendi kendime. Fakat programın dosyası silinmişti..

Son çare olarak spyware blaster ı açtım ve tüm korumaları etkinleştirdim. Şimdilik idare eder diye düşündüm (Ve evet,aslında çok faydalı oldu ) Bulaşan şeyin rootkit kullanan bir virüs olduğundan emindim. Kendini sistemde iyice gizlemişti, hatta explorer benzeri programlarda da gözükmüyordu. (bu tür problemler için her zaman linux un live cdlerini çalıştırabilirsiniz, ama benim daha pes etmeye niyetim yoktu. En azından restart atmadan virüsü bulmalı, çözüm yollarını uygulamalı ve emin olduktan sonra bilgisayarımı yeniden başlatmalıydım. (çünkü: bazı virüsler bilgisayar yeniden başlarken/yada kapanırken tüm hard diski silebilirler)

İnternette yaptığım kısa araştırmadan sonra virüsün Win32:Beagle olduğunu öğrendim.Bulaştığı yerler korkunçtu.Bulaşma şekli korkunçtu! Her ne kadar symantec ve kapersky firmaları bu virüsün tehdidini "düşük-orta" seviyede değerlendirse de bence orta-yüksek seviyede. Açıklayayım: Rootkit kullandığı için yok edilmesi zor, farkedilmesi zor. Bulaşma olarak network ü kullanmaması (yani network crawling yapmaması) tehdidi azaltabilir  ama şunu okuyun: bulaştıktan sonra yaklaşık 20 internet sitesinden kendi gibi zararlı virüsleri/ truva atlarını/wormları indiriyor(bunu spywareblaster önledi muhtemelen) ve kendini bulaştığı kurbanın adres defterindeki herkese, outlook,outlook express vs(neyseki bu duruma karşı adres defterimi bir metin dosyasında, txt olarak tutuyorum-copy paste her işi görür :D ) listelenen herkese kendini gönderiyor.

Neden korkuçtu? Rootkit kullanıldığı için virüs dosyaları kendilerini task managerda da, explorerda da göstermiyordu! Virüs tanıma için ilk araçlarım elden gitmişti ! Hatta internet explorer ayarlarını değiştirip başalngıç sayfasını virüs içeren sitelere yönlendiriyor,sakıncalı activex içerebiliyor !!(neyseki opera kullanıyorum) Bir de windows un bazı servislerini kapatıyor: otomatik güncellemeler, güvenlik merkezi, windows firewall servisi...vs..Düşünün bir de network crawling yapsa, ağdaki bilgisayarlara bulaşsa neler yapabilir..

Gayet tabii, daha kötüsünü yapan, bulaştığı bilgisayarda çok daha zarara, güvenlik açıklarına yol açan virüsler/trojanlar/wormlar var ama, en zararlı olanlar üzerinden para sağlamaya yönelik  (bot networking, corp. network hijacking, domain hijacking, industrial espionage, steal personal/corp private info) yapılan virüsler/mutexlerdir. Bunları yapanlar sadece spammerler, lamerlar değil aynı zamanda çeşitli gruplar hatta mafyalar...Ama unutmayın, bunlar genelde hedefe yönelik yazılır. Fazla paranoya yapmaya da gerek yok doğrusu...

Bu sırada ne yaptım? emule açıktı ve internet bağlantımı fazlasıyla sömürüyordu. (25k civarı) Bu yüzden internet bağlantımı kapatmadım, ama bu hattı kullanan diğer bilgisayarı açmadım, usb de olsa hdd,usb pen drive bağlamadım. Onlara da bulaşabilirdi çünkü.

Neyse çözüme geçelim. Tabii bu anlattıklarımdan önce, Spyware blasterden da önce virüsün ilk çalıştırdığım program dosyalarını dosya cehennemine gönderdim. Başta hata verdi (dosya kullandımda vs) Ama Unlocker programı imdadıma yetişti ve dosyayı sildim. Yapacaklarımın daha başındaydım maalesef.

Virüs ile ilgili tanımlama ve çözümlerde bilgisayarda şu konumlara kendini attığını öğrendim: (birkaç dosya daha var ama isimleri değişken olduğundan yazmadım)

C:\WINDOWS\system32\hldrrr.exe
C:\Documents and Settings\%kullanıcıadı%\Application Data\hidires\hidr.exe
C:\Documents and Settings\%kullanıcıadı%\Application Data\hidires\m_hook.sys

C:\windows\system32\drivers\sptd.sys
C:\Windows\exefld
C:\windows\system32\drivers\sptd.sys
HKEY_CURRENT_USER\Software\FirstRRRun

Not: \%kullanıcıadı%\ yazan yeri sizin oturum adınızla değiştirin. Bu listedeki processlerin çoğu, normalde gözükmüyor.

Dosyaları KILLBOX ile sildim. Fakat içim rahat değildi. Bilgisayara Symantec, Avast, Kaspersky ın genel virüs temizleme ve Win32:Beagle virüsüne özel programcıklarını indirdim, taradım. Şunu söyleyeyim: bunlar HİÇ bir işe yaramadı. F-secure Blacklight de öyle. En büyük kaynak şu kaspersky forumu ve bu fransızca forum sayfasıydı. (edit: Kullandığım toolları direkt indirebilirsiniz: Clean.zip ve Diaghelp.zip ) Fransızcadan pek anlamam ama verdiği linkler yeterince yardımcı oldu. Bunların yanısıra Seem i KESİN indirin (Site fransızca, biliyorum.. Telecharger linki=download demektir, sitede programın ingilizce versiyonu var). Rootkitleri ve dosyaları bulma-yoketme konusunda 1 numara. Ama unutmayın: SEEM bir anti-rootkit tarama ve savunma programı değil, daha çok diagnostik programı. Bu yüzden bu programla sildiğiniz programlara dikkat edin.

Yerleştiği her yeri registry, startup ı,rootkit konumlarını iyice temizledim. Emin olduktan sonra sistemi yeniden başlattım.

Temizlik sonrası olağan sorunlar: İlk problem, internet bağlantımda, Windows Zero Configuration (WZC) servisinin başlamaması oldu. Manuel başlatma da işe yaramadı. Hmm yanlış bir dosyayı silmiş olabilirim, neyseki yedekte programlarım var. Microsoft, sessiz sedasız birkaç ay önce Windows Live Wifi Center Beta yazılımını çıkarmıştı. (emule de bulabilirsiniz) Fakat Kurulumda hata verdi, Msxml 6 istiyor... Olsun bir de Intel(R) PROSet/Wireless yazılımı var. Şimdi o kurulu MobileSilver laptop umda :D

İkinci Problem de sistem servislerindeydi. Virüsün bazı servisleri kapattığını biliyordum. Hepsini -tabii ki sonra tekrar bakmak üzere- başlangıcını otomatik olarak ayarladım. Son olarak da, yahoo pops u tekrar kurmam gerekti. (tabii virüs yüzünden kuramadığım avast ve spybot u saymıyorum)

Son Sorun olarak: açılış ve kapanışta garip hata mesajları alıyorum.. Bilgisayarı pek kapatmadığımdan önemli değil. Belki bir ara hepsini tek tek ele alıp çözerim, Yada sık sık yaptığım yedeklemelerden birinde sistem yedeği de alıp kurtarma cdsiyle 20 dk da Xp yi tekrar kurarım, Yaklaşık 24 saat içinde bilgisayar eskisinden de iyi olur, kararsızım şimdilik..

Peki bu tür virüsler/rootkitler için ne önlem alınabilir? Önerim, rootkit karşıtı ProcessGuard . Ücretsiz sürümü bile, sisteminizi yeterince koruyor.

Ama tüm bunların sonu nereye kadar gidecek? Microsoft önce firewall ve antivirüs kullanmamıza sebep oldu, sonra ip adreslerini engelledik, zararlı içeriğin gelmesini önledik, daha sonra spyware/adware ler çıktı.Onlara karşı programları da kurduk. Son olarak Rootkitlere karşı program kurduk. Yani demek istediğim microsoft daha ne kadar böyle devam edecek?? Tüm bunlar- bu güvenlik açıklarının varlığı çok rahatsız edici. Eğer windows ta, (vista da bile olsa) bunlar gibi önemli bir güvenlik açığı daha görürsem, epey zamandır sempati duyduğum LİNUX a geçeceğim. Linux u da sonuna kadar öğreneğim.

Herkese mutlu sağlıklı yıllar

PEACE OUT,

YankiZulu