Gönderen: bekirdurmaz | 22 Kasım, 2008

Flash Disk Virüsleri

flashburgerBu aralar herkesin başının flash disklere zıplayarak her tarafa kendini yayan virüslerle dertte olduğunu görüyorum. Bazı kurumlarda ciddi iş ve zaman kaybına yol açan bu virüsleri kurum çalışanlarıyla birlikte nasıl temizleyeceğimizi durduracağımızı konuştuk. Binlerce varyant ile virüs gündemini şu an için en çok meşgul eden kategorideler ve cidden baş belası durumundalar. Kurumlardaki IT çalışanlarının bana aktardığı ortak bir tecrübe var. Bu virüsleri Kaspersky anti-virüs’ten başka birşey temizleyemiyor diyorlar. Ben de bunun üzerine elimdeki anti-virüs paketleri ile denemeler yaptım ve söylediklerinde haklı olduklarını gördüm. Çoğu diğer anti-virüs yazılımı sürekli birşeyler bulup, bunları Silly.DC grubu altında tanımlayıp karantinaya alsa da yeniden türüyorlar. Dolayısıyla zararlıyı oluşturan arka plandaki işlemi bulamıyorlar.

Kaspersky’nin ayarları ile oynayıp bulduğu dosyalar üzerinde işlem yapmamasını ancak bana uyarı vermesini sağladım ve tarama başlattım. Her bulduğu dosyayı .rar’ladım, .rar’a da şifree verdim ve tamamen encrypt ettim. Sonra içinde başka bir anti-virüs yazılımı olan bilgisayar da rar’ı açtım ve şaşırtıcı an geldi, anti-virüs dosyayı hemen sildi. Bu birkaç anti-virüs için de aynı şekilde gelişti. Yani anti-virüsler dosya çalışmıyorken/aktif değilken ne olduğunu tespit edebiliyorlar ancak virüs sistemde aktifken yapılan taramalarda bulamıyorlar. Bu duruma mantıklı bir cevap vermek zor, tek akla gelen rootkit kullanılma durumu. Başka bir ilginç durum ise Kaspersky bu virüslerin ayrı ayrı isimlerini biliyor ama diğerleri bilmiyor. Diğer anti-virüsler bu zararlıların hepsine birden Silly.DC ya da Gammina ismini veriyor. Ki bu ilginç durumun açıklaması belli ama ben burada yapmayacağım 🙂

Peki nasıl bir yol izledik? Aktif/pasif problemi yüzünden, benim sistemlerden aldığım zararlıları, anti-virüs üreticilerine göndermemin bir anlamı kalmadı malesef. Çünkü zaten dosya pasif iken virüs olarak tanımlanabiliyordu. Bulaşmasını nasıl önleriz diye düşünürken Symantec’in Endpoint Protection ajanı içinde mevcut bulunan Application Control bileşeni aklımıza geldi. Bu bileşen ile tüm flash disk türevi cihazlar üzerinde autorun.inf dosyasının okunması işlemini bloke ettik. Böylece flash disk virüslü olsa bile sisteme bulaşmıyordu. Virüslü sistem de bu autorun.inf dosyasını flash disk’e oluşturamaz oldu. Buna ek olarak flash disk içinden program çalıştırmayı da engelledik.

Bu bulaşma yöntemi ile ilgili biraz daha detay vermek istiyorum. Flash diskinize çift tıkladığınızda Windows “ne ile açayım” penceresi açıyorsa, gizli dosyalarınızı göremiyorsanız, C: diskinizdeki klasöre çift tıkladığınızda, öyle ayarlanmamış olmasına rağmen, yeni pencerede görüntüleniyorsa ve/veya bunlarla beraber sisteminiz ciddi performans sıkıntısı çekiyorsa muhtemelen bu virüslerden birisi sisteminizde aktif durumda demektir. Eğer yabancı bir flash diski ya da USB hard diski sisteminize bağlayacaksanız korkmayın, Shift tuşuna basarak diski takın/bağlayın ve bir müddet bekleyin (sistemin diski taradığından ve de otomatik çalıştırma işi yapmaktan vazgeçtiğini anlayana kadar). Böylece Windows otomatik çalıştırma işlemi yapmayacaktır ve virüs sisteminize bulaşmayacaktır. Sonrasında bir komut satırı açın, flash diskin bağlandığı sürücü harfine gidin (e:, f:, g: gibi). “dir /a” komutu ile tüm dosyaları görüntüleyin. Eğer autorun.inf dosyası görüyorsanız disk virüslü demektir. Ancak autorun.inf virüsün kendisi değildir. O sadece virüsü bulaştıracak işlemi başlatmak için oradadır. Dolayısıfla x.com, y.bat, z.js, boot.exe gibi tanımayacağınız, karışık isimlere sahip, orada olmaması gereken dosyalar da olmalı. Hem autorun.inf’yi hem de bu gereksiz dosyaları silin (tekrar hatırlatayım, bunları windows explorer ile göremezsiniz). Normal “del x.com” komutu ile muhtemelen silemeyeceksiniz. “del /A:s x.com” ya da “del /A:h x.com” komutlarını deneyin. Bunlarda çalışmazsa, file shredder benzeri bir tool ile silmeniz gerekebilir. Ya da benim yaptığım gibi cygwin paketini kurabilir, windows komut satırından unix komutlarını çalıştırabilirsiniz (ilgili komut : “rm -rf x.com”).

Son haber ise Pentagon’dan. İkinci bir emre kadar flash disk kullanımı penragon’da yasaklanmış. Sebebi ise sisteme dadanmış bir varyant. Referans : http://www.kauz.com/news/local/34919349.html

Büyük anti-virüs yazılımcılarının bu işe acil çözüm bulmaları şart, onlar da farkında zaten, biz de beklemedeyiz mecburen.

Reklamlar

Responses

  1. Selamlar, cok guzel bir yazi olmus.
    Ben de 6-7 ay kadar once bu konuda bir seyler yazmistim, eminim bu yazi ile ilgilenenlerin ilgisini cekecektir.

    http://www.h-labs.org/blog/2008/05/27/usb_diskler_ve_gvenlik_problemleri.html

  2. Bulaşmasını nasıl önleriz diye düşünürken Symantec’in Endpoint Protection ajanı içinde mevcut bulunan Application Control bileşeni aklımıza geldi. Bu bileşen ile tüm flash disk türevi cihazlar üzerinde autorun.inf dosyasının okunması işlemini bloke ettik.

    bunu nasıl yaptınız?

    aynı zamanda usbdeki verilerin sadece okumasını ama istediğim bazı uygulamaların(.xls .doc gibi) yazılabilmesinide istesem nasıl bir kural oluşturmam gerekiyor?

    teşekkürler şimdiden cevaplarınız için.

    • Dilerseniz size hazırlanmış politkayı e-posta ile gönderebilirim. Bana e-posta gönderebilirseniz size cevap gönderebilirim : bekirdur at yahoo nokta com

      Selamlar


Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

Kategoriler

%d blogcu bunu beğendi: