10.12.2009

Bir Dialer'ın tespiti (yanlış alarm)

Kurumsal ağımızda kullandığımız McAfee Virusscan Enterprise antivirüs yazılımımız, belli bir periyotta tüm bilgisayarları tarayacak şekilde ayarlandı. Bir süredir bu düzenli taramalarda, benim bilgisayarımda hiç beklenmedik bir virüs aktivitesine ait loglar dikkatimi çekiyordu.

23.11.2009 12:10:06 Deleted SYSTEM HKU\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx\Software\Freeware Dialer-182(Potentially Unwanted Program)


Her tarama tarihinde, bu kayıt defteri anahtarı bulunuyor, siliniyor ve her nasılsa bir sonraki taramaya kadar tekrar yaratılıyordu. Belli ki düzenli kullanıdığım bir program yapıyordu bunu. Hangisi olduğunu bulmak zor iş diye düşünürken antivirüs programımın bir özelliği aklıma geldi. Access Protection'ın altında kullanıcı tanımlı kurallar yaratabiliyordum. Eğer kayıt defterinin bu bölümünü bloklarsam hem bu programın hangisi olduğunu bulabilirim, hem de kayıt defterimi böyle bir girişten uzak tutabilirim düşüncesiyle aşağıdaki kuralı yaratmaya koyuldum.

Yukarıda görüldüğü gibi "Registry Block Rule"u seçerek aşağıdaki girişleri yaptım.

Ve pusuya yatan bir avcı misali avımı beklemeye başladım. Birkaç gün sonra anvirüs yazılımımın sistem tepsisindeki simgesi yanıp sönmeye başladığında Virtualdubmod kullanıyordum. Açık kaynak kodlu Virtualdub yazılımının bir türevi olan bu program, MPEG2 formatındaki dosyaların ve birden çok ses izine sahip avi dosyalarının düzenlenmesinde kullandığım bir programdı. Programı birkez de elle virüs taramasından geçirdim, sonuç negatifti. Bu güne kadar güvendiğim bir yazılımın böyle bir dialer bileşenine sahip olması şokunu üstümden atar atmaz programın sitesinden programı birkez daha indirmeye karar verdim. Virtualdubmod, uzun bir süredir güncellenmeyen bir proje. Yeni sürmünün çıkmadığını biliyorum ama belki bendeki kopyası ile ilgili bir sorun vardır diyordum.

Ama yeni download ettiğim dosya da aynı sonucu verdi. Process Explorer ile çalışan programın strings tabına bir göz attığımda aşağıdaki ekranla karşılaştım.

Aslında Virtualdobmod, HKCU\Software\Freeware altında masum bir Virtualdubmod anahtarı yaratıyordu - bu antivirüs yazılımının loglarında belirtilmemişti. Sanıyorum bu basit bir çakışmadan ibaret. Dialer-182 adı altında kapsanan tehdit, HKCU\Software\Freeware anahtarının altına erişiyor. Şansa bakın ki Virtualdubmod da aynı anahtara erişiyor. Ama dialer ile hiçbir ilişkisi yok. Yani yanlış alarm.


Buna göre şu anda yapılabilecek iki şey var. Birincisi, virtualdubmod aklandığına göre anvirüs yazılımındaki Registry Blocking Rule'u silmek (veya virtualdubmod'u bir istisna olarak eklemek). Böylece herşey eskisi gibi olacak. Virtualdubmod özgürce kayıt defterine erişecek, ama antivirüs yazılımım da söz konusu anahtarı silmeye ve loglarında bunu belirtmeye devam edecek. Bu istemediğim birşey; loglarda sürekli bu yanlış alarma dair kayıtları görmek istemiyorum. İkincisi de kuralı olduğu gibi bırakmak. Bu şekilde de virtualdubmod'un HKCU\Software\Freeware altındaki anahtarı yaratmasına izin verilmeyecek. Bunun sonucunda da her açılışta GNU GPL anlaşmasını ve "Before We Start..." ekranını gösterecek. Bence mahsuru yok; bu daha iyi olur.