451 http://www.spamhaus.org/query/451 kodunun ne anlama geldiğine bile bakmadan olay anlaşılıyordu: Firmanın IP adresi Spamhaus tarafından karalisteye alınmıştı. Gözüken bağlantıyı açtığımda daha başka bilgilere de ulaştım. Bir gün öncesinin tarihinde yüksek miktarda spam trafiğinin bu IP adresinden yaratıldığını söylüyordu. Yani ağdaki bilgisayarlardan birisi zararlı bir kodun esiri olmuştu. Sayfasında belirtildiği gibi Spamhaus'un karalisteden çıkma prosedürü basit. Eğer bu karalisteye ilk girişinizse ve ilk defa listeden çıkarılma talebinde bulunuyorsanız sayfanın altındaki bağlantıyı tıklayarak küçük bir formu doldurmanız yeterli. Ama eğer ağınızdaki virüsü tespit edip zararsız hale getiremediyseniz ve spam trafiği durmadıysa, tekrar karalisteye gireceksiniz demektir. Bunu birkaç kez yaparsanız artık internet üzerinden başvuru şansınız kalmayacak, Spamhaus'a doğrudan başvuru yapmanız gerekecek. Onların da hemen listeden çıkarmak yerine birkaç gün bekleyerek tekrarlamayacağını garantiye almaları da muhtemel. Böyle bir durumda kalmamak için önce bu trafiği durdurmak lazım. Uzaktaki yetkiliye bilgisayarları virüs yazılımıyla taratmasını söyledim. İşin ironik kısmı da bu: Bütün bilgisayarlarda lisanslı ve güncel bir antivirüs yazılımı bulunuyor. Ama virüs bu engeli bir kez aştıysa bir daha yakalanmayacaktır düşüncesiyle bir de MSRT (Microsoft Malicious Software Removal Tool) ile taratılmasını istedim. Bunların hiçbirisinden sonuç çıkmadığını öğrenince hiç şaşırmadım. Nasıl bulacağımı düşünürken aklıma firmanın Small Business Server'ı geldi. Üzerinde ISA 2000 olan bir sunucu bilgisayarları vardı. ISA'nın birkaç günlük firewall loglarına bakarak hangi makinanın 25 numaralı portu bu kadar yoğun kullandığını bulabilirdim. Hemen bir uzak masaüstü bağlantısı ayarladım ve ISA'nın son birkaç gününe ait log dosyalarını sıkıştırıp kendi bilgisayarıma aktardım. Son birkaç günün log dosyaları zaten diğer günlere kıyasla çok daha büyük boyuttaydı ki bu da bir sorun olduğunun başka bir göstergesi.bl?ip=xxx.xxx.xxx.xxx
Log dosyalarını spreadsheet programı ile açıp birleştirdikten sonra SMTP trafiğinde göze çarpan artışı tek bir IP adresi yarattığını farkettim. Bu IP adresinden son iki gün içinde 272,000'den fazla mesaj gönderilmişti! Bunu gördükten sonra Spamhaus'un ne kadar hayırlı bir iş yaptığını bir kez daha anladım. Sanal dünyanın arsızlarının masum kullanıcıları rahatsız etmemesinin en basit yoluydu bu.
Bu işin sonunda bilgisayarı bana gönderdiler. Bilgisayarı ilk açtığımda sıradışı bir şeyle karşılaşmadım. Antivirüs yazılımı çalışıyordu, bilgisayarın performansında olağanüstü bir düşüş yoktu. Ama Process Explorer ile çalışan süreçlere ve Autoruns ile de sistemin açılışında başlatılan bileşenlere baktığımda suçlu ortaya çıktı. Aşağıdaki resimde Process Explorer ve Autoruns çalışırken aldığım ekran görüntüsü var.
Kırmızı ile altını çizdiğim userini.exe, gerçekte bir sistem dosyası olan userinit.exe'ye ismen benzemeye çalışmış. Autoruns'da (sağda, önde duran pencere) 4 farklı yerde görünen bu dosya, kendini garantiye alarak çalışmayı şansa bırakmamış. Ayrıca Process Explorer'da (solda, arka planda kalan pencere) altını çizdiğim sürec(ler)e ise dikkat: bir ADS'ye sahip. ADS, alternate data streams'in kısaltması. Dosya sisteminin bir özelliği bu. Ama virüsler ve diğer zararlı yazılımların kendini gizlemesi için de ideal bir yöntem. Bu konuyu hakkında ayrıntıyı şu yazımda bulabilirsiniz.. ADS'nin ayrıntılarına girmeden konumuza dönelim.
Process Explorer'da explorer.exe:userini.exe olarak gözüken süreç, aslında normal bir Windows dosyası olan Explorer gibi gözüken, ama aslında zararlı bileşenimiz olan userini.exe'yi çalıştıran satır. Komut satırında sfind.exe'yi (bir Foundstone güvenlik aracı) kullanarak bu userini.exe'nin ADS altına gizlendiğini doğruladım:
C:\Windows\Prefetch'in altındaki satır önemsiz. Ama onun üstündeki Explorer.exe:userini.exe bizim ilgilendiğimiz satır. Sadece Explorer.exe'nin üzerine yamanmış userini.exe'yi silip bundan kurtulabilirim ama sistemde başka virüsler var mı, önce bunu bulmam gerek. Bu makinayı üzerinde yüklü olan antivirüs yazılımı McAfee Virusscan Enterprise'ın 8.5i'nin son tanım dosyalarıyla (o gün için 5853) güncelledikten ve antispyware bileşenini yükledikten sonra tekrar tarattım, 4 tane cookie'den başka birşey bulmadı! Diskini söküp başka bir makinaya taktım. Linux'ta açıp clam ile tarattığımda 50'den fazla zararlı dosya buldu. Bu dosyaların bazıları bana "pek virüs gibi" görünmediği için başka bir taramayı da Kaspersky ile yaptım. Bu ise topu topu 8 tane zararlı içerik tespit etti. Bu sefer benim "pek virüs gibi" görmediğim dosyaları bulmadı. Bunun üzerine bu dosyaların yeni kurulmuş bir makinadan alarak tekrar clam ile tarattığımda bunları yine virüs olarak gördü. Buradan clam'in bazı durumlarda yanlış alarm ürettiği sonucuna vardım. Eğer clamscan için detect-pua anahtarını (Possibly Unwanted Applications-muhtemelen istenmeyen uygulamları da bul) kullanırsam, bu gibi durumlarda yanlış alarm üretebiliyor. Kısaca Kaspersky en güvenilir sonuçları verdi. Nihayetinde McAfee Virusscan Enterprise hiç bir zararlı bileşen tespit etmezken, Clam userini.exe'yi Trojan.Fraudpack-2378 olarak, Kaspersky ise Trojan.Win32.FraudPack.ajqk olarak tespit etti. Sistemin temiz olduğuna kanaat getirdikten sonra Spamhaus'a gereken başvuru yapıldı ve herşey normale döndü. Buradan çıkan sonuç: Yüklü antivirüs yazılımına hiçbir zaman tam olarak güvenme!
Hiç yorum yok:
Yorum Gönder