McAfee'nin antivirüs yazılımları, günlük olarak yeni çıkan virüs tanımlarını yaklaşık olarak 200 KB civarında olan *.gem dosyaları ile yüklerler. Eğer son 35 güncellemeyi kaçırdıysanız bu tip 35+ günlük *.gem dosyasını indirmek yerine SuperDAT olarak bilinen toplu güncelleme dosyasını indirmeniz gerekir (ya da avvdat-xxxx.zip dosyasını). SuperDAT dosyası da son zamanlarda oldukça yüksek boyutlara ulaşmıştı ( >120 MB).
Yeni rastladığım bir habere göre McAfee, artık V1 olarak nitelendirdiği ürün grubu için güncelleme yayınlamayı durdurmuş. Virusscan Enterprise v8.0 ve öncesini de kapsayan bu ürün grubu için artık güncelleme yayınlanmayacak. Bunun sonucunda da artık SuperDAT dosyaları V1 güncellemelerini içermeyeceğinden daha küçük olabilecekler.
Bu durumu bugün SuperDAT'ı indirirken farkettim. Boyutu 64 MB civarındaydı. En son indirdiğim dosyanın 120 MB civarında olduğunu hatırladığımdan küçülmesine sevindim.
McAfee Community Forum'daki bir mesajda görüş bildiren "bir bilen" ise, McAfee'nin SuperDAT'ların boyutunu daha da küçültmek için çalışmalar yaptığını, ama her gün çıkan çok sayıdaki yeni tehditin bu konuyu zorlaştırdını söylemiş. Ayrıca virüs başına ayrılan tanım bilgisini küçültmenin bir yan etkisinin de yanlış alarmları artırmak olduğundan bahsedilmiş (bkz. McAfee Hayatının Hatasını Yaptı). Ama böyle bir hedef konduysa bu bir şekilde olur sanıyorum. 100 MB'ın üzerinde SuperDAT boyutundan sıkılmış biri olarak bu konunun bir süredir takipçisiydim, şimdi bu haberleri alınca bir miktar rahatladım.
Bu arada sdat'lara (SuperDAT) ek olarak bir de xdat dosyasımız var artık. McAfee'nin FTP sunusunda rastladığım xdat dosyası, sadece antivirüs güncellemelerini içerecek. Bazı durumlarda sdat dosyaları virüs tanım dosyalarının yanı sıra tarama motoru (scan engine) güncellemelerini de içerebiliyor.
Burada anlatılanlar benim küçük/büyük sorunlarımı çözerken izlediğim adımlardır. İlerde bu bilgilere kendim her yerden erişeyim diye, veya benzer sorunları yaşayan başkaları da erişebilsin diye burada biriktiriyorum. Bu adımları uygulamak, hata yapmamak ve doğabilecek herhangi bir hasar sizin kendi sorumluluğunuzdadır. Yazar(lar) veya yazılardaki bağlantıların sahipleri hiçbir şekilde oluşabilecek hata/hasarlardan dolayı sorumlu tutulamazlar.
28.04.2010
22.04.2010
McAfee'den 5958 DAT'ta yanlış alarma dikkat!
McAfee hayatının hatasını yaptı. 21 Nisan'da Türkiye saati ile 15:00 gibi yayınladığı 5958 sürüm numaralı virüs tanım dosyası, Windows XP Service Pack 3 yüklü bilgisayarlarda svchost.exe isimli sistem dosyasını, yanlış teşhis ile w32/wecorl.a virüsüne benzeterek sildi. Bunun sonucunda da dünyada tahminen onbinlerce bilgisayar çöktü.
McAfee'nin web sitesinde de bildirdiği gibi, diğer Windows sürümlerini etkilemeyen güncelleme, sadece Windows XP SP3 sistemleri çalışmaz hale getirdi. Çeşitli internet haber sitelerinin (örneğin şu) verdiği bilgiye göre ABD'de okullar, üniversiteler, polis teşkilatı ve cezaevi bilgisayarları bu durumdan etkilendi. Sayılar ayrıca Windows XP'nin halen yerini ne Windows Vista'ya, ne de Windows 7'ye bırakmadığının da göstergesi.
Bu durumdan etkilenmiş bir bilgisayar, arka arkaya tekrar başlıyor. Bilgisayarın bu bozukluğunu gidermek için Ağ Destekli Güvenli Mod'da açıp işlem yapmak gerekiyor. Yapılacak işlem, öncelikle antivirüs tanım dosyasını 5958'den 5959'a yükseltmek. Bunu yapmanın bir yolu McAfee'nin sitesinden indirilen ExtraDAT'ı %CommonProgramFiles%\mcafee\engine altına kopyalamak. Bu şekilde svchost.exe'nin W32/Wecorl.a virüsü olarak algılanmasını engellemiş olacağız.
Ardından %windir%\system32 klasörü altında boyutu sıfır (0) olmayan bir svchost.exe olup olmadığını kontrol etmek gerek. Eğer sistem 5958 DAT'a sahipse ve bilgisayar durmaksızın tekrar başlıyorsa burada yüksek ihtimalle bir svchost bulamayacağız. Karantinaya alınmış olabilir, bu sebeple VSE Console'u açıp Quarantine Manager Policy'nin özelliklerine girip Manager sekmesine gelerek burada (muhtemelen en son) karantinaya alınma işlemini Restore komutu ile geri almak gerek. Sisteme daha önce 5958'den daha yeni bir DAT kurduğumuz için bu şekilde bundan sonra tekrar karantinaya alınmayacağını da garantiledik.
Eğer svchost.exe karantinaya alınmadan doğrudan silindiyse bu dosyayı dllcache klasöründen (%windir%\system32\dllcache) veya çalışan başka bir SP3'lü bilgisyardan alabiliriz. Grafik arayüzde Paste (Yapıştır) çalışmıyorsa "komut satırından copy komutu ile yapmayı deneyin" denmiş McAfee'nin sitesinde. Bundan sonra bilgisayarı tekrar başlatıp normal çalışma ortamına dönebiliriz.
İşlem sadece birkaç dakika alıyor. Ama yüzlerce bilgisayarı olan bir kuruluşun sadece 100 bilgisayarının etkilendiğini düşünürsek, bu 100 bilgisayarın tekrar eski haline getirilmesi bilgi işlem bölümünü uzun bir süre meşgul edecek bir uyulama olur. Yine de daha kötü durumlara sebep olmamasına, veri kaybı yaşanmadığına şükür :|
Türkiye galiba bu durumda biraz şanslı. Güncelleme Türkiye saatiyle 15:00 gibi yapılmış. Bu saatten sonra yeni DAT dosyalarını indirip istemcilere dağıtacak sistem sayısı nispeten azdır. Mesainin 18:00 gibi bittiğini ve istemci bilgisayarlarının bu saatten sonra kapandığını düşünürsek risk az. Zaten McAfee de kısa bir süre sonra 5959'u yayınladı. Eğer Windows 2003 gibi mesai saati bitişinde kapanmayan sunucu işletim sistemleri bu durumdan etkileniyor olsaydı, zarar şüphesiz çok daha fazla olurdu (ufff! düşünmek bile istemiyorum).
McAfee'nin saygınlığının bu durumdan nasıl etkileneceğini önümüzdeki günlerde göreceğiz.
McAfee'nin web sitesinde de bildirdiği gibi, diğer Windows sürümlerini etkilemeyen güncelleme, sadece Windows XP SP3 sistemleri çalışmaz hale getirdi. Çeşitli internet haber sitelerinin (örneğin şu) verdiği bilgiye göre ABD'de okullar, üniversiteler, polis teşkilatı ve cezaevi bilgisayarları bu durumdan etkilendi. Sayılar ayrıca Windows XP'nin halen yerini ne Windows Vista'ya, ne de Windows 7'ye bırakmadığının da göstergesi.
Bu durumdan etkilenmiş bir bilgisayar, arka arkaya tekrar başlıyor. Bilgisayarın bu bozukluğunu gidermek için Ağ Destekli Güvenli Mod'da açıp işlem yapmak gerekiyor. Yapılacak işlem, öncelikle antivirüs tanım dosyasını 5958'den 5959'a yükseltmek. Bunu yapmanın bir yolu McAfee'nin sitesinden indirilen ExtraDAT'ı %CommonProgramFiles%\mcafee\engine altına kopyalamak. Bu şekilde svchost.exe'nin W32/Wecorl.a virüsü olarak algılanmasını engellemiş olacağız.
Ardından %windir%\system32 klasörü altında boyutu sıfır (0) olmayan bir svchost.exe olup olmadığını kontrol etmek gerek. Eğer sistem 5958 DAT'a sahipse ve bilgisayar durmaksızın tekrar başlıyorsa burada yüksek ihtimalle bir svchost bulamayacağız. Karantinaya alınmış olabilir, bu sebeple VSE Console'u açıp Quarantine Manager Policy'nin özelliklerine girip Manager sekmesine gelerek burada (muhtemelen en son) karantinaya alınma işlemini Restore komutu ile geri almak gerek. Sisteme daha önce 5958'den daha yeni bir DAT kurduğumuz için bu şekilde bundan sonra tekrar karantinaya alınmayacağını da garantiledik.
Eğer svchost.exe karantinaya alınmadan doğrudan silindiyse bu dosyayı dllcache klasöründen (%windir%\system32\dllcache) veya çalışan başka bir SP3'lü bilgisyardan alabiliriz. Grafik arayüzde Paste (Yapıştır) çalışmıyorsa "komut satırından copy komutu ile yapmayı deneyin" denmiş McAfee'nin sitesinde. Bundan sonra bilgisayarı tekrar başlatıp normal çalışma ortamına dönebiliriz.
İşlem sadece birkaç dakika alıyor. Ama yüzlerce bilgisayarı olan bir kuruluşun sadece 100 bilgisayarının etkilendiğini düşünürsek, bu 100 bilgisayarın tekrar eski haline getirilmesi bilgi işlem bölümünü uzun bir süre meşgul edecek bir uyulama olur. Yine de daha kötü durumlara sebep olmamasına, veri kaybı yaşanmadığına şükür :|
Türkiye galiba bu durumda biraz şanslı. Güncelleme Türkiye saatiyle 15:00 gibi yapılmış. Bu saatten sonra yeni DAT dosyalarını indirip istemcilere dağıtacak sistem sayısı nispeten azdır. Mesainin 18:00 gibi bittiğini ve istemci bilgisayarlarının bu saatten sonra kapandığını düşünürsek risk az. Zaten McAfee de kısa bir süre sonra 5959'u yayınladı. Eğer Windows 2003 gibi mesai saati bitişinde kapanmayan sunucu işletim sistemleri bu durumdan etkileniyor olsaydı, zarar şüphesiz çok daha fazla olurdu (ufff! düşünmek bile istemiyorum).
McAfee'nin saygınlığının bu durumdan nasıl etkileneceğini önümüzdeki günlerde göreceğiz.
7.04.2010
Internet Explorer bilgi çubuğunda "Güvenliğinizin korunmasına yardımcı olmak için Internet Explorer bu sitenin dosyaları karşıdan yüklemesini kısıtladı" mesajı
Internet Explorer'ın güvenlikle ilgili kötü ününü temizlemek için yapılan çalışmalardan biri olan bilgi çubuğunda bir gün bu hatayı görebilirsiniz. Windows XP SP2 sonrası görülen bu durum aslında IE8'i bile kapsıyor. Örneğin arama motorunda bulduğunuz bağlantılardan birisi bir PDF dosyasına aitse, bunu tıkladığınızda aşağıdaki benzer bir görüntü ile karşılaşabilirsiniz.
Çalıştığım bilgisayara özgü bir durum muydu, bilmiyorum ama bilgi çubuğunu tıkladıktan sonra açılan menüde "engellenen içeriğe izin ver" dediğimde mevcut sekme kaybolup yerine yeni bir Google arama sayfası açılıyordu. Yani PDF açılmıyordu.
IE'nin güvenlik önlemlerini zararsız bir PDF'i bile kapsayacak şekilde şekillendirmesi, güvenlik konusunda çok yol aldıklarını iddia eden IE geliştiricilerinin katettikleri yol hakkında bir fikir (!) veriyor. Neyse, konuya geri dönelim. Standart bir kullanıcı bilgi çubuğundan da habersizdir, IE'nin güvenlik önlemlerinden de. Onların istediği Google'da arama yapıp linkleri tıklamak. Açılmayınca bizi ararlar.
Önerilen çözüm, IE'nin güvenlik önlemini devre dışı bırakmak. Nasıl yapılır? Araçlar>Internet Seçenekleri komutuyla açılan diyalogda Güvenlik sekmesine geçip Ayarlar bölümünde Başlığına kadar gelip bunun altındaki "Etkin içeriğin Bilgisayarım üzerindeki dosyalarda çalışmasına izin ver*" kutusunu işaretleyin. Buradaki yıldız (*) bu ayarın IE'nin tekrar başlatılması gerektiğini söylüyor. Kapatıp açtıktan sonra aynı durumla karşılaşmayacaksınız.
Ama güvenlik önlemlerini (!) devre dışı bırakmadan bu işi yapmanın bir yolunu buldum. IE penceresinin sağ üst köşesindeki arama kutusunun varsayılan arama motorunu Google yaptım ve aramayı o kutuya yazdım. Aynı sonuçları verdi. Ama bu sefer PDF bağlantılarını tıklayınca doğrudan dosyayı download edip açtı. Değişik :)
Çalıştığım bilgisayara özgü bir durum muydu, bilmiyorum ama bilgi çubuğunu tıkladıktan sonra açılan menüde "engellenen içeriğe izin ver" dediğimde mevcut sekme kaybolup yerine yeni bir Google arama sayfası açılıyordu. Yani PDF açılmıyordu.
IE'nin güvenlik önlemlerini zararsız bir PDF'i bile kapsayacak şekilde şekillendirmesi, güvenlik konusunda çok yol aldıklarını iddia eden IE geliştiricilerinin katettikleri yol hakkında bir fikir (!) veriyor. Neyse, konuya geri dönelim. Standart bir kullanıcı bilgi çubuğundan da habersizdir, IE'nin güvenlik önlemlerinden de. Onların istediği Google'da arama yapıp linkleri tıklamak. Açılmayınca bizi ararlar.
Önerilen çözüm, IE'nin güvenlik önlemini devre dışı bırakmak. Nasıl yapılır? Araçlar>Internet Seçenekleri komutuyla açılan diyalogda Güvenlik sekmesine geçip Ayarlar bölümünde Başlığına kadar gelip bunun altındaki "Etkin içeriğin Bilgisayarım üzerindeki dosyalarda çalışmasına izin ver*" kutusunu işaretleyin. Buradaki yıldız (*) bu ayarın IE'nin tekrar başlatılması gerektiğini söylüyor. Kapatıp açtıktan sonra aynı durumla karşılaşmayacaksınız.
Ama güvenlik önlemlerini (!) devre dışı bırakmadan bu işi yapmanın bir yolunu buldum. IE penceresinin sağ üst köşesindeki arama kutusunun varsayılan arama motorunu Google yaptım ve aramayı o kutuya yazdım. Aynı sonuçları verdi. Ama bu sefer PDF bağlantılarını tıklayınca doğrudan dosyayı download edip açtı. Değişik :)
6.04.2010
Gemius ve Serving-sys cookie'leri
Son zamanlarda antivirüs yazılımımızda çok sık rastladığım bazı alarmları biraz araştıracak vakit buldum. Neredeyse tüm bilgisayarlarda Cookie-Gemius ve Cookie-Eyeblaster adları altında tespit edilen bazı cookie'lerin kullanıcıların internet alışkanlıklarını takip etme amaçlı olduğunu öğrenince bu cookie'lerin hangi adreslerden geldiğini merak ettim. Cookie-Gemius adlı tehdit, kullanıcı.adi@hit.gemius[1].txt gibi bir dosya olarak, Cookie-Eyeblaster ise benzer şekilde kullanıcı.adi@serving-sys[1].txt gibi bir dosya olarak kullanıcının cookie klasöründe yakalanıyordu. ISA loglarını incelediğimde aslında bu cookie'lerin doğrudan serving-sys.com veya gemius.pl sitelerinin ziyaret edilmesi sonucu gelmediğini, bu sitelerden reklam alan haber sitelerinden geldiğini farkettim. Örneğin Cookie-Gemius cookie'si
HaberTurk.com
Hurriyet.com.tr
Sabah.com.tr
HTspor.com
Sahadan.com
CNNTurk.com
Maraton.com
Tureng.com
gibi siteler üzerinden alınmış. Cookie-Eyeblaster ise
NTVMSNBC.com
MedyaNet.net
gibi siteler üzerinden alınmış. Demek ki büyük haber sitelerinin bile reklam politikalarını ziyaretçilerin gizliliği ilkesini göz ardı ederek şekillendirdikleri gerçeği çıkıyor ortaya. Tespit edilen tehdit düşük risk sınıfında olabilir ama yine de bu tip takip edici cookie'lerin çoğu kişi tarafından istenmeyeceği kesin.
Sizde bu cookie'ler var mı yok mun asıl anlarsınız? Windows Vista ve Internet Explorer kullanıyorsanız
Buradan istenen cookie'leri silebilirsiniz.
Peki bundan sonra bu sitelerin cookie'lerini almamak için yapılabilecek nedir? Internet Explorer için
Araçlar>Internet Seçenekleri>Gizlilik komutu ile açılan diyalogdan Siteler butonuna basarak açılan pencereye gemius.pl ve serving-sys-com sitelerini ekleyerek bu sitelerden bundan sonra hiç cookie kabul edilmemesini sağlayabilirsiniz. Firefox'ta ise bunu Araçlar>Seçenekler>Gizlilik komutunu vererek açılan diyalogda ise ya "Üçüncü kişilerin çerezlerini kabul et" seçeneğinin işaretini kaldırarak ya da daha özel bir şekilde "Ayrıcalıklar" butonuna tıklyarak yine buraya gemis.pl ve serving-sys.com sitelerini ekleyerek yapabilirsiniz.
HaberTurk.com
Hurriyet.com.tr
Sabah.com.tr
HTspor.com
Sahadan.com
CNNTurk.com
Maraton.com
Tureng.com
gibi siteler üzerinden alınmış. Cookie-Eyeblaster ise
NTVMSNBC.com
MedyaNet.net
gibi siteler üzerinden alınmış. Demek ki büyük haber sitelerinin bile reklam politikalarını ziyaretçilerin gizliliği ilkesini göz ardı ederek şekillendirdikleri gerçeği çıkıyor ortaya. Tespit edilen tehdit düşük risk sınıfında olabilir ama yine de bu tip takip edici cookie'lerin çoğu kişi tarafından istenmeyeceği kesin.
Sizde bu cookie'ler var mı yok mun asıl anlarsınız? Windows Vista ve Internet Explorer kullanıyorsanız
%APPDATA%\Microsoft\Windows\Cookiesklasöründe, Windows XP ve IE kullanıyorsanız
%USERPROFILE%\Cookiesklasöründe, Firefox kullanıyorsanız Araçlar>Seçenekler>Gizlilik komutu ile açılan diyalogda "Firefox Uygulaması : Özel Ayarları Kullanacak" seçtikten sonra "Çerezleri Göster..." ile görebilirsiniz.
Buradan istenen cookie'leri silebilirsiniz.
Peki bundan sonra bu sitelerin cookie'lerini almamak için yapılabilecek nedir? Internet Explorer için
Araçlar>Internet Seçenekleri>Gizlilik komutu ile açılan diyalogdan Siteler butonuna basarak açılan pencereye gemius.pl ve serving-sys-com sitelerini ekleyerek bu sitelerden bundan sonra hiç cookie kabul edilmemesini sağlayabilirsiniz. Firefox'ta ise bunu Araçlar>Seçenekler>Gizlilik komutunu vererek açılan diyalogda ise ya "Üçüncü kişilerin çerezlerini kabul et" seçeneğinin işaretini kaldırarak ya da daha özel bir şekilde "Ayrıcalıklar" butonuna tıklyarak yine buraya gemis.pl ve serving-sys.com sitelerini ekleyerek yapabilirsiniz.
Kaydol:
Kayıtlar (Atom)