Exploit-ByteVerify / Win HDD

Kullanıcılardan birisi telefon konuşması sırasında "Disk bulunamıyor hatası alıyorum" deyince bir bilgi işlemci aklını kaybedebiliyor. Ama sonradan bu mesajı bilgisayar açık ve tamamen işlevselken verdiğini görünce biraz iç rahatlaması ile karışık şaşırma hissi oluyor.

Evet, bilgisayar açıkken sistem tepsisinde beliren bir simge, bilgisayarın diskinin bulunamadığından ve diskte hataların algılandığından bahsediyor. Bu olsa olsa sahte bir uyarı mesajıdır. Process Explorer ile inceleyince sistem tepsisinde çalışan programın rastgele sayılardan oluşan 192546.exe gibi bir isme sahip, kullanıcının geçici internet dosyaları klasöründen bir dosya olduğunu gördüm. Program Files klasörünün yerine kullanıcı profilinden çalışan bir program, bağıra bağıra "Ben virüsüm" diyordur. Elbette antivirüs yazılımını geçici internet klasöründen exe çalıştırmayı engelleyecek şekilde yapılandırıp bu dertten baştan kurtulabilirdim. Bundan sonra bu adımı uygulayacağım.

Neyse, adını vermek istemediğim bir Türk sitesinin (hosting ABD üzerinde çıkıyor) sayfasına giren kullanıcımız, ISA loglarına göre aniden http://1010101.in gibi bir adrese yönlendiriliyor. Bu sitede önce bir PDF dosyası ile sınanıyor; ardından da JAR dosyaları ile. PDF ile sanıyorum birşey bulaşmamaış. Ama JAR dosyaları ile kötü amaçlı kişiler hedeflerine ulaşmış. Ayrıca bu siteden http://in-in.in gibi bir siteye de bağlantı yapılıyor. McAfee Site Advisor bu siteyi zararlı olarak sınıflandırdı. Bilgisayarda sahte bir disk denetleme programı (Win HDD) çalışıyor gibi gözüküyor ve diskle ilgili uyarılar verip duruyor. Temizlemek için halen aktif olarak çalışan exe dosyasını Process Explorer ile suspend edip, Autoruns ile tekrar başlamasını engellemek gerekiyor.

Tüm bunlar olurken kullanıcı tarafında VSE 8.5 + Antispyware + Artemis çalışıyordu. Ama akıllara zarar bir şekilde olup bitene göz yummuş(lar). Daha sonra

http://1010101.in/fvjpgrjokpjtfwd.jar (tıklamayın!)

URL'inden download ettiğim JAR dosyasını McAfee VSE zararlı içeriğe sahip Exploit-ByteVerify olarak algıladı. Olay, 1010101.in ve in-in.in sitelerinin ISA üzerinde karalisteye eklenmesiyle kapandı.

McAfee SuperDAT dosyalarının boyutu küçüldü

McAfee'nin antivirüs yazılımları, günlük olarak yeni çıkan virüs tanımlarını yaklaşık olarak 200 KB civarında olan *.gem dosyaları ile yüklerler. Eğer son 35 güncellemeyi kaçırdıysanız bu tip 35+ günlük *.gem dosyasını indirmek yerine SuperDAT olarak bilinen toplu güncelleme dosyasını indirmeniz gerekir (ya da avvdat-xxxx.zip dosyasını). SuperDAT dosyası da son zamanlarda oldukça yüksek boyutlara ulaşmıştı ( >120 MB).

Yeni rastladığım bir habere göre McAfee, artık V1 olarak nitelendirdiği ürün grubu için güncelleme yayınlamayı durdurmuş. Virusscan Enterprise v8.0 ve öncesini de kapsayan bu ürün grubu için artık güncelleme yayınlanmayacak. Bunun sonucunda da artık SuperDAT dosyaları V1 güncellemelerini içermeyeceğinden daha küçük olabilecekler.

Bu durumu bugün SuperDAT'ı indirirken farkettim. Boyutu 64 MB civarındaydı. En son indirdiğim dosyanın 120 MB civarında olduğunu hatırladığımdan küçülmesine sevindim.

McAfee Community Forum'daki bir mesajda görüş bildiren "bir bilen" ise, McAfee'nin SuperDAT'ların boyutunu daha da küçültmek için çalışmalar yaptığını, ama her gün çıkan çok sayıdaki yeni tehditin bu konuyu zorlaştırdını söylemiş. Ayrıca virüs başına ayrılan tanım bilgisini küçültmenin bir yan etkisinin de yanlış alarmları artırmak olduğundan bahsedilmiş (bkz. McAfee Hayatının Hatasını Yaptı). Ama böyle bir hedef konduysa bu bir şekilde olur sanıyorum. 100 MB'ın üzerinde SuperDAT boyutundan sıkılmış biri olarak bu konunun bir süredir takipçisiydim, şimdi bu haberleri alınca bir miktar rahatladım.

Bu arada sdat'lara (SuperDAT) ek olarak bir de xdat dosyasımız var artık. McAfee'nin FTP sunusunda rastladığım xdat dosyası, sadece antivirüs güncellemelerini içerecek. Bazı durumlarda sdat dosyaları virüs tanım dosyalarının yanı sıra tarama motoru (scan engine) güncellemelerini de içerebiliyor.

McAfee'den 5958 DAT'ta yanlış alarma dikkat!

McAfee hayatının hatasını yaptı. 21 Nisan'da Türkiye saati ile 15:00 gibi yayınladığı 5958 sürüm numaralı virüs tanım dosyası, Windows XP Service Pack 3 yüklü bilgisayarlarda svchost.exe isimli sistem dosyasını, yanlış teşhis ile w32/wecorl.a virüsüne benzeterek sildi. Bunun sonucunda da dünyada tahminen onbinlerce bilgisayar çöktü.

McAfee'nin web sitesinde de bildirdiği gibi, diğer Windows sürümlerini etkilemeyen güncelleme, sadece Windows XP SP3 sistemleri çalışmaz hale getirdi. Çeşitli internet haber sitelerinin (örneğin şu) verdiği bilgiye göre ABD'de okullar, üniversiteler, polis teşkilatı ve cezaevi bilgisayarları bu durumdan etkilendi. Sayılar ayrıca Windows XP'nin halen yerini ne Windows Vista'ya, ne de Windows 7'ye bırakmadığının da göstergesi.

Bu durumdan etkilenmiş bir bilgisayar, arka arkaya tekrar başlıyor. Bilgisayarın bu bozukluğunu gidermek için Ağ Destekli Güvenli Mod'da açıp işlem yapmak gerekiyor. Yapılacak işlem, öncelikle antivirüs tanım dosyasını 5958'den 5959'a yükseltmek. Bunu yapmanın bir yolu McAfee'nin sitesinden indirilen ExtraDAT'ı %CommonProgramFiles%\mcafee\engine altına kopyalamak. Bu şekilde svchost.exe'nin W32/Wecorl.a virüsü olarak algılanmasını engellemiş olacağız.

Ardından %windir%\system32 klasörü altında boyutu sıfır (0) olmayan bir svchost.exe olup olmadığını kontrol etmek gerek. Eğer sistem 5958 DAT'a sahipse ve bilgisayar durmaksızın tekrar başlıyorsa burada yüksek ihtimalle bir svchost bulamayacağız. Karantinaya alınmış olabilir, bu sebeple VSE Console'u açıp Quarantine Manager Policy'nin özelliklerine girip Manager sekmesine gelerek burada (muhtemelen en son) karantinaya alınma işlemini Restore komutu ile geri almak gerek. Sisteme daha önce 5958'den daha yeni bir DAT kurduğumuz için bu şekilde bundan sonra tekrar karantinaya alınmayacağını da garantiledik.

Eğer svchost.exe karantinaya alınmadan doğrudan silindiyse bu dosyayı dllcache klasöründen (%windir%\system32\dllcache) veya çalışan başka bir SP3'lü bilgisyardan alabiliriz. Grafik arayüzde Paste (Yapıştır) çalışmıyorsa "komut satırından copy komutu ile yapmayı deneyin" denmiş McAfee'nin sitesinde. Bundan sonra bilgisayarı tekrar başlatıp normal çalışma ortamına dönebiliriz.

İşlem sadece birkaç dakika alıyor. Ama yüzlerce bilgisayarı olan bir kuruluşun sadece 100 bilgisayarının etkilendiğini düşünürsek, bu 100 bilgisayarın tekrar eski haline getirilmesi bilgi işlem bölümünü uzun bir süre meşgul edecek bir uyulama olur. Yine de daha kötü durumlara sebep olmamasına, veri kaybı yaşanmadığına şükür :|

Türkiye galiba bu durumda biraz şanslı. Güncelleme Türkiye saatiyle 15:00 gibi yapılmış. Bu saatten sonra yeni DAT dosyalarını indirip istemcilere dağıtacak sistem sayısı nispeten azdır. Mesainin 18:00 gibi bittiğini ve istemci bilgisayarlarının bu saatten sonra kapandığını düşünürsek risk az. Zaten McAfee de kısa bir süre sonra 5959'u yayınladı. Eğer Windows 2003 gibi mesai saati bitişinde kapanmayan sunucu işletim sistemleri bu durumdan etkileniyor olsaydı, zarar şüphesiz çok daha fazla olurdu (ufff! düşünmek bile istemiyorum).

McAfee'nin saygınlığının bu durumdan nasıl etkileneceğini önümüzdeki günlerde göreceğiz.

Başka bir "Mail Gönderemiyorum" şikayeti ve sorunun tespiti

En sık duyduğum şikayettir bu. Birisi arar ve şikayet eder, "mail gönderemiyorum", "maillerim gitmiyor" veya "mail alamıyorum", "maillerim gelmiyor" der. Çoğunlukla kalıcı bir sorun yoktur ve tekrar denendiğinde sorun çözülür. Yine öyle bir durum sandım. Uzaktan destek verdiğim bir firmanın yetkilisi telefonla aradı ve mail gönderemediklerini söyledi. Meğer gönderilen her mesaj için karşı taraftan bir hata mesajı alınıyormuş. Hata mesajını görünce şaşırdım. Şöyle bir not vardı:

451 http://www.spamhaus.org/query/bl?ip=xxx.xxx.xxx.xxx

451 kodunun ne anlama geldiğine bile bakmadan olay anlaşılıyordu: Firmanın IP adresi Spamhaus tarafından karalisteye alınmıştı. Gözüken bağlantıyı açtığımda daha başka bilgilere de ulaştım. Bir gün öncesinin tarihinde yüksek miktarda spam trafiğinin bu IP adresinden yaratıldığını söylüyordu. Yani ağdaki bilgisayarlardan birisi zararlı bir kodun esiri olmuştu. Sayfasında belirtildiği gibi Spamhaus'un karalisteden çıkma prosedürü basit. Eğer bu karalisteye ilk girişinizse ve ilk defa listeden çıkarılma talebinde bulunuyorsanız sayfanın altındaki bağlantıyı tıklayarak küçük bir formu doldurmanız yeterli. Ama eğer ağınızdaki virüsü tespit edip zararsız hale getiremediyseniz ve spam trafiği durmadıysa, tekrar karalisteye gireceksiniz demektir. Bunu birkaç kez yaparsanız artık internet üzerinden başvuru şansınız kalmayacak, Spamhaus'a doğrudan başvuru yapmanız gerekecek. Onların da hemen listeden çıkarmak yerine birkaç gün bekleyerek tekrarlamayacağını garantiye almaları da muhtemel. Böyle bir durumda kalmamak için önce bu trafiği durdurmak lazım. Uzaktaki yetkiliye bilgisayarları virüs yazılımıyla taratmasını söyledim. İşin ironik kısmı da bu: Bütün bilgisayarlarda lisanslı ve güncel bir antivirüs yazılımı bulunuyor. Ama virüs bu engeli bir kez aştıysa bir daha yakalanmayacaktır düşüncesiyle bir de MSRT (Microsoft Malicious Software Removal Tool) ile taratılmasını istedim. Bunların hiçbirisinden sonuç çıkmadığını öğrenince hiç şaşırmadım. Nasıl bulacağımı düşünürken aklıma firmanın Small Business Server'ı geldi. Üzerinde ISA 2000 olan bir sunucu bilgisayarları vardı. ISA'nın birkaç günlük firewall loglarına bakarak hangi makinanın 25 numaralı portu bu kadar yoğun kullandığını bulabilirdim. Hemen bir uzak masaüstü bağlantısı ayarladım ve ISA'nın son birkaç gününe ait log dosyalarını sıkıştırıp kendi bilgisayarıma aktardım. Son birkaç günün log dosyaları zaten diğer günlere kıyasla çok daha büyük boyuttaydı ki bu da bir sorun olduğunun başka bir göstergesi.

Log dosyalarını spreadsheet programı ile açıp birleştirdikten sonra SMTP trafiğinde göze çarpan artışı tek bir IP adresi yarattığını farkettim. Bu IP adresinden son iki gün içinde 272,000'den fazla mesaj gönderilmişti! Bunu gördükten sonra Spamhaus'un ne kadar hayırlı bir iş yaptığını bir kez daha anladım. Sanal dünyanın arsızlarının masum kullanıcıları rahatsız etmemesinin en basit yoluydu bu.


Bu işin sonunda bilgisayarı bana gönderdiler. Bilgisayarı ilk açtığımda sıradışı bir şeyle karşılaşmadım. Antivirüs yazılımı çalışıyordu, bilgisayarın performansında olağanüstü bir düşüş yoktu. Ama Process Explorer ile çalışan süreçlere ve Autoruns ile de sistemin açılışında başlatılan bileşenlere baktığımda suçlu ortaya çıktı. Aşağıdaki resimde Process Explorer ve Autoruns çalışırken aldığım ekran görüntüsü var.

Kırmızı ile altını çizdiğim userini.exe, gerçekte bir sistem dosyası olan userinit.exe'ye ismen benzemeye çalışmış. Autoruns'da (sağda, önde duran pencere) 4 farklı yerde görünen bu dosya, kendini garantiye alarak çalışmayı şansa bırakmamış. Ayrıca Process Explorer'da (solda, arka planda kalan pencere) altını çizdiğim sürec(ler)e ise dikkat: bir ADS'ye sahip. ADS, alternate data streams'in kısaltması. Dosya sisteminin bir özelliği bu. Ama virüsler ve diğer zararlı yazılımların kendini gizlemesi için de ideal bir yöntem. Bu konuyu hakkında ayrıntıyı şu yazımda bulabilirsiniz.. ADS'nin ayrıntılarına girmeden konumuza dönelim.

Process Explorer'da explorer.exe:userini.exe olarak gözüken süreç, aslında normal bir Windows dosyası olan Explorer gibi gözüken, ama aslında zararlı bileşenimiz olan userini.exe'yi çalıştıran satır. Komut satırında sfind.exe'yi (bir Foundstone güvenlik aracı) kullanarak bu userini.exe'nin ADS altına gizlendiğini doğruladım:

C:\Windows\Prefetch'in altındaki satır önemsiz. Ama onun üstündeki Explorer.exe:userini.exe bizim ilgilendiğimiz satır. Sadece Explorer.exe'nin üzerine yamanmış userini.exe'yi silip bundan kurtulabilirim ama sistemde başka virüsler var mı, önce bunu bulmam gerek. Bu makinayı üzerinde yüklü olan antivirüs yazılımı McAfee Virusscan Enterprise'ın 8.5i'nin son tanım dosyalarıyla (o gün için 5853) güncelledikten ve antispyware bileşenini yükledikten sonra tekrar tarattım, 4 tane cookie'den başka birşey bulmadı! Diskini söküp başka bir makinaya taktım. Linux'ta açıp clam ile tarattığımda 50'den fazla zararlı dosya buldu. Bu dosyaların bazıları bana "pek virüs gibi" görünmediği için başka bir taramayı da Kaspersky ile yaptım. Bu ise topu topu 8 tane zararlı içerik tespit etti. Bu sefer benim "pek virüs gibi" görmediğim dosyaları bulmadı. Bunun üzerine bu dosyaların yeni kurulmuş bir makinadan alarak tekrar clam ile tarattığımda bunları yine virüs olarak gördü. Buradan clam'in bazı durumlarda yanlış alarm ürettiği sonucuna vardım. Eğer clamscan için detect-pua anahtarını (Possibly Unwanted Applications-muhtemelen istenmeyen uygulamları da bul) kullanırsam, bu gibi durumlarda yanlış alarm üretebiliyor. Kısaca Kaspersky en güvenilir sonuçları verdi. Nihayetinde McAfee Virusscan Enterprise hiç bir zararlı bileşen tespit etmezken, Clam userini.exe'yi Trojan.Fraudpack-2378 olarak, Kaspersky ise Trojan.Win32.FraudPack.ajqk olarak tespit etti. Sistemin temiz olduğuna kanaat getirdikten sonra Spamhaus'a gereken başvuru yapıldı ve herşey normale döndü. Buradan çıkan sonuç: Yüklü antivirüs yazılımına hiçbir zaman tam olarak güvenme!

Bir Dialer'ın tespiti (yanlış alarm)

Kurumsal ağımızda kullandığımız McAfee Virusscan Enterprise antivirüs yazılımımız, belli bir periyotta tüm bilgisayarları tarayacak şekilde ayarlandı. Bir süredir bu düzenli taramalarda, benim bilgisayarımda hiç beklenmedik bir virüs aktivitesine ait loglar dikkatimi çekiyordu.

23.11.2009 12:10:06 Deleted SYSTEM HKU\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx\Software\Freeware Dialer-182(Potentially Unwanted Program)

Her tarama tarihinde, bu kayıt defteri anahtarı bulunuyor, siliniyor ve her nasılsa bir sonraki taramaya kadar tekrar yaratılıyordu. Belli ki düzenli kullanıdığım bir program yapıyordu bunu. Hangisi olduğunu bulmak zor iş diye düşünürken antivirüs programımın bir özelliği aklıma geldi. Access Protection'ın altında kullanıcı tanımlı kurallar yaratabiliyordum. Eğer kayıt defterinin bu bölümünü bloklarsam hem bu programın hangisi olduğunu bulabilirim, hem de kayıt defterimi böyle bir girişten uzak tutabilirim düşüncesiyle aşağıdaki kuralı yaratmaya koyuldum.

Yukarıda görüldüğü gibi "Registry Block Rule"u seçerek aşağıdaki girişleri yaptım.

Ve pusuya yatan bir avcı misali avımı beklemeye başladım. Birkaç gün sonra anvirüs yazılımımın sistem tepsisindeki simgesi yanıp sönmeye başladığında Virtualdubmod kullanıyordum. Açık kaynak kodlu Virtualdub yazılımının bir türevi olan bu program, MPEG2 formatındaki dosyaların ve birden çok ses izine sahip avi dosyalarının düzenlenmesinde kullandığım bir programdı. Programı birkez de elle virüs taramasından geçirdim, sonuç negatifti. Bu güne kadar güvendiğim bir yazılımın böyle bir dialer bileşenine sahip olması şokunu üstümden atar atmaz programın sitesinden programı birkez daha indirmeye karar verdim. Virtualdubmod, uzun bir süredir güncellenmeyen bir proje. Yeni sürmünün çıkmadığını biliyorum ama belki bendeki kopyası ile ilgili bir sorun vardır diyordum.

Ama yeni download ettiğim dosya da aynı sonucu verdi. Process Explorer ile çalışan programın strings tabına bir göz attığımda aşağıdaki ekranla karşılaştım.

Aslında Virtualdobmod, HKCU\Software\Freeware altında masum bir Virtualdubmod anahtarı yaratıyordu - bu antivirüs yazılımının loglarında belirtilmemişti. Sanıyorum bu basit bir çakışmadan ibaret. Dialer-182 adı altında kapsanan tehdit, HKCU\Software\Freeware anahtarının altına erişiyor. Şansa bakın ki Virtualdubmod da aynı anahtara erişiyor. Ama dialer ile hiçbir ilişkisi yok. Yani yanlış alarm.


Buna göre şu anda yapılabilecek iki şey var. Birincisi, virtualdubmod aklandığına göre anvirüs yazılımındaki Registry Blocking Rule'u silmek (veya virtualdubmod'u bir istisna olarak eklemek). Böylece herşey eskisi gibi olacak. Virtualdubmod özgürce kayıt defterine erişecek, ama antivirüs yazılımım da söz konusu anahtarı silmeye ve loglarında bunu belirtmeye devam edecek. Bu istemediğim birşey; loglarda sürekli bu yanlış alarma dair kayıtları görmek istemiyorum. İkincisi de kuralı olduğu gibi bırakmak. Bu şekilde de virtualdubmod'un HKCU\Software\Freeware altındaki anahtarı yaratmasına izin verilmeyecek. Bunun sonucunda da her açılışta GNU GPL anlaşmasını ve "Before We Start..." ekranını gösterecek. Bence mahsuru yok; bu daha iyi olur.