folder Tahribat.com Forumları
linefolder Virüs - Trojan - Keylogger - BotNet
linefolder 6 Gün Önce Başıma Gelen Rootkit Belasından Nasıl Kurtuldum !



6 Gün Önce Başıma Gelen Rootkit Belasından Nasıl Kurtuldum !

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    murathan
    murathan's avatar
    Kayıt Tarihi: 19/Mayıs/2007
    Erkek

    evet arkadaşlar.bundan 6 gün önce sistemim değişik tepkilerde bulunuyordu.Ne yaptım ne ettiysem çözüm bulamadım.Gece gündüz araştırma ve incelemelerim sonucunda Gökhan Eryol abinin mükemmel bir makalesiyle karşılaştım.Bu konuda İngilizce veya Türkçe döküman çok ama çok az.Biraz şanslıyım ki,bundan zor bir şekilde kurtuldum.Buradan kendisine teşekkür ediyorum.

    Sistemin derinliklerine inme zamanı...Başlayalım.

    Bir virüsün veya casus yazılımın (spyware), geleneksel antivirüs programlarınızı atlatarak gizlenebileceğini biliyor muydunuz?” Bu cümle ile ılıyor, F-Secure firmasının sayfası. Farklı kaynakları da ekleyerek biraz okuyunca görüyorsunuz ki, bilgisayarınıza veya sunucunuza kurulu olan Microsoft Windows işletim sistemi, en hızlı güncellemeleri yapmanıza, en yeni ve en güncel antivirüs programlarını kurmuş olmanıza, Microsoftu kendi güvenlik duvarı ve araçlarının yanısıra parasını vererek satın aldığınız uygulama seviyesine kadar çıkabilen firewall programlarına rağmen, ele geçirilmiş olabilir.

    Bu konu nereden çıktı diyeceksiniz, başımdan geçen olaylar zincirini sizlere de aktarmak ve bu sayede İngilizce’sinin dahi oldukça az bulunduğu bu konuda Türkçe dökümantasyon oluşturmaktır amacım.

    Bir süre önce, dizüstü bilgisayarımda kurulu olan Windows çalışırken, sürekli fan çalıştırmaya başladı. Önce ortam ısısından veya fan yollarının tıkalı olmasından dolayı olduğunu zannettiğim bu durum, “Task Manager” ıp işlemleri izlemeye başlayınca anlaşıldı ki bir güvenlik vakası oluşmuş. Tabi bu durum oldukça şaşırtıcı oldu, çünkü işletim sistemi Windows olduğu için tedirgin olduğumdan, Microsoft firewall’u, mcafee anti-virüs ve firewall yazılımlarını en güncel haliyle kullanmaktayım. Tüm programlar lisanslı durumda veşarıdan dosya kabulü gibi konulara ekstra hassasiyet gösteriyorum. Eh, dedim, bizimde başımıza gelebilir.

    Ancak, birkaç gün uğaşmama rağmen bulaşmış olan virüsü bulamadım. Kablolu veya kablosuz, bir şekilde bağlantısı sağladığımda yükselen cpu kullanım oranları, bir yerlere virüs taraması yaptığını düşündürdü. Ama, Mcafee nin firewall programı üzerindenizin verilen verilmeyen tüm aktiviteyi gösterkomutu ile baktım durdum, hiçbir trafik oluşmuyordu. Tüm firewalları ve antivirüsleri devre dışı bıraktığımda da yine aynı sonucu aldım.

    Harddiski söküp, bir usb kutu yardımıyla başka bir bilgisayara bağladım ve orada da tarama yaptım, sonuç aynı, hiçbirşey bulunmadı.

    Kafa takılınca bu mevzuya, bu sefer ofis bilgisayarıma bir iki komut girerek pc-yönlendirici haline getirdim, ikinci ethernet kartı üzerinden dizüstü bilgisayarı bağladım. Bu sayede, dizüstü bilgisayarın ağa gönderdiği ve ağdan ona doğru gelen tüm paketleri bu bilgisayar üzerinde izleyebilir hale de gelmiş oldum. Ve izledim.

    Bilgisayar, öncelikle çeşitli MX kayıtlarını sorguluyor, sonra da bulduğu e-posta sunucularına çeşitli yalancı isimlerden e-postalar atıyordu. Attığı e-postaları da inceledim, yine çeşitli subject satırları ile, anlam bütünlüğü olmayan ingilizce kelimelerin yanyana dizildiği metin ile dolu, bir gif veya jpg uzantılı eki olan e-postalardı bunlar. Ama, herşeyden önce, google’a ve icq programının ftp sitesine bir trafik yapıyordu, http://ftp.icq.com/ adresine “GET pub/ICQ_Win95_98_NT4/ICQ_5/icq5_setup.exekomutu gönderiyordu, yani bu siteden bir dosyayı bilgisayara indiriyordu. Benzer şekilde http://www.microsoft.com adresine “GET /windows/products/windowsvista/buyorupgrade/default.mspxve başka sitelere başka komutlar gönderiyordu. Ama icq programının, bu bilgisayara hiç değmemiş yazılımlardan birisi olması, bu “GET pub/ICQ_Win95_98_NT4/ICQ_5/icq5_setup.exekomutunu anahtar olarak kullanarak arama yapmama sebep oldu, ve buldum.

    İlk paragrafa geri dönüp yeniden okuyalım: Bir virüsün veya casus yazılımın (spyware), geleneksel antivirüs programlarınızı atlatarak gizlenebileceğini biliyor muydunuz? http://support.microsoft.com/kb/105763 adresinde, Microsoft tarafından 2006 yılı Kasım ayında duyurulmuş bir marifet var: ADS, yani: Alternate Data Streams, Türkçe’si: alternatif veri akışı, meali: bilinen yolların dışında dosyaların veya dizinlerin veri aktarmalarına olanak sağlayan (evet yanlış okumadınız, dizinlerin bile veri akışı yapmalarına imkan sağlamakta), düzgün dökümantasyonu olmayan bir şey. İşte bu sebepledir ki sizin tüm firewallarınız ve işletim sistemine yüklü diğer güvenlik zamazingolarınız etkisiz kalıyor, Microsoft sizin için geliştirmiş: bir program alternatif yollardan veri aktarıyor.

    İşte bu az dökümente edilmiş özellik, kötü yazılımlar tarafından kullanılırsa ne olur? Birde registry ve sistem gizleme özelliklerini kullanırlarsa ne olur? (evet, böyle özellikler varmış, kendi kurduğunuz ve yönettiğiniz sunucuda registry edit ederken sizden sistem tarafından gizlenen girdiler var imiş). Bir mailbot rootkit’idir tespit etmiş olduğum.

    Burada anlatmak istediğim Windows’da rootkit nasıl bulunur değildir veya bu rootkit nasıl temizlenir de değildir. Bu amaçla bu sayfaya gelenler için, benzer şeyler yaşıyorsanız, GMER programını (http://www.gmer.net/index.php), F-Secure’un Blacklight Rootkit Elimination programını (http://www.f-secure.com/blacklight/) öneririm. Henüz ücretsiz olan bu yazılımları kullanarak, en azından bilgisayarınızı kontrol eder, varsa tespit işleminizi yapabilirsiniz (her iki programda oldukça küçükler, bir ikiklamaylazla indirip, çalıştırılabilir dosyayı (executable file) çiftklayarak, kuruluma gerek olmadan hemen kullanabiliyorsunuz).

    Sınırlı sayıda olan İngilizce dökümantasyon için;

    Çoğu kişi de bu tip bir rootkit bulunuyor olabilir, en azından GMER ilezlıca bir tarama yapın derim ben

    Golü attım. Paylaşmak istedim. :)

     


    copy
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    yafa13
    yafa13's avatar
    Kayıt Tarihi: 01/Kasım/2007
    Erkek

    meali: bilinen yolların dışında dosyaların veya dizinlerin veri aktarmalarına olanak sağlayan (evet yanlış okumadınız, dizinlerin bile veri akışı yapmalarına imkan sağlamakta),

    ------------

    şaşırdım acaip hocam bu her bilgisayar olabilir

  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    yafa13
    yafa13's avatar
    Kayıt Tarihi: 01/Kasım/2007
    Erkek

    http://www.tahribat.com/doc.asp?docid=206 rene hocamın dökümanda güzelmiş buarada

     

  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    gokhan_ssl
    gokhan_ssl's avatar
    Kayıt Tarihi: 25/Eylül/2005
    Erkek
    spyrex iyi hoş uğraşmışın, tr döküman nerdeyse yok diyorsun... hiç tahribat'ta aratmak aklına gelmedimi? muahaha
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    ~$
    ComputerWolf
    ComputerWolf's avatar
    Üstün Hizmet Madalyası
    Kayıt Tarihi: 26/Mart/2003
    Erkek
    Bir ara bende 3-5 gun bi bokla cebellesmistim , sorunu cozdukten sonra , basit cozumunu dokuman arsivinde gormustum :D ,

    Hep denedin. Hep yenildin. Olsun yine dene , yine yenil ama daha iyi yenil !
  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    kroo
    kroo's avatar
    Kayıt Tarihi: 15/Mayıs/2006
    Erkek
    hijackthis kullanıyorum mutluyum :D

    bu dünyada da öbür dünyada da yanmanın yolu plajdan geçer
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    murathan
    murathan's avatar
    Kayıt Tarihi: 19/Mayıs/2007
    Erkek

    adım gibi biliyordum birisi bunu bana soracak şimdi diye :)o

    sen düştün...

    Tabiki okudum.2-3 hafta oldu Rene hocamın dökümanı okuyalı. Ama bu durum biraz farklı.Ben bu olayı araştırırken rootkit olduğunu düşündüm ama yine de emin olmak için uğraştım.Ne olabilir sorusunu arıyordum.Sistem değişik davranışlar içerisine girmişti.Asıl soru buydu benim için.Benimki işin biraz da uygulama ve derinlik kısmı gibi oldu.

    Rene hocam rootkitlerin çalışma mantığından,gizli ve belirgin davranışlarını inceleyen konu üzerinde durmuş.Benimkisi mailbot rootkit.Tam açıklayamadım sanırsam ama elimden gelen şu an için bu.Kafa iyi biraz...   :)

    Teşhisi koyunca ilacı bulunur.Önemli olan teşhis koymak.


    copy
  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    amele_2
    amele_2's avatar
    Kayıt Tarihi: 01/Eylül/2005
    Erkek

    güzel bir döküman olmuş. arşive eklenesi..

    hatta ismini ve yazının bu linkini kaynak göstererek sağda solda paylaşılası


    Ardından yüz köpek havlamayan kurt, kurt sayılmaz..
  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    canerator
    canerator's avatar
    Kayıt Tarihi: 14/Haziran/2006
    Erkek

    Bendede kesin rootkit var şu an bunu okuduktan sora çaktım olayı :S

    Kotam şişio paso hatta şu an 4.3 :| site msn falan herşeyi kapadım baktım modem alış veriş yapıo ufaktan ufaktan ::S

  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    YaRaMaZ
    YaRaMaZ's avatar
    Kayıt Tarihi: 12/Temmuz/2006
    Erkek

    Çok ilginc hic usenmeden hepsini okudum , sadece o office programlarinin veri alis veris yerini nasil ogrendin

    orasini anlamadim neyse guzel dokuman , bilinçsiz kullanicilarin okumasi gereken bisey :P


    the one and only yaramaz.
  11. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Çömez
    underzero
    underzero's avatar
    Üstün Hizmet Madalyası
    Kayıt Tarihi: 20/Ocak/2003
    Erkek

    eline saglik spyrex guzel dokuman olmus,

    bende basimdan gecenleri yazarim buraya su an baska sorunlarla cebellesiyorum "server gumledi de" :)      


    pist bak bi ! - Ban Golu Canavari
Toplam Hit: 4659 Toplam Mesaj: 20