

6 Gün Önce Başıma Gelen Rootkit Belasından Nasıl Kurtuldum !
-
evet arkadaşlar.bundan 6 gün önce sistemim değişik tepkilerde bulunuyordu.Ne yaptım ne ettiysem çözüm bulamadım.Gece gündüz araştırma ve incelemelerim sonucunda Gökhan Eryol abinin mükemmel bir makalesiyle karşılaştım.Bu konuda İngilizce veya Türkçe döküman çok ama çok az.Biraz şanslıyım ki,bundan zor bir şekilde kurtuldum.Buradan kendisine teşekkür ediyorum.
Sistemin derinliklerine inme zamanı...Başlayalım.
“Bir virüsün veya casus yazılımın (spyware), geleneksel antivirüs programlarınızı atlatarak gizlenebileceğini biliyor muydunuz?” Bu cümle ile açılıyor, F-Secure firmasının sayfası. Farklı kaynakları da ekleyerek biraz okuyunca görüyorsunuz ki, bilgisayarınıza veya sunucunuza kurulu olan Microsoft Windows işletim sistemi, en hızlı güncellemeleri yapmanıza, en yeni ve en güncel antivirüs programlarını kurmuş olmanıza, Microsoftu kendi güvenlik duvarı ve araçlarının yanısıra parasını vererek satın aldığınız uygulama seviyesine kadar çıkabilen firewall programlarına rağmen, ele geçirilmiş olabilir.
Bu konu nereden çıktı diyeceksiniz, başımdan geçen olaylar zincirini sizlere de aktarmak ve bu sayede İngilizce’sinin dahi oldukça az bulunduğu bu konuda Türkçe dökümantasyon oluşturmaktır amacım.
Bir süre önce, dizüstü bilgisayarımda kurulu olan Windows çalışırken, sürekli fan çalıştırmaya başladı. Önce ortam ısısından veya fan yollarının tıkalı olmasından dolayı olduğunu zannettiğim bu durum, “Task Manager” açıp işlemleri izlemeye başlayınca anlaşıldı ki bir güvenlik vakası oluşmuş. Tabi bu durum oldukça şaşırtıcı oldu, çünkü işletim sistemi Windows olduğu için tedirgin olduğumdan, Microsoft firewall’u, mcafee anti-virüs ve firewall yazılımlarını en güncel haliyle kullanmaktayım. Tüm programlar lisanslı durumda ve dışarıdan dosya kabulü gibi konulara ekstra hassasiyet gösteriyorum. Eh, dedim, bizimde başımıza gelebilir.
Ancak, birkaç gün uğaşmama rağmen bulaşmış olan virüsü bulamadım. Kablolu veya kablosuz, bir şekilde ağ bağlantısı sağladığımda yükselen cpu kullanım oranları, bir yerlere virüs taraması yaptığını düşündürdü. Ama, Mcafee nin firewall programı üzerinden “izin verilen verilmeyen tüm aktiviteyi göster” komutu ile baktım durdum, hiçbir trafik oluşmuyordu. Tüm firewalları ve antivirüsleri devre dışı bıraktığımda da yine aynı sonucu aldım.
Harddiski söküp, bir usb kutu yardımıyla başka bir bilgisayara bağladım ve orada da tarama yaptım, sonuç aynı, hiçbirşey bulunmadı.
Kafa takılınca bu mevzuya, bu sefer ofis bilgisayarıma bir iki komut girerek pc-yönlendirici haline getirdim, ikinci ethernet kartı üzerinden dizüstü bilgisayarı bağladım. Bu sayede, dizüstü bilgisayarın ağa gönderdiği ve ağdan ona doğru gelen tüm paketleri bu bilgisayar üzerinde izleyebilir hale de gelmiş oldum. Ve izledim.
Bilgisayar, öncelikle çeşitli MX kayıtlarını sorguluyor, sonra da bulduğu e-posta sunucularına çeşitli yalancı isimlerden e-postalar atıyordu. Attığı e-postaları da inceledim, yine çeşitli subject satırları ile, anlam bütünlüğü olmayan ingilizce kelimelerin yanyana dizildiği metin ile dolu, bir gif veya jpg uzantılı eki olan e-postalardı bunlar. Ama, herşeyden önce, google’a ve icq programının ftp sitesine bir trafik yapıyordu, http://ftp.icq.com/ adresine “GET pub/ICQ_Win95_98_NT4/ICQ_5/icq5_setup.exe” komutu gönderiyordu, yani bu siteden bir dosyayı bilgisayara indiriyordu. Benzer şekilde http://www.microsoft.com adresine “GET /windows/products/windowsvista/buyorupgrade/default.mspx” ve başka sitelere başka komutlar gönderiyordu. Ama icq programının, bu bilgisayara hiç değmemiş yazılımlardan birisi olması, bu “GET pub/ICQ_Win95_98_NT4/ICQ_5/icq5_setup.exe” komutunu anahtar olarak kullanarak arama yapmama sebep oldu, ve buldum.
İlk paragrafa geri dönüp yeniden okuyalım: Bir virüsün veya casus yazılımın (spyware), geleneksel antivirüs programlarınızı atlatarak gizlenebileceğini biliyor muydunuz? http://support.microsoft.com/kb/105763 adresinde, Microsoft tarafından 2006 yılı Kasım ayında duyurulmuş bir marifet var: ADS, yani: Alternate Data Streams, Türkçe’si: alternatif veri akışı, meali: bilinen yolların dışında dosyaların veya dizinlerin veri aktarmalarına olanak sağlayan (evet yanlış okumadınız, dizinlerin bile veri akışı yapmalarına imkan sağlamakta), düzgün dökümantasyonu olmayan bir şey. İşte bu sebepledir ki sizin tüm firewallarınız ve işletim sistemine yüklü diğer güvenlik zamazingolarınız etkisiz kalıyor, Microsoft sizin için geliştirmiş: bir program alternatif yollardan veri aktarıyor.
İşte bu az dökümente edilmiş özellik, kötü yazılımlar tarafından kullanılırsa ne olur? Birde registry ve sistem gizleme özelliklerini kullanırlarsa ne olur? (evet, böyle özellikler varmış, kendi kurduğunuz ve yönettiğiniz sunucuda registry edit ederken sizden sistem tarafından gizlenen girdiler var imiş). Bir mailbot rootkit’idir tespit etmiş olduğum.
Burada anlatmak istediğim Windows’da rootkit nasıl bulunur değildir veya bu rootkit nasıl temizlenir de değildir. Bu amaçla bu sayfaya gelenler için, benzer şeyler yaşıyorsanız, GMER programını (http://www.gmer.net/index.php), F-Secure’un Blacklight Rootkit Elimination programını (http://www.f-secure.com/blacklight/) öneririm. Henüz ücretsiz olan bu yazılımları kullanarak, en azından bilgisayarınızı kontrol eder, varsa tespit işleminizi yapabilirsiniz (her iki programda oldukça küçükler, bir iki tıklamayla hızla indirip, çalıştırılabilir dosyayı (executable file) çift tıklayarak, kuruluma gerek olmadan hemen kullanabiliyorsunuz).
Sınırlı sayıda olan İngilizce dökümantasyon için;
-
http://www.pctools.com/br/threat-expert/sample/report/mailbot_rustock/ : Birebir aynı sonuçları gördüğüm, ama yanlış sonuca varmış bir sayfa. Hiçbir removal önerisi olmadığından, aslında virüs tespitinin yanlış olduğu, bilgisayarlarında rootkit bulunduğu çıkarılabilinir.
-
http://www.bluetack.co.uk/forums/index.php?showtopic=15097 : Kafayı bu işle bozmuş bir adamın çalışmaları. Bana en fazla ışık tutan sayfa oldu.
Çoğu kişi de bu tip bir rootkit bulunuyor olabilir, en azından GMER ile hızlıca bir tarama yapın derim ben.
Golü attım. Paylaşmak istedim. :)
-
-
meali: bilinen yolların dışında dosyaların veya dizinlerin veri aktarmalarına olanak sağlayan (evet yanlış okumadınız, dizinlerin bile veri akışı yapmalarına imkan sağlamakta),
------------
şaşırdım acaip hocam bu her bilgisayar olabilir
-
http://www.tahribat.com/doc.asp?docid=206 rene hocamın dökümanda güzelmiş buarada
-
spyrex iyi hoş uğraşmışın, tr döküman nerdeyse yok diyorsun... hiç tahribat'ta aratmak aklına gelmedimi? muahaha
-
Bir ara bende 3-5 gun bi bokla cebellesmistim , sorunu cozdukten sonra , basit cozumunu dokuman arsivinde gormustum :D ,
-
hijackthis kullanıyorum mutluyum :D
-
adım gibi biliyordum birisi bunu bana soracak şimdi diye :)o
sen düştün...
Tabiki okudum.2-3 hafta oldu Rene hocamın dökümanı okuyalı. Ama bu durum biraz farklı.Ben bu olayı araştırırken rootkit olduğunu düşündüm ama yine de emin olmak için uğraştım.Ne olabilir sorusunu arıyordum.Sistem değişik davranışlar içerisine girmişti.Asıl soru buydu benim için.Benimki işin biraz da uygulama ve derinlik kısmı gibi oldu.
Rene hocam rootkitlerin çalışma mantığından,gizli ve belirgin davranışlarını inceleyen konu üzerinde durmuş.Benimkisi mailbot rootkit.Tam açıklayamadım sanırsam ama elimden gelen şu an için bu.Kafa iyi biraz... :)
Teşhisi koyunca ilacı bulunur.Önemli olan teşhis koymak.
-
güzel bir döküman olmuş. arşive eklenesi..
hatta ismini ve yazının bu linkini kaynak göstererek sağda solda paylaşılası
-
Bendede kesin rootkit var şu an bunu okuduktan sora çaktım olayı :S
Kotam şişio paso hatta şu an 4.3 :| site msn falan herşeyi kapadım baktım modem alış veriş yapıo ufaktan ufaktan ::S
-
Çok ilginc hic usenmeden hepsini okudum , sadece o office programlarinin veri alis veris yerini nasil ogrendin
orasini anlamadim neyse guzel dokuman , bilinçsiz kullanicilarin okumasi gereken bisey :P
-
eline saglik spyrex guzel dokuman olmus,
bende basimdan gecenleri yazarim buraya su an baska sorunlarla cebellesiyorum "server gumledi de" :)