Bir önceki yazımızda zararlı kodların çeşitlerini, bulaşma yöntemlerini ve günümüzde kullanılan antivirüs ve antispyware’lerin neden bu zararlı kodları engelleyemediğine değinmiştik. Bu yazımızda ise bilgisayarlara bulaşan zararlı kodların manuel temizlenme işlemlerini, takip edilmesi gereken adımları ve kullanılan yardımcı araçları ele alacağız.
Manuel Temizlemede İzlenecek Adımlar
Öncelikle zararlı kodun bulaştığından şüphe edilen bilgisayarda hangi işlemlerin gerçekleştirilmesi gerektiğine bakalım;
- Bilgisayarın ağ bağlantısını kesin. Bu işlem kendi kendine bulaşma yeteneğine sahip bir zararlı kodun ağ üzerinden diğer bilgisayarlara ulaşmasının önüne geçecektir.
- Çalışan prosesleri listeleyin ve şüpheli gördüklerinizi tanımlayın.
Şüpheli proses’i sonlandırın.
Makalenin tamamını pdf formatında buradan indirebilirsiniz.
İşte size gerçek bir güvenlik testi show’u. Bir penetrasyon testinde hangi adımlar varsa aklınıza gelebilecek bu show’da birebir gerçekleştiriliyor. Sosyal mühendislikten tutunda, dumpster diving’e kadar bütün adımlar neredeyse var. Bir TV show şeklinde çekilmiş ve oldukça başarılı. Her bölümde farklı bir müşteri ve farklı yöntemler var. İlk bölümde Symbolic Motors isimli bir oto galerisinin sistemine sızmaya çalışıyorlar. Oto galerisi dediğime bakmayın içinde Bentley, Lamborghini, Ferrari, Lotus ve daha bir çok lüks araç var bu galerinin ve çok sıkı bir şekilde korunuyor. (En azından Tiger Team’ın gerçekleştirdiği penetrasyon testine kadar böyle düşünülüyordu 
)
İkinci bölümde ise Beverly Hills’deki bir mücevher mağazasının güvenlik sistemini test ediyorlar. Bu bölümdeki kart kopyalama için kullanılan yönteme ve araca hayran kaldığımı belirtmeden edemeyeceğim. Eminimki siz de gördüğünüz de aynı duyguları paylaşacaksınız.
Tiger Team’in başında Chris Nickerson var ve ekibin beyni. Luke McIMIE ise takımın bilgisayar dehası. Ve Ryan Jones fiziksel güvenlik sistemleri konusunda uzman. Show’un iki bölümünü de izledim ve tek kelimeyle muhteşem. Mutlaka izlenmeli ve izletilmeli )
Show’un iki bölümünü torrent üstünden aşağıdaki linkler yardımıyla indirebilirsiniz.
http://thepiratebay.org/tor/3952625/Tiger_Team_S01_E01_HDTV_XviD
http://thepiratebay.org/tor/3952628/Tiger_Team_S01.E02_HDTV_XviD
Bunun yanında ilk bölümü stream olarak izlemek için de aşağıdaki linkleri kullanabilirsiniz.
Birinci kısım : http://www.trutv.com/video/?id=870&link=truTVshlk
İkinci kısım : http://www.trutv.com/video/?id=871&link=truTVshlk
Üçüncü kısım: http://www.trutv.com/video/?id=872&link=truTVshlk
Dördüncü kısım:http://www.trutv.com/video/?id=873&link=truTVshlk
-
Uzun zamandır ne zaman çıkacak diye merakla beklediğim bir zararlı kod çeşidinin ortalıkta dolaştığı bilgisini almak fazlasıyla heyecanlandırmıştı beni. MBR’a yerleşen bir rootkit’di bu ve üstelik bütün NT tabanlı işletim sistemlerinin tamamında(Vista’da dahil) etkili olabiliyordu. Evet bahsettiğim zararlı kod MBR rootkit ismiyle bilinen rootkitden başkası değil. Gerçi MBR’ın zararlı kodlarca kullanılmasının örneklerini çok önceleri gördük. MS-DOS zamanındaki Stoned, Michelangelo, Junkie ve Tequila sayabileceğimiz bir kaç MBR’ı kullanan virüs isimlerinden bazıları.
Maalesef Windows NT ailesinin tamamında usermode’da MBR’ı değiştirebilme özelliği mevcut ve bu rootkit’de bu özelliği kullanıyor. 2005 yılında eEye Digital Security firmasından Derek Soeder ve Ryan Permeh’in eEye BootRoot ismini verdikleri projelerini duyurmalarıyla beraber beklemeye geçmişti güvenlik camiası bu zararlı kodu. Ardından NVLabs’dan Nitin ve Vipin Kumar tarafından geliştirilen Vbootkit karşımıza çıktı.(http://www.nvlabs.in/?q=node/11. Vbootkit ile ilgili slayta http://www.blackhat.com/presentations/bh-europe-07/Kumar/Presentation/bh-eu-07-kumar-apr19.pdf adresinden ulaşabilirsiniz.) Zaten mbr rootkit’inin kodları incelendiğinde BootRoot’un kodlarının modifiye edilerek kullanıldığını görüyoruz.
Bu rootkit’in temel özelliklerine bakarsak,
İşletim sistemi daha devreye girmeden çalışıyor.
Bu rootkit’in herhangi bir dosyaya ihtiyacı yok, zararlı kod disk üzerindeki sektör’lerden herhangi bir kaçında olabilir.
Zararlı kod MBR’daki kod tarafından çalıştırıldığı için herhangi bir registry kaydına gerek yok.
MBR Rootkit’in detaylı incelemesini http://www2.gmer.net/mbr/ adresinden okuyabilirsiniz. Ayrıca Symantec’in MBR Rootkit incelemesine buradan ulaşabilirsiniz.
MBR Rootkit’inin bir örneğini http://rapidshare.com/files/86312494/MbrRootkit.zip.html adresine upload ettim. Aranızda benim gibi zararlı kodlarla uğraşmayı seven ve kendileri analiz etmek isteyenler olabilir. Hatırlatmayı yapmadan geçmeyeyim. Dosyada çalışır durumda olan bir zararlı kod vardır. Bu dosyayı bu adresten indirip çalıştırdığınızada karşılaşabileceğiniz problemler konusunda sorumluluk kabul etmediğimi baştan söyleyeyim . Dosya şifreli bir şekildedir. Şifresi “infected” dir .(Genel kabul görmüş bir malware koruma şifresidir bu arada)
