Engin Bilgi Kaynağınız.

Kaspersky’nin ayarları ile oynayıp bulduğu dosyalar üzerinde işlem yapmamasını ancak bana uyarı vermesini sağladım ve tarama başlattım. Her bulduğu dosyayı .rar’ladım, .rar’a da şifree verdim ve tamamen encrypt ettim. Sonra içinde başka bir anti-virüs yazılımı olan bilgisayar da rar’ı açtım ve şaşırtıcı an geldi, anti-virüs dosyayı hemen sildi. Bu birkaç anti-virüs için de aynı şekilde gelişti. Yani anti-virüsler dosya çalışmıyorken/aktif değilken ne olduğunu tespit edebiliyorlar ancak virüs sistemde aktifken yapılan taramalarda bulamıyorlar. Bu duruma mantıklı bir cevap vermek zor, tek akla gelen rootkit kullanılma durumu. Başka bir ilginç durum ise Kaspersky bu virüslerin ayrı ayrı isimlerini biliyor ama diğerleri bilmiyor. Diğer anti-virüsler bu zararlıların hepsine birden Silly.DC ya da Gammina ismini veriyor.
Bulaşmasını nasıl önleriz diye düşünürken Symantec’in Endpoint Protection ajanı içinde mevcut bulunan Application Control bileşeni aklımıza geldi. Bu bileşen ile tüm flash disk türevi cihazlar üzerinde autorun.inf dosyasının okunması işlemini bloke ettik. Böylece flash disk virüslü olsa bile sisteme bulaşmıyordu. Virüslü sistem de bu autorun.inf dosyasını flash disk’e oluşturamaz oldu. Buna ek olarak flash disk içinden program çalıştırmayı da engelledik.

Bu bulaşma yöntemi ile ilgili biraz daha detay vermek istiyorum. Flash diskinize çift tıkladığınızda Windows “ne ile açayım” penceresi açıyorsa, gizli dosyalarınızı göremiyorsanız, C: diskinizdeki klasöre çift tıkladığınızda, öyle ayarlanmamış olmasına rağmen, yeni pencerede görüntüleniyorsa ve/veya bunlarla beraber sisteminiz ciddi performans sıkıntısı çekiyorsa muhtemelen bu virüslerden birisi sisteminizde aktif durumda demektir. Eğer yabancı bir flash diski ya da USB hard diski sisteminize bağlayacaksanız korkmayın, Shift tuşuna basarak diski takın/bağlayın ve bir müddet bekleyin (sistemin diski taradığından ve de otomatik çalıştırma işi yapmaktan vazgeçtiğini anlayana kadar). Böylece Windows otomatik çalıştırma işlemi yapmayacaktır ve virüs sisteminize bulaşmayacaktır. Sonrasında bir komut satırı açın, flash diskin bağlandığı sürücü harfine gidin (e:, f:, g: gibi). “dir /a” komutu ile tüm dosyaları görüntüleyin. Eğer autorun.inf dosyası görüyorsanız disk virüslü demektir. Ancak autorun.inf virüsün kendisi değildir. O sadece virüsü bulaştıracak işlemi başlatmak için oradadır. Dolayısıfla x.com, y.bat, z.js, boot.exe gibi tanımayacağınız, karışık isimlere sahip, orada olmaması gereken dosyalar da olmalı. Hem autorun.inf’yi hem de bu gereksiz dosyaları silin (tekrar hatırlatayım, bunları windows explorer ile göremezsiniz). Normal “del x.com” komutu ile muhtemelen silemeyeceksiniz. “del /A:s x.com” ya da “del /A:h x.com” komutlarını deneyin. Bunlarda çalışmazsa, file shredder benzeri bir tool ile silmeniz gerekebilir. Ya da benim yaptığım gibi cygwin paketini kurabilir, windows komut satırından unix komutlarını çalıştırabilirsiniz (ilgili komut : “rm -rf x.com”).

Son haber ise Pentagon’dan. İkinci bir emre kadar flash disk kullanımı penragon’da yasaklanmış. Sebebi ise sisteme dadanmış bir varyant.
Büyük anti-virüs yazılımcılarının bu işe acil çözüm bulmaları şart, onlar da farkında zaten, biz de beklemedeyiz mecburen.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Kommentieren ist momentan nicht möglich.