Yaşanmış bir güvenlik hikayesi

Yedekleme sunucusunda bir yavaşlık problemi vardı. Yazılımın teknik desteğini aradığımızda ağ trafiği tarafına bakmamızı tavsiye ettiler. Sıra sunucu üzerinden yapılan bağlantıları görmeye geldiğinde ilginç bir durumla karşılaştım.

C:\Documents and Settings\selcuk>netstat -ao

Active Connections 

Proto  Local Address          Foreign Address        State           PID 
TCP    CENGAVER_NET:http      CENGAVER_NET:0         LISTENING       3952
... 
TCP    CENGAVER_NET:2323      gw.SomeWhere.net:4002  ESTABLISHED     4522
...  
-o : bağlantıyı yapan işleme ait PID'i elde edebiliyoruz.
-a : Tüm bağlantıları (dinleme, bağlantı kurulmuş gibi tüm durumlardaki) göster
Bu durum ilginçti. Çünkü biz bu sunucuyu Internet'e bağlanmayacak şekilde yapılandırmıştık!!!

Görev yöneticisi ile bu 4522 PID'in vncmgr.exe diye bir uygulamaya ait olduğunu gördüm. Programın adından VNC diye uzaktan erişim programına it olduğunu sandım. Sanırım uzak bir siteye güncellemelerle ilgili bağlantı kuruyor diye düşündüm. Uygulamanın çalıştığı kullanıcılara VNC'yi kurup kurmadıklarını sordum. Hiçbirinin haberi yoktu. Bu ilginç geldi.

Sonra IPNetInfo (http://www.nirsoft.net/utils/ipnetinfo.html)ile bu adres hakkında bilgi edindik. Adres İtalya'da bir yeri gösteriyordu. Siteye girdiğimde, VNC ile ilgili bir şey göremedim.

Msconfig aracıyla Başlangıç programlarına baktığımda, uygulamayı oraya eklenmiş gördüm.

WinMsd > Yazılım Ortamı > Çalışan Görevler kısmından baktığımda, vncmgr.exe dosyasının C:\Windows\System32 altında olduğunu gördüm. Bu klasöre Windows Explorer ile baktığımda uygulama görünmüyordu. Araçlar > Klasör Seçenekleri > Görünüm > Gizli dosyaları Göster seçildiğinde dosyayı gördüm. 138 KB'tı.

Bilgisayarda Antivirüs yazılımı yüklüydü, fakat virüs veritabanı uzun zamandır güncellenmemişti. Bu yüzden dosyayla ilgili bir problem raporlanmıyordu. Antivirüs yazılımını çalıştırıp tüm C sürücüsünü tara dediğimizde, birkaç saniye çalışır gibi yapıp duruyordu.

Bunun üzerine yedekleme bilgisayarı web'e açıldı ve çevrimiçi antivirüs taratıcılarından biriyle taranmaya başlandı. Hemen her antivirüs üreticisinin (Panda, McAffe, Symantec...) bir çevrimiçi tarayıcı yazılımı vardır. Çevrimiçi tarayıcılar, Windows IE activeX bileşen olarak yüklenip bilgisayarınızı tarayabiliyorlar. Bir kısmı temizlik de yapabiliyor. Bu sırada bir problem oluştu ve makine kendiliğinden kapanıp tekrar başladı.

Uygulama başlangıçtan (startup) çıkarılmıştı. Bilgisayar tekrar açıldığında, Windows olay günlüğünde şu kaydı gördük


Threat Found!Threat: W32.Spybot.ACYR in File: C:\WINDOWS\system32\vncmgr.exe by: Auto-Protect scan. Action: Delete succeeded : Access denied. Action Description: The file was deleted successfully.
Dosyanın içerisinde W32.Spybot.ACYR kurtçuğu (worm) bulunmuştu. Bununla ilgili Internet'te yaptığımız araştırma sonucu, kurtçuğun IRC sohbet programları yoluyla bulaştığı ve Windows'un ve bir de -ilginçtir ki- antivirüs yazılımının kendisine ait açıkları kullanarak yayıldığını öğrendik. Kurtçuk, bulaştığı bilgisayara ait bilgileri hacker'a gönderebiliyor. Ayrıca zararlı programların yerleştirilebilmesi için de bir arkakapı sağlıyormuş.

Virüsün zararlı etkilerinden birisi de aşırı ağ trafiğine sebep olması ve bu yüzden ağ performansının düşmesiymiş!

Kurumun firewall'ından 4002'ye giden trafik kapatıldı. Firewall red (deny) loglarını süzdüğümüzde bu porta çok sayıda istek yapıldığını gördük. Yani kurtçuk çok sayıda bilgisayara bulaşmıştı. Bir süre bilgisayarlara ait antivirüs yazılımının yamanması ve virüs veritabanının güncellenmesi devam etti...

Yorumlar

Bu blogdaki popüler yayınlar

Veriambarı ve OLAP Nedir?

Bilgisayar Mühendisliği Nedir ?

Windows Kurtarma CD'si