Jump to content

İşletim Belleğinde Truva Atı

mach2

By mach2,
in Yazılım

Recommended Posts

sene07 Newbie

sene07

Posted
Posted

Geçtiğimiz ay, kendisini gizlemek için 10 sene öncesinin tekniğini kullanan yeni tip bir truva çıktı.

Symantec tarafından Trojan.Mebroot olarak adlandırılan kötü amaçlı yazılım bilgisayar açıldığında çalışmak için kendisini hard disk sürücünün ilk bölümüne yazıyor ve windows kernel'inde değişiklik yapıyor.

Saldırganlar, Master boot record (MBR) rootkit'i olarak bilinen bu truvayı aralığın ortasından beri kuruyorlar. VeriSign'ın iDefense Intelligence takımına göre 12 ve 19 aralıkta yapılan iki saldırıda yaklaşık 5000 bilgisayara bulaştırılmış. Yazılımı hedef bilgisayara kurmak için saldırganlar önce hack edilmiş bir web sitesine çekiyorlar ve buradan rootkit kodunu çalıştırmak için çeşitli saldırılar başlatıyorlar.

Kurulduktan sonra tüm kontrol saldırganların eline geçiyor.

Bu rootkit'i yazan grubun Torpig truvasını yazanla aynı ve 250,000 truva programı kurduklarına inanılıyor.

Trojan.Mebroot'un ilginç olan yanı kendisini MBR'ye yazması. Burası bilgisayar hard disk'inin ilk sektörü ve bilgisayarın işletim sistemini başlatmak için ilk baktığı yer. Symantec araştırmacısı Elie Florio "Eğer MBR'yi kontrol edebilirseniz, işletim sistemini ve çalıştığı bilgisayarı kontrol edebilirsiniz" diyor.

iDefense truva'nın çok çeşitli sürümlerinin kullanıldığını ve bunlardan bazılarının henüz antivirüs yazılımları tarafından yakalanmadığını belirtiyor.

Kaynak:

Yazıda bahsi geçen Trojan.Mebroot'u GMER firmasının geliştirdiği program ile temizleyebilirsiniz. Programın download adresi :

i

GMER resmi web sitesi :

Konu ile ilgili diğer link ise :

Please register to see this content.
Link to comment
Share on other sites
mach2 Newbie

mach2

Posted
  • Author
Posted
Geçtiğimiz ay, kendisini gizlemek için 10 sene öncesinin tekniğini kullanan yeni tip bir truva çıktı.

Symantec tarafından Trojan.Mebroot olarak adlandırılan kötü amaçlı yazılım bilgisayar açıldığında çalışmak için kendisini hard disk sürücünün ilk bölümüne yazıyor ve windows kernel'inde değişiklik yapıyor.

Saldırganlar, Master boot record (MBR) rootkit'i olarak bilinen bu truvayı aralığın ortasından beri kuruyorlar. VeriSign'ın iDefense Intelligence takımına göre 12 ve 19 aralıkta yapılan iki saldırıda yaklaşık 5000 bilgisayara bulaştırılmış. Yazılımı hedef bilgisayara kurmak için saldırganlar önce hack edilmiş bir web sitesine çekiyorlar ve buradan rootkit kodunu çalıştırmak için çeşitli saldırılar başlatıyorlar.

Kurulduktan sonra tüm kontrol saldırganların eline geçiyor.

Bu rootkit'i yazan grubun Torpig truvasını yazanla aynı ve 250,000 truva programı kurduklarına inanılıyor.

Trojan.Mebroot'un ilginç olan yanı kendisini MBR'ye yazması. Burası bilgisayar hard disk'inin ilk sektörü ve bilgisayarın işletim sistemini başlatmak için ilk baktığı yer. Symantec araştırmacısı Elie Florio "Eğer MBR'yi kontrol edebilirseniz, işletim sistemini ve çalıştığı bilgisayarı kontrol edebilirsiniz" diyor.

iDefense truva'nın çok çeşitli sürümlerinin kullanıldığını ve bunlardan bazılarının henüz antivirüs yazılımları tarafından yakalanmadığını belirtiyor.

Kaynak:

Yazıda bahsi geçen Trojan.Mebroot'u GMER firmasının geliştirdiği program ile temizleyebilirsiniz. Programın download adresi :i

GMER resmi web sitesi :

Konu ile ilgili diğer link ise :

İndirdim buldu trojeni ama silme yeri yok.

Link to comment
Share on other sites
optimus Newbie

optimus

Posted
Posted
Avg anti-spyware ile kesin çözüm

Arkadaşlar AVG kadar dandik bir virüs programı görmedim . günde en az 5 -10 sisteme bakıyorum . nezaman AVG yüklü makine gelse mutlaka virüs cıkıyor içinden . Nod32 Smart Security 'yi kesinlikle öneririm . NOD32 nin ayarlar bölümünden güvenlik ayarlarını HTTP - MAİL - SİSTEM bölümlerinden en üst düzeye getirin bakın bir tane sısıntı kalıyor mu sistemde . Nod32 ilk kurulumda normal ayarlarla kuruluyor bu yüzden mutlaka ayarlar dan " Tüm gelişmiş kurulum ağıcını girin.." seceneğinden giriş yapın cıkan ekrandan

1 ) "Gerçek zamanlı dosya sistemi koruması" seceneği içinde en üste ayarlar var onu tıklayın sonra en üsten ilk üç seceneği sırasıyla tıklayın ve secilmemiş bir kutucuk varsa secin temizleme düzeyini de katı kuralli temizlemeye getirin .

2 ) sonra e-posta ya gelin ve yine ayarları secin üsteki ayarları yapın .

3 ) sonra Web erişimi koruması na gelin yine 1 deki ayarları yapın

4) sonra isteğe bağlı bilgisayar taramasına gelin ve "Threatsence altyapısı parametre ayarlarına gelin ve yine 1 deki ayarları yapın

sonra tamam a tıklayın .

güncelleme yapın . 10 mb lık bir güncelleme dosyası indirmesi gerekiyor ilk kurulumda . şayet ilk bir kaç tıklamada güncelleme yapmıyorsa mutlaka devam edin sonunda 2 kb lik bir dosya indirecek ve sonra sırasıyla 10mb 300kb ... gibi 8 tane güncelleme paketi indirecek . sonra sistemkapı gibi oluyor cok ekstem durum sözkonusu değilse kolay kolay hiç bir sızıntı yaşanmaz sistemde .

Virüs kuşkunuz devam ediyorsa ozaman nod32 ye yardımcı olarak Spybot-Serch and Destroy 1.6 yı da kurup güncelleme yapıp tarama yapın .

yine sorun var diye düşünüyorsanız ozaman combofix ile güvenli mod da tarama yapın bir kere .

bunlar tamamen kendi tecrübelerim ve şimdiye kadar hep olumlu sonuclar aldım .

Saygılar

Link to comment
Share on other sites
BrightBlade Newbie

BrightBlade

Posted
Posted

Öncelikle formatla MBR'yi silemezsiniz. Onlarca format atın o virüs kalır. MBR sisteminizin HDD datasının saklandığı bilinen adı ile 0. partitiondur. BIOS'un HDDnizi görmesini sağlayan kısımdır. Çözümü elinizde indirdiğiniz GMER programıdır. Buluyor silemiyor demişsiniz. Bulduğunuz klosörü program içinde sağ tıklayıp "kill process" seçeneğini tıklayacaksınız.

Tabi bu yine rootkit'i silmez sadece etkisiz hale geririr. Ardından direk virüs programı ile tarama yapacaksınız o silecektir rootkit'i.

Link to comment
Share on other sites
mach2 Newbie

mach2

Posted
  • Author
Posted
Öncelikle formatla MBR'yi silemezsiniz. Onlarca format atın o virüs kalır. MBR sisteminizin HDD datasının saklandığı bilinen adı ile 0. partitiondur. BIOS'un HDDnizi görmesini sağlayan kısımdır. Çözümü elinizde indirdiğiniz GMER programıdır. Buluyor silemiyor demişsiniz. Bulduğunuz klosörü program içinde sağ tıklayıp "kill process" seçeneğini tıklayacaksınız.

Tabi bu yine rootkit'i silmez sadece etkisiz hale geririr. Ardından direk virüs programı ile tarama yapacaksınız o silecektir rootkit'i.

Kill process etkin değil

Please register to see this content.

Link to comment
Share on other sites
hüs eyin Newbie

hüs eyin

Posted
Posted

Avast kurup açılış taraması yapın . Hani kurulduktan sonra sorar açılış taraması yapılsınmı diye evet diyip bilgisayarınızı yeniden başlatın . Avastın içinde GMER motoru olduğundan bulup silecektir

NOT : Avastı kurmadan önce bilgisayarınızdaki tüm antivirüsleri kaldırın

Link to comment
Share on other sites
YAGMURADAM Community Regular

YAGMURADAM

Posted
Posted

Bu yazıyı bir oku arkadaşım.Daha önceden de yayınlamıştım.Alıntıdır.Saygılarımla...

Boot Sektörü Nedir?

Boot sektör hakkında kısaca bahsetmek gerekirse. Bir sabit disk (harddisk) üzerindeki bölümlerin (c, d, e..) her birinde o bölümün başlaması için gerekli olan ve o bölüm hakkında değişmez bilgilerin bulunduğu boot bölümleri vardır. Bölümler aktif hale geçmeden önce bilgisayar bölüme bağlı olan boot sektörünü okuyarak gerekli işlemleri yapmaktadır. Bölümler üzerindeki bu sektörlerdeki bilgiler format yoluyla bile silinemez. Boot Sektörleri üzeride değişiklik yapmak için, ya boot sektör programlarını kullanmak yada format çekme işlemi sırasında bölümü silip tekrar oluşturmak gerekmektedir.

MBR - Master Boot Record Nedir?

Bu bölüm ise harddiskin ilk sektörüdür ve bilgisayar açılırken flash bios otomatik olarak burayı okur ve ilk yapılması gerekenler hakkında emirleri burdan alır ve işleme sokar. Bilgisayarınızda ilk çalıştırılması gereken program veya ilk gidilmesi gereken adres gibi bilgiler bu bölümden alınarak uygulanmaktadır. MBR bölümü hiçbir şekilde format, bölüm silme ve yeniden kurma gibi yollarla değiştirilemez. Harddsik ilk alındığında işletim sistemi kurulduğu sırada MBR ile ilgili komutlar buraya yüklenir ve öylece kalır.

Boot Sektör Virüsleri Nelerdir? Nasıl Temizlenir?

Boot sektör virüsleri, çeşitli aracı yollarla kendini boot sektörüne kopyalar ve normalde orda bulunan komutlar yerine kendi komutlarını çalıştırır. Bunun sonucunda bilgisayarımız sürücüye ulaşırken aktifleşir ve virüs bilgisyarımızda aktif hale gelir. Temizleme kısmına gelirsek, yukardaki bölümde anlattığımız gibi boot sektörleri format veya biçimlendirme yoluyla temizlenemez. Dolayısıyla bu sektörlere bulaşan virüsleri temizlemek için yapılması gereken.

- Tüm bilgisayardaki dosyaların yedeklerini alırsınız. Boot virüsleri kendilerini kopyalama yeteneğine sahiplerdir dolayısıyla bir sektöre bulaştıkları an diğer sürücülerin boot sektörlerinede kendilerini yerleştirirler.

- Yedekleme işleminden sonra bilgisayarı windows cd desteği ile başlatıp tüm bölümler tek tek kaldırılmalı (ham hale getirilmeli) ve yeniden oluşturulmalıdır. Daha sonra bölümler biçimlendirilerek bu virüsten kurtulmuş oluruz.

MBR Virüsleri Nelerdir? Nasıl Temizlenirler?

MBR (Master Boot Record ) virüsleride boot sektör virüsleri gibi özel yöntemlerle kendilerini bilgisayarın başlangıç sektörü olan MBR sektörüne kopyalarlar ve bilgisayar açılırken ilk olarak bu sektör flash tarafından okuncağı için MBR virüsü pc de aktif hale geçecektir.

MBR virüsünü temizlemek aslında çok basit bir şekilde gerçekleşir.

1.) Windows kurulum cd sini bilgisayarınıza takın.

2.) Bilgisayarınızı cdromdan başlata ayarlayın ve cd desteği ile başlatın.

3.) Okuma işlemleri bittikten sonra R (Onar) Tuşuna basarak onarma bölümüne geçin.

4.) Bu aşamdan sonra varsayılan klavye düzeninin seçilmesi için biraz bekleyin ve Hangi windows oturumu ile çalışmak istiyorsunuz sorusuna 1 yazarak Enter tuşuna basın. Sizden yönetici şifresi isterse boş bırakarak Enter tuşuna basın, eğer kabul etmezse, windows kurulurken girdiğiniz şifreyi yazarak işleme devam edin.

5.) Tüm bu aşamalardan sonra karşınıza gelen komut satırına fixmbr komutunu yazarak Enter'a basın ve karşınıza gelen kısımlardada devam ederek MBR sektörünüzü yeniden oluşturun. FIXMBR komutu msdos'da cd desteği ile başlatıldığı zaman çalışabilen bir komuttur. Normalde xp açıkken bu komutu çalıştıramazsınız.

Bu yaptığımız işlem sonucunda virüslü veya hatalı MBR bölümünü orjinal haliyle değiştirerek düzeltmiş olduk. Fakat Bu işlemlerden sonra bilgisayarınıza format atmanız gerekmektedir. Çünkü MBR virüsü sonucunda bilgisayarınıza bulaşan dosyalar çeşitli bölümerde kendilerini aktif ettikleri için ancak format yoluyla geçmektedirler. Dolayısıyla ilk önce dosya yedeklerini almalı daha sonra yukarıdaki komut yapısı uygulanmalı ve en son olarak format çekilerek virüsten kurtulmuş olacaksınız.

Bilgisayarımda MBR Virüsü Olduğunu Nasıl Anlarım?

- Bu virüs bilgisayarınızda bulunuyorsa, tüm işlemleriniz çok yavaş bir şekilde gerçekleşecektir. Mesela bir word dosyası açtığınızda bile eski performans ile karşılaştırılamıyacak kadar kötü bir durumda olduğunu göreceksiniz.

- Bilgisayarınızda görev yöneticisine baktığınız zaman 1.exe, 2.exe, 3.exe, 4.exe,..10.exe,...., 14.exe, 15.exe, 16.exe gibi isimlerde dosyaların çalıştığını göreceksiniz. Ne kadar sonlandırırsanız sonlandırın kenidini sürekli olarak açacaktır.

- Virüs bilgisayarınızda MBR den aldığı komutlarla çeşitli yazılımlar yükleyerek bilgisayarınıza zarar verebilir hatta geri getirilemeyen bilgi kayıpları oluşturabilir.

- Virüsten korunmanız için önerimiz ilk oalrak internette gezdiğiniz siteler konusunda dikkatli olun ikincisi ise eğer biosunuz destekliyorsa Enable Boot Sector Virus Protection - Boot Sektör Korumasını Aktifleştir seçeneği ile MBR ve Boot sektörlerinize sonradan yazma yetkisini kaldırarak, işletim sisteminiz çalışıyor iken bu bölümlere bulaşabilecek virüsleri engellemiş olursunuz.

Link to comment
Share on other sites
Kaizen07 Newbie

Kaizen07

Posted
Posted

Herhangi bir trojan bulaşması sonrası izlenmesi gereken yol aşşağıdaki gibi olmalıdır.Forumdada bulunan Process Explorer ile arka planda çalışan program sayesinde istediğiniz işlemi durdurabilirsiniz,daha sonra da kill process i seçip virüsü silebilirsiniz güvenilirlik açısından tekrar taratmanızda yarar var bilgisayarınızı ben bu programı kullanmaya başladığımdan beri virüs programı kullanmıyorum...Bu program sayesinde rame bulaşan virüsü bile bulup devre dışı bırakabilirsiniz...

Process%20Explorer%20-%20Sysinternals%20www.sysinternals.com%20[PDXSHanselm].png

Download:

http://www.gezginler.net/modules/mydownloads/visit.php?lid=4973[/CODE]

Link to comment
Share on other sites
mach2 Newbie

mach2

Posted
  • Author
Posted
Geçte olsa bazılarının birşeyi anlaması iyi oluyor.

Kime ne demek istiyorsunuz?

Herhangi bir trojan bulaşması sonrası izlenmesi gereken yol aşşağıdaki gibi olmalıdır.Forumdada bulunan Process Explorer ile arka planda çalışan program sayesinde istediğiniz işlemi durdurabilirsiniz,daha sonra da kill process i seçip virüsü silebilirsiniz güvenilirlik açısından tekrar taratmanızda yarar var bilgisayarınızı ben bu programı kullanmaya başladığımdan beri virüs programı kullanmıyorum...Bu program sayesinde rame bulaşan virüsü bile bulup devre dışı bırakabilirsiniz...

Process%20Explorer%20-%20Sysinternals%20www.sysinternals.com%20[PDXSHanselm].png

Download:

http://www.gezginler.net/modules/mydownloads/visit.php?lid=4973[/CODE]

Bu programda birşey göremedim

Link to comment
Share on other sites
BrightBlade Newbie

BrightBlade

Posted
Posted

Öncelikle flood yaptığınız için uyarı aldınız!

Sonra yine aynı programdan daha detaylı bir özelliğiyle çözüm sunayım.

Gmeri yine çalıştırıyorsunuz. Processes sekmesine tıklayın. Orada bulunan kill all butonuna basın. bütün programlar sonlanmış olacaktır. Bu sayede tüm rootkit savunmaları devre dışı kalacaktır. Run butonuna basın ve virüs programınızı bulup (c:program files\eset\vs. şeklinde) ok butonuna basın ve run diyip antivirüs programınızı çalıştırın. Rootkit silindikten sonra yine processesten restart yaparak bilgisayarınızı yeniden başlatın.

Artık bu şekilde de silinmez ise virüs programınızı değiştirin, avira ve kaspy bu virüsü siliyor bildiğim kadarı ile.

Link to comment
Share on other sites
mach2 Newbie

mach2

Posted
  • Author
Posted
Öncelikle flood yaptığınız için uyarı aldınız!

Sonra yine aynı programdan daha detaylı bir özelliğiyle çözüm sunayım.

Gmeri yine çalıştırıyorsunuz. Processes sekmesine tıklayın. Orada bulunan kill all butonuna basın. bütün programlar sonlanmış olacaktır. Bu sayede tüm rootkit savunmaları devre dışı kalacaktır. Run butonuna basın ve virüs programınızı bulup (c:program files\eset\vs. şeklinde) ok butonuna basın ve run diyip antivirüs programınızı çalıştırın. Rootkit silindikten sonra yine processesten restart yaparak bilgisayarınızı yeniden başlatın.

Artık bu şekilde de silinmez ise virüs programınızı değiştirin, avira ve kaspy bu virüsü siliyor bildiğim kadarı ile.

Virüs programını seçtim runa bastım çekirdek ile hata oluştu dedi

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...