worm_downoad.ad ten kurtulabilir miyiz ?

Merhabalar ,

Size aşağıda ki linkleri öneriyorum.

Ömer hocamızın makalesine bir göz atın.

http://www.omerkaradeniz.com/2009/04/10/worm_downada-w32downadup-w32confickerworm-virus-analizi/

http://www.sophos.com/security/analyses/viruses-and-spyware/malconfickera.html

Kolay gelsin.

Merhabalar tekrar, 

Çalıştığım yer bir hastane ve daha öncesinde networku kaldırma imkanım olmustu. Ancak hersey yerli yerine oturdugu ve tüm servisler 24 saat yoğun çalıştığı için  networku iptal etmem imkansız hale geldi.

 Clientlar domaine bağlı çalışırken bu virüsü temizlemenin bir inceliği, yolu yok mudur ?

 Güvenlik konusunda Uzman hocalarımdan cevap bekliyorum.

Bu konudan müzdarip olan bir çok sistemci olduğunu düşünüyorum. Trendmicro bu virüsü yok edemediğine göre, trend microda hala bir çözüm üretebilmiş değil.  Internette konuyla ilgili arama yapılırsa bir çok sistemcinin bu virüsten kurtulmak icin yollar aradığını ancak bulamadığını görebiliriz. Şayet çözümü burada üretirsek sadece bana değil, birçok arkadaşımıza çözümünüz ilaç niteliğinde olacaktir.

 Tşkler, iyi çalışmalar

Mustafa ERGÜL

Merhaba,

Öncelikle bu bir exploit ve microsoftun yamalanmamış sistemlerine açık kullanarak network üzerinden bulaşma özelliği mevcut.

Teknik detaylar için ve nasıl bulaşır nasıl temizleniri bu linkten bakabilirsiniz.

http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=T

Sisteminizden temizledikten sonra ki temizleme işleminde mutlaka networkten uzaklaştırın ve sisteminize göre mevcut olan yamayı indirip kurunuz.

http://threatinfo.trendmicro.com/vinfo/secadvisories/default6.asp?vname=MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT

Merhaba,

Öncelikle bu bir exploit ve microsoftun yamalanmamış sistemlerine açık kullanarak network üzerinden bulaşma özelliği mevcut.

Teknik detaylar için ve nasıl bulaşır nasıl temizleniri bu linkten bakabilirsiniz.

http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=T

Sisteminizden temizledikten sonra ki temizleme işleminde mutlaka networkten uzaklaştırın ve sisteminize göre mevcut olan yamayı indirip kurunuz.

http://threatinfo.trendmicro.com/vinfo/secadvisories/default6.asp?vname=MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT

Rafet Bey tesekkur ederim, bilgi için. Benim ingilizcem biraz zayıf. Acaba virüsün temizlenmesi icin önerdiği yazılımlardan hangisini kurmam gerekli. Birden fazla yazılım önerisi sunulmuş..

 tskler, iyi calismalar

İşletim sisteminize göre linke tıklamanız yeterli.

Patch Information:

For information about the specific
security update for your affected software, click the appropriate link:

• Microsoft
  Windows 2000 Service Pack 4
• Windows
  XP Service Pack 2 and Windows XP Service Pack 3
• Windows
  XP Professional x64 Edition and Service Pack 2
• Windows
  Server 2003 Service Pack 1 and Service Pack 2
• Windows
  Server 2003 x64 Edition and Service Pack 2
• Windows
  Server 2003 with SP1 and SP2 for Itanium-based Systems
• Windows
  Vista and Windows Vista Service Pack 1
• Windows
  Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
• Windows
  Server 2008 for 32-bit Systems*
• Windows
  Server 2008 for x64-based Systems*
• Windows
  Server 2008 for Itanium-based Systems

 zaten bundan sonraki stepte 5-6 tane yazılım öneriyor. bütün dosyalari indirdim fakat neyin ne zaman yükleneceğini çözemedim. biraz karmaşık bi yükleme yapısına sahip. Ayrıca bu trend micro serverıma mı kurulacak. yoksa virüsü temizlemek istedigim tüm clientlara mı ? Kurulan yazılımın clientları yönetme kabiliyeti var mıdır ?

Yardimci olabilirseniz sevinirim.

Tskler, iyi calismalar

 

 zaten bundan sonraki stepte 5-6 tane yazılım öneriyor. bütün dosyalari indirdim fakat neyin ne zaman yükleneceğini çözemedim. biraz karmaşık bi yükleme yapısına sahip. Ayrıca bu trend micro serverıma mı kurulacak. yoksa virüsü temizlemek istedigim tüm clientlara mı ? Kurulan yazılımın clientları yönetme kabiliyeti var mıdır ?

Yardimci olabilirseniz sevinirim.

 

Tskler, iyi calismalar

İşletim sisteminize uygun olanı indirin. Xp ise Xp'ye Win.2003 ise Win 2003'e kuracaksınız.

Öncelikle tek bir client üzerine kurun deneyin. Clientları yönetemezsiniz. 

Syg.

Merhaba tekrar,

Arkadaşlar önerilen çözüm yolları ile bahsettiğim wormu temizleyemedim. ve sistemimde bundan olumsuz etkileniyor. Başka çözüm yolu olan arkadaşım rica etsem paylaşabilir mi ? Ben aynı zamanda diğer kaynaklardan da araştırıyorum. boş durmuyorum.

Tşkler, Syg,

Merhaba,

Hala sisteminizde virüs olması çok enterasan doğrusu. Lütfen 1 client bilgisayarınızı networkten uzaklaştırın daha sonra o bilgisayardan Trend Microyu kaldırın Kaspersky İnternet Sec. ürününü indirip 30 günlük demosunu kurup bilgisayarı full taramadan geçirin. Son olarak size daha önce verdiğim linklerde yer alan ve client bilgisayarınıza uygun olan yamayı yapınız. Daha sonra networke alın bakalım tekrar bu bilgisayara bulaşma oluyor mu ?

Merhaba,

Clientlarda Windows güvenlik yaması başarılı oldu sanırım. uyguladigim clientlarda henüz trend micro clientlar virüs uyarısı vermedi. Ancak serverlarımda hala bu virüs var. Server 2003 icin nasıl bir yöntem uygulamaliyim. Server üzerindende bu virüsü  yok ettiğimde kurtulmus olacagım bu virüsten. Önerilerinize ihtiyacım var arkadaslar

Merhaba,

 Aynı yamanın verdiğim linklerde server için yaması da mevcut ... Sunucu için bu yamayı uyguladınız mı ?

Merhaba tekrar Rafet Bey

Virüs uyarısı vermiyor dediğim, dediklerinizi uyguladığım clientlarda bugün itibarı ile trend micro virüs uyarısı vermeye başladı. Trend micro fix tool, kaspersky ve trend micro console ile yapmıs oldugum taramalarda herhangibir virüse rastamıyor. Ancak trend micro client belli aralıklarla Worm_downoad.ad ye rastladıgını söylüyor. Yani yapmıs oldugumuz aksiyon planları başarısız oldu diyebilirim. Benim amacım bu virüslerden önce client tarafında kurtularak , bir daha bulasmaması icin önlem almak. Daha sonra da serverlar tarafında bu virüsten kurtularak önlem alarak tamamen kurtulmak. Acaba nasıl bir yol izlemeliyim. Napmalıyım ki bu saklanan virüsü temizleyeyim ve önlem alayım. Sistemim bundan su anda cok olumsuz etkilenmiyor ama hastalıklar artacaktır. bir an önce tedavi iyi gerekiyor. Sizin ve diğer arkadaslarımın yardimlarini bekliyorum..

Tskler, iyi çalışmalar

Merhaba,

Elinizdeki envanteri bilmediğim için net yönlendirmeler yapmam çok zor ancak ben kendime göre yorumluyorum sizde bu yolu izleyebilirsiniz.

Ortamda öncelikle temizleyeceğiniz sistemlerin başında sunucular gelir ki tüm veri akışları bunlar üzerinden gerçekleşmektedir. (Tabi bunlarda virüs izlerine rastlanmışsa.) Temizleme işleminden sonra yamalama işlemini yine sunucudan başlarım.

Sunucuda birşeyler yok temiz ve yamalama işlemini gerçekleştirdiyseniz o zaman networkü izlemeye alırım elimde UTM bir cihaz var ise onunla ha yok network izleme programları sysloglar ile detaylara kadar inerim ve sonuçta ortamda sıkıntı çıkaran bilgisayarları tespit edersiniz. Bunları networkten uzaklaştırıp temizleme ve yamalama işlemini yaparım.

Bu arada elinizde UTM bir cihaz ve yönetilebilir bir swicth varsa port kısıtlamaları ile güvenliği üst seviyeye çekip bulaşma riskinide ortadan kaldırırım. Tabi kesin çözüm değil örneğin http ve https trafiğini kullanıyor olabilir virüsler.

Size ayrıca bir tool önereceğim kullanımı çok kolay olmakla birlikte tehlikelidir istenmeyen sonuçlar ortaya çıkarabilir ama kesin çözüm sağlayacağını göreceksiniz. Tool'un adı AVZ bu ürün yine benimde çok kullandığım Kaspersky ürünü için tasarlanmış ek yardımcı programdır.

Ürünü kullanma ve indirmek için : http://support.kaspersky.com/faq/?qid=208279710  ilgili linki kullanabilirsiniz. Lütfen dikkatli olun çok fazla detayı var supportta belirtilen adımlar dışına eğer bilginiz yoksa çıkmayın problem yaşarsınız.

Bu tool ile rapor oluşturup, sistemi temizleyebilir, yamalayabilir, güvenlik düzeyini yükseltebilir ve sorununuza çözüm bulabilirsiniz.