Forum

worm_downoad.ad ten...
 
Bildirimler
Hepsini Temizle

worm_downoad.ad ten kurtulabilir miyiz ?

14 Yazılar
3 Üyeler
0 Reactions
500 Görüntüleme
(@MustafaErgul)
Gönderiler: 52
Trusted Member
Konu başlatıcı
 

Merhabalar,


40 cliente sahip windows server 2003 ve trend micro server kullanıyorum. ve bu iki serverda farkli makinalarda barınıyor. Yaklasık 1 aydır Trend micro hem server tarafında hem de client tarafında worm_downoad.ad virüsü buluyor temizlediğini söylüyor ama bu uyariyi belli araliklarla vermeye devam ediyor. yani bu virüs temizlendikten sonra kendini tekrar üretiyor. ve trend micro tekrar yakalıyor. temizlemek icin şu yöntemleri denedim.


Geri yükleme noktasını kapatarak trend micro ile tarama yaptim ancak sonuc olmadı


clientlarda aynısını yaptim buda cozum olmadi.


 switchleri kapatarak ve clientlari agdan kopararak denedim yine olmadi.


 Kaspersky kurdum ve bunla tarama yapmayi denedim yine cozum olmadi. Sizlere sorum şu şekilde.


 


1- Şu anda sistemimde virüsten kaynaklanan bir yavaslama veya bir baska sorun bulunmuyor. Trend micro bu virüsü tutuyor sanırım. Bu böyle devam ederse sistemim bundan etkilenecektir. Acaba trend microdan gecerek sistemimi etkilermi ?


 2- Bu virüs icin bir fix, removal tool yada bir temizleme yolu bulunuyor mu ?


 Benimle çözüm önerilerinizi paylaşabilir misiniz ?


 Şimdiden ilgili tüm arkadaşlara teşekkür ederim.


 


Mustafa ERGÜL

 
Gönderildi : 10/06/2010 13:33

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
 

Merhabalar ,

Size aşağıda ki linkleri öneriyorum.

Ömer hocamızın makalesine bir göz atın.

http://www.omerkaradeniz.com/2009/04/10/worm_downada-w32downadup-w32confickerworm-virus-analizi/

http://www.sophos.com/security/analyses/viruses-and-spyware/malconfickera.html

Kolay gelsin.

 
Gönderildi : 10/06/2010 14:09

(@MustafaErgul)
Gönderiler: 52
Trusted Member
Konu başlatıcı
 

Merhabalar tekrar, 


Çalıştığım yer bir hastane ve daha öncesinde networku kaldırma imkanım olmustu. Ancak hersey yerli yerine oturdugu ve tüm servisler 24 saat yoğun çalıştığı için  networku iptal etmem imkansız hale geldi.


 Clientlar domaine bağlı çalışırken bu virüsü temizlemenin bir inceliği, yolu yok mudur ?


 Güvenlik konusunda Uzman hocalarımdan cevap bekliyorum.


Bu konudan müzdarip olan bir çok sistemci olduğunu düşünüyorum. Trendmicro bu virüsü yok edemediğine göre, trend microda hala bir çözüm üretebilmiş değil.  Internette konuyla ilgili arama yapılırsa bir çok sistemcinin bu virüsten kurtulmak icin yollar aradığını ancak bulamadığını görebiliriz. Şayet çözümü burada üretirsek sadece bana değil, birçok arkadaşımıza çözümünüz ilaç niteliğinde olacaktir.


 Tşkler, iyi çalışmalar


Mustafa ERGÜL

 
Gönderildi : 10/06/2010 14:39

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Merhaba,


Öncelikle bu bir exploit ve microsoftun yamalanmamış sistemlerine açık kullanarak network üzerinden bulaşma özelliği mevcut.


Teknik detaylar için ve nasıl bulaşır nasıl temizleniri bu linkten bakabilirsiniz.


http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=T


Sisteminizden temizledikten sonra ki temizleme işleminde mutlaka networkten uzaklaştırın ve sisteminize göre mevcut olan yamayı indirip kurunuz.


http://threatinfo.trendmicro.com/vinfo/secadvisories/default6.asp?vname=MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT

 
Gönderildi : 10/06/2010 16:32

(@MustafaErgul)
Gönderiler: 52
Trusted Member
Konu başlatıcı
 


Merhaba,


Öncelikle bu bir exploit ve microsoftun yamalanmamış sistemlerine açık kullanarak network üzerinden bulaşma özelliği mevcut.


Teknik detaylar için ve nasıl bulaşır nasıl temizleniri bu linkten bakabilirsiniz.


http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=T


Sisteminizden temizledikten sonra ki temizleme işleminde mutlaka networkten uzaklaştırın ve sisteminize göre mevcut olan yamayı indirip kurunuz.


http://threatinfo.trendmicro.com/vinfo/secadvisories/default6.asp?vname=MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT



 


Rafet Bey tesekkur ederim, bilgi için. Benim ingilizcem biraz zayıf. Acaba virüsün temizlenmesi icin önerdiği yazılımlardan hangisini kurmam gerekli. Birden fazla yazılım önerisi sunulmuş..


 tskler, iyi calismalar

 
Gönderildi : 10/06/2010 17:34

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member

(@MustafaErgul)
Gönderiler: 52
Trusted Member
Konu başlatıcı
 

 


 zaten bundan sonraki stepte 5-6 tane yazılım öneriyor. bütün dosyalari indirdim fakat neyin ne zaman yükleneceğini çözemedim. biraz karmaşık bi yükleme yapısına sahip. Ayrıca bu trend micro serverıma mı kurulacak. yoksa virüsü temizlemek istedigim tüm clientlara mı ? Kurulan yazılımın clientları yönetme kabiliyeti var mıdır ?


Yardimci olabilirseniz sevinirim.


 


Tskler, iyi calismalar

 
Gönderildi : 10/06/2010 17:56

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
 

 

 zaten bundan sonraki stepte 5-6 tane yazılım öneriyor. bütün dosyalari indirdim fakat neyin ne zaman yükleneceğini çözemedim. biraz karmaşık bi yükleme yapısına sahip. Ayrıca bu trend micro serverıma mı kurulacak. yoksa virüsü temizlemek istedigim tüm clientlara mı ? Kurulan yazılımın clientları yönetme kabiliyeti var mıdır ?

Yardimci olabilirseniz sevinirim.

 

Tskler, iyi calismalar

İşletim sisteminize uygun olanı indirin. Xp ise Xp'ye Win.2003 ise Win 2003'e kuracaksınız.

Öncelikle tek bir client üzerine kurun deneyin. Clientları yönetemezsiniz. 

Syg.

 
Gönderildi : 10/06/2010 18:09

(@MustafaErgul)
Gönderiler: 52
Trusted Member
Konu başlatıcı
 

Merhaba tekrar,


 


Arkadaşlar önerilen çözüm yolları ile bahsettiğim wormu temizleyemedim. ve sistemimde bundan olumsuz etkileniyor. Başka çözüm yolu olan arkadaşım rica etsem paylaşabilir mi ? Ben aynı zamanda diğer kaynaklardan da araştırıyorum. boş durmuyorum.


 


Tşkler, Syg,

 
Gönderildi : 10/06/2010 20:25

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Merhaba,


Hala sisteminizde virüs olması çok enterasan doğrusu. Lütfen 1 client bilgisayarınızı networkten uzaklaştırın daha sonra o bilgisayardan Trend Microyu kaldırın Kaspersky İnternet Sec. ürününü indirip 30 günlük demosunu kurup bilgisayarı full taramadan geçirin. Son olarak size daha önce verdiğim linklerde yer alan ve client bilgisayarınıza uygun olan yamayı yapınız. Daha sonra networke alın bakalım tekrar bu bilgisayara bulaşma oluyor mu ?

 
Gönderildi : 11/06/2010 00:24

(@MustafaErgul)
Gönderiler: 52
Trusted Member
Konu başlatıcı
 

Merhaba,


Clientlarda Windows güvenlik yaması başarılı oldu sanırım. uyguladigim clientlarda henüz trend micro clientlar virüs uyarısı vermedi. Ancak serverlarımda hala bu virüs var. Server 2003 icin nasıl bir yöntem uygulamaliyim. Server üzerindende bu virüsü  yok ettiğimde kurtulmus olacagım bu virüsten. Önerilerinize ihtiyacım var arkadaslar

 
Gönderildi : 14/06/2010 11:18

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Merhaba,


 Aynı yamanın verdiğim linklerde server için yaması da mevcut ... Sunucu için bu yamayı uyguladınız mı ?

 
Gönderildi : 14/06/2010 14:56

(@MustafaErgul)
Gönderiler: 52
Trusted Member
Konu başlatıcı
 

Merhaba tekrar Rafet Bey

Virüs uyarısı vermiyor dediğim, dediklerinizi uyguladığım clientlarda bugün itibarı ile trend micro virüs uyarısı vermeye başladı. Trend micro fix tool, kaspersky ve trend micro console ile yapmıs oldugum taramalarda herhangibir virüse rastamıyor. Ancak trend micro client belli aralıklarla Worm_downoad.ad ye rastladıgını söylüyor. Yani yapmıs oldugumuz aksiyon planları başarısız oldu diyebilirim. Benim amacım bu virüslerden önce client tarafında kurtularak , bir daha bulasmaması icin önlem almak. Daha sonra da serverlar tarafında bu virüsten kurtularak önlem alarak tamamen kurtulmak. Acaba nasıl bir yol izlemeliyim. Napmalıyım ki bu saklanan virüsü temizleyeyim ve önlem alayım. Sistemim bundan su anda cok olumsuz etkilenmiyor ama hastalıklar artacaktır. bir an önce tedavi iyi gerekiyor. Sizin ve diğer arkadaslarımın yardimlarini bekliyorum..

Tskler, iyi çalışmalar

 
Gönderildi : 15/06/2010 14:26

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Merhaba,


Elinizdeki envanteri bilmediğim için net yönlendirmeler yapmam çok zor ancak ben kendime göre yorumluyorum sizde bu yolu izleyebilirsiniz.


Ortamda öncelikle temizleyeceğiniz sistemlerin başında sunucular gelir ki tüm veri akışları bunlar üzerinden gerçekleşmektedir. (Tabi bunlarda virüs izlerine rastlanmışsa.) Temizleme işleminden sonra yamalama işlemini yine sunucudan başlarım.


Sunucuda birşeyler yok temiz ve yamalama işlemini gerçekleştirdiyseniz o zaman networkü izlemeye alırım elimde UTM bir cihaz var ise onunla ha yok network izleme programları sysloglar ile detaylara kadar inerim ve sonuçta ortamda sıkıntı çıkaran bilgisayarları tespit edersiniz. Bunları networkten uzaklaştırıp temizleme ve yamalama işlemini yaparım.


Bu arada elinizde UTM bir cihaz ve yönetilebilir bir swicth varsa port kısıtlamaları ile güvenliği üst seviyeye çekip bulaşma riskinide ortadan kaldırırım. Tabi kesin çözüm değil örneğin http ve https trafiğini kullanıyor olabilir virüsler.


Size ayrıca bir tool önereceğim kullanımı çok kolay olmakla birlikte tehlikelidir istenmeyen sonuçlar ortaya çıkarabilir ama kesin çözüm sağlayacağını göreceksiniz. Tool'un adı AVZ bu ürün yine benimde çok kullandığım Kaspersky ürünü için tasarlanmış ek yardımcı programdır.


Ürünü kullanma ve indirmek için : http://support.kaspersky.com/faq/?qid=208279710  ilgili linki kullanabilirsiniz. Lütfen dikkatli olun çok fazla detayı var supportta belirtilen adımlar dışına eğer bilginiz yoksa çıkmayın problem yaşarsınız.


Bu tool ile rapor oluşturup, sistemi temizleyebilir, yamalayabilir, güvenlik düzeyini yükseltebilir ve sorununuza çözüm bulabilirsiniz.

 
Gönderildi : 16/06/2010 01:58

Paylaş: