Forum
Slm Arkadaşlar.
Yöneticisi olduğum yaklaşık 220 pc bulunan Network sistemi üzerinde garip bir sorun ile karşı karşıyayım.
Network üzerinde dolaşan bir virüs mevcut. Firmada Server tabanlı Kaspersky kullanıyoruz. Fakat kaspersky ne yazıkki virüsü görmüyor ve yakalayamıyor.
Virüsün yaptığı iş: Network üzerinde paylaşıma tam yetki ile share edilmiş klasörlere .scr uzantılı saçma sapan dosya ve klasörler oluşturması. (Resim1)
Ayrıca bu klasörlerin içinde bulunan ve alfabetik olarak ilk sıradaki klasörü de gizli hale getiriyor. (Resim2)
Virüsün yaptığı tek zarar bu.
Resimler:
İlk Resimde görülen yer, ağ üzerinde tam yetkili yani herkesin yazmaya ve okumaya yetkili olduğu bir klasörün içi. Resimde gördüğünüz scr dosyaları siliyorum, aradan 10-15 dakika sonra yeniden oluşuyor. Bu klasörün bulunduğu bilgisayarda virüs yok ona eminim. Virüsün kaynağı yani network üzerinde tam yetki ile paylaşıma açılmış klasörleri tarayıp bu dosyaları yeniden oluşturan esas oğlan (virüs exe'si) başka bir bilgisayarda. Buna şu şekilde emin oldum. Klasörün yetkisini "read only" yaptım. Ve .scr dosyaları oluşmadı. Bu da virüsün kaynağının bu bilgisayarda olmadığını ve network üzerindeki bir pc de olduğunu gösteriyor.
Network üzerindeki tüm pc.lerde kaspersky kurulu. Biz yinede manuel olarak tüm pc.lerde tarama yaptık. Bu yaklaşık 10 günümüzü aldı.Fakat sonuç sıfır.
İnternette araştırdım bunun tipinde birçok virüs mevcut ve "antivirüs programları yakalayamıyor" deniliyor. Tüm makinalara format atmam imkansız. Kaldıki virüsün networkte zıplamaması için hepsine aynı anda format atmam gerekir. 🙂
Konu ile ilgili fikri düşüncesi önerisi olan varsa sevinirim.
Teşekkürler.
Oluşan klasörlerin Security'lerini kontrol edin. Sahibinin kim olduğunu bulun. Bakın bakalım hepsinin sahibi aynı mı yoksa farklı farklı kullanıcılar mı? Dosyaları oluşturan kullanıcıların kullandığı bilgisayarlar üzerine yoğunlaşın.
Ayrıca şöyle bir önerim daha olacak. Bu bilgisayarlarda user profile dizinin altını kontrol edin. saçma sapan/anlamsız işaret ve isimlerdeki klasörleri araştırıp bulun.(gizli klasörleri de tabii). Ben buna benzer zararlı yazılımları temizlemek için şöyle bir yöntem kullanıyorum. Makinayı farklı bir user ile açın. dosyayı bulup silin. aynı isimde boş bir dosya oluşturun. Kullanıcının bu dosyayı okumasına ve yazmasını engelleyecek şekilde security ayarlarını yapın.
Cevabınız için öncelikle teşekkür ederim.
Söylediklerinizi daha önce ben de düşünmüştüm.
.scr dosyaların sahip bilgileri lokal makinanın Guest hesabı görünüyor. Ki olması gereken de budur zaten.
Bahsi geçen klasörler bir Server üzerinde değil. Lokal makinada, (kullanıcı pc). Server üzerinde olsaydı dediğiniz doğruydu herşekilde kimin (hangi kullanıcı hesabının) erişim sağladığını ve dosyayı oluşturduğunu rahatça görebilirdik. Hal böyle olunca Windows XP ve 7 sistemlerde göremeyiz. Tam paylaşımlı bir klasöre (pc'ye) bağlanan ve veri yazan kişi o bilgisayarın guest'i ile bağlanır. Ve dosya ayrıntılarında sahip olarak veri yazılan yani hedef bilgisayarın lokal/guesti görünür. Buradan bir yere varamayız.
User profil dizinlerinin altı ise temiz.
exe dosya (ki exe olduğuna bile şüpheliyim) kullanıcı profillerinde veya templerde vs değil.
Network trafiğini kontrol eden programlar var. "belki" dedim fakat bir sonuç sağlamadı.
Merhaba Erkan Bey ;
Kaspersky nin Offline Tarama CD'si ile bu virüs temizlenebiliyordu. Kaspersky deneme sürümünü kurup virüs imza veritabanını güncelledikten sonra Offline tarama cd'si oluşturup PCleri bu CD ile başlatıp tarama işlemi yapın. Muhtemelen sorun çözülecektir.
Merhaba,
Zararli yazilim olarak suphelendiginiz dosyayi http://kaspersky.antivirus.lv/eng/service/report/ buradaki prosudure gore kaspersky'e gonderiniz.
Kaspersky'in veritabanina eklendiginde, raporlar'dan bakin en cok hangi bilgisayarlarda tespit edilmis o bilgisayarlar uzerinde inceleme yapiniz.
Bu tur problemlerle cok karsilasiyorum, Antivirus urunlerinin raporlari inceleyerek kaynagi tespit ediyorum. Kaspersky'nin raporlarinda en cok virus veren bilgisayarlari inceleyiniz. Raporlarin detaylarinda varmıdır bilmiyorum (Symantec - SEP'de var) bir virus agdan bulasmis ise kaynagini gosteriyordu. Kaspersky de bu sekil bir sey olabilir.
2. yol ise audit loglari incelemek dosyanin share'e olusturma tarihiyle o anda kim erismis ise onlari tespit etmek.
Selamlar,
Barış İnceişçi
Cevaplar için teşekkürler.
Gelişmeleri yazacağım.