Tehlikeli bir virüs : W32.Beagle. DZ

2 gün önce kenthaber'in yeni sürümünü hazırlamak üzere çalışmalarıma kaldığım yerden devam etmek için koltuğuma oturduğumda gariplikler olduğunu fark ettim. Bir süre sonra beni doğrularcasına mavi ekranla karşılaştım. Bir servisle ilgili hata olduğundan bahsediyordu.

Herhangi yeni yazılım yüklememiş, donanım kurmamış olmama rağmen donanım sorunu olabileceğini söylüyordu. İlk aklıma gelen donanım kaynaklı sorunlar olabileceği yönünde oldu.

Bunun üzerine işlemcinin ısı durumunu kontrol ettim. Evet, haklıydım. İşlemcim aşırı ısınıyordu. Kasayı açıp bir güzel temizlik yaptım. Fan dönüş hızlarını kontrol ettim. Pekde öyle önemsenecek bir sıkıntı göremedim.

Çalışmaya devam etme kararı verdim. Ancak, bir süre sonra yine mavi ekranla karşılaştım. Artık canım iyice sıkılmıştı. Disk arızası olup olmadığını kontrol ettim. Ama bir sorun bulamadım. Kardeşime telefon edip gelirken işlemci fanı ve temizlik malzemeleri getirmesini söyledim.

......

Geldiğinde epey geç olmuştu. Dün akşam 22:30 civarında kardeşimde gözden geçirip bir sorun olmadığında hem fikir olduk. Artık bu noktada iyice dellenmiştim. Neydi... Beni bu kadar zaman oyalayan ve sıkıntıya sokan şey neydi? Acaba virüs olabilirmiydi?

Birden, yaklaşık 1 hafta önce antivirüs yazılımını kaldırıp testler yaptığımı hatırladım. Sistemde güvenliği riske atmıştım. Sonra antivürüs yazlımını yüklemeyi denedim. Sürpriz!

"Error 1304.Error writing to file C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe. Verify that you have access to that directory."

Hata veriyordu. Tamam belki yazılımda bir sorun vardı. Diğerlerini denemeye koyuldum. Ama nafile... Denediğim hiç bir güvenlik yazılımı yüklenemiyordu.

Artık durum iyice tatsız bir hal almıştı. İnternet üzerinden yapılan testleri denemeye başladım. Şaşkınlar! Hepsi farklı birşeylerden bahsediyor, sildik diyor yada hatalar verip kapanıyordu. Olmuyordu. Ne yaptıysam bu virüsten kurtulamıyordum.

Norman firmasının "malware removal" aracını indirip çalıştırdığımda Buggle.mm@c diye bir virüs bulduğunu ve temizlediğini rapor etti. Ancak, hala daha ben güvenlik yazlımlarını kurup çalıştıramıyordum. Demekki hala aktifti.

Windows'un Olay Görüntüleyicisini (Event Viewer) açıp teker teker kayıtları incelemeye başladım. Garip bir servis başlatılmıştı: "The Empty service was successfully sent a start control.". Hatırladığım kadarıyla "Empty" adında bir windows servisi söz konusu değildi.

Hemen bu servisi durdurmayı denedim.

Başlat>Çalıştır>cmd
C:Windows>Net Stop Empty

Sistem tamda bu anda mavi ekrana düştü. "m_hook.sys" dosyası ile iligili sorunlar verdi. İyide windows'da ben hiç "m_hook.sys" diye bir sistem dosyası görmedim. Google'dan aramayı denedim.

Çeşitli dökümanlarda bunun bir virüs dosyası olduğunu okudum. Symantec'in Symantec Security Response - W32.Beagle.DZ linkinde verdiği dökümanı incelediğimde belirtilerin tıpa tıp uyduğunu gördüm.

Özetle:

• Virüs 23 Mart 2006'da raporlanmış.
• Panda firması Bagle.HX, Trend Micro firması TROJ_MITGLIED.AI olarak tanımlıyor.
• Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP sistemelerine bulaşıyor.
• FTP adreslerinden bir takım dosyalar yükleyip çalıştırabiliyor.
• %System%wintems.exe, %UserProfile%Application Datahidireshidr.exe ve %UserProfile%Application Datahidiresm_hook.sys dosyalarını sisteme yerleştiriyor.
• m_hook.sys dosyası bir windows servisi oluşturmak için kullanıyor. Yani bu bir "rootkit" 
• Güvenlik yazılımlarının yüklenmesini ve çalıştırılmasını engelliyor.
• Önemli windows servislerini durduryor. Otomatik güncelleme, Firewall ve internet paylaşımı...

Nasıl Sileriz:

Detaylı açıklamalar Symantec Security Response - W32.Beagle.DZ adresinde mevcut. Ancak, yinede kısaca yazayım.

• Bir virüsü temizlemek için öncelikle onu durdurmanız gerekir. Bunun için windowsu "Güvenli Mod" ile açmalısınız.
• "System Restore" özelliğini durdurmalısınız.
• Komut isteminde servisin devrede olup olmadığını kontrol edin. Normalde güvenli kipte hiç bir servis başlatılmaz. Aşağıdaki komutları girdiğinizde durdurulmuş olacaktır.

Başlat>Çalıştır>cmd
c:Windows>net stop Empty

• %System%wintems.exe, %UserProfile%Application Datahidireshidr.exe ve %UserProfile%Application Datahidiresm_hook.sys dosyalarını bulup silin.
• HKEY_LOCAL_MACHINESystemCurrentControlSetServicesm_hook Kayıt Defteri girişini silin.
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun içindeki "drvsyskit" = "%Userprofiles%Application Datahidireshidr.exe"
  "german.exe" = "%System%wintems.exe"
  Kayıt defteri girişlerini silin.
• HKEY_CURRENT_USERSoftwareDateTime4 içindeki
  "port" = "0x5B7E"
  "uid" = "[RANDOM]"
  "wdrn" = "0x00000001" girişlerini silin.
• Windowsu yeniden başlatın. Mutlaka güvenilir bir antivirüs yazılımı edinip sisteminizi test edin.

Öneriler:

Bilgisayarınızı casus yazılımlar, virüsler vb. çeşitli zararlılardan korumanız gerekir. Genellikle Ajan yazılımlar sizinle ilgili bilgileri başkalarına ileterek (ziyaret edilen yerler, şifreler vs...) size zarar verebilirler. Sisteminiz çökebilir. Verileriniz kaybolabilir.

• Mutlaka güvenilir bir kuruluş tarafından sağlanan Antivirus yazılımı satın alın.
• Microsoft tarafından sağlanan "Microsoft AntiSpyware" download edip kurun. (Kimilerince şiddetle eleştirilsede emin olun ben çok faydalanıyorum)
• Mutlaka bir güvenlik duvarı uygulaması çalıştırın. Bu konuda türkçe bir uygulamaya ihtiyaç duyuyorsanız LAN SUITE ürününe bir bakın derim. Windows'un yeni sürümlerinde Windows Firewall mevcut. Hiç olmazsa bunu çalıştırın.
• 3 parti kuruluşlar tarafından geliştirilen oldukça başarılı ürünler mevcut. Zonealarm, Kerio, Symantec, Norman gibi firmaların "Internet Security" adını verdikleri ürünleri antivirüs, güvenlik duvarı, Spyware gibi önlemleri bir paket içinde sunuyorlar. Bunlardan bir tane edinmek iyi fikir diyebilirim.
• Bilgisayarınıza 3 parti kuruluşlarca sağlanan sohbet yazılımlarını kurmayın. Video gösterim yazlımlarından ve sex içerikli sitelerden uzak durun.
• Kırılmış (crack) programlardan uzak durun. Genellikle Trojan yada virüsler kırık yazılımlar içine gizlenerek bilgisayarınıza bulaşır.
• E-Postayla gönderilen hiç bir programı kesinlikle açmayın. E-posta adresleri yanıltıcı şekilde değiştirilebilir.
• Warez, hack, serial, adult ... siteler genellikle bir uyarı mesajı çıkartıp size bir yazılımı yüklemeyi onaylamanız gerektiğini söylerler. Kesinlikle onay vermeyin. Hatta siteye girdiğiniz anda çeşitli yöntemlerle bilgisayarıza erişip trojan yüklemeleri mümkündür. Eğer antivirüs yazılımınız varsa durduracaktır. Ancak, yinede risk olduğunu söylemkte fayda var.

Şimdilik hoşçakalın.