Conficker adlı solucan nedeniyle karşılaştığımız sorunlardan bazıları – Bölüm 1

Merhaba,

Bu blogu takip eden ya da arama motorundan ulasan birçok kisi eminim ki “Conficker” adini duymustur. Dosya paylasimi yoluyla veya USB diskler araciligiyla yayilabilen bu solucanin gözlemlenen en büyük etkisi önemli bazi servisleri devre disi birakarak, hem günlük islerimizi etkilerken hem de temizlemek için kullanmayi aliskanlik haline getirdigimiz bazi yöntemleri de etkisiz hale getirmesidir. Örnegin, AntiVirus programlarinin güncellestirme için kullandigi adresler engellenecek ve böylelikle temizleme islemleri için gerekli güncel veritabanlarina ulasilamayacaktir.

Bir önceki yazimda, Rootkit hikayesinde, belirttigim gibi Windows Update (Otomatik Güncellestirmeler) servisini kullanarak sistemi daha güncel hale getirmek ve bunu otomatik olarak belirli bir zamana ayarlamak biz destek mühendislerinin mutlaka önerdigi yöntemdir. Ancak böylesi bir solucanin etkisinde bu servisler hizmet veremeyecektir.

Solucan ile ilgili daha fazla detayi ve nasil temizlenebilecegi konusunda ki tüm bilgileri asagida ki baglantilarda bulabilirsiniz. Ekim 2008’de yayinlanmis olan MS 08-067 kodlu güvenlik güncellestirmesini otomatik olarak yüklemis olan sistemler bu solucandan etkilenmeyeceklerdir.

• Conficker adli bilgisayar solucanina karsi korunun
• Win32/Conficker.B solucani ile ilgili virüs uyarisi

Benim bu yazimda deginmek istedigim siklikla karsilastigim diger servisler ilgili problemler olacak.

• DHCP Client Service
• NetBT

Conficker solucanindan etkilenmis sistemlerde DHCP Client servisi yeniden baslatilamayabilir. Eger isletim sistemini yeniden baslatirsaniz, servisin baslatilamadigina dair bir mesaj Event Viewer (Olay Görüntüleyicisi)’da Service Control Manager tarafindan gönderilen 7035/7023 Event ID’li mesajlarinda görülebilir. Örnek:

Type: Information
Date: 3/9/2009
Time: 12:33 PM
Event: 7035
Source: Service Control Manager
Category: None
Computer: Server1
Event Msg: The DHCP Client service was successfully sent a start control.

Type: Error
Date: 3/9/2009
Time: 12:33 PM
Event: 7023
Source: Service Control Manager
Category: None
Computer: Server1
Event Msg: The DHCP Client service terminated with the following error: %%5

Ayrica;

Type: Error
Date: 3/9/2009
Time: 12:33 PM
Event: 1004
Source: Dhcp
Category: None
Computer: Server1
Event Msg: The DHCP Client service is shutting down. The following error occurred: %%5

Burada “%%5” olarak belirtilen hata mesaji “ACCESS DENIED” yani Erisim Engellendi’dir. Sistem üzerinde çalisan servisleri kontrol ettiginizde servisin durduruldugunu ve elle tekrar çalisitirlmak istendiginde ACCESS DENIED hatasinin ekranda mesaj olarak iletildigini görebilirsiniz. Servisi elle çalistiriken Process Monitor ile data toplayip analiz yaptigimizda da ayni hatayi görebiliriz:

14:23:47,1653117    svchost.exe    868    RegOpenKey    HKLM\System\CurrentControlSet\Services\Dhcp\Parameters    ACCESS DENIED   

Yine Process Monitor ile ACCESS DENIED hatasi aldigimiz kaydin üzerinde çift tikladigimizda servis ile ilgili diger bilgileri görebiliriz:

Yukarida (sol taraftaki resimde) command line satirinda servisi çalistirmak için kullanilan hesabin (Account) Network Service oldugunu görüyoruz.

Ayni sekilde Hizmetler (Services) çalistirdigimizda da ayni bilgiyi görebiliriz. Bu demektir ki; Process Monitor ile ACCESS DENIED yakaldigimiz registry anahtari üzerinde Network servisinin gerekli yetkileri ya eksik ya da hiç yoktur. Kayit defteri düzenleyicisi (Registry Editor) kullanarak DHCP/Parameters anahtarina gidip özelliklerini seçtigimizde varsayilan izinlerin su sekilde olmasi gerekiyor: (Full Control)

Eger Network Servis hesabi eksik ise Advanced/Add ile sistem üzerinde Network Service’in aratilip eklenmesi ve Full Control verilmesi gerekmektedir.

Sistemde bulunan AntiVirus yazilimi Conficker solucanini temizleyebilse bile, varsayilan yetkilerin tekrar yapilandirilmasi için burada yazildigi gibi bir çalisma yapmak gerekebilir. Burada ki problemde en rahatsiz edici durum DHCP servisinin bundan etkilenmesi. Çünkü DHCP client servisinin iki temel görevi bulunuyor, DHCP’den IP almak ve aldigi IP için DNS üzerinde dinamik kayit olusturmak, ve bu iki temel görevin çalismadigini anlamak zaman alabilir. Öyle ki, 8 gün kiralama süresi olan DHCP scope üzerinden alinan IP’nin yenilenmesi 4. günde, eger basarisiz olunursa, kiralama süresinin %75 zamaninda tekrarlanir. Bu nedenle servisin çalismadigi durumda bunu farketmek 1 haftayi bulabilir.

Ayrica, statik IP kullanililsa bile, DHCP servisi DNS kayitlarinin olusturulmasi görevini de üstlenmektedir. Bu durumda kaydin silinmesi durumunda (örnegin scavenging prosesi nedeniyle) tekrar yaratilmasi için servisin çalismasi gerekmektedir.

NetBT ile ilgili yasadigim problemleri bir sonra ki yazimda degerlendirmeye çalisacagim.

Okan Çetinim