Conficker adlı solucan nedeniyle karşılaştığımız sorunlardan bazıları – Bölüm 2

  • Article

Bir önceki yazimda belirttigim gibi Conficker adli solucanin DHCP client ve server servisleri disinda NetBT (NetBIOS over TCP/IP) ile ilgili yasattigi sorunlar ile ilgili Destek ekibimize ulasan problemler ile ilgili bilgi vermek isterim.

Istemcilerin domaine katilamamasi ile ilgili problem üzerinde çalisirken farkettigim NetBIOS over TCP/IP etkinlestirilmis oldugu halde, Ag karti ayarlarinda, ipconfig /all çiktisi aldigimda “disabled” (Devre disi) görünüyordu. Sorunu incelemek için NetDIAG çiktisi aldim ve NetBT ile ilgili sorunlar burada da loglanmisti:

NetBT transports test. . . . . . . : Failed
List of NetBt transports currently configured:
[FATAL] Unable to retrieve transport list from Redir. [ERROR_NETWORK_UNREACHABLE]

DC üzerinde ki paylasimlara erisilmek istendiginde "Network Location Cannot be Reached" hatasini aliyorduk. Dolayisiyla istemcilerde SYSVOL paylasimina erisemiyorlardi. NetDIAG çiktisinda belirtilen hata mesaji “Unable to retrieve transport list from Redir”, öncelikle Transport listesinin dogru tanimlanmis olup, olmadigi sorusunu getiriyordu. Ayrica Network trace yardimiyla baktigimizda ise TCP session kurmaya çalisan istemciye sunucu direkt olarak RESET (RST) gönderiyordu; bu de demek ki sunucu SMB protokolü üzerinden iletisim için kullanacagi TCP 445 portunu dinlemiyordu.

Önce NetBT degerlerini inceledim:

Olmasi gereken deger: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\TransportBindName = \Device\

Görünen deger: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\TransportBindName = Device

Ilk bakista olmasi gereken deger gibi görünse de “\” isaretinin silinmesi NetBT transport listesinin dogru ag kartindan yüklenemeyecegi anlamina geliyor. Transport listesini almak için HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces anahtari altinda yer alan GUID numaralari ile belirtilen ag karti özelliklerinden DhcpNameServerList, NameServerList, NetbiosOptions listesini almasi gerekir. Ayrica yine NetBT\Parameters altinda yer alan SMBDeviceEnabled registry anahtarinin degeri “0” olarak degisitirilmisti, yani SMB protokolü devre disi birakilmisti.

Olmasi gereken deger: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\SMBDeviceEnabled = 0x0

Görünen deger: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\SMBDeviceEnabled = 0x1

Her iki anahtarin degerini degistirip sistemi yeniden baslattigimizda SMB protokolü ile erisim saglanabildiginden Domain’e alinacak istemciler SYSVOL paylasimina ulasabildiler ve sorun çözüsmüs oldu. Müsterilerimize bu problem ile ilgili bilgi vermek adina asagidaki makaleyi yayinladik:

"Network Location Cannot be Reached" when accessing shares

Sistem üzerinde AntiVirus programi yardimiyla bir tarama yaptigimizda sisteme Conficker solucaninin bulastigini ve kontrol altina alindigiini gördüm. Kesin olarak söyleyemesemde, büyük ihtimalle registry degerleri bu solucan tarafindan degistirilmisti. Degerlerin eski haline getirilmesi için böyle bir çalisma yapmak gerekti.

Okan Çetinim