hafta basinda Trend Micro OfficeScan urununu kullanan bir musterimize virus bulastigi haberini aldim.
nvcom.exe adli dosyanin CPU’yu yogun kullandigini, officescan’i kapatmaya calistigini, ve sadece windows 2000’lere bulastigini ilettiler. 500’e yakin client’a yayildiginin bilgisini alinca dosyayi incelemeye basladim.

google dosya adi ile ilgili sifir sonuc dondurdu. dosyayi virustotal‘de taratmayi onerdim. yeni bir agobot varyanti oldugunu gorduk. virustotal’de goruldugu kadariyla bazi antivirus’ler tespit edebilmesine ragmen, virusun bahsettikleri varyanti ile ilgili sayfalarinda herhangi bir bilgi bulunmuyordu.

eski agobot’lari biraz inceledim. eger buyuk bir degisiklik yoksa, ve windowslarin patchleri geciliyse bu kadar client’a bulasmamasi gerekiyordu.
aksam arkadasimin yanina kontrol icin gittigimde virusu temizlemenin cok kolay oldugunu gordum. nvcom.exe islemini process explorer‘la sonlandirdiktan sonra, HKLM\Software\Microsoft\Windows\CurrentVersion\Run ve HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices registry kayitlarini temizlemek yeterli oluyor.
kendilerinin de bu sekilde yaptigini, ancak belirli bir sure sonra tekrar bulastigini ilettiler.

windows patchlerini, makinanin share’lerini ve kullanicilarini kontrol ettigimde lokal administrator sifresinin bos oldugunu farkettim! daha onceden uyarmamiza ragmen, herhangi bir degisiklik yapilmamis.
windows lokal administrator sifrelerini bos birakmamalarini, sadece yetkililerin bilecegi, cok karmasik olmayan bir seyle degistirmelerini onerdim. “bold123yazi” bile yapsalar, kendisini otomatik yaymaya calisan bir virus, veya bos administrator sifreli makinalari hedef alan kotu niyetli kisilerden korunacagini acikladim. belirli araliklarda da sifreleri degistirmelerini onerdim.

neredeyse tum antivirus yazilimlari virus’u tanimaya baslamasina ragmen, trend micro pek bi yavas kaldi. controlled pattern‘lerde bile virusu tanimiyordu. ha aklima gelmisken, heuristic tanima mi? arkadasimin dedigi gibi, pek gecerli degil…
trend micro’ya yardimci olayim dusuncesiyle sayfalarindaki submission wizard‘i kullanarak virus’u kendilerine gonderdim.

ilk basta bu sekilde case acabilmenin harika oldugunu dusunuyodum. gerci hala da boyle dusunuyorum, ama 9 mayis 2005’te dosyayi kendilerine gondermeme ragmen, hala herhangi bir kayit gorebilmis degilim!
case’deki gelismeleri su sekilde takip edebiliyorsunuz:

trend micro virus’u 10 mayis aksami tanimaya baslamasina ragmen, case ayni acildigi gibi beklemekte…

virusle ilgili bilgiye buradan ulasilabilir. isin ilginci, trend micro’nun sayfasinda problemin oldugu gun herhangi bir bilgi olmamasina ragmen, su an neden 7 mayis 2005 girisli bir bilgi gorebiliyorum? antivirus firmalari tarih oyunlari mi yapiyor, yoksa isin altinda baska bir sey mi var bilinmez. ama dusunduruyor insani.

makinalarin lokal administrator sifresini degistirmek icin google’da arastirinca hemen birden fazla yontem bulunabiliyor:
1) Real-World Scripting: Changing Passwords on Multiple Computers
2) How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers
3) Asagidaki komutla makinalara job eklenebilir:
at \\makina zaman cmd /c net user Administrator yeni_sifre

One Response to “W32/Agobot-SB, bir agobot macerasi”

  1. warex says:

    Bugun focus-ms listesine gelen maillere bakarken, Windows makinalarin lokal admin sifrelerini degistirme islemini otomatiklestirirken kullanilabilecek araclara rasladim.
    PsPasswd
    DCPC (DC PasswordChanger)

    Bunun disinda, “Practical Usage of ADSI: Password Management for Machine Accounts and Local Administrators” yazisi okunabilir.

Leave a Reply

Your email address will not be published. Required fields are marked *