Network VirusWall

Trend Micro’nun Network VirusWall ailesinden, Network VirusWall 1200 cihazini cok kisa bir sure test etme imkani bulduk. Asil ozelliklerini hakkini vererek test edemediysek de, urunu duydugumuzda kafamizda beliren McAfee Webshield veya Panda GateDefender cihazlari gibi bir antivirus gateway olabilecegi dusuncelerimizin cevabini almis bulunuyoruz.

Sayfasinda da gorebileceginiz gibi urunun, ag trafigini guvenlik aciklarini tetikleyen aktivitelere ve solucanlara (worm) karsi izleyerek bu gibi durumlari engelleme, solucan salginlarini durdurabilme, kullanici bilgisayarlarina ek bir program kurmaksizin bilgisayar butunluk ve guvenlik politikasina uyumluluk kontrolu yapabilme (Sygate urunlerinde oldugu gibi), ve diger ozellikleri bulunuyor.

Urun Control Manager ile yonetiliyor. Control manager ile haberlesebilmesi icin cihazin ayarlarini seri port uzerinden hizlica yaptiktan ve cihazlari gorusturdukten sonra, test icin arkasina bir client yerlestirdik.

Network VirusWall, cesitli web ve email virus testlerinden sinifta kalsa da, Nimda ve diger bazi solucan aktivitelerini engelleyebildi.
Dolayisiyla, asil amacinin antivirus gateway’lik olmadigini gordugum Network VirusWall ile, antivirus’u calismayan, guncel durumda olmayan veya gerekli guvenlik yamalari gecilmemis bilgisayarlarin erisimleri sinirlanabilir. (bu ozelligi test edilemedi)

Avantajlari
-Urun layer2’de calisiyor, ag topolojisinde bir degisiklige gerek kalmiyor
-Cihaz kapatildiginda uzerinden trafik gecirebiliyor
-Yaptigimiz testlerde streaming olan sayfalarda problem yaratmadi (aslinda bu genellikle virus gateway’lerin bir sorunu olarak karsimiza cikiyor)

Urunu tam olarak deneme imkanim olmadigi icin detayli bilgi aktaramiyorum.

Urun ozellikleri, pazardaki hangi urunlerle benzerligi oldugu, ve karsilamaya calistigi eksiklikler; urun sayfasinda ve uretici tarafindan hazirlanan urun karsilastirma dokumaninda gorulebilir.

W32/Agobot-SB, bir agobot macerasi

hafta basinda Trend Micro OfficeScan urununu kullanan bir musterimize virus bulastigi haberini aldim.
nvcom.exe adli dosyanin CPU’yu yogun kullandigini, officescan’i kapatmaya calistigini, ve sadece windows 2000’lere bulastigini ilettiler. 500’e yakin client’a yayildiginin bilgisini alinca dosyayi incelemeye basladim.

google dosya adi ile ilgili sifir sonuc dondurdu. dosyayi virustotal‘de taratmayi onerdim. yeni bir agobot varyanti oldugunu gorduk. virustotal’de goruldugu kadariyla bazi antivirus’ler tespit edebilmesine ragmen, virusun bahsettikleri varyanti ile ilgili sayfalarinda herhangi bir bilgi bulunmuyordu.

eski agobot’lari biraz inceledim. eger buyuk bir degisiklik yoksa, ve windowslarin patchleri geciliyse bu kadar client’a bulasmamasi gerekiyordu.
aksam arkadasimin yanina kontrol icin gittigimde virusu temizlemenin cok kolay oldugunu gordum. nvcom.exe islemini process explorer‘la sonlandirdiktan sonra, HKLM\Software\Microsoft\Windows\CurrentVersion\Run ve HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices registry kayitlarini temizlemek yeterli oluyor.
kendilerinin de bu sekilde yaptigini, ancak belirli bir sure sonra tekrar bulastigini ilettiler.

windows patchlerini, makinanin share’lerini ve kullanicilarini kontrol ettigimde lokal administrator sifresinin bos oldugunu farkettim! daha onceden uyarmamiza ragmen, herhangi bir degisiklik yapilmamis.
windows lokal administrator sifrelerini bos birakmamalarini, sadece yetkililerin bilecegi, cok karmasik olmayan bir seyle degistirmelerini onerdim. “bold123yazi” bile yapsalar, kendisini otomatik yaymaya calisan bir virus, veya bos administrator sifreli makinalari hedef alan kotu niyetli kisilerden korunacagini acikladim. belirli araliklarda da sifreleri degistirmelerini onerdim.

neredeyse tum antivirus yazilimlari virus’u tanimaya baslamasina ragmen, trend micro pek bi yavas kaldi. controlled pattern‘lerde bile virusu tanimiyordu. ha aklima gelmisken, heuristic tanima mi? arkadasimin dedigi gibi, pek gecerli degil…
trend micro’ya yardimci olayim dusuncesiyle sayfalarindaki submission wizard‘i kullanarak virus’u kendilerine gonderdim.

ilk basta bu sekilde case acabilmenin harika oldugunu dusunuyodum. gerci hala da boyle dusunuyorum, ama 9 mayis 2005’te dosyayi kendilerine gondermeme ragmen, hala herhangi bir kayit gorebilmis degilim!
case’deki gelismeleri su sekilde takip edebiliyorsunuz:

trend micro virus’u 10 mayis aksami tanimaya baslamasina ragmen, case ayni acildigi gibi beklemekte…

virusle ilgili bilgiye buradan ulasilabilir. isin ilginci, trend micro’nun sayfasinda problemin oldugu gun herhangi bir bilgi olmamasina ragmen, su an neden 7 mayis 2005 girisli bir bilgi gorebiliyorum? antivirus firmalari tarih oyunlari mi yapiyor, yoksa isin altinda baska bir sey mi var bilinmez. ama dusunduruyor insani.

makinalarin lokal administrator sifresini degistirmek icin google’da arastirinca hemen birden fazla yontem bulunabiliyor:
1) Real-World Scripting: Changing Passwords on Multiple Computers
2) How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers
3) Asagidaki komutla makinalara job eklenebilir:
at \\makina zaman cmd /c net user Administrator yeni_sifre