Son haftalardaki TDSS/TDL Rootkit ailesindeki son gelişmeler, yeni bir bakış açısı getirmiştir. Buna göre; TDSS rootkitler, sabit sürücülerden birini kendi bölümü olarak oluşturmaktadırlar.
MBR detaylı sistem bölümlerini ve başlangıç ön yükleme bölümlerini ele geçirir. Bu durum, tehlikeli olabilecek bir hata ile sisteminizi devre dışı bırakabilir. Rootkit, sisteminizi başlatmak için gerekli tüm dosyaları gizler. Bu akıllı zararlıları malware yazılımları görememektedirler. Windows içerisindeki ilgili bölümü eğer silerseniz, sistem harap olacak ve ön yükleme yapamadığından sisteminiz açılmayacaktır.
Bu problemin en büyük belirtisi İnternet Explorer' in, büyük kaynak harcaması yaptığı görülmektedir.
GParted disk yönetimi yazılımı ile disklerin yönetimi sayesinde söz konusu rootkit sorunundan nasıl kurtulabileceğimiz izah edilmiştir.
Çalışma,
buradaki yazının çevirisidir.
--------------------------------------------------------------------------------------------------------------------
Harici sabit disk bölümleri, görüntülemek, düzenlemek ve yönetmek için kullanılabilir
GParted (Gnome Partition Editor) adlı mükemmel bir yardımcı yazılım vardır.
GParted TDL4 bootkit son varyant ile bulaşmış bir Windows bilgisayarda özellikle yararlı olabilir.Yeni bir giriş TDL4 "Yeni" TDL4 Bölümleme tablosu oluşturarak bozar, Sabit sürücü sonunda "ayrılmamış" boşluk yaratan bir TDL4 bölümü işaret eder. Aktif (boot) bölümü olarak, TDL4 bu bölümü işaretleyerek ( 1-2 MB boyutunda) , Windows yüklenmeden önce bilgisayarın denetimini ele geçirir .
GParted önyükleme CD İle zararlıdan arındırılmış etkin önyükleme bölümü oluşturulabilir.
GParted kullanarak etkin önyükleme bölümü için TDL4 girişli disk bölümü olan boot kısmı ortadan kaldırılabilir.
Bunu gerçekleştirmek için prosedür oldukça kolaydır:
Gparted Live CD ISO yazılımını
buradan indirin. Ve İSO imaj dosyasını CD veya DVD' ye yazdırın.Sistemi yeniden başlatın. Ve bilgisayarınızda "önyükleme sırasını değiştirin" ya da BIOS girin ve oradan (CD ilk önyükleme) önyükleme sırasını değiştirmek için belirtilen İşlev tuşları ile sistemi CD veya DVD den başlayacak şekilde ayarlayın.
CD' yi bilgisayarınıza yerleştirdikten sonra, sistemi yeniden başlatınız. Bir
Linux Live CD ile boot ekranı göreceksiniz. GParted Live (Varsayılan Ayarlar) seçeneğini seçtikten sonra
''Tamam'' deyin.
GParted tüm varsayılan seçenekleri (sadece istendiğinde enter tuşuna basın) seçerek yüklemek için izin verin. GParted kullanmak için
"Hangi Modu tercih ediyorsunuz ?" otomatik sorusuna , varsayılan veya masaüstü tercihini kullanabilirsiniz.
Disk üzerindeki her bölüm kendi boyutu ile birlikte listelenir ve önyükleme bölümü, açıkça bir "boot" bayrak ile işaretlenir. Burada Windows Bölme (sda2) olması gerektiği gibi, önyükleme bölümü olarak etiketlenmiş.Ayrılmamış alanın aynı zamanda gösterilir dikkat edin.
Bu bilgisayar TDL4 ile enfekte olmuş olsaydı, ayrılmamış alan bir TDL4 bölümü (genellikle 1-2 MB boyutunda) tarafından işgal olacağını ve bu bölüme boot işareti ve büyük olasılıkla gizli bir işaret kümesi olurdu.
Yukarıdaki senaryoda, Windows Birincil bölüm önyükleme işaretini geri ayarlamak için sadece Windows bölümü sağ tıklatın (bu örnekte, sda2), ''İşaretleri yönet'' seçin ve aşağıda gösterildiği gibi: İşaretleri Yönet iletişim kutusunda
"boot" yanındaki onay kutusunu işaretleyin.
Windows Bölme ''boot'' kutucuğunun işaretli olduğundan emin olun:
BitLocker şifreleme etkin (Enterprise ve Ultimate) olan bazı Windows 7 bilgisayarlar ve tüm Vista' larda , 100MB' lık "System Reserved" (Windows birincil bölüm) önyükleme kutucuğunun işaretli olması gerekir. Windows 7 Ultimate ya da Enterprise veya Vista bilgisayarınızda , "System Reserved" (Windows birincil bölüm) bölümümünü görüntülemek isterseniz, ''Disk Yönetim Konsolu'' nu açmalısınız.Disk Yönetim Konsolu açmak için:
Bilgisayaraım > Sağ tık '' Yönet'' deyiniz.
- Açılan ''Bilgisayar Yönetimi'' sayfasında; Depolama > ''Disk Yönetimi'' satırına tıklayın.
- ''Disk Yönetimi Konsolu'' nda, aşağıdaki resimde görüldüğü gibi, (System Reserved) sistem saklı bölümü
aktif değilse, o zaman 100MB sistem saklı bölümünü ayarlamanız gerekir.
Sistem Bölümü (kırmızı ok ile işaretlenmiş ve kırmızı ile işaretlenmiş cerçeve içerisinde) AKTİF bir etiket taşımalıdır.
"System Reserved" (Sistem Saklıdır ) bölümü gözükmüyorsa o zaman Windows Birincil bölümü önyükleme işaretini ayarlamak gerekir - İşte bu (C:) 931,41GB lık ayrılmış bölüm aktif olmadığından aşağıdaki gibi görülür.
Windows 7 TDL4 Enfekte 1 MB Partition gösteren Disk Yönetimi Görünümü aşağıda.
GParted' de, enfekte olmuş boot ve gizli işaretli bölüm görülüyor.
Eğer,
"Bootmgr eksik" şeklinde yanlış önyükleme hatası alırsanız, bunu düzeltmek için, sadece geri GParted içine boot ve yukarıda açıklandığı gibi uygun Windows bölümü önyükleme işaretlerini ayarlamak için
"İşaretleri Yönet" seçeneğini kullanın veya aşağıdaki sorun giderme yönergelerini izleyin.
GParted Masaüstü EXIT simgesini tıklatın ve bir pop-up iletişim Shut-down seçeneğini seçtikten sonra yukarıdaki senaryodan ayrılın.
İstendiğinde CD tepsisinden CD'yi çıkarın ve Windows'u yeniden başlatın.(Windows geri önyüklemede herhangi bir hata ile karşılaşırsanız, sadece aşağıdaki sorun giderme
"Not" yönergelerini izleyin ).
Artık TDL4 bölümünün ( diskinin), Windows Bölümü Geri Yükleme önyükleme bölümüne erişimi kesilmiş olmalıdır. Ve TDL4 semptomların (tarayıcı yönlendirmeleri, alışılmadık iexplore.exe arka plan işlemi aktivitesi) gitmiş olup olmadığını kontrol ederek, bunu doğrulayın.
Siz de bilgisayarınızı temizlemek, normal davranışlar sergilemesini sağlamak ve TDL4 bölümünü kaldırmak için GParted kullanabilirsiniz.
- TDL4 Bölüm için
GParted ISO Boot dosyasına sağ tıklatın,
''İşaretleri Yönet'' öğesini tıklatın ve önyükleme işaret kutucuklarının işaret olmadığından emin olun. varsa gizli
işareti kaldırın.- TDL4 Bölüme tekrar sağ tıklatın ve
"Delete" i seçin.
- GParted' den çıkın, GParted Boot CD'yi bilgisayarınızdan çıkarın. Sistemi yeniden başlatın.
Çözüm Notu: Önyükleme işaretlemeleri ayarladıktan sonra Windows içine geri önyükleme yapılırken herhangi bir hata ile karşılaşırsanız:
1) - Sistem Kurtarma Diskini boot edebilmek için Windows kurtarma ortamı [Windows Recovery Environment (WRE)] önyükleme ya da Windows 7 Kurulum DVD yi sisteme takın;
2) - "Bilgisayar Onarma" seçeneklerinde ''Başlangıç Onarma'' yı seçin.
3) - Windows Kurulum veya Başlangıç onarmayı Sistem Kurtarma Diski veya Windows 7 Kurulum DVD' sinden başlattıktan sonra, onarma tamamlanır.
4) - Başlangıç onarma işlemi tamamlandığında, Windows içine başarılı bir şekilde geri önyükleme yapılması sağlanmış olur.
Aşağıdaki Güvenlik Forumlarındaki 7 konuda, GParted talimatları başarıyla kullanılarak, Windows platformlarında, YENİ TDL4 varyant sorununu başarı ile çözüldüğünü görebilirsiniz.
1. Windows XP sistemlerde:Help! Hearing ads with no windows open.... - Page 2 - Tech Support Guy ForumsBeing redirected from search enginesA million pop-ups and scansBeing redirected from search engines
2. Vista SP2 sistemlerde:Redirected Searches, Delays in typing, System Slowed3. Windows 7 sistemlerde:Google redirect/remnants of system fix virusAşağıdaki örnekte; Windows 7 bir bilgisayarda
"System Reserved" (Sistem Saklıdır ) önyükleme bölümü için bir senaryo gösterilmektedir:
IE running on process w/ window not open/ RedirectsKaynak:
Çeviri: olgun52
.
My Opera
