🔥 Öne Çıkan Konular

USB Disklerde AutoRun ile Gelen Tehlike

Bu konuyu okuyanlar

Metin Balcı

Öğrenci
Katılım
10 Ocak 2010
Mesajlar
56
Reaksiyon puanı
3
Puanları
0
USB Disklerde AutoRun ile Gelen Tehlike
USB flash diskler yüksek veri kapasiteleri, boyutları, taşınabilirlikleri ve farklı sistemlerde sorunsuzca çalışabilmeleri ile cüzdan, cep telefonu ve anahtarlarımızdan sonra yanımızdan hiçbir zaman ayırmadığımız temel ihtiyaçlarımızdan oldular. Hemen hemen her sistemde çalıştırılabiliyor olmaları nedeniyle de bilgisayarlar arası veri alışverişimizi USB diskler yardımıyla yapar olduk.
Hal böyle olunca eğer çok titiz değilsek, usb disklerimizi onlarca farklı bilgisayarda kulanıyor, yine bilgisayarımıza onlarca farklı diskin takılmasına izin veriyoruz. Aslında USB diskleri tehlikeli kılan da bu çok da denetimli olmayan taşınabilirlikleri. Taşınabilir medya üzerinden bilgisayara giren zararlı yazılımlar başta bilgi sızdırma, uzaktan komut koşturma ve servis dışı bırakma (DoS) olmak üzere birçok güvenlik zaafiyetine neden olabilmekteler.

Öte yandan bu zararlı yazılımların USB diskten çalışarak sisteminize zarar vermesi için bu yazılımların kullanıcı tarafından çalıştırılması gerekir. Aksi takdirde zaten kötü niyetli yazılım diskin üzerinde kalacak ve sisteme zarar vermeyecektir. Tâ ki işletim sisteminin sisteme bağlanan bir medya için AutoRun özelliği varsa durum tehlikeli bir hâl alıyor.

Autorun.inf Manipülasyonu
AutoRun işlevi, işletim sisteminin taşınabilir bir medya (CD-ROM, DVD-ROM, flash disk vb.) bağlandığında tanımlı aksiyonları doğrudan alabilme yeteneğidir. Microsoft Windows işletim sisteminden tanıdığımız bu özellik farklı işletim sistemlerinde de mevcut. İşte bu özellik sayesinde takılan bir USB disk zararlı yazılımın kendisi haline gelebiliyor.

Medyanın kök dizininde bulunan Autorun.inf dosyası işletim sistemi tarafından bağlantı yapıldığı anda okunmakta ve içerisinde belirtilen komut seti sorgusuz sualsiz çalıştırılmaktadır. Bir örnekle AutoRun özelliği aktif bir bilgisayarda senaryoyu gerçekleyelim:

Sisteme bağlayacağımız USB diskimiz Windows Explorer ile araştırılınca boş ya da zararlı bir yazılım içermiyor görünebilir. Ancak aynı diski komut satırından araştırırsak sistem dosyası olarak saklanmış bir Autorun.inf dosyası taşıdığını görürüz:


Şekil 1- Komut satırından sistem dosyalarının araştırılması

İşte bu diski sisteme bağladığımız anda eğer sistemimizin AutoRun özelliği aktif ise Autorun.inf dosyasının içinde saklı komutlar kullanıcıya sorulmaksızın işletilmektedir. Örneğimizde C: partition için FORMAT komutu çalıştırılmaktadır!


Şekil 2- Zararlı Autorun.inf dosyası içeren USB diskin neden olabileceği bir disk biçimlendirme tehditi

Bu küçük örnekle Autorun işlevinin ne denli ciddi zararlar verebileceğini gördük. Aynı şekilde Autorun.inf dosyası manipüle edilerek İnternet'teki bir istemciye bilgisayardaki verileri kaçırılabilir, gelişigüzel kod koşturulabilir ya da serviş dışı bırakma (DoS) gibi ciddi zararlar verilebilir.

Yakın zamanlarda, AutoRun işlevi manipüle edilerek oluşturulmuş bir bilgi sızdırma açıklığı tespit edilmişti. Makinaya bağlanmış olan bir zararlı USB disk, makinanın öntanımlı bir İnternet kaynağına bilgi göndermesini tetikliyordu. Eğer makine İnternet'e bağlı değilse, kaçırılacak bilgi USB bellek üzerinde tutuluyor, diskin İnternet bağlantılı bir bilgisayara bağlanması halinde toplanmış tüm bilgi İnternet kaynağına iletiliyordu.

Şimdi de sorunun temelini teşkil eden Autorun.inf dosyasına bir göz atalım:


Şekil 3- Manipüle edilmiş zararlı Autorun.inf dosyasının içeriği

Text tabanlı Autorun.inf dosyasının olmazsa olmaz parametreleri ShellExecute ve UseAutoPlay dir. ShellExecute otomatik olarak çalıştırılacak komutun işaret edildiği yerdir. Burada “format c” komutunu örnek gösterdik. Aynı şekilde herhangi bir .exe uzantılı dosya çalıştırılabilir yahut sistem komutları işletilebilirdi. UseAutoPlay parametresi de AutoPlay işleminin yapılıp yapılmayacağını belirttiği için gereklidir.

Tehlikenin işleyişini ve neden olan yapıyı anlattıktan sonra bu tehditten nasıl korunabileceğimiz konusunda fikir yürütelim.

AutoRun İşlevinin Etkisiz Hale Getirilmesi
Bu tür bir tehdite yönelik alınabilecek ve hatta alınması elzem olan birkaç aksiyon vardır. Fakat bu önlemlerin belki de başlıcası işletim sisteminin AutoRun özelliğinin tüm diskler için etkisiz/disable hale getirilmesidir.

Microsoft Windows işletim sisteminde bu işlemi “Local Computer Policy” ekranından yapıyoruz. (erişmek için Run -> gpedit.msc)


Şekil 4- Windows için Group Policy ayarları ekranı

Local Computer Policy -> Computer Configuration -> Administrative Templates -> System seçilir. Sağ panelde çıkan ayarlarda Turn Off AutoPlay seçeneği etkinleştirilir.


Şekil 5- Windows'ta Autoplay seçeneğinin politika olarak etkisiz hale gitirilmesi


USB Disk Üzerindeki Zararlı Yazılım ve AutoRun.inf Dosyalarının Silinmesi
Yazının başında belirtildiği gibi zararlı yazılım barındıran USB diskin içeriğine explorer ile bakıldığında bu dosyaları göremeyiz. Aynı şekilde komut satırından da diskin içindeki dosyalar listelendiğinde bu dosyaları görmemiz mümkün olmaz. Çünkü bu gibi bir zararlı yazılımı yayanlar, dosyaları sistem dosyası olarak diske yazarlar. Microsoft Windows için “attrib” komutu ile diskin içeriği listelenirse sistem dosyası kılığına girmiş bu zararlı dosyalar görülebilir.Bu dosyayı silmek için öncelikle dosya nitelikleri attrib komutu ile değiştirilir:

Şekil 6- "attrib" komutuyla dosya özelliklerinin değiştirilmesi

attrib –S –H –R Autorun.inf
attrib –S –H –R zararli.exe
Bu değişiklik yapıldıktan sonra dosyalar kolaylıkla silinebilir.

Alınacak Diğer Tedbirler
Antivirüs yazılımları ve zararlılara karşı yazılımlar mutlaka kullanılmalıdır. Unutulmamalıdır ki USB diskin içindeki zararlı yazılımlar AutoRun özelliği aktif olsun olmasın tehlike arz eder ve temizlenmesi gerekir.

AutoRun etkisiz hale getirildiği gibi AutoPlay özelliğini kullanmaktan da kaçınmalıdır.

USB diskin takıldığı portlara—eğer çok zor durumda kalınırsa—kısıtlama getirilebilir. Çok tercih edilmemekle birlikte bazı önemli makinalarda kullanılmak durumunda kalınmaktadır. Windows işletim sistemi için aşağıdaki linkten detaylı bilgi alınabilir:
 

Miroğlu

Dekan
Katılım
25 Aralık 2007
Mesajlar
7,530
Reaksiyon puanı
28
Puanları
0
İnternet cafede bir bilgisayardan benim flash belleğimede bulaşmıştı bu virüs nod 32 yakalayıp sildi kendini gizliyor silsende geri geliyor bilgisayarın sistem sürücüsünü kilitliyor.
 

MaviAteş

Doçent
Katılım
16 Ağustos 2009
Mesajlar
629
Reaksiyon puanı
23
Puanları
0
Flash belleğinize bulaşan virüsün başka başka bilgisayarlarda yayılmasını engellemek için uygulayabileceğiniz bir önlem de şu:

Flash belleğinizin içine Autorun.inf isminde bir klasör oluşturun. Bu klasörün özelliklerine girerek gizli ve sistem dosyası olarak işaretleyin.

Böylece yabancı bir bilgisayardan flash belleğinize virüs bulaşsa bile, (en azından) yine başkalarının bilgisayarlarına bu virüsü yaymış olmayacaksınız. Bunu çevrenizdekilerin flash belleklerine de yaparsanız durum daha iyi olur.

Birde sadece flash bellek değil, sabit disklerinize de yapın.

Taib tüm bunları Windows kullananlara söylüyorum. :)
 
Katılım
3 Mart 2007
Mesajlar
29,212
Reaksiyon puanı
2,083
Puanları
113
Otomatik çalıştırma kapalıdır her zaman benim bilgisayarımda, winrardan girer içine bakarım virüs varsa silerim sisteme bulaşmadan.
 

KabKa

Öğrenci
Katılım
17 Şubat 2010
Mesajlar
17
Reaksiyon puanı
0
Puanları
0
bayağı detaylı anlatım olmuş teşekkürler
 

YAREM

Asistan
Katılım
1 Temmuz 2009
Mesajlar
255
Reaksiyon puanı
0
Puanları
16
Flash belleğinize bulaşan virüsün başka başka bilgisayarlarda yayılmasını engellemek için uygulayabileceğiniz bir önlem de şu:

Flash belleğinizin içine Autorun.inf isminde bir klasör oluşturun. Bu klasörün özelliklerine girerek gizli ve sistem dosyası olarak işaretleyin.

Böylece yabancı bir bilgisayardan flash belleğinize virüs bulaşsa bile, (en azından) yine başkalarının bilgisayarlarına bu virüsü yaymış olmayacaksınız. Bunu çevrenizdekilerin flash belleklerine de yaparsanız durum daha iyi olur.

Birde sadece flash bellek değil, sabit disklerinize de yapın.

Taib tüm bunları Windows kullananlara söylüyorum. :)

Dediğini yaptığımda bana 'ad değiştirilemiyor.belirttiğiniz adda bir dosya zaten var' iletisini veriyor.Ne önerirsiniz..
 

stttntnzn

Asistan
Katılım
14 Şubat 2009
Mesajlar
255
Reaksiyon puanı
2
Puanları
18
güvenli moddan açınca silinemiyormu bu dosyalar?
walla bnm yan sistem ubuntu, açıom linuxu tüm virüsler dosyalar klasörler sap gibi görünüyo :D bi shift-delete tamamdır :)
 
Üst