Sanal Sunucu da Virüs Temizliği

    Sanallaştırma teknolojisi ile hayatımız hem kolaylaştı hem de zorlaştı. Nasıl oluyor derseniz aşağıda başımdan geçen olayı anlattığımda hak vereceğinizi düşünüyorum.

     Daha önceden kurulup üzerinde önemli bir uygulamanın çalıştığı sanal Windows Server sunucuya virüs bulaşmıştı. Hemen belirteyim sunucunun üzerinde anti-virüs programı kurulu değildi. Virüs gayet akıllı davranıyordu ve tipik olarak kendisini bitirmemizi engellemek için çeşitli savunma mekanizmaları üretmişti. Örneğin TaskManager Disable olarak geliyordu, Registry Editor ü çalıştıramıyorsunuz (yetkilerinizin kısıtlandığı söyleniyor) ve en önemlisi bildiği anti-virüs ya da malware programlarının ya kurulumlarına izin vermiyor ya da kurulduktan sonra programı çalıştırdığınızda programı kapatıyordu. Hemen belirteyim sunucuyu Safe Mode da da açamıyordum (Mavi ekran verip sistem yeniden başlıyordu). Elimde ki çözümleri denerken Malwarebytes ismli yazılımı tanımadığını fark ettim. Bununla sistemi tarattığımda birkaç exe ve registry üzerinde taskmanager ile registry nin kapatılmasını sağlayan key leri buldu. Bazı dosyaların silinebilmesi için sistemi yeniden başlattıktan sonra tam temizledim diye düşünürken oturum açtıktan sonra yanıldığımı anladım.

     Symantec in sitesinde registry üzerinde ki kısıtlamaları kaldıran bir inf dosyası buldum (dosyayı http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99 adresinden indirebilirsiniz).  Dosyaya sağ tıklayıp install dedikten sonra regedit ile registry editor ü açabildim. Virüsün registry de

                HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
                HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System\
                HKEY_USERS\S-1-5-21-…\Software\Microsoft\Windows\CurrentVersion\Policies\System\

yollarının altında DisableRegistryTools ve DisableTaskMgr isimli iki anahtar oluşturduğunu ve değerlerinin 1 olduğunu gördüm. İşin ilginç yanı bu iki anahtarı sildikten sonra yaklaşık 10 sn içerisinde anahtarlar yeniden oluşturuluyor. Permissions kısmından o anki kullanıcını yazma yetkisini kaldırıp sistemi yeniden açtığınızda kullanıcının yazma yetkisi olmadığından registry editor ü açamama ve taskmanager in disable olması sorunları ortadan kalkmış oluyor. Ancak virüs kendisini tüm sistemde ve task manager da gizlediği için bu kısımdan daha fazla ilerleyemedim.

     Sunucumuzun sanal olmasını faydası buradan sonra işimi çok kolaylaştırdı. Fiziksel bir sunucuda diskleri başka bir sunucuya takıp oradan taratma gibi bir şansımız yok (aynı özelliklere sahip boş bir sunucunuz olması durumu değiştirir tabiî ki). Çünkü disklerin raid yapıları vs sorunları oluşacaktır. Öncelikle sistemin yedeğini Veeam Backup and FastSCP yazılımı ile veya başka bir yedekleme yazılımı ile almamız gerekiyor. Yazılımı http://www.veeam.com/vmware-esxi-fastscp.html#fragment-2 adresinden indirebilirsiniz. Yedeğimizi aldıktan sonra (yedek alabilmemiz için sanal sunucunun kapalı olması gerekiyor) http://chitchat.at.infoseek.co.jp/vmware/vdk.html#download adresinden Virtual Disk Driver yazılımını indirelim. Bu yazılım sayesinde sanal sunucunun disk dosyalarını Windows XP sistemime bağlayabildim. İşlemi aşağıda ki gibi yaptım.

    Öncelikle indirdiğimiz dosyayı bir klasöre açalım. Benim diskimde vdk aracının yeri L:\Windows\Virtualization\VMware\Tools\vdk32-050406 şeklinde idi. Sizinki farklı olabilir. Ancak vdk.exe ile vdk.sys dosyalarının aynı yerde olmasına dikkat etmeliyiz. Ayrıca kolaylık olması açısından her iki dosyayı sanal sunucunuzun klasörüne kopyalayıp buradan da çalışabilirsiniz. Tabi sistemi geri atarken silmeyi unutmayalım.

• Komut satırı açalım ve ilgili klasöre geldikten sonra vdk install komutunu verelim. Bu komut ile sistemimize sanal disk sürücüsünü kurmuş oluyoruz.

• Daha sonra vdk create komutu ile sanal disk oluşturalım. Varsayılan olarak disk sürücüsü 0 ı alır. Daha sonra sanal sunucumuzun diskini sistemimize bağlarken bu sayıyı kullanacağız. Ancak illa 0 ı kullanmak zorunda değiliz 4 e kadar herhangi bir rakamı verebiliriz.