Monday, April 28, 2008

Karanlık Windows

Bir grup programcı, Windows XP SP2 sürümünü alıp, binary dosyalarında %20'ye varan köklü değişiklikler yapıp, görsellerini ve işleyişini yeni bir işletim sistemi dedirtecek kadar değiştirerek, Windows Dark Edition adı altında yayınlıyorlar.

Söz konusu programdan, AntiLogger kullanıcılarımızın birinden gelen otomatik hata raporu sayesinde haberdar olduk.

Görünüş açısından etkileyici gözükse de yaptığımız incelemede, söz konusu Windows Dark Edition’u kullanarak, en az internet kafeden banka hesabınıza girerek oluşturduğunuz güvenlik riski kadar risk almış olursunuz.

Windows Dark Edition v6 üzerinde yaptığımız lokal testlerde, sistemde bütünleşik bir backdoor'a rastlayamadık. Zaten bu türde bir şey olsa dahi, bunu lokal olarak saptayamayacağımızı biliyorduk. Çünkü tcpip.sys'den ndis.sys’ye kadar bütün network driver'ları modifiye edilmişti.

Bu yüzden; VMware ile sanal bir network grup kurup, bu grup üzerindeki makinelerden birine ilgili işletim sistemini kurduktan sonra gateway üzerinden sniff ettiğimizde, ilgili sistemin bir IRC kanalına bağlantı kurmaya çalıştığını gördük. Yani kurulduğu sistemi zombi haline getirmek istiyordu.

Geçtiğimiz günlerde çıkan MBR rootkit bile işletim sisteminden önce başlayabilmek için çok kuvvetli bir mücadele veriyor. Çünkü bunu başarırsa (ki başarıyor da), işletim sistemi ve üzerinde kurulu olan hiç bir güvenlik programı tarafından fark edilmeden istediğini yapabiliyor.

Durum böyleyken, modifiye edilmiş böyle bir işletim sistemini kurarak, adı MBR rootkit olmayan fakat oluşturduğu güvenlik zafiyetleri ile aynı işi yapan bir zararlıyı, kendi elinizle kurmuş oluyorsunuz.

Bu nedenle bu ve bunun gibi modifiye edilmiş bir sistem üzerinde, AntiLogger veya benzer güvenlik programlarının hata vermesi, hatta sistemi tamamen kilitlemesi de çok doğaldır.

Çünkü ntoskrnl.exe'den csrss.exe (Client Server Runtime Process) 'ye kadar, neredeyse tüm binary dosyaları değiştirilmiştir. Bu durum orjinal Microsoft dijital imzalarının bozulmasına, neticesinde csrss.exe gibi kritik bir Windows bileşeninin alarm penceresi oluşturmasına neden oluyor. Sonuç: BSOD ya da sistemin kilitlenmesi olacaktır.

Bu türde modifiye edilmiş sistemler için teknik destek veremeyeceğimizi üzülerek belirtmek zorundayız. Zaten bu türde bir sistemi, sistemin kendisinden korumak da mümkün değildir.

Zemana Blog okurlarının bu yazıdan sonra, bu türde bir işletim sistemi kullanıyorlarsa, bundan vazgeçeceklerine eminiz.



5 comments:

  1. tespit ettiğiniz sonuç mükemmel. bu tarz yükleme yapan arkadaşlarıma şaşırıyorum. orjinal denilen sürümlerde bile birsürü malware sıkıntısı yaşanırken bu sürümlere nasıl güvenilir anlaşılmaz.

    şunu öneririm. arkadaşlarım 5 adet windows indirsinler internetten ve baksınlar bakalım kaç adet dosyası değişik birbirinden.

    ReplyDelete
  2. Selçuk ÖztürkJune 8, 2008 at 8:18 PM

    görsel açıdan cezbedici olmasına rağmen güvenlik endişelerinden dolayı sıkıntı oluşturabilir. O zaman, zemana programcıları bunu bizim için yapamaz mı?? Dark edition yerine kara sürüm. hem güvenli hem türkçe...

    ReplyDelete
  3. zemana neden yapsın? adamlar güvenlik firması işletim sistemini güzelleştiren skin tasarım firması değilki.

    yorum yaptın balkabağı.

    ReplyDelete
  4. @Selçuk Öztürk bey kaldı ki zemana ya da başka birinin/kurumun böyle bir hakkı yok
    yayımlanan sürümler korsan ve yasadışıdır

    ReplyDelete
  5. Ulan ülkeye bak :D
    Geçen burda bir lavuk gördüm oto kurulumlu windows cdsi yapmış övünüyor birde demez mi ben yaptım ben kodladım, ne yaparsın böyle insanlara..

    ReplyDelete