Muhtemelen ortada bilgisayarınıza bulaşan bir virüs yok aslında. 2001 yılından bu güne bilgisayar kullanıcısıyım ve bilgisayarıma bu güne kadar neredeyse hiç bir virus bulaşmadı diyebilirim. Son iki haftadır ise bilgisayarıma bir zararlı musallat oldu. Açtığım bir web site sayfasında linke tıkladığımda hatta boş bir yere tıkladığımda yeni bir pencere açılıyor ve ad-type.google.com/rot.aspx ya da ad-type.google.com/sh.aspx gibi adres içeren sitelere yönlendiriliyorum. Siz de aynı dertten muzdarip iseniz buyrun yazının devamını okuyun.
Anti-virus olarak lisanslı olarak Kaspersky Internet Security kullanıyorum. İşletim sistemi, programlarım vs. lisanslı olarak kullanıyorum. İşyeri bilgisayarı haricinde kendi dizüstü bilgisayarımda da aynı virüs ile karşılaşınca biraz sinir bozucu bir durum halini almaya başladı. Adwcleaner programı, Spybot vb. programlar ile gerekli arama tarama ile temizlik işlemini yaptım. Bulduğum malware diye tabir edilen aslında virüs olmayan zararlı programları temizledikten sonra bir süre ortalık sakinleşti ancak aradan 3-4 gün geçtikten sonra yine aynı sorun ile karşılaşınca sıkıntının kaynağının yeni kurduğum programlardan birinde olduğunu düşündüm.
Tüm programları tekrar gözden geçirdim hatta son günlerde haberi yapılan Flash kaynaklı saldırıların etkili olabileceğini düşündüm. Zararlıları temizledikten sonra yine aynı sorun ile karşılaşınca Google'da arama yaptırdığımda yurt dışında bulunan bir sitede sorunun DNS lerden kaynaklanabileceğini öğrendim.
Bağlantı detaylarını inceleyince hakikaten DNS lerimin benim isteğim dışında bir IP adresine sahip olduğunu gördüm. İşin ilginci DNS otomatik olarak ayarlıydı ve tüm süphe modemin üzerinde yoğunlaşmaya başladı :) Modem arayüzüne girip ayrıntılı incelemek için 192.168.1.1 adresini tarayıcıda yazıp girmeye çalıştığımda bir türlü kullanıcı adı ve şifre soracak ekran gelmedi. Farklı tarayıcılar ile sonuç değişmedi. TP-LINK TD-W8901G modeme sahip olduğum için hemen üreticinin web sitesine girip Firmware güncellemesi aradım ancak TP-LINK'in sitesine göre böyle bir ürün hiç üretmemişler! Fakat model bilgisini Google'dan arayınca ise TP-LINK'in yok dediği sayfayı sitesinde bulabiliyorsunuz :)
Hemen iletişim sayfasından TP-LINK destek telefonlarını öğrendim ve destek personelinden öğrendiğim kadarıyla bizim modelimiz dahil bazı modellerde DNS yönlendirme saldırısı yapılabiliyormuş. Sürpriz ise bu konuda yapılabilecek bir şey olmaması imiş. Herhangi bir güncelleme olmadığı için modem değiştirmek zorunda kalacakmışız. İşletim sisteminin DNS ayarlarından elle kendimiz bir DNS ataması yapıp o şekilde kullanma imkanı olabilir ancak bu şekilde açığı olan bir modeme güvenmek artık ne mümkün. Yedekte bekleyen modemimiz vardı ve onu takıp kullanmaya başladık.
Eğer yedekte bir modeminiz yok ise bağlantı ayarlarınızdan DNS adresinlerini 8.8.8.8 ve 8.8.8.4 olarak değiştirebilirsiniz. "Biraz daha üst seviyeye taşıyayım güvenliğimi" diyorsanız o zaman Comodo veya Norton'a ait DNS adreslerini kullanabilirsiniz. Yalnız bu DNS adreslerini geçmiş zamanda kullandığımda hiç bir sorun olmamasına rağmen nedense bazı sitelerin açılamadığına şahit olmuştum, tercih sizin.
Sizin başınıza yine bu tip bir vaka geldiyse yorumlarda tecrübelerinizi paylaşırsanız memnun olurum.