:: DoliGroup Digital Solutions ::

MSN Kabusu Worm_Fatso.A

7 Mart itibariyle Kore ve Amerikadan yay�lmaya ba�layan Worm_Fatso.A isimli solucan bilgisayarlar�m�za MSN Messenger yoluyla veya eMule p2p dosya payla��m program� arac�l��yla yerle�iyor.

Tipik hareketi, aktif oldu�u bilgisayarda �al��an MSN Messenger program�n�n t�m online kullan�c�lar�na bir link g�ndermesi ve bu linkin kabul edilmesi durumunda kendisini bu bilgisayara kopyalamas�d�r.

Ayr�ca eMule program� kullanan kullan�c�lar da Incoming klas�rlerinde solucan .exe�leriyle de kar��la�abilirler ��nk� solucan�n kendini �o�altma y�ntemlerinden biri de eMule.

�o�u durumda arkada��n�zdan gelmekte olan bir .scr (screensaver) dosyas�n�n akla ilk getirdi�i d��nce �ho� bir ekran koruyucudur kesin� olmas�, bu solucan� yazm�� olan programc�n�n kulland�� en b�y�k g�venlik a��d�r ��nk� bu program sistemdeki herhangi bir yama eksi�i kaynakl� g�venlik a��ndan faydalanmamaktad�r.

Solucan�n ��k�� amac�, Bropia solucanlar�n� yok etme amac�yla yaz�lm�� Worm_Assiral.A solucan�n�n yazar�na �vg�ler(!) ya�d�rmakt�r.

Assiral solucan�n kendini SMTP gibi geleneksel bir yolla kopyalamaya �al��p Bropia i�lemciklerine sald�r�da bulunmas�n� kendilerine hakaret olarak alg�layan Bropia yazarlar� ortaya Worm_Fatso.A isimli solucan� ��karm��lard�r. Zaten solucan� bilgisayar�n�zda test ama�l� veya solucan�n amac�na uygun bir �ekilde �yanl��l�kla� �al��t�rm�� iseniz g�receksiniz ki solucan�n amac� sisteme zarar vermekten ziyade m�mk�n oldu�u kadar �ok bilgisayara yay�l�p Larissa (Worm_Assiral.A) �vg�lerini geni� bir kitleye iletebilmektir. MSN Messenger�dan a�a��daki gibi bir dosyay� almadan �nce iki kez d��n�n.

Trendmicro isimli firman�n Worm_Fatso.A olarak adland�rd�� solucandan kurtulmak i�in �u uygulanacak ad�mlar� �u ana ba�l�klarda toplayabiliriz:

Bilgisayar� Safe Mode�da a�mak: Solucan, aktif oldu�u sistemde kendini yokedebilecek temel programlar�n �al��t�r�lmas�na o an izin vermez ve bu niyetle �al��t�r�lan programlar� direk yok edecektir. �rne�in Task Manager veya Registry ekranlar� a��lmayacakt�r. Bunu �nlemek i�in Bilgisayar�m�z� Safe Mode�da a��yoruz ve temizli�e bu modda devam ediyoruz.

-          bilgisayar� tekrar ba�lat�n
-          POST sonras� F8 tu�una bas�n
-          listeden Safe Mode�u se�ip devam edin

�nemli Not: Domain ortam�nda, solucandan etkilenmi� olan kullan�c� bir Domain User ise, bu durumda makinan�n A� Deste�i ile G�venli Mod modunda a��lmas� gerekmektedir. Aksi takdirde G�venli Mod ile a��lan makinaya lokal bir kullan�c� logon olacakt�r ve dolay�s�yla Registry�nin temizlenmesi i�lemi zorla�acakt�r.

Solucan programc�klar�n�n belirlenmesi: Solucan�n en s�k kulland�� programc�klar�n lspt.exe, formatsys.exe, serbw.exe, msmbw.exe olmas�na kar��n yine de sistemimizi g�ncel bir antivirus program�yla taramam�z gerekmektedir.Tarama sonucunda bulunan dosya isimlerini bir yere not ediyoruz ve bu dosya isimlerini kullanarak ayn� isimli prosesleri Task Manager yoluyla yok ediyoruz. B�ylece solucan pasif duruma geliyor. Bu i�lemi ger�ekle�tirdikten sonra dosyalar� bulundu�u yerlerden silebiliriz. Silme i�leminden �nemli bir nokta bu dosyalar�n gizli dosya olarak kaydedildi�idir. Silmeden �nce klas�r seceneklerinden Gizli Dosyalar�� g�r�n�r hale getirmeniz gerekiyor.

Solucan�n otomatik �al��mas�n�n engellenmesi: Solucan�n kendini her sistem a��l��nda �al��t�rtabilmesi i�in gereken kay�tlar Registry�de tan�mlanm��t�r ve bu her solucan�n tipik hareketidir. Her Restart�da solucan�n tekrar �al��t�rmas�n� istemiyorsan�z Registry�den �u a�a��daki klas�rlerde yer alan baz� de�erleri silmeniz gerekiyor:

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer>Run

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer>Run

bu lokasyonlardaki de�erler sistemin her restart edili�inde solucan�n kendini tekrar �al��t�rmas�na neden oluyor. Burda g�rebilece�iniz de�erler ltwob, serpe veya avnort olacakt�r. Bu de�erler random belirlenmektedir. Bu de�erlere denk gelen datalar ise yukarda belirtmi� oldu�umuz dosya isimlerinin disk �zerindeki yerini g�stermektedir. T�m bu verileri siliyoruz ve b�ylece solucan her sistem a��l��nda otomatik �al��t�r�lam�yor. Ayr�ca System Restore ile ilgili iki registry kayd�n�n de�i�tirilmesi gerekmektedir, bunlar:

HKEY_LOCAL_MACHINE>Software>Policies>Microsoft>WindowsNT>SystemRestore lokasyonundaki DisableSR ve DisableConfig de�erleridir. �kisinin de datas�n� 1 yap�yoruz.

HOSTS dosyas�n�n temizlenmesi: Solucan� ilgilendiren bir ba�ka nokta ise, kendisini temizleme amac�yla internet explorer��n� a��p symantec ve trendmicro�dan yard�m almak isteyen kullan�c�y� s�rekli ayn� adrese g�ndermektir. Bilindi�i �zere Windows alt�ndaki DNS Client servisinin isim ��z�mleme a�amalar�n�n ba��nda Client Resolution Cache gelmektedir ve HOSTS dosyas�ndaki kay�tlar otomatik olarak Cache�e eklenmektedir. Dolay�s�yla solucan�m�z �e�itli antivirus firmalar�n�n web adreslerini basit bir hamleyle ayn� �at� alt�nda toplamaya �al��m��t�r. HOSTS dosyas�nda dikkati �eken baz� isimler �unlard�r: www.trendmicro.com, www.f-secure.com, www.avp.com, www.symantec.com, securityresponse.symantec.com, www.mcafee.com

Solucana ait temel dosyalar�n temizlenmesi:

British National Party.jpg
Crazy-Frog.Html
Message to n00b LARISSA.txt

isimli dosyalar� %SystemRoot% alt�ndan silmeniz gerekmektedir ve yine bu dosyalar da +h attribute�una sahiptir. Bunlar�n d��nda yine %SystemRoot% lokasyonunda .scr ve .pif uzant�l� gizli dosyalar da bulunmaktad�r, Jenifer Lopez.scr gibi. Bunlar�n da silinmesi gerekmektedir.

Bir de solucan�n, Windows XP�deki CD yazma deste�inden faydalanmak istedi�ini g�steren otomatik olarak haz�rlad�� bir dosya grubu %USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning alt�nda toplanmaktad�r. Bu lokasyondan da autorun.inf isimli dosyay� silmeniz gerekmektedir.

T�m bu i�lemlerden sonra sistemi tekrardan bir vir�s taramas�ndan ge�irmeniz tavsiye edilir ve tabiki tam bir tarama yapabilmek i�in System Restore�un kapat�lmas� gerekti�ini hat�rlat�r�z (http://support.microsoft.com/default.aspx?scid=kb;%5BLN%5D;310405). Ayr�ca makinan�zda her zaman Administrative bir hesap kullanmaktansa sadece gerekti�i zaman b�yle bir hesap kullanmak veya Administrative bir hesap gerekti�inde �o�u durumda Run As �den faydalan�p sisteme sadece standart User haklar�yla oturum a�mak, bu solucanlar�n yapaca�� sistem k�k�ne dosya yazd�rma gibi i�lemleri engelleyecektir. Domain ortam�nda ise kullan�c�lar�n default olarak standart Domain User olmalar� bilgisayarlar�na gelebilecek tehlikeleri engelleyecektir. Ve yine Domain ortam�nda, solucan�n temizlenmesi gereken makinada da Son olarak XP Kullan�c�lar�ndan Service Pack 2 g�ncellemesini eksik etmemi� olanlar oturum a�t�klar� zaman solucan prosesinin �al��t�r�lmas� i�in izin istendi�ini farkedeceklerdir, yani g�ncel olmakta fayda var.

Eklenme tarihi: 12.4.2005