02-04-2009, 23:37
Bilgisayarımıza bulaştı mı nasıl anlarız?
Conficker solucanı bir bilgisayara bulaştığı zaman tespit edilmesini zorlaştıran ve yayılmasını kolaylaştıran birçok değişiklik yapmaktadır. Yaptığı bu değişiklikler diğer taraftan da normalin dışında faaliyetlere sebep olduğu için tespit edilmesine de olanak sağlamaktadır [5].
Tabiî ki en genel tespit yöntemi virüs programları. Fakat Conficker bulaştığı bilgisayardaki virüs programlarının kendilerini güncellemek için bağlanmaları gereken domainlere (etki alanlarına) ulaşmasını engellemektedir. Yani virüs programınız kendini güncelleyemiyorsa Conficker size çoktan bulaşmış olabilir.
Bunun dışında:
• Eğer “Windows Update” devamlı olarak başarısız oluyorsa.
• Windows Defender güncelleme yapamıyorsa
• Svchost adresinden rastgele hata mesajları geliyorsa
• Güvenlikle alakalı önemli sitelerin belli bir kısmına ulaşamıyorsanız
• Aşağıdaki Windows servisleri çalışmaya başlayamıyorsa
1. “wscsvc” (Windows Security Center Service)
2. “WinDefend” (Windows Defender Service)
3. “ERSvc” (Windows Error Reporting Service)
4. “WerSvc” (Windows Error Reporting Service)
Conficker size de bulaşmış olabilir.
Bunların dışında, Conficker analiz edilmesini ve denetlenmesi zorlaştırmak için çok katmanlı polimorfizm (polymorphism) ve paketleme (packing) korumasına sahiptir. İndirilen ve çalıştırılan dosyalarına ulaşımı engellemek için oluşturduğu kütük defteri servis ayarlarına ulaşım hakkını sadece Local System erişebilecek şekilde değiştirmektedir. Aynı amaçla çalışacak olan dosyalarına bütün kullanıcılar için bütün erişim haklarını kaldırmakta. Sadece execute (çalıştırma) hakkına ulaşımı bırakmaktadır. Bunlara ek olarak kendi dosyaları üzerinde bir sistem kilidi (system lock) tutmakta. Böylelikle başka programların bu dosyalara ulaşımını zorlaştırmaktadır [3].
Nasıl önlem alır veya temizleriz?
Eğer bilgisayarınıza Conficker bulaşmamış ise yapmanız gereken gayet kolay. Bilgisayarınızı güncelleyin, anti virüs programınızı güncelleyin, şifrelerinizi güçlendirin, autorun özelliğini kaldırın ve diğer bilgisayarlara da giren taşınabilir sürücüleri taktığınızda nereye tıkladığınıza dikkat edin. Diğerlerine göre biraz teknik olan autorun özelliğinin nasıl kaldırılacağına dair bilgi için yine bilgi güvenliği sayfasındaki “Otomatik ÇalıştırMA! ” yazısına göz atabilirsiniz [6].
Fakat Conficker zaten bulaşmış durumda ise [3]: ilk önce gerekli MS08-67 güncellemesi yüklenmeli ve şifreler güçlendirilmelidir. Tabiî ki “Windows Update” servisinin çalışması virüs tarafından engelleneceği için güncelleme temiz bir bilgisayarda Microsoft’un sayfasından indirilebilir. Daha sonra bu dosya yazma korumalı olarak açılan bir paylaşıma kopyalanabilir ve bu paylaşım üzerinden kurban bilgisayarda çalıştırılabilir. Asıl temizleme işlemi için ise kurban bilgisayarda bulunan virüs yazılımı varsa güncellenebilir veya yalnız başına çalışan birçok temizleme aracından birisi kullanılabilir. Örnek olarak MSRT (Malicious Software Removal Tool) [3] veya F-Secure “Disinfection Tool” [1]. Yine bu noktada dikkat edilmesi gereken husus Conficker’ın virüs programı güncellemesini web üzerinden yapmanızı engelleyecek olmasıdır. Bunun için yukarıdaki metot aynı şekilde kullanılabilir.Referanlar
[1].Home
[2].Virus Description: Worm:W32/Downadup.AL
[3].Microsoft Malware Protection Center : MSRT Released Today Addressing Conficker and Banload
[4].Malware Protection Center - Entry: Worm:Win32/Conficker.B
[5].ttp://www.downadup.com/#container
[6].http://www.bilgiguvenligi.gov.tr/teknik-...lmasi.html
[7].http://www.bilgiguvenligi.gov.tr/teknik-...8-067.html
Kaynak
http://www.bilgiguvenligi.gov.tr/teknik-...cani1.html
Son dönemin en büyük virüs tehdidi olan Conficker'a yenilmek istemeyenlere yeni bir çözüm...
Downadup Removal Tool: PC'yi kurtçuk istilasından kurtarıyor.
BitDefender'ın anti-virüs uzmanları herkesin dilinde olan Conficker kurtçuğunu kalıntısız olan sistemden silebilen bir temizleme-yazılımı yayımladı.
Downadup ismindeki solucan aylardır ortalığı kasıp kavuruyor ve geçen süre zarfında dünya çapındamilyonlarca bilgisayara bulaştı. Conficker'ın kullandığı Windows güvenlik açığı uygun bir Microsoft yaması ile kapatılmadığı durumda modifiye edilmiş bir web sitesine girmeniz, zararlının bilgisayara bulaşması için yeterli.
"Downadup Removal Tool" ismindeki BitDefender programı ücretsiz olarak sunuluyor ve olası bulaşma durumunda Conficker kurtçuğunu sistemden tamamen kaldırmanızı sağlıyor. Kuruluma dâhi ihtiyaç duymayan aracı indirdikten sonra arşivden çıkarıp çalıştırmanız yeterli.
Aracı aşağıdaki linkten indirebilirsiniz.
Download:Win32.Worm.Downadup.Gen
Conficker solucanı bir bilgisayara bulaştığı zaman tespit edilmesini zorlaştıran ve yayılmasını kolaylaştıran birçok değişiklik yapmaktadır. Yaptığı bu değişiklikler diğer taraftan da normalin dışında faaliyetlere sebep olduğu için tespit edilmesine de olanak sağlamaktadır [5].
Tabiî ki en genel tespit yöntemi virüs programları. Fakat Conficker bulaştığı bilgisayardaki virüs programlarının kendilerini güncellemek için bağlanmaları gereken domainlere (etki alanlarına) ulaşmasını engellemektedir. Yani virüs programınız kendini güncelleyemiyorsa Conficker size çoktan bulaşmış olabilir.
Bunun dışında:
• Eğer “Windows Update” devamlı olarak başarısız oluyorsa.
• Windows Defender güncelleme yapamıyorsa
• Svchost adresinden rastgele hata mesajları geliyorsa
• Güvenlikle alakalı önemli sitelerin belli bir kısmına ulaşamıyorsanız
• Aşağıdaki Windows servisleri çalışmaya başlayamıyorsa
1. “wscsvc” (Windows Security Center Service)
2. “WinDefend” (Windows Defender Service)
3. “ERSvc” (Windows Error Reporting Service)
4. “WerSvc” (Windows Error Reporting Service)
Conficker size de bulaşmış olabilir.
Bunların dışında, Conficker analiz edilmesini ve denetlenmesi zorlaştırmak için çok katmanlı polimorfizm (polymorphism) ve paketleme (packing) korumasına sahiptir. İndirilen ve çalıştırılan dosyalarına ulaşımı engellemek için oluşturduğu kütük defteri servis ayarlarına ulaşım hakkını sadece Local System erişebilecek şekilde değiştirmektedir. Aynı amaçla çalışacak olan dosyalarına bütün kullanıcılar için bütün erişim haklarını kaldırmakta. Sadece execute (çalıştırma) hakkına ulaşımı bırakmaktadır. Bunlara ek olarak kendi dosyaları üzerinde bir sistem kilidi (system lock) tutmakta. Böylelikle başka programların bu dosyalara ulaşımını zorlaştırmaktadır [3].
Nasıl önlem alır veya temizleriz?
Eğer bilgisayarınıza Conficker bulaşmamış ise yapmanız gereken gayet kolay. Bilgisayarınızı güncelleyin, anti virüs programınızı güncelleyin, şifrelerinizi güçlendirin, autorun özelliğini kaldırın ve diğer bilgisayarlara da giren taşınabilir sürücüleri taktığınızda nereye tıkladığınıza dikkat edin. Diğerlerine göre biraz teknik olan autorun özelliğinin nasıl kaldırılacağına dair bilgi için yine bilgi güvenliği sayfasındaki “Otomatik ÇalıştırMA! ” yazısına göz atabilirsiniz [6].
Fakat Conficker zaten bulaşmış durumda ise [3]: ilk önce gerekli MS08-67 güncellemesi yüklenmeli ve şifreler güçlendirilmelidir. Tabiî ki “Windows Update” servisinin çalışması virüs tarafından engelleneceği için güncelleme temiz bir bilgisayarda Microsoft’un sayfasından indirilebilir. Daha sonra bu dosya yazma korumalı olarak açılan bir paylaşıma kopyalanabilir ve bu paylaşım üzerinden kurban bilgisayarda çalıştırılabilir. Asıl temizleme işlemi için ise kurban bilgisayarda bulunan virüs yazılımı varsa güncellenebilir veya yalnız başına çalışan birçok temizleme aracından birisi kullanılabilir. Örnek olarak MSRT (Malicious Software Removal Tool) [3] veya F-Secure “Disinfection Tool” [1]. Yine bu noktada dikkat edilmesi gereken husus Conficker’ın virüs programı güncellemesini web üzerinden yapmanızı engelleyecek olmasıdır. Bunun için yukarıdaki metot aynı şekilde kullanılabilir.Referanlar
[1].Home
[2].Virus Description: Worm:W32/Downadup.AL
[3].Microsoft Malware Protection Center : MSRT Released Today Addressing Conficker and Banload
[4].Malware Protection Center - Entry: Worm:Win32/Conficker.B
[5].ttp://www.downadup.com/#container
[6].http://www.bilgiguvenligi.gov.tr/teknik-...lmasi.html
[7].http://www.bilgiguvenligi.gov.tr/teknik-...8-067.html
Kaynak
http://www.bilgiguvenligi.gov.tr/teknik-...cani1.html
Son dönemin en büyük virüs tehdidi olan Conficker'a yenilmek istemeyenlere yeni bir çözüm...
Downadup Removal Tool: PC'yi kurtçuk istilasından kurtarıyor.
BitDefender'ın anti-virüs uzmanları herkesin dilinde olan Conficker kurtçuğunu kalıntısız olan sistemden silebilen bir temizleme-yazılımı yayımladı.
Downadup ismindeki solucan aylardır ortalığı kasıp kavuruyor ve geçen süre zarfında dünya çapındamilyonlarca bilgisayara bulaştı. Conficker'ın kullandığı Windows güvenlik açığı uygun bir Microsoft yaması ile kapatılmadığı durumda modifiye edilmiş bir web sitesine girmeniz, zararlının bilgisayara bulaşması için yeterli.
"Downadup Removal Tool" ismindeki BitDefender programı ücretsiz olarak sunuluyor ve olası bulaşma durumunda Conficker kurtçuğunu sistemden tamamen kaldırmanızı sağlıyor. Kuruluma dâhi ihtiyaç duymayan aracı indirdikten sonra arşivden çıkarıp çalıştırmanız yeterli.
Aracı aşağıdaki linkten indirebilirsiniz.
Download:Win32.Worm.Downadup.Gen