İyinet'e Hoşgeldiniz!

Türkiye'nin En Eski Webmaster Forum'una Hemen Kayıt Olun!

Kayıt Ol!

W32.Blaster.Worm VİRÜSÜNE KARŞI NASIL ÖNLEM

N

necromaniac

Misafir
W32.Blaster.Worm isimli bir virus Internet'e telefon ve data hatları üzerinden bağlantı yapmak isteyen kullanıcıların bilgisayarlarında aşırı yüklenmeye neden olarak Internet'ten kopmalarına ve bilgisayarlarının kapanmasına yol açmaktadır.

W32.Blaster.Worm, TCP port 135 üzerinden DCOM RPC güvenlik açığını kullanmaktadır. Bu solucan, enfekte ettiği bilgisayara Msblast.exe dosyasını yüklemeye çalışmaktadır. Microsoft tarafından, 16 Temmuz 2003 tarihinde yayınlanan Microsoft Security Bulletin MS03-026 ile güvenlik açığını gideren yamalar kullanıma sunulmuştur.

Solucan, aynı zamanda bir Denial of Service (DoS) sadırısına da sebep olmaktadır. Bunun amacı bilgisayarınıza DCOM RPC güvenlik açığını gideren yamaların uygulanmasının engellenmeye çalışılmasıdır. Yamanın kullanılmasının mümkün olmaması durumunda, önlem olarak, bilgisayarın firewall seviyesinde TCP port 4444 bloklanmalıdır. Daha sonra aşağıda belirtilen portlara da blok uygulaması yapılmalıdır.


TCP Port 135, DCOM RPC
UDP Port 69, TFTP
Virüsten korunmak için gerekli olan patch (yama) programlarına ulaşmak ve bilgi edinmek için aşağıda verilen linklerden yararlanabilirsiniz.

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

http://www.cert.org/advisories/CA-2003-20.html
 

OguzKaganAslan

0
İyinet Üyesi
Onaylı Üye
Katılım
13 Nisan 2003
Mesajlar
277
Reaction score
10
Konum
istanbul
MSBlast Windows işletim sistemine gizlice yerleşen ve kullanıcının herhangi bir şey yapmasına gerek kalmadan devreye girip kendini dağıtan, uzmanların solucan ya da kurtçuk (worm) diye adlandırdıkları türden bir virüs. İçerdiği mesaj nedeniyle Lovsan olarak da adlandırılıyor.

Etkisi büyük oldu
MSBlast'in etkisi büyük oldu. Anti virüs yazılımları konusunda, dünyanın önde gelen şirketlerinden Network Associates, özellikle geniş bant İnternet bağlantısı kullanan birçok ev kullanıcısının virüs nedeniyle bağlantı problemleri yaşadığını belirtirken, bir başka firma Symantec de, bugün itibarıyla 57.000'in üzerinde sistemde bu virüsün varlığı saptadıklarını bildirdi.

Üzerinde bulunduğu sistemi çökertmesinin yanı sıra, İnternet üzerinde hızla yayılabiliyor ve iletişim ağı (network) trafiğinde de ciddi boyutlarda yük artışına neden oluyor. Uzmanlara göre, virüsün yapısı korkutucu bir hızla yayılmasına engel, ancak yine de on binlerce kullanıcının bu virüse kurban gitmesi mümkün. Açıkçası, özellikle ev kullanıcılarının, küçük şirketlerin yanı sıra, güvenlik konusunda hassas olmayan büyük şirketler de bu virüsün muhtemel kurbanları arasında yer alıyor.

Etkilenen sistemler
MSBlast'in doğrudan etkilediği işletim sistemleri şunlar:



Microsoft Windows NT 4.0

Microsoft Windows NT 4.0 Terminal Services Edition

Microsoft Windows 2000

Microsoft Windows XP

Microsoft Windows Server 2003

Uyarılara karşın vurdu
MSBlast'in yararlandığı Windows güvenlik açığı aslında temmuz ayının ortasından bu yana biliniyordu. Özellikle ABD'de, güvenlik uzmanlarının ve devlet kuruluşlarının güvenlik birimlerinin bütün uyarılarına karşın, MSBlast gibi bir virüsün verdiği hasara karşı yeterince erken bir önlem alınamadığı ortada.

Nasıl çalışıyor?
Anti virüs listelerine w32.Blaster ve W32/LuvSan olarak giren MSBlast, Windows üzerindeki bir açıktan yararlanıyor. Bu açık, başka bir bilgisayarın Windows sisteminden kimi işlemleri yapmasını talep etmesini sağlayan bir bileşende yer alıyor. Uzaktan işlem talep eden (Remote Procedure Call-RPC) bu proses, dosya ve yazıcı paylaşımı gibi etkinlikleri kontrol ediyor. Bu prosese çok fazla veri gönderilmesi halinde, sisteme saldıran biri sisteme tam erişim yetkisini elde edebiliyor.

MSBlast bir makineye yerleşir yerleşmez, TFTP (Trivial File Transfer Protocol) sunucusunu kurmaya başlıyor. Ardından, bu sunucu aracılığıyla, network ya da İnternet bağlantısı üzerinden kendini diğer sistemlere kopyalamaya başlıyor.

MSBlast, rassal olarak bir IP adresi seçip belli aralıklarda çeşitli kümeler oluşturarak farklı sistemleri taramaya başlıyor. Daha önceden bulaşmış olduğu sistemleri saptayabiliyor. Bu tarama süreci tamamıyla rassal olmadığı için, iletişim ağlarında ve İnternet'te ciddi oranda ekstra trafik ve yük yaratabiliyor.

Virüs, birçok kullanıcının yama ve derde deva dosyaları indirmek için uğrayacağı, Microsoft güncelleme sitesine de el atıp, ufak çaplı bir saldırı düzenliyor. Aynı zamanda, Windows sisteminin kalbi sayılabilecek Registry bölümüne de kendini kaydeden MSBlast, böylece sistem yeniden başlatıldığında kendi kendini etkin kılabiliyor.

Bill Gates'e mesaj
MSBlast, iki gizli mesaj içeriyor. Biri Microsoft'un sahibi olan Bill Gates'e: "Bill Gates, neden böyle bir şeyi mümkün kıldın? Para kazanmayı bırak da yazılımını düzelt!"
Diğer mesajsa, programcıların programı okumayı bilen diğer programcılara yönelik yazdığı "selam" mesajlarından biri: "Sadece SENİ SEVİYORUM demek istedim SAN (I just want to say LOVE YOU SAN)". Uzmanlar, bu mesajın virüsü yazan kişiye ulaşmakta bir ipucu olarak kullanılabileceğini düşünüyor.

Nasıl kurtulacaksınız


Anti virüs yazılımınızı güncelleyin ve sürekli olarak güncel tutun

Geniş bant bir İnternet bağlantısına sahipseniz, sisteminize bir güvenlik duvarı (firewall) kurun

Söz konusu açıkları onaracak yamaları kurun

Virüsün bulaştığı makineleri anti virüs programlarıyla tarayın ve temizleyin

MSBlast'ten kurtulmak iki aşamalı bir süreç. Her şeyden önce, kullandığınız anti virüs yazılımının Web sitesine uğrayıp yeni virüs güncelleme dosyalarını ya da MSBlast için çıkarılmış olan temizleme dosyalarını indirmeniz ve çalıştırmanız gerekiyor.

Ardından, Microsoft'un söz konusu güvenlik açığı için çıkardığı yama dosyasını indirip sisteminizi güvenceye almanız gerekli.

Microsoft'un bu açıkla ilgili çıkardığı yamaya ve gerekli açıklamalara şu adresten ulaşabilirsiniz:
http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp


Daha fazla bilgi için
MSBlast virüsü ve yararlandığı Windows açığıyla ilgili daha ayrıntılı bilgi edinmek için, anti virüs firmaları Network Associates (Mcafee) ve Symantec'in (Norton) ilgili sayfalarının adresleri:


Network Associates virüsle ilgili bilgi:
http://vil.nai.com/vil/content/v_100547.htm

Network Associates Windows açığıyla ilgili bilgi:
http://vil.nai.com/vil/content/v_100499.htm

Symantec virüsle ilgili bilgi:
http://securityresponse.symantec.com/avcenter
/venc/data/w32.blaster.worm.html

NOT : http://www.oguzkaganaslan.com/msblast.html adresinden alıntı yapılmıştır...
 

Türkiye’nin ilk webmaster forum sitesi iyinet.com'da forum üyeleri tarafından yapılan tüm paylaşımlardan; Türk Ceza Kanunu’nun 20. Maddesinin, 5651 Sayılı Kanununun 4. maddesinin 2. fıkrasına göre, paylaşım yapan üyeler sorumludur.

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5

Üst