WindowsXP ve 2000 Sürekli Yeniden Baslaması

Varlığı temmuz ortasından bu yana bilinen bir Windows açığını kullanan MSBlast, bütün dünyayı etkiliyor. MSBlast'i tanımak ve sisteminizi korumak için bu yazıyı dikkatle okuyun.

MSBlast Windows işletim sistemine gizlice yerleşen ve kullanıcının herhangi bir şey yapmasına gerek kalmadan devreye girip kendini dağıtan, uzmanların solucan ya da kurtçuk (worm) diye adlandırdıkları türden bir virüs. İçerdiği mesaj nedeniyle Lovsan olarak da adlandırılıyor.

MSBlast Windows işletim sistemine gizlice yerleşen ve kullanıcının herhangi bir şey yapmasına gerek kalmadan devreye girip kendini dağıtan, uzmanların solucan ya da kurtçuk (worm) diye adlandırdıkları türden bir virüs. İçerdiği mesaj nedeniyle Lovsan olarak da adlandırılıyor.

Etkisi büyük oldu
MSBlast'in etkisi büyük oldu. Anti virüs yazılımları konusunda, dünyanın önde gelen şirketlerinden Network Associates, özellikle geniş bant İnternet bağlantısı kullanan birçok ev kullanıcısının virüs nedeniyle bağlantı problemleri yaşadığını belirtirken, bir başka firma Symantec de, bugün itibarıyla 57.000'in üzerinde sistemde bu virüsün varlığı saptadıklarını bildirdi.

Üzerinde bulunduğu sistemi çökertmesinin yanı sıra, İnternet üzerinde hızla yayılabiliyor ve iletişim ağı (network) trafiğinde de ciddi boyutlarda yük artışına neden oluyor. Uzmanlara göre, virüsün yapısı korkutucu bir hızla yayılmasına engel, ancak yine de on binlerce kullanıcının bu virüse kurban gitmesi mümkün. Açıkçası, özellikle ev kullanıcılarının, küçük şirketlerin yanı sıra, güvenlik konusunda hassas olmayan büyük şirketler de bu virüsün muhtemel kurbanları arasında yer alıyor.

Etkilenen sistemler
MSBlast'in doğrudan etkilediği işletim sistemleri şunlar:

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

Uyarılara karşın vurdu
MSBlast'in yararlandığı Windows güvenlik açığı aslında temmuz ayının ortasından bu yana biliniyordu. Özellikle ABD'de, güvenlik uzmanlarının ve devlet kuruluşlarının güvenlik birimlerinin bütün uyarılarına karşın, MSBlast gibi bir virüsün verdiği hasara karşı yeterince erken bir önlem alınamadığı ortada.

Nasıl çalışıyor?
Anti virüs listelerine w32.Blaster ve W32/LuvSan olarak giren MSBlast, Windows üzerindeki bir açıktan yararlanıyor. Bu açık, başka bir bilgisayarın Windows sisteminden kimi işlemleri yapmasını talep etmesini sağlayan bir bileşende yer alıyor. Uzaktan işlem talep eden (Remote Procedure Call-RPC) bu proses, dosya ve yazıcı paylaşımı gibi etkinlikleri kontrol ediyor. Bu prosese çok fazla veri gönderilmesi halinde, sisteme saldıran biri sisteme tam erişim yetkisini elde edebiliyor.

MSBlast bir makineye yerleşir yerleşmez, TFTP (Trivial File Transfer Protocol) sunucusunu kurmaya başlıyor. Ardından, bu sunucu aracılığıyla, network ya da İnternet bağlantısı üzerinden kendini diğer sistemlere kopyalamaya başlıyor.

MSBlast, rassal olarak bir IP adresi seçip belli aralıklarda çeşitli kümeler oluşturarak farklı sistemleri taramaya başlıyor. Daha önceden bulaşmış olduğu sistemleri saptayabiliyor. Bu tarama süreci tamamıyla rassal olmadığı için, iletişim ağlarında ve İnternet'te ciddi oranda ekstra trafik ve yük yaratabiliyor.

Virüs, birçok kullanıcının yama ve derde deva dosyaları indirmek için uğrayacağı, Microsoft güncelleme sitesine de el atıp, ufak çaplı bir saldırı düzenliyor. Aynı zamanda, Windows sisteminin kalbi sayılabilecek Registry bölümüne de kendini kaydeden MSBlast, böylece sistem yeniden başlatıldığında kendi kendini etkin kılabiliyor.

Bill Gates'e mesaj
MSBlast, iki gizli mesaj içeriyor. Biri Microsoft'un sahibi olan Bill Gates'e: "Billy Gates, neden böyle bir şeyi mümkün kıldın? Para kazanmayı bırak da yazılımını düzelt!"
Diğer mesajsa, programcıların programı okumayı bilen diğer programcılara yönelik yazdığı "selam" mesajlarından biri: "Sadece SENİ SEVİYORUM demek istedim SAN (I just want to say LOVE YOU SAN)". Uzmanlar, bu mesajın virüsü yazan kişiye ulaşmakta bir ipucu olarak kullanılabileceğini düşünüyor.

Nasıl kurtulacaksınız
MSBlast'ten kurtulmak iki aşamalı bir süreç. Her şeyden önce, kullandığınız anti virüs yazılımının Web sitesine uğrayıp yeni virüs güncelleme dosyalarını ya da MSBlast için çıkarılmış olan temizleme dosyalarını indirmeniz ve çalıştırmanız gerekiyor.

Ardından, Microsoft'un söz konusu güvenlik açığı için çıkardığı yama dosyasını indirip sisteminizi güvenceye almanız gerekli.

Microsoft'un bu açıkla ilgili çıkardığı yamaya ve gerekli açıklamalara şu adresten ulaşabilirsiniz:

CODE
[URL]http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp



Daha fazla bilgi için
MSBlast virüsü ve yararlandığı Windows açığıyla ilgili daha ayrıntılı bilgi edinmek için, anti virüs firmaları Network Associates (Mcafee) ve Symantec'in (Norton) ilgili sayfalarının adresleri:

Network Associates virüsle ilgili bilgi:

CODE
[URL]http://vil.nai.com/vil/content/v_100547.htm



Network Associates Windows açığıyla ilgili bilgi:

CODE
[URL]http://vil.nai.com/vil/content/v_100499.htm



Symantec virüsle ilgili bilgi:

CODE
[URL]http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html



Alıntı
Ekolay



Şimdi gelelim adamı deli eden w32.blaster.worm virüsünü temizlemeye,

İlk önce
[URL]http://www.antivirus.mynetcologne.de/FixBlast.exe

dosyasını indirin bu program ile virüsü bilgisayarınızdan söküp atacağız

Daha sonra Microsoft'un sitesine gidiyoruz ve bilgisayarımıza uygun Patch 'i indiriyoruz.Bu patch windows sistemimizi bu virüsle ilgili açıklarını kapatıyor ve güvenlik sağlıyor.

Desteklenen İşletim Sistemleri:
Windows XP
Windows XP Professional
Windows XP Home Edition


Türkçe Windows için bu dosyayı;

CODE
[URL]http://download.microsoft.com/download/f/e/f/fef61bc8-7307-4378-9f10-7e5e6f6a4cb1/WindowsXP-KB823980-x86-TRK.exe



İngilizce Windows için bu dosyayı;

CODE
[URL]http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe



Almanca Windows için bu dosyayı;

CODE
[URL]http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe



İndiriyoruz bilgisayarımıza...

Sonra internet bağlantımızı kapatıyoruz ve tabii makinamızda açık olan diğer programlarıda.
Şimdi FixBlast.exe dosyasını çalıştırıyoruz bu dosya bütün sistemi tarıyor ve dosyayı yok ediyor.

Sonra sisteminizde " çalıştır " bölümünü açın yani Star-Run deyin şimdi buraya shutdown -a komutunu yazın okeyleyin ve sonra windows'u yeniden başlatın ve yukarıdan indirmiş olduğunuz Windows Patch'lerinden sisteminize uygun olanı çalıştırıp ilgili açığı kapatın...

Beğeniler: 0
Favoriler: 0
İzlenmeler: 1055
favori
like
share
jununyo Tarih: 11.10.2008 12:53
linkler hala görünmüyor
jununyo Tarih: 11.10.2008 12:52
İnş işime yarar
xwanx Tarih: 27.09.2008 00:03
..
lostmaze Tarih: 19.08.2004 00:36
service pack 2 nin final i çıktı ama oda tr yi desteklemiyor ama yakında mutlaka çıkacaktır... çünkü ben 4 5 ay önce sp2 yi çekmiştim ama xp tr oldugu için kabul etmemişti... Çıktıgında yayınlarız forum da...
aslan87 Tarih: 18.08.2004 03:10
Dogru!
O cikar insallah yakinda-!
lostmaze Tarih: 18.08.2004 02:50
aslan bildiğim kadarıyla sp2 nin türkçe desteklisi henüz çıkmadı... En son baktıgımda çıkmamıştı .. eng versiyonları için olanlarda türkçe kullanılan xp lere uymuyor... ama yakın zamanda multi language destekli sp2 çıkacaktır...
aslan87 Tarih: 18.08.2004 01:56
WinXp Service Pack 2´i kullanirsan o hatalardan kurtulabilirsiniz!!!