Solucan 9 Milyon Bilgisayarı Ele Geçirdi

**cansel** · 01-26-2009

Microsoft’un Ekim ayında yayınladığı MS08-067 yamasıyla çözdüğü açığı kullanan solucan (Worm), hızla yayılmaya devam ediyor

İSTANBUL - Downadup, Kido ve Conficker adıyla bilinen “solucan” tipi virüs, Microsoft’un 2008 Ekim ayında yayınladığı bir güvenlik bildirisine rağmen, gerekli önlemler alınmayınca, yayınlanan son güvenlik bildirilerine göre 9 milyon bilgisayarı ele geçirdi

Microsoft’un 23 Ekim’de yayınladığı güvenlik bülteniyle duyurduğu zararlı yazılım, Windows işletim sistemlerinin sunucu servislerini etkileyerek düşük güvenlikli bilgisayar ağları, ve USB flaş belleklerle son derece ciddi bir hızla yayılmaya devam ediyor

Köklü güvenlik firmalarından F-Secure tarafından yayınlanan rapora göre, ilk olarak 2008 yılının Ekim ayında saptanan virüs, günümüzde 8,9 milyon bilgisayarı etkilemiş durumda

Yayınlanan raporda “hızla yayılmaya devam ettiği” belirtilen solucanın (Worm - bulaştığı sistemleri yeni sistemlere bulaşmak için kullanan zararlı uygulama ve dosya parçacıkları) güncel anti-virüs yazılımları veya Microsoft’un yayınladığı MS08-067 yamasının sisteme yüklenerek engellenmesi mümkün

Microsoft’un yayınladığı güvenlik yamasıyla ev kullanıcılarının zamanında korunmasına olanak sağladığını belirten anti-virüs yazılım geliştirici firması Sophos’un teknoloji danışmanlarından Graham Culley, güvenlik yamasını görmezden gelen firmaların tehlikeyi arttırdığını ifade ediyor

BT (IT / Bilişim Teknolojileri) departmanlarında çalışan yetkin elemana sahip olmayan firmaların virüsten korunmasının kolay olmadığını belirten Culley, 12345, QWERTY gibi çözülmesi kolay şifreler kullanan çalışanların bulunduğu ağlarda, virüsün şifreleri daha kolay kırarak daha hızlı yayıldığını ifade ediyor

USB bellekler ile de kolaylıkla yayılabilen solucanın bu teknikle yayılırken kurbanın bilgisayarında Microsoft’un son yamalarının da bulunmasının yeterli olamayabileceğini belirten Culley, bu tip bulaşmayı önlemenin tek yolunun güncel bir anti-virüs yazılımı kullanmak olduğunu belirtiyor

VİRÜS NASIL YAYILIYOR?
Microsoft’un yayınladığı bültene göre solucan Windows içinde bulunan ses hizmetleri, sunucu yazılımları gibi arkaplan servislerinin çalışmasını saplayan “services

exe” isimli uygulamayı enfekte ederek, aslında Windows’un çalışması için gerekli olan bu uygulamanın bir parçası haline geliyor

Services

exe’nin bir parçası haline gelen zararlı betik parçacığı, kendisini Windows’un sistem klasörü altına kopyalayarak, 5-8 karakterli bir “dll” dosyası olarak saklıyor

Windows’un uygulama ayarlarını tutan “Registry” (Kayıt kitaplığı) içinde bir düzenleme yapan uygulama, bu noktadan sonra kendini sistem için gerekli bir servis olarak tanımlayarak bilgisayar açık olduğu her an arkaplanda çalışmaya devam ediyor

Solucan çalışmaya başladığı andan itibaren bir HTTP sunucusu (İnternet üzerinden tarayıcı vasıtasıyla ulaşabilen Web sunucu hizmeti) oluşturuyor, sistemin en son Geri Yükleme Noktasını (System Restore Point) silen virüs bu şekilde temizlenmesini daha güç hale getiriyor ve saldırganların sitesi üzerinden dosyalar yüklemeye başlıyor

Bu şekilde uzaktan bağlanan saldırganlar enfekte olan bilgisayarda kolaylıkla istedikleri işlemleri gerçekleştirebiliyorlar

Birçok solucan, İnternet üzerinden bağlandıkları siteler sayesinde kolaylıkla ayırt edilebiliyor ancak, Conficker olarak anılan bu yeni solucan, tamamen rasgele isimlerle (mphtfrxs

net, imctaef

cc, ve hcweu

org gibi) oluşturulmuş yüzlerce alan adına bağlanan son derece sofistike bir algoritma kullandığı için rahatlıkla fark edilemiyor

Çünkü sayısıyla yüzlerle ifade edilen bu alan adlarından hangisinin saldırganın websitesi olduğu henüz çözülebilmiş değil

Solucanın hangi internet sitesinden zararlı betiği çekip çalıştırdığını anlamak neredeyse imkansız

Solucan’ın nasıl çalıştığını anlamak amacıyla virüsü tersine mühendislik (reverse engineering) yöntemiyle analiz eden bilgisayar uzmanları henüz bir çözüm bulabilmiş değil ancak, en azından Downadup adı verilen varyantın kaç bilgisayar üzerinde çalıştığını biliyorlar

“Onları görebiliyoruz ancak, temizleyemiyoruz” şeklinde konuşan F-Secure’un araştırmacılarından Toni Kovunen, rasgele oluşturulmuş alan adlarından birkaç tanesini ele geçirdiklerini ifade ederek, bu alan adlarına yüzbinlerce farklı IP adresi üzerinden istemcilerin bağlandığını söylüyor

Microsoft’un yorumlarına göre, zararlı yazılım dünyanın farklı noktalarında bir çok bilgisayarı ele geçirmiş durumda

En çok hasarı ise Çin, Brezilya, Rusya ve Hindistan’da bulunuyor

01-26-2009	#1
cansel	Solucan 9 Milyon Bilgisayarı Ele Geçirdi Microsoft’un Ekim ayında yayınladığı MS08-067 yamasıyla çözdüğü açığı kullanan solucan (Worm), hızla yayılmaya devam ediyor İSTANBUL - Downadup, Kido ve Conficker adıyla bilinen “solucan” tipi virüs, Microsoft’un 2008 Ekim ayında yayınladığı bir güvenlik bildirisine rağmen, gerekli önlemler alınmayınca, yayınlanan son güvenlik bildirilerine göre 9 milyon bilgisayarı ele geçirdi Microsoft’un 23 Ekim’de yayınladığı güvenlik bülteniyle duyurduğu zararlı yazılım, Windows işletim sistemlerinin sunucu servislerini etkileyerek düşük güvenlikli bilgisayar ağları, ve USB flaş belleklerle son derece ciddi bir hızla yayılmaya devam ediyor Köklü güvenlik firmalarından F-Secure tarafından yayınlanan rapora göre, ilk olarak 2008 yılının Ekim ayında saptanan virüs, günümüzde 8,9 milyon bilgisayarı etkilemiş durumda Yayınlanan raporda “hızla yayılmaya devam ettiği” belirtilen solucanın (Worm - bulaştığı sistemleri yeni sistemlere bulaşmak için kullanan zararlı uygulama ve dosya parçacıkları) güncel anti-virüs yazılımları veya Microsoft’un yayınladığı MS08-067 yamasının sisteme yüklenerek engellenmesi mümkün Microsoft’un yayınladığı güvenlik yamasıyla ev kullanıcılarının zamanında korunmasına olanak sağladığını belirten anti-virüs yazılım geliştirici firması Sophos’un teknoloji danışmanlarından Graham Culley, güvenlik yamasını görmezden gelen firmaların tehlikeyi arttırdığını ifade ediyor BT (IT / Bilişim Teknolojileri) departmanlarında çalışan yetkin elemana sahip olmayan firmaların virüsten korunmasının kolay olmadığını belirten Culley, 12345, QWERTY gibi çözülmesi kolay şifreler kullanan çalışanların bulunduğu ağlarda, virüsün şifreleri daha kolay kırarak daha hızlı yayıldığını ifade ediyor USB bellekler ile de kolaylıkla yayılabilen solucanın bu teknikle yayılırken kurbanın bilgisayarında Microsoft’un son yamalarının da bulunmasının yeterli olamayabileceğini belirten Culley, bu tip bulaşmayı önlemenin tek yolunun güncel bir anti-virüs yazılımı kullanmak olduğunu belirtiyor VİRÜS NASIL YAYILIYOR? Microsoft’un yayınladığı bültene göre solucan Windows içinde bulunan ses hizmetleri, sunucu yazılımları gibi arkaplan servislerinin çalışmasını saplayan “servicesexe” isimli uygulamayı enfekte ederek, aslında Windows’un çalışması için gerekli olan bu uygulamanın bir parçası haline geliyor Servicesexe’nin bir parçası haline gelen zararlı betik parçacığı, kendisini Windows’un sistem klasörü altına kopyalayarak, 5-8 karakterli bir “dll” dosyası olarak saklıyor Windows’un uygulama ayarlarını tutan “Registry” (Kayıt kitaplığı) içinde bir düzenleme yapan uygulama, bu noktadan sonra kendini sistem için gerekli bir servis olarak tanımlayarak bilgisayar açık olduğu her an arkaplanda çalışmaya devam ediyor Solucan çalışmaya başladığı andan itibaren bir HTTP sunucusu (İnternet üzerinden tarayıcı vasıtasıyla ulaşabilen Web sunucu hizmeti) oluşturuyor, sistemin en son Geri Yükleme Noktasını (System Restore Point) silen virüs bu şekilde temizlenmesini daha güç hale getiriyor ve saldırganların sitesi üzerinden dosyalar yüklemeye başlıyor Bu şekilde uzaktan bağlanan saldırganlar enfekte olan bilgisayarda kolaylıkla istedikleri işlemleri gerçekleştirebiliyorlar Birçok solucan, İnternet üzerinden bağlandıkları siteler sayesinde kolaylıkla ayırt edilebiliyor ancak, Conficker olarak anılan bu yeni solucan, tamamen rasgele isimlerle (mphtfrxsnet, imctaefcc, ve hcweuorg gibi) oluşturulmuş yüzlerce alan adına bağlanan son derece sofistike bir algoritma kullandığı için rahatlıkla fark edilemiyor Çünkü sayısıyla yüzlerle ifade edilen bu alan adlarından hangisinin saldırganın websitesi olduğu henüz çözülebilmiş değil Solucanın hangi internet sitesinden zararlı betiği çekip çalıştırdığını anlamak neredeyse imkansız Solucan’ın nasıl çalıştığını anlamak amacıyla virüsü tersine mühendislik (reverse engineering) yöntemiyle analiz eden bilgisayar uzmanları henüz bir çözüm bulabilmiş değil ancak, en azından Downadup adı verilen varyantın kaç bilgisayar üzerinde çalıştığını biliyorlar “Onları görebiliyoruz ancak, temizleyemiyoruz” şeklinde konuşan F-Secure’un araştırmacılarından Toni Kovunen, rasgele oluşturulmuş alan adlarından birkaç tanesini ele geçirdiklerini ifade ederek, bu alan adlarına yüzbinlerce farklı IP adresi üzerinden istemcilerin bağlandığını söylüyor Microsoft’un yorumlarına göre, zararlı yazılım dünyanın farklı noktalarında bir çok bilgisayarı ele geçirmiş durumda En çok hasarı ise Çin, Brezilya, Rusya ve Hindistan’da bulunuyor __________________ worapsow adige