BoRa
Admin
 |  Konu: 9 milyon bilgisayarı ele geçiren virüs yayılıyor  Cuma Ocak 01, 2010 8:27 pm | |
| ownadup, Kido ve Conficker adlarıyla bilinen 'solucan' şimdi de askeri birliklere saldırıyor. Aman dikkat!!! 10 Şubat 2009 Salı, 12:24 Geçtiğimiz Ekim ayında Microsoft’un
MS08-067 yamasıyla çözmüş olduğu açığı kullanan solucan tipi virüs,
****** Havalimanı’na bulaştıktan sonra şimdi de Fransız ordusunda
ortaya çıktı. Virüsün bugüne kadar 9 milyon bilgisayarı ele geçirdiği
tanhmin ediliyor. Fransız savunma bakanlığının
bilgisayar ağlarında iki hafta boyunca dolaşan virüs sebebiyle ülke
savunmasına yönelik kurulmuş bazı güvenlik sistemleri kullanılamadı. Savunma Bakanlığı ağına girmesinden
iki gün sonra Villacoublay Hava Üssü’ne ulaşan virüs sebebiyle savaş
uçakları da kalkış yapamadı.Virüsün varlığı 23 Ekim 2008 tarihinde
yayınlanan Microsoft Güvenlik Bülteni ile kamuoyuna açıklanmış,
problemin çözümü ortaya konmuş ancak Microsoft tarafından yapılan tüm
haberlere rağmen ağ yöneticilerinin ve bilgi teknolojileri
çalışanlarının uyarılara kulak asmadığı belirtilmişti.VİRÜS NASIL YAYILIYOR?Microsoft’un yayınladığı bültene göre
solucan Windows içinde bulunan ses hizmetleri, sunucu yazılımları gibi
arkaplan servislerinin çalışmasını saplayan “services.exe” isimli
uygulamayı enfekte ederek, aslında Windows’un çalışması için gerekli
olan bu uygulamanın bir parçası haline geliyor.Services.exe’nin bir parçası haline
gelen zararlı betik parçacığı, kendisini Windows’un sistem klasörü
altına kopyalayarak, 5-8 karakterli bir “dll” dosyası olarak saklıyor.
Windows’un uygulama ayarlarını tutan “Registry” (Kayıt kitaplığı)
içinde bir düzenleme yapan uygulama, bu noktadan sonra kendini sistem
için gerekli bir servis olarak tanımlayarak bilgisayar açık olduğu her
an arkaplanda çalışmaya devam ediyor.Solucan çalışmaya başladığı andan
itibaren bir HTTP sunucusu (İnternet üzerinden tarayıcı vasıtasıyla
ulaşabilen Web sunucu hizmeti) oluşturuyor, sistemin en son Geri
Yükleme Noktasını (System Restore Point) silen virüs bu şekilde
temizlenmesini daha güç hale getiriyor ve saldırganların sitesi
üzerinden dosyalar yüklemeye başlıyor. Bu şekilde uzaktan bağlanan
saldırganlar enfekte olan bilgisayarda kolaylıkla istedikleri işlemleri
gerçekleştirebiliyorlar.Birçok solucan, İnternet üzerinden
bağlandıkları siteler sayesinde kolaylıkla ayırt edilebiliyor ancak,
Conficker olarak anılan bu yeni solucan, tamamen rasgele isimlerle
(mphtfrxs.net, imctaef.cc, ve hcweu.org gibi) oluşturulmuş yüzlerce
alan adına bağlanan son derece sofistike bir algoritma kullandığı için
rahatlıkla fark edilemiyor. Çünkü sayısıyla yüzlerle ifade edilen bu
alan adlarından hangisinin saldırganın websitesi olduğu henüz
çözülebilmiş değil. Solucanın hangi internet sitesinden zararlı betiği
çekip çalıştırdığını anlamak neredeyse imkansız.Solucan’ın nasıl çalıştığını anlamak
amacıyla virüsü tersine mühendislik (reverse engineering) yöntemiyle
analiz eden bilgisayar uzmanları henüz bir çözüm bulabilmiş değil
ancak, en azından Downadup adı verilen varyantın kaç bilgisayar
üzerinde çalıştığını biliyorlar. | |
|
