Ben Emre ALPARSLAN.Süleyman Demirel Üniversitesi
Hikmet Tolunay Meslek Yüksek Okulu Bilgisayar Programcılığı 2. sınıf
okuyorum.Son günlerde
herkesin başına bela olan bir virüsle uraştım.Arşatırmalar
sonucunda bunun çözümünü bulduk.(viruslesavas@hotmail.com)
Microsoft Windows NT, 2000, XP ve 2003 Windows
sistemlerdeki RPC (Remote Procedure Call) protokolünde yer alan
bir açığı kullanarak bulaştığı sistemleri trafik yoğunluğu sebebi
ile çalışamaz hale getiren yeni bir solucan (worm) ortaya çıkmıştır
(MS Blaster Worm). Solucan yayılım için TCP 135 portunu kullanmaktadır.
Etkilenen sistemler rastgele seçtiği güvenlik yamaları yüklü olmayan
sistemlere wormu yaymaya çalışmakta ya da güvenlik yamaları yüklü
olmayan sistemlerin yeniden başlatılmasına sebep olmaktadır .
Ayrıca bu solucanın kendisini kopyaladığı
sistemlerin tarihini kontrol ederek her ayın 16'sı ile 31'i arasında
windowsupdate.com sitesine servis verememe (Denail of Service) atağı
yapacağı tespit edilmiştir. Bu nedenle solucanın bulaşmış olduğu
sistemlerin acil olarak temizlenmesi ve ilgili güvenlik yamasının
sistemlere uygulanması gereklidir.
Solucanın Bulaşmasını önlemek için :
Kullanılan işletim sistemin solucandan etkilenen Microsoft Windows
NT, 2000, XP ve 2003 işletim sistemlerinden biri olup olmadığı kontrol
edilmelidir.
Aşağıdaki web sitesinden kullanılan işletim
sistemine ait güvenlik yaması mutlaka uygulanmalıdır. Böylece solucanın
sisteminizi etkilemesi engellenecektir.
Windows_XP_Turkish
Windows_XP_32_bit_Turkish_Edition
Windows_Server_2003_Turkish
Windows_2000_Turkish
Solucanın bulaştığını tespit etmek ve temizlemek
için
Öncelikle çalıştır komutuna "regedit" yazılarak registry
editörü açılmalıdır.
Registry editörün'de aşağıdaki anahtar bulunarak
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
değerinin "windows auto update"="msblast.exe"
olup olmadığı kontrol edilmelidir.
Eğer anahtarın değeri "windows auto
update"="msblast.exe" ise sisteminize Blaster solucan
bulaşmış demektir.
Temizlemek için aşağıdaki link'de yer alan
program indirilmelidir.
http://securityresponse.symantec.com/avcenter/venc/data/
w32.blaster.worm.removal.tool.html
Programı çalıştırmadan önce tüm programlarınızın
kapalı olduğunu kontrol edilmeli eğer sisteminiz XP ise "System
Restore" özelliğini kapatarak program çalıştırılmalıdır. (System
restore 'u kapatmak icin;
1. My Computer (sağ tıkla -> properties)
2. System Restore tab'i seçilir.
3. Turn Off System Restore on all hard drives" isimli kutuyu
seçili duruma getirilmelidir.)
Programın çalışması esnasında bazı dosyaları
silemediği uyarısı alıyorsanız, sistemi güvenli oturumda açarak
programı yeniden çalıştırılmalıdır.
İşlem sonunda makinanız reboot edilmelidir.
Makinanız açıldıktan sonra registry editöründen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
anahtarına ait "windows auto update"="msblast.exe"
değerinin silindiğini kontrol edilmelidir.
XP sistemlerinde daha önce kapatılan "System
Restore" özelliği yeniden aktif hale getirilmelidir.
(System restore 'u aktif hale getirmek icin;
1. My Computer (sağ tıkla -> properties)
2. System Restore tab'i seçilir.
3. Turn Off System Restore on all hard drives" isimli kutuyu
seçilmemiş duruma getirilmelidir.)
|
