- Kayıt
- 3 Nisan 2008
- Mesaj
- 2.630
- Tepki
- 89
Teknikve sistem konularında forum içerisinde kendisinin makalelerine yer verdiğim Sayın Burak Şekercioğlu'nun bilgisayarımızı tehdit eden önemli bir virüs ile ilgili olarak hazırlamış olduğu makaleyi sizinle paylaşmak istiyorum. Makele orjinal haliyle aşağıdadır.
//////////******////////////
Bu virüs sisteme bulaştığında hiçbir belirti görmeyebilirsiniz ya da aşağıdaki belirtilerden bir yada birkaçını yaşayabilirsiniz;
İsterseniz, bir çok kurum ve kuruluşun başını ağrıtan bu virüsün bulaşma tekniklerini inceleyelim;
Virüs sistemlere taşınabilir bellekler aracılığı ile bulaştıktan sonra ağ üzerindeki diğer sistemlere uzak sistemlerin ADMIN$ kullanıcısını kullanarak yayılıyor. Eğer ADMIN$ kullanıcısında şifre var ise bu seferde otomatik olarak basit şifre kombinasyonlarını denemek sureti ile uzak sisteme erişmeye çalışıyor.
Virüsün sistemlerde denediği şifre kombinasyonları aşağıda yer aldığı gibidir;
Bu şifreler sayesinde virüs sisteme ulaştığında ise
\
(örn: C:\Windows\system32\zdtnx.g or C:\Windows\system32\kdcktv.dll)
%Program Files%\Internet Explorer\[Rastgele].dll
%Program Files%\Movie Maker\[Rastgele].dll
%Program Files%\Windows Media Player\[Rastgele].dll
%Program Files%\Windows NT\[Rastgele].dll
Hemen ardından rastgele isime sahip bir servis olarak çalışmaya başlıyor ve bazı erişim yetkilerini değiştirerek kullanıcılar tarafından görülmemeyi sağlıyor.
HKLM\SYSTEM\CurrentControlSet\Services\
Genel olarak kullandığı servis kaydı HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs
netapi32.dll dosyasına kendini patch haline getiriyor ve silinmesi imkansız hale geliyor bununla ilgili Microsoft tarafından kritik olarak nitelendirilen güncelleştirmeler çıkmıştır.LİNK
Ayrıca virüs sistem açılışında otomatik olarak çalışabilmek için
Virüs ayrıca sistemde yer alan aşağıdaki servisleri de kapatır;
Virüs aynı zamanda Lokal ağ yerine Geniş Ağ (WAN) üzerinde de yayılmak isteyebilir bu durumda da;
* http://www.whatismyipaddress.com
* http://www.ipdragon.com
* http://www.findmyip.com
* http://www.ipaddressworld.com
* http://www.myipaddress.com
* http://checkip.dyndns.com
* http://checkip.dyndns.org
adreslerine bağlanır ve aldığı IP bilgileri doğrultusunda yayılmaya çalışır.
Evet gördüğünüz gibi virüsümüz öncelikli olarak USB taşınabilir diskler aracılığı ile yayılıp daha sonrada yayılımına LAN ortamında devam etmektedir. Peki bizler ne yapmalıyız ki bu virüsten kurtulalım.
1) USB belleklerin AUTORUN özelliğini kapatın
4)Sisteminizdeki kullanıcılara basit şifre tanımlaması yapmayın
5) Çeşitli temizleme araçlarını kullanarak sisteminizi temizleyebilirsiniz.
Microsoft Conficker Temizleme aracı
Sophos temizleme aracı
Symantec Conficker FixTool ancak bu programı kullanmadan önce komut satırınıza net stop dnscache yazarak DNS önbellekleme servisini durdurmalısınız.
//////////******////////////
Bu virüs sisteme bulaştığında hiçbir belirti görmeyebilirsiniz ya da aşağıdaki belirtilerden bir yada birkaçını yaşayabilirsiniz;
* Hesap kilitleme ilkeleri takılıyor.
* Otomatik Güncelleştirmeler, Arka Plan Akıllı Aktarım Hizmeti (BITS), Windows Defender ve Hata Bildirimi Hizmetleri devre dışı bırakılıyor.
* Etki alanı denetleyicileri, istemci isteklerine yavaş yanıt veriyor.
* Ağda sıkışıklık yaşanıyor.
* Güvenlikle ilgili çeşitli Web sitelerine erişilemiyor.
Win32/Conficker.B solucanı birden çok yayılma yöntemi kullanmaktadır.* Otomatik Güncelleştirmeler, Arka Plan Akıllı Aktarım Hizmeti (BITS), Windows Defender ve Hata Bildirimi Hizmetleri devre dışı bırakılıyor.
* Etki alanı denetleyicileri, istemci isteklerine yavaş yanıt veriyor.
* Ağda sıkışıklık yaşanıyor.
* Güvenlikle ilgili çeşitli Web sitelerine erişilemiyor.
* Güvenlik güncelleştirmesi 958644 (MS08-067) ile giderilen güvenlik açığından yararlanma
* Ağ paylaşımlarını kullanma
* Otomatik Kullan işlevselliği kullanma
Bu nedenle, tehdidin daha önce temizlenen sistemlere yeniden bulaşmaması için solucanı ağdan temizlerken dikkatli olmalısınız. * Ağ paylaşımlarını kullanma
* Otomatik Kullan işlevselliği kullanma
İsterseniz, bir çok kurum ve kuruluşun başını ağrıtan bu virüsün bulaşma tekniklerini inceleyelim;
Virüs sistemlere taşınabilir bellekler aracılığı ile bulaştıktan sonra ağ üzerindeki diğer sistemlere uzak sistemlerin ADMIN$ kullanıcısını kullanarak yayılıyor. Eğer ADMIN$ kullanıcısında şifre var ise bu seferde otomatik olarak basit şifre kombinasyonlarını denemek sureti ile uzak sisteme erişmeye çalışıyor.
Virüsün sistemlerde denediği şifre kombinasyonları aşağıda yer aldığı gibidir;
Bu şifreler sayesinde virüs sisteme ulaştığında ise
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Applets
ds = “{binary values}”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Applets
ds = “{binary values}”
registry kaydını oluşturuyor veCurrentVersion\Applets
ds = “{binary values}”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Applets
ds = “{binary values}”
\
(örn: C:\Windows\system32\zdtnx.g or C:\Windows\system32\kdcktv.dll)
%Program Files%\Internet Explorer\[Rastgele].dll
%Program Files%\Movie Maker\[Rastgele].dll
%Program Files%\Windows Media Player\[Rastgele].dll
%Program Files%\Windows NT\[Rastgele].dll
Hemen ardından rastgele isime sahip bir servis olarak çalışmaya başlıyor ve bazı erişim yetkilerini değiştirerek kullanıcılar tarafından görülmemeyi sağlıyor.
HKLM\SYSTEM\CurrentControlSet\Services\
Genel olarak kullandığı servis kaydı HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs
netapi32.dll dosyasına kendini patch haline getiriyor ve silinmesi imkansız hale geliyor bununla ilgili Microsoft tarafından kritik olarak nitelendirilen güncelleştirmeler çıkmıştır.LİNK
Ayrıca virüs sistem açılışında otomatik olarak çalışabilmek için
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{Service Name}
Image Path = “%Windows%\System32\svchost.exe -k netsvcs”"
Image Path = “%Windows%\System32\svchost.exe -k netsvcs”"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{Service Name}\
Parameters
ServiceDll = “{virüs dosyası}”
Parameters
ServiceDll = “{virüs dosyası}”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SvcHost
netsvcs = {Servis ismi}
registry kayıtlarını ekler. Burada belirtilen servis isimleri aşağıda yer alan kombinasyonlardan seçilmektedir;CurrentVersion\SvcHost
netsvcs = {Servis ismi}
Virüs ayrıca sistemde yer alan aşağıdaki servisleri de kapatır;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{kapatılacak servis ismi}
Start = “4″
* BITS
* ERSvc
* WerSvc
* WinDefend
* wscsvc
* wuauserv
Eğer sistemde aşağıdaki registry kaydı varsa bunları da kendi güvenliği için SİLERStart = “4″
* BITS
* ERSvc
* WerSvc
* WinDefend
* wscsvc
* wuauserv
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Windows Defender = {RASTGELE BİLGİ}
Windows Defender = {RASTGELE BİLGİ}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
explorer\ShellServiceObjects
{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
Ayrıca sistemde bulunan aşağıdaki API lere de bağlanır.explorer\ShellServiceObjects
{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
* DnsQuery_A
* DnsQuery_UTF8
* Query_Main
Eğer kullanıcı bir şeylerden şüphe edip aşağıdaki kelimeleri içeren sitelere girmek isterse bu siteleri kapatır;* DnsQuery_UTF8
* Query_Main
Virüs aynı zamanda Lokal ağ yerine Geniş Ağ (WAN) üzerinde de yayılmak isteyebilir bu durumda da;
* http://www.whatismyipaddress.com
* http://www.ipdragon.com
* http://www.findmyip.com
* http://www.ipaddressworld.com
* http://www.myipaddress.com
* http://checkip.dyndns.com
* http://checkip.dyndns.org
adreslerine bağlanır ve aldığı IP bilgileri doğrultusunda yayılmaya çalışır.
Evet gördüğünüz gibi virüsümüz öncelikli olarak USB taşınabilir diskler aracılığı ile yayılıp daha sonrada yayılımına LAN ortamında devam etmektedir. Peki bizler ne yapmalıyız ki bu virüsten kurtulalım.
1) USB belleklerin AUTORUN özelliğini kapatın
Başlat > Çalıştırı açıyor ve Regedit.exe yazıp entera basıyoruz.
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer kısmına geliyoruz
NoDriveTypeAutoRun
anahtarına sağ tıklatıp değiştir diyoruz ve açılan ekrandaki ” ff ” yazısını ” df ” olarak değiştiriyoruz.
Bilgisayarınızı kapatıp yeniden açtığınızda ayarlar aktif hale gelecektir.
2)Bilgisayarınızdaki gizli paylaşımları kapatınHKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer kısmına geliyoruz
NoDriveTypeAutoRun
anahtarına sağ tıklatıp değiştir diyoruz ve açılan ekrandaki ” ff ” yazısını ” df ” olarak değiştiriyoruz.
Bilgisayarınızı kapatıp yeniden açtığınızda ayarlar aktif hale gelecektir.
Baslat > Çalistir > Regedit [Enter]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmans erver\parameters
anahtarina gelip asagidaki REG_DWORD kayitlarini giriniz.
Serverlar için AutoShareServer deger 0
Is istasyonlari için AutoShareWks deger 0
Bilgisayarinizi tekrar baslattiktan sonra sisteminizde bu paylasimlar kalici olarak kalkacaktir.
3) Microsoft sitesinden sizin sisteminizle ilgili olan yamayı sisteminize kurunuzHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmans erver\parameters
anahtarina gelip asagidaki REG_DWORD kayitlarini giriniz.
Serverlar için AutoShareServer deger 0
Is istasyonlari için AutoShareWks deger 0
Bilgisayarinizi tekrar baslattiktan sonra sisteminizde bu paylasimlar kalici olarak kalkacaktir.
4)Sisteminizdeki kullanıcılara basit şifre tanımlaması yapmayın
5) Çeşitli temizleme araçlarını kullanarak sisteminizi temizleyebilirsiniz.
Microsoft Conficker Temizleme aracı
Sophos temizleme aracı
Symantec Conficker FixTool ancak bu programı kullanmadan önce komut satırınıza net stop dnscache yazarak DNS önbellekleme servisini durdurmalısınız.
