Dikkat!Bir virüs daha

Dün keşfedilen Blaster solucanı 1 ay önce duyurulmuş ve yaması çıkmış olan bir Windows güvenlik açığından yararl*****yor. Lovsan olarak da isimlendirilen solucan güncellemeleri yapılmamış Microsoft Windows NT, Windows 2000, Windows XP ve Windows Server 2003 işletim sistemlerinde etkili oluyor.

Hızlı yayılan internet-tabanlı solucanlar "Sistemlerin yamalarının geçilmesi ve anti-virüs ürünlerinin güncellenmesi"nin önemini bir kez daha vurguluyor.

W32/Blaster solucanı Microsoft’un DCOM RPC arabirimindeki bilinen bir açıktan () yararlanıyor.

Solucan port 135’i kullanarak sürekli olarak ağdaki sistemleri DCOM/RPC açığı için tarıyor. Sistem tarihi 15 ağustos olduğunda windowsupdate.com sitesine bir Servis Kullanımı Engelleme saldırısı gerçekleştiriyor.

Teknik Bilgi:
Diğer İsimleri: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]

Belirtileri:
W32.Blaster.Worm çalıştığında aşağıdaki işlemleri yapıyor:
1) BILLY isminde bir mutex yaratıyor. Eğer bu isimde bir mutex varsa solucan kendisini kapatıyor.
2) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run registry anahtarına "windows auto update"="msblast.exe" değerini ekliyor.
3) A.B.C.0 şeklinde bir IP adresi yaratarak (genelde A ve B solucanın bulunduğu sistemin IP adresinin ilk iki octet i oluyor). C rastgele olarak yaratılıyor ve solucan A.B.C.0 IPsine aynı açıktan yararlanarak bulaşmaya çalışıyor. Sonrasında 0’ı 1 artırarak 254’e kadar sistemleri deniyor.
4) Denediği sistemin TCP port 135’ine DCOM RPC açığından yararlanmak için veri gönderiyor. Solucan iki tip deneme yapıyor, Windows XP ve Windows 2000 için.
Not: * Yerel subnet port 135 istekleri ile satüre hale geliyor.
* Deneme tipleri rastgele seçildiği için farklı veri gönderildiğinde sistemler çökebiliyor (2000’e XP denemesi yapılması gibi). Bu svchost.exe’nin hatalar yaratmasından anlaşılabilir.
* W32.Blaster.Worm Windows NT veya Windows 2003 sunucularında yayılamasa da eğer bu sistemlerden yaması geçilmemiş olanlar varsa solucanın denemeleri sonucunda çökebiliyorlar. Fakat solucan bu işletim sistemleri üzerine manuel olarak kopyalanıp çalıştırılırsa bu sistemlerden de yayılabiliyorlar.

5) Cmd.exe yi kullanarak TCP port 4444’ü dinleyen gizli bir (remote) shell işlemi başlatıyor. Bu sayede bir saldırgan uzaktan sistemde istediği komutları çalıştırabiliyor.

6) UDP port 69’u dinliyor. Eğer solucan DCOM RPC exploit’ini kullanarak bağlanabileceği bir bilgisayardan istek alırsa msblast.exe’yi o bilgisayara göndererek çalıstırmasını sağlıyor.

7) Eğer bulunulan ay Ağustos’tan sonra ise veya tarih 15’inden sonrası ise solucan Windows Update sitesine DoS (servis kullanımı engelleme) saldırısı gerçekleştiriyor. Solucan bu ayın 16’sında saldırıyı başlatacak ve yıl sonuna kadar devam edecek.

Solucan’ın içerisinde aşağıdaki yazı bulunuyor (hiç görüntülenmiyor):
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Çözüm:
* Sisteminize gerekli yamaları yükleyip güncelleyin:

* Ek dosyalar’daki temizleme araçlarını kullanın.
* Antivirüs yazılımınızı güncelleyerek sistemlerinizi tarayın.
* Aşağıdaki linkteki (Active Directory ve Group policy kullanan) iki logon script’i ile domain’e logon olanların patchlerini geçebilirsiniz:


Manuel Temizleme:
Internet bağlantısını düzeltme:
* Start>Run’a girip "SERVICES.MSC /S" yazıp enter’a basın.
* Sol panelde "Services and Applications" a çift tıklayın. Servislerin listesi sağ panele gelecektir.
* Sağ panelde "Remote Procedure Call (RPC)" servisini bulun. (aynı isimle bir de Locator servisi var, onunla karıştırılmamalı).
* Remote Procedure Call (RPC) servisinin üzerinde sağ tuşa basıp Properties’e tıklayın.
* Recovery sekmesine tıklayın.
* First failure Second failure ve Subsequent failures için "Restart the Service"i seçin.
* Apply’a ve sonra OK’e tıklayın.
Not: solucanı temizledikten sonra bu ayarları eski haline getirmeyi unutmayın.
Solucan işlemini sonlandırma:
* CTRL+ALT+DELETE’e aynı anda (bir kez basın)
* Task Manager’a tıklayın.
* Processes sekmesine tıklayın.
* Image Name sütununa tıklayarak işlemleri alfabetik olarak sıralayın.
* Listede Msblast.exe’yi bulun.
* Dosyayı bulduğunuzda tıklayıp seçerek "End Process"e tıklayın.
* Task Manager’ı kapatın.

Registry’deki değişiklikleri düzeltme:
* Start>Run’a girip regedit yazıp enter’a basın.
* HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run anahtarına gidin.
* Sağ panelde windows auto update değerini silin.
* Registry editörünü kapatın.

Yamaların geçilmesi:
Yamalar aşağıdaki adreslerden temin edilebilir: