Bir Worm’un Hayat Döngüsü

W32.Sober.X@mm worm’unun hayat döngüsünü ve nasıl ilginç işler çevirdiğini anlatmaya, biraz olsun bilgisayarınızda güvenliğe önem vermenizi sağlamaya çalışacağım. Ha, unutmadan, W32.Sober.X@mm tipi wormlar Linux dağıtımlarını etkilemiyor, haberiniz olsun :)

Neden W32.Sober.X@mm?

Çok özel bir sebebi yok, yalnızca biraz önce gelen bir epostada bu worm’a rastladım, Google’da search edip Symantec‘teki açıklamaları okudum, hoşuma gitti, ondan…

Hayat Döngüsü

Worm bir şekilde bilgisayarınız tarafından fark edilmezse, çalıştırdığınız zaman aşağıdakiler oluyor:

• Size WinZip Self-Extractor başlıklı, Error in packed Header yazan bir mesaj gösteriyor, sanki dosya bozukmuş da açılmamış gibi.
• Kendini %Windir%\WinSecurity\ dizinindeki csrss.exe, services.exe ve smss.exe dosyalarına kopyalar. Bu dosyalar görev yöneticisinde çalışıyor görünüyorsa korkmayın, çünkü aslında bunlar sistem dosyalarıdır ve System32 dizininde bulunurlar. Başka bir dizinde rastlarsanız muhtemelen worm ya da spyware’dırlar.
• Yine %Windir%\WinSecurity\ altında socket1.ifo, socket2.ifo ve socket3.ifo dosyalarını yaratırlar. Bu dosyalar zip olarak sıkıştırılmış biçimde worm’u içerirler.
• Aynı klasörde, eposta bilgilerini toplayacağında kullanacağı dli, ory, tst, run, tro uzantılı dosyalar yaratır.
• %System% klasöründe birkaç boş dosya yaratır, bu dosyalar eski Sober worm’larının çalışmamasını sağlar.
• mrt.exe ve asw*.tmp isimli processleri sonlandırır.
• İçerisinde microsoftanti, gcas, gcip, giantanti, inetupd., nod32kui, nod32., fxsbr, avwin., guardgui., aswclnr, stinger, hijack, sober, brfix, s_t_i_n, s-t-i-n geçen processleri sonlandırır. Bunlar antivirus ve worm yakalayan programlarının isimleridir.
• Eğer yukarıdaki programlardan herhangi birini sonlandırdıysa kullanıcıya Antivirus başlıklı, No Viruses, Trojans or Spyware found! Status: OK içeren bir mesaj gösterir.
• Norton LiveUpdate için özel önlemler alır. Her LiveUpdate çalıştırıldığında worm kendini aktive eder ve bağlantının durumuna göre LiveUpdate {Symantec} başlıklı Thank you for using LiveUpdate. All of the Symantec products and components are currently up-to-date. içerikli bir mesaj gösterir.
• Registry’i değiştirerek her windows açılışında kendini aktive eder.
• Windows XP SP2 yüklü bilgisayarlarda Windows Security Center‘ı disable eder.
• 6 Ocak 2006′da internetten birçok noktada bulunan bir exe dosyasının indirmeye başlar.
• Tabii ki tarihi değiştirip worm’un etkisinden yırtmamanız için tarihi internette birçok yerden kontrol eder.
• Bilgisayarınızda email adresleri bulunabilecek muhtemel dosyaları arar ve bulduğu mail adreslerinden bu kullanıcının adreslerini çıkarır :)
• İnternetteki birçok smtp sunucudan mesajlar göndermeye başlar. Gönderilen mesajlar şu şekildedir:
  Konu: Your Password | Registration Confirmation | smtp mail failed | Mail delivery failed | hi, ive a new mail address | You visit illegal websites | Your IP was logged | Paris Hilton & Nicole Richie
  Mesaj: Konuya uygun mesajlar. Mesela Paris Hilton örneğinde “fotolar ve videolar için download manager’ımızı indirin!” tarzı :)
  Ekli dosyalar: reg_pass.zip | reg_pass-data.zip | mail.zip | mail_body.zip | mailtext.zip | list[RANDOM CHARACTERS].zip | question_list[RANDOM CHARACTERS].zip | downloadm.zip
  Worm içeren dosya: File-packed_dataInfo.exe
• Tabii ki bu mail sizin arkadaşlarınızdan birine ulaşınca aynı döngü başa dönecektir…

Sonuç, aldığımız ders

Sadece 55 kilobaytlık bir worm dosyası bu kadar sisteme hükmedebiliyor, kendi kendine yayılabiliyor, antivirüs programlarını alt edebiliyorsa şunları düşünürüm:

• Bizim yaptığımız programcılık değil, adamlar 55 KB‘a neler sığdırıp neler neler yapıyorlar…
• Windows asla güvenli bir işletim sistemi değildir. Sistem dosyalarının bu kadar rahat değiştirilmesine göz yumuyorsa, service pack’lerinin hakkından kolayca gelinebiliyorsa, her an update edilen sağlam bir antivirüs programıyla ve sağlam bir firewall’la bile desteklendiği zaman bile güvenlik hâlâ şans işiyse, Windows bir işletim sistemi bile olamaz. (win95′i filan düşünemiyorum bile…)
• “Eğer smss.exe diye bir dosya çalışıyorsa ve System32 klasörünüzde bulunuyorsa hemen sonlandırın ve dosyayı silin” gibi mailler alıyorsanız hemen inanmayın. Yukarıda belirttik, bu bir sistem programıdır ve bu tarz programları silivermek problemler yaratır. En azından bir google search yapın, işin aslını anlayın. Maili gönderen adamın da bilgisayarını camdan aşağı atın :) Hatta tüm mail forward’layan arkadaşlarınıza aynı işlemi uygulayın :D

Windows kullanıyorsanız

• Windows update‘leri unutmayın.
• Antivirüs programı kullanın ve sık sık güncelleyin.
• Firewall kullanın, update’lerini yapın ve verdiği uyarıları dikkate alarak iletişimlere onay verin.
• Maillerde gelen .vbs, .bat, .exe, .pif ve .scr dosyalarını açarken değil 2, 10-15 kere düşünün. Hatta hiç açmayın, mail en yakınınızdan bile geliyor olsa kendinizi mail sanki hiç gelmemiş gibi hayal edin.
• Yavaş yavaş daha güvenli programlar kullanmaya başlayın. Misal: Mozilla Firefox :)

Linux kullanıyorsanız

• İstediğiniz eki rahatlıkla açabilir, halinize şükredebilirsiniz :)

Yorumlar - Başa Dön

Yorum Yazın