Teknoloji 30.01.2003 Melih Melik Sönmez - netyorum.com / Sayı: 120
MICROSOFT SQL SAPPHIRE SOLUCANI ANALİZİ -
MICROSOFT SQL SAPPHIRE WORM ANALYSIS
"Microsoft SQL Sapphire Worm Analysis / Sapphire SQL Worm / SQL Sapphire /
SQL-Hell Slammer Worm"
Cuma gününden beri o kadar çok telefon aldım ki konu ile ilgili olarak zaten
hazırlıklı olmama rağmen yinede virüs'ü (Worm) araştırma ihtiyacı duydum. Yapmış
olduğum araştırma sonucunda çıkan sonuçları ve yapılması gerekenleri aşağıda da
tek tek belirttim. Bu bilgileri siz dostlarımla paylaşmak istedim.
Virüs'ten korunmalı :
Insan vücudunda olduğu gibi sisteme zarar verecek virüsler elektronik ağımızda
da bulunabilir. Bu virüslerin bazıları zararsız olabilir ama yine de sistem
içerisinde yaşatılmamalıdır. Bunun için muhakak periyodik olarak bilgisayar
ağımızı virüs taramasından geçirmeliyiz (mümkünse senede bir kezde kendinize
check-up yaptırabiliriz). Buraya kadar virüslerden korunmamın birinci adımı olan
anti-virüs kullanmanın neden gerekliliği hakkında bilgi sahibi olduğunuzu
düşünüyorum.
Virüslerden korunmak ile bir Hacker'dan (artık hemen hemen hepinizin filmleri
çevrilen hackerların ne anlama geldiğini bildiğinizi tahmin edebiliyorum;
açıklama yapmayacağım) korunmanın farklı olduğunu bilmenizi istiyorum.
Virüslerden korunmak için anti-virüs kullanılırken bir Hacker'dan korunmak için
Firewall (güvenlik duvarı) kullanılır. İyi bir firewall virüsün sisteme
bulaşmasını önlemez ama yayılmasını engelleyebilir. Her ikisini de sisteminizde
kullandığınızı varsayarsak bunları yönetebilip yönetemediğimiz sorusu karşımıza
çıkmaktadır. Sizin yöneticiniz ya da danışmanızda fayda bulunmaktadır.
İmdat !!! Virüs bulaştı (galiba) !!!!
Hastalandınız; hergün C vitamini alıyordunuz halbuki!!! Evet, ne yaparsanız
yapın, ne kadar uğraşırsanız uğraşın bir gün virüs sizi de vurabilir. Bu bir
anlık dalgınlıkla olabilir... Esasında üzerinde nasıl olduğu ile değil nasıl
arınabileceğiniz ile ilgili durmak lazım. Aşağıda sisteminize virüs bulaştığına
dair şüpheleriniz varsa yapmanız gerekenleri bulabilirsiniz, sırasıyla takip
etmenizi öneririm.
Yapılması gerekenler:
1. Panik yapmayın. Ne olursa olsun panik yapmanız işleri daha da zorlaştırır.
Mevcut virüslerin %95 ' i dataların bozulmasına sebep olamamaktadır. Bu nedenle
en fazla zaman kaybı yaşayacaksınızdır. Eee, tabii panik yapıp tüm bilgilerinizi
kaybedebilirsiniz; bu da mümkün. Siz de uzmanınız veya danışmanınıza danışın.
2. Anti-virüs programlarınızı güncellemeyi deneyin. En kötü anti-virüs
programı bile kendini güncelleyecektir. Virüs'ü temizlemese bile yayılmasını
engelleyecektir. Ya da akıllı bir virüs ile karşı karşıya ise zaten hiç
çalışmayacaktır. Bu durumda network bağlantınızı fiziksel olarak çıkartın. Bu
virüsün yayılmasını engelleyecektir.
3. Yedeklerinizi alın. Hardiskinizde yer yoksa boş bir CD'ye tüm
datalarınızın, virüslü virüssüz farketmez, yedeğini alın. Sistem uzmanınızda bir
insan. Herkes gibi o da bir hata yapıp, sistemi komple uçurabilir. Datalarınızı
yedekledikten sonra, gerekirse hardiskinizi formatlayıp, yepyeni temiz bir
sayfaya bile başlayabilirsiniz.Tabii, bizim gibi vazgeçilmeyecek programlar
kullanıyorsanız virüsü temizlemeye çalışmanızı öneririz.
4. Yardım almak ayıp değildir. Yaşınız kaç olursa olsun; bilmiyorsanız
öğrenemeyeceğiniz anlamına gelmez. Sorun, anlamadıysanız tekrar sorun. Yarım
öğrenmeniz hiç bilmemenizden daha kötüdür.
5. Profesyonel destek alınız. Kısa ve net bir özetle buraya kadar sorununuzu
çözemediyseniz çözecek doğru adamı bulun ve profesyonel destekle, sorunlarınıza
kalıcı bir çözüm bulun.
Gelgelelim şu adı çok bahsedilen SQL ile çalışan WORM virüsünüze...
WORM virüsü; ingilizcesi olanlar hemen anlayacaktır ki Türkçe'deki gerçek adı
Solucan virüsüdür.
Wormlar esasında en çabuk yayılan virüslerdendir. Ana amacı tüm sistemlere
yayılmaktır; o yüzden makinanıza ve datalarına hemen hemen hiç zarar vermezler.
Genellikle network'de yoğun bilgi trafiğine sebep olurlar. Bu da ağınızın çok
yavaş çalışması anlamına gelir. Temizleme açısından çok kolaydır. Muhtemelen
makinanızı açtığınızda otomatik olarak kendini yükler ve siz ne yaparsanız
yapın, o virüslü dosya hafızada olduğundan silinmez. Bu sorunu aşabilmenin en
kolay yolu "Güvenli Kip" te makinanızı açmak ve virüslü dosyayı silmektir. Bir
de sistem kayıt defteri dediğimiz "Registery" den otomatik yüklenmesini sağlayan
komut satırını sildiniz mi, problemin % 80'i bitmiş demektir.
Bizim SQL Worm'muz ile ilgili bazı komutları aşağıda vereceğim; bu komutlar
sayesinde sisteminizdeki durumu keşfedebilme imkanı bulacaksınız. Ayrıca
unutmayın ki, bu virüs, sisteminde SQL Server 2000 RTM, SQL Server 2000 SP1, SQL
Server 2000 SP2 ve Microsoft SQL Desktop Engine Versiyon (MSDE) 2000 olanlara
bulaşabilir. Yani özetle bir çoğunuzun makinasına bulaşmayacak bile.
Ms-Dos komut isteminde bu komutu çalıştırın:
C:> netstat -an | find "1434"
Eğer sonuç
UDP 0.0.0.0:1434 *:*
ise temizsiniz demektir ; ama eğer sonuç
UDP 0.0.0.0:1434 0.0.0.0:0 LISTENING
ise acilen aşağıda verdiğim Removal Tool'u indirim çalıştırın. İngilizceniz var
ise aşağıda Microsoft'un linklerinden ilgili patchleri bulabilir ve sisteminizi
yine eskisi gibi güvenli hale getirebilirsiniz.
İngilizceniz yok ise ve sisteminizde SQL yüklü ise ilk önce SQL servisinizi
Manuel'e alıp sistemi kapatıp yeniden açın. SQL otomatik olarak çalışmayacağı
için sisteminize yayılmaya çaılşmayacak ve networkünüze saldırmayacaktır. İşte
bu anda devreye anti-virüslerinizi ve patchlerinizi devreye sokmanız
gerekmektedir. Zaten Service Pack 3'ü yüklerken bunu muhakkak yapmalıydınız.
Unutmayın, bu virüs kendisini sistem kayıt defterine veya sistem dosyalarına
bulaştırmamaktadır. Özetle, makinenizi kapatıp açtığınız taktirde uçup
gidecektir.
Senelerdir datalarınızı üstünde taşımış olan dostunuz SQL Server ona olan
ilgisizliğiniz karşında biraz canavara dönüşmüş olsa da "Ying Yang - her iyinin
içinde bir kötü, her kötünün içinde bir iyilik vardır" mantığında biraz kötü
yüzünü ortaya çıkarmış durumdadır ve ona gerekli ilgiyi gösterdiğiniz anda da
bir sorununuz kalmayacaktır.
Neden ilgisizliğinizden bahsettiğimi düşünüyorsanız; bu sorun 6 ay önceden
bildirilmiş bir açıktı. Altı aydır hiç birşey yapmadıysanız kendinizde de biraz
hata aramalısınız elbette.
Ayrıca teknik analizleri okumanızı öneririm:
Matthew Murphy'nin bu virüs hakkındaki teknik analizi
http://www.techie.hopto.org/sqlworm.html
eEye Digital Security firmasının analizi :
http://www.eeye.com/html/Research/Flash/AL20030125.html
Standalone Patch :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
SQL Service Pack 3:
http://www.microsoft.com/sql/downloads/2000/sp3.asp
Symantec Removal Tool:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.removal.tool.html
McAfee W32/SQLSlammer.worm Profile :
http://vil.mcafee.com/dispVirus.asp?virus_k=99992
Saygılarımla,
Melih Melik SÖNMEZ
Danışman
e-posta:
mmsonmez@melic.com
internet:
http://www.melic.com
netyorum.com: (Bu metin, yazarın ismi ve kaynak
gösterilerek elektronik, basılı veya görsel yayın organlarında tamamen veya
kısmen yayınlanabilir.)
|