| Önsöz | Arama | Üyelik | Sohbet | Alış-Veriş | www.netyorum.com   
Ajanda
Seçtiklerimiz
Arşiv
Yazarlar
Yorumlar

Bölümler

Köşe Yazıları
Teknoloji
Sanat
Soru & Cevap
Dostluk & Sevgi
Eğlence
Geçmiş Zaman Olur ki

Konular

Sinema
Müzik
Kitap
Sözler
Oyunlar
Ürünler
Mekan
 
 
Reklam Fiyatları

İzleyici Mesajları

Elektronik posta :
bilgi@netyorum.com
 
 
Bu sayfayı arkadaşınıza göndermek için tıklayın.
 
 
Açılış sayfası yapmak için tıklayın.

Sık kullanılanlar listesine eklemek için tıklayın.
 
Eski Sayıları
Teknoloji 30.01.2003 Melih Melik Sönmez - netyorum.com / Sayı: 120

MICROSOFT SQL SAPPHIRE SOLUCANI ANALİZİ -
MICROSOFT SQL SAPPHIRE WORM ANALYSIS

"Microsoft SQL Sapphire Worm Analysis / Sapphire SQL Worm / SQL Sapphire / SQL-Hell Slammer Worm"

Cuma gününden beri o kadar çok telefon aldım ki konu ile ilgili olarak zaten hazırlıklı olmama rağmen yinede virüs'ü (Worm) araştırma ihtiyacı duydum. Yapmış olduğum araştırma sonucunda çıkan sonuçları ve yapılması gerekenleri aşağıda da tek tek belirttim. Bu bilgileri siz dostlarımla paylaşmak istedim.

Virüs'ten korunmalı :

Insan vücudunda olduğu gibi sisteme zarar verecek virüsler elektronik ağımızda da bulunabilir. Bu virüslerin bazıları zararsız olabilir ama yine de sistem içerisinde yaşatılmamalıdır. Bunun için muhakak periyodik olarak bilgisayar ağımızı virüs taramasından geçirmeliyiz (mümkünse senede bir kezde kendinize check-up yaptırabiliriz). Buraya kadar virüslerden korunmamın birinci adımı olan anti-virüs kullanmanın neden gerekliliği hakkında bilgi sahibi olduğunuzu düşünüyorum.

Virüslerden korunmak ile bir Hacker'dan (artık hemen hemen hepinizin filmleri çevrilen hackerların ne anlama geldiğini bildiğinizi tahmin edebiliyorum; açıklama yapmayacağım) korunmanın farklı olduğunu bilmenizi istiyorum.

Virüslerden korunmak için anti-virüs kullanılırken bir Hacker'dan korunmak için Firewall (güvenlik duvarı) kullanılır. İyi bir firewall virüsün sisteme bulaşmasını önlemez ama yayılmasını engelleyebilir. Her ikisini de sisteminizde kullandığınızı varsayarsak bunları yönetebilip yönetemediğimiz sorusu karşımıza çıkmaktadır. Sizin yöneticiniz ya da danışmanızda fayda bulunmaktadır.

İmdat !!! Virüs bulaştı (galiba) !!!!

Hastalandınız; hergün C vitamini alıyordunuz halbuki!!! Evet, ne yaparsanız yapın, ne kadar uğraşırsanız uğraşın bir gün virüs sizi de vurabilir. Bu bir anlık dalgınlıkla olabilir... Esasında üzerinde nasıl olduğu ile değil nasıl arınabileceğiniz ile ilgili durmak lazım. Aşağıda sisteminize virüs bulaştığına dair şüpheleriniz varsa yapmanız gerekenleri bulabilirsiniz, sırasıyla takip etmenizi öneririm.

Yapılması gerekenler:

1. Panik yapmayın. Ne olursa olsun panik yapmanız işleri daha da zorlaştırır. Mevcut virüslerin %95 ' i dataların bozulmasına sebep olamamaktadır. Bu nedenle en fazla zaman kaybı yaşayacaksınızdır. Eee, tabii panik yapıp tüm bilgilerinizi kaybedebilirsiniz; bu da mümkün. Siz de uzmanınız veya danışmanınıza danışın.

2. Anti-virüs programlarınızı güncellemeyi deneyin. En kötü anti-virüs programı bile kendini güncelleyecektir. Virüs'ü temizlemese bile yayılmasını engelleyecektir. Ya da akıllı bir virüs ile karşı karşıya ise zaten hiç çalışmayacaktır. Bu durumda network bağlantınızı fiziksel olarak çıkartın. Bu virüsün yayılmasını engelleyecektir.

3. Yedeklerinizi alın. Hardiskinizde yer yoksa boş bir CD'ye tüm datalarınızın, virüslü virüssüz farketmez, yedeğini alın. Sistem uzmanınızda bir insan. Herkes gibi o da bir hata yapıp, sistemi komple uçurabilir. Datalarınızı yedekledikten sonra, gerekirse hardiskinizi formatlayıp, yepyeni temiz bir sayfaya bile başlayabilirsiniz.Tabii, bizim gibi vazgeçilmeyecek programlar kullanıyorsanız virüsü temizlemeye çalışmanızı öneririz.

4. Yardım almak ayıp değildir. Yaşınız kaç olursa olsun; bilmiyorsanız öğrenemeyeceğiniz anlamına gelmez. Sorun, anlamadıysanız tekrar sorun. Yarım öğrenmeniz hiç bilmemenizden daha kötüdür.

5. Profesyonel destek alınız. Kısa ve net bir özetle buraya kadar sorununuzu çözemediyseniz çözecek doğru adamı bulun ve profesyonel destekle, sorunlarınıza kalıcı bir çözüm bulun.

Gelgelelim şu adı çok bahsedilen SQL ile çalışan WORM virüsünüze...

WORM virüsü; ingilizcesi olanlar hemen anlayacaktır ki Türkçe'deki gerçek adı Solucan virüsüdür.

Wormlar esasında en çabuk yayılan virüslerdendir. Ana amacı tüm sistemlere yayılmaktır; o yüzden makinanıza ve datalarına hemen hemen hiç zarar vermezler. Genellikle network'de yoğun bilgi trafiğine sebep olurlar. Bu da ağınızın çok yavaş çalışması anlamına gelir. Temizleme açısından çok kolaydır. Muhtemelen makinanızı açtığınızda otomatik olarak kendini yükler ve siz ne yaparsanız yapın, o virüslü dosya hafızada olduğundan silinmez. Bu sorunu aşabilmenin en kolay yolu "Güvenli Kip" te makinanızı açmak ve virüslü dosyayı silmektir. Bir de sistem kayıt defteri dediğimiz "Registery" den otomatik yüklenmesini sağlayan komut satırını sildiniz mi, problemin % 80'i bitmiş demektir.

Bizim SQL Worm'muz ile ilgili bazı komutları aşağıda vereceğim; bu komutlar sayesinde sisteminizdeki durumu keşfedebilme imkanı bulacaksınız. Ayrıca unutmayın ki, bu virüs, sisteminde SQL Server 2000 RTM, SQL Server 2000 SP1, SQL Server 2000 SP2 ve Microsoft SQL Desktop Engine Versiyon (MSDE) 2000 olanlara bulaşabilir. Yani özetle bir çoğunuzun makinasına bulaşmayacak bile.

Ms-Dos komut isteminde bu komutu çalıştırın:

C:> netstat -an | find "1434"

Eğer sonuç

UDP 0.0.0.0:1434 *:*

ise temizsiniz demektir ; ama eğer sonuç

UDP 0.0.0.0:1434 0.0.0.0:0 LISTENING

ise acilen aşağıda verdiğim Removal Tool'u indirim çalıştırın. İngilizceniz var ise aşağıda Microsoft'un linklerinden ilgili patchleri bulabilir ve sisteminizi yine eskisi gibi güvenli hale getirebilirsiniz.

İngilizceniz yok ise ve sisteminizde SQL yüklü ise ilk önce SQL servisinizi Manuel'e alıp sistemi kapatıp yeniden açın. SQL otomatik olarak çalışmayacağı için sisteminize yayılmaya çaılşmayacak ve networkünüze saldırmayacaktır. İşte bu anda devreye anti-virüslerinizi ve patchlerinizi devreye sokmanız gerekmektedir. Zaten Service Pack 3'ü yüklerken bunu muhakkak yapmalıydınız.

Unutmayın, bu virüs kendisini sistem kayıt defterine veya sistem dosyalarına bulaştırmamaktadır. Özetle, makinenizi kapatıp açtığınız taktirde uçup gidecektir.

Senelerdir datalarınızı üstünde taşımış olan dostunuz SQL Server ona olan ilgisizliğiniz karşında biraz canavara dönüşmüş olsa da "Ying Yang - her iyinin içinde bir kötü, her kötünün içinde bir iyilik vardır" mantığında biraz kötü yüzünü ortaya çıkarmış durumdadır ve ona gerekli ilgiyi gösterdiğiniz anda da bir sorununuz kalmayacaktır.

Neden ilgisizliğinizden bahsettiğimi düşünüyorsanız; bu sorun 6 ay önceden bildirilmiş bir açıktı. Altı aydır hiç birşey yapmadıysanız kendinizde de biraz hata aramalısınız elbette.

Ayrıca teknik analizleri okumanızı öneririm:

Matthew Murphy'nin bu virüs hakkındaki teknik analizi

http://www.techie.hopto.org/sqlworm.html

eEye Digital Security firmasının analizi :

http://www.eeye.com/html/Research/Flash/AL20030125.html

Standalone Patch :

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp

SQL Service Pack 3:

http://www.microsoft.com/sql/downloads/2000/sp3.asp

Symantec Removal Tool:

http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.removal.tool.html

McAfee W32/SQLSlammer.worm Profile :

http://vil.mcafee.com/dispVirus.asp?virus_k=99992

 

Saygılarımla,

Melih Melik SÖNMEZ
Danışman
e-posta: mmsonmez@melic.com
internet: http://www.melic.com  

netyorum.com: (Bu metin, yazarın ismi ve kaynak gösterilerek elektronik, basılı veya görsel yayın organlarında tamamen veya kısmen yayınlanabilir.)

Yorum Ekle Yorumları Listele
120. Sayı önceki yazı 120. Sayı sonraki yazı
Teknoloji Önceki Yazı Teknoloji Sonraki Yazı
Her hakkı saklıdır. All rights reserved. netyorum.com © 2000-2005 İstanbul-Türkiye