|
Teknoloji 13.05.2004 Melih Melik Sönmez - netyorum.com / Sayı: 156
SASSER VİRÜSÜ İLE İLGİLİ GÜNCELLEMELER
Merhaba,
Bu aralar telefon trafiğim artmış durumda. Bir şekilde dostlarım ve
arkadaşlarımdan yardım talepleri gelmekte. Sağolsun Microsoft sayesinde yine
sistemimiz geçildi. Ancak işin gerçek bir yanı Microsoft patch'i bu sefer
inanılmaz bir hızla çıkardı fakat bu patchleri geçme konusunda ve nereden
bulunacakları konusunda çok fazla kişinin bilgisi yok. Özetle yine sizlere
yardımcı olabilmek için sizden ricam bu yazıyı olabildiğince hızlı bir şekilde
tanıdığınız dost ve arkadaşlarınıza iletmeniz.
SASSER KURDU ( W32.Sasser Worm)
Versiyonları
W32.Sasser.Worm
W32.Sasser.B.Worm
W32.Sasser.C.Worm
W32.Sasser.D.Worm
Manuel Temizleme
1)- Windows Görev Yöneticisini açın (Task Manager)
2)- İşlemler'i açınız (Processes)
3)- Açılan sayfada AVSERVE.EXE , AVSERVE2.EXE dosyalarını işaretleyip İşlemi
Sonlandır (END TASK) seçeneğini seçin.
Böylelikle hafızada olan virusu engellemiş olacaksınız.
Sistemin tekrar açıldığında sisteme hemen bulaşmasını engellemek için ise
aşağıdaki sırayı DİKKATLİCE takip ediniz.
4)- BASLAT > CALISTIR (RUN) > REGEDIT
Açılan pencerede aşağıda tanımlı olan Anahtarı silmeniz gerekiyor ve dikkatli
olunmaz ise sisteminiz göçebilir.
5)- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe" = C:\WINDOWS\avserve.exe
sağ tarafta bulunan key üzeri tıklanıp işaretlendikten sonra klavye üzerinde
DELETE (DEL) tuşuna basarak silinir.
6)- Bilgisayarım üzerine gelin ve ARA seceneğini tıklayın aranacak dosya kısmına
avserve.exe,avgserve2.exe,*_up.exe
şeklinde yazın ve arattırın .C:\windows\system32\ altında çıkan dosyaları silin.
Artık internet ile ilgili bir sorun yaşamayacaksınız. Aşağıda vereceğim linklere
gidebilir. İlgili patchleri , temizleme araçları (removal tools) download
edebilir ve sisteminizi güvenilir hale getirebilirsiniz.
Buraya kadar hemen herşey standart bir kullanıcı için sorun olmaz ama bundan
sonraki adımlar biraz daha ileri bir bilgisayar bilgisi gerektirecek ama yine de
bilmeyenleride düşünerek olabildiğince basit anlatmaya çalışacağım.
Kurtcuk (Worm) Viruslerin genellikle dağılma mantığı IP network uzerinden
belirli kapıları (port) kullanarak mümkün olmaktadır. Bu kapıları firewallar ile
engellemekte mümkün yine bu virus ile ilgili yapılması istenen TCP kapılarından
(port) 5554, 9996, ve 445'e aıt olanları kapatın ve ayrıca Microsoft'un sitesine
gidip ilgili yamayı (patch) yukleyin (MS04-011)
Bu tip kapıları kapama işi muhtemelen son kullanıcılar (enduser ) için herhalde
birşey ifade etmiyor. Pencereleri kapatın deyince anlayın diyorlar ama kapılara
gelince o iş biraz karışık geliyor doğal olarak çünkü mantık olarak kapılar
deyince insanın aklına JIM MORRISON geliyor ama bu efsaneyi bu viruslerle ilgili
konularda harcamak ayıp olur :)
Konumuza dönmek gerekirse benim bu noktada küçük firmalar için (kurumsal
olmayanlar) ZONELABS'a ait olan ZoneAlarm adındaki fgüvenlik (firewall) duvarını
internetten indirip yuklemeniz.
www.zonelabs.com
Şu ana kadar anti-virus yazılımınızı ve sisteminizi güncelledik ancak aklıma
geldi ya sisteminizde anti-virus yoksa. Artık hepimiz anti-virus'un ne oldugunu
biliyoruz ama yineden "Yumurta ve Kapı" olayını çözemiyoruz. Eminim bir
çoğumuzda ya anti-virus yok yad a var olanlarda güncellenmemiş.eğer
anti-virus'unuz yok ise size önerim
www.GRISOFT.com adresinden ucretsiz olarak AVG Anti-Virus programını
sisteminize indirip kurmanız. (AVG Free Edition). Ama işi gerçeği özellikle
kurumsal firmalar için konuşuyorum BİR ANTİ-VİRUS PROGRAMI SATIN ALIN. Çok komik
rakamlara bütün sisteminizi korumanız mümkün iken (20 -35 USD) basit bir önlem
eksikliğinden en azından 20 dakikanızı bu mailin karşısında geçirmek zorunda
kalabiliyorsunuz :)
A unutmadan bir de kişisel güvenlik duvarı (firewall)' da yüklediniz.Buraya
kadar herşey güzel bir eksiğimiz kaldı o da internetten sistemimize gezdiğimiz
sitelerden bulaşabilecek Dinamik Objelerle (ActiveX) bulaşabilecek otomatik
casus robotlar (SpyBot). Buyrun onları da engelleyelim işe başlamışken :
http://www.safer-networking.org/index.php?page=download
Bu programı download edin ve mümkünse bağışta yapın. Kimse sizden para istemiyor
ama bu insanlar bence bağışı hak ediyor çünkü TÜRKÇE'yi bile destekliyorlar.
Yukarıda saydığım ve Türkiye'de o kadar satış yapan Anti-Virus programlarının
çok büyük bir kısmı Türkçe'yi desteklemiyor. Bu programı yükledikten sonra 3
adımı takip edeceksiniz. İlk önce güncellemeyi yapınız.güncelleme bittikten
sonra Aşılama(Immunize) ve Bloklama sistemlerini aktif hale getirin. Ve üçüncü
adım TARA ve YOK ET seçeneğini çalıştırın. Gördüklerinize inanamayacaksınız.
Sonra da seçili (hepsini seçiniz bence doğrusu bu) olanları temizle seçeneği ile
buradaki işinizi de bitiriniz.
EVET! Artık hemen hemen tamemen korunan bir sisteme sahibiz diyebiliriz. Bundan
sonra başınıza geleceklerden sadece ve sadece SİZ sorumlusunuz. Viruslü
olabilecek mailleri açmayınız, bir ! İkincisi de sisteminizde var olan ve
yukarıda adları geçen araçların ücretli olanlarını ödemekten kaçınmayın ama yine
de kaçınıyorsanız bari güncellemeyi unutmayın. Hatta Microsoft işletim
sisteminizi hemen hemen her gün güncellemenizi öneririm. Ben bir Microsoft
düşmanı değilim ama Microsoft'un inananmayacağınız kadar düşmanı var onu
biliyorum.
Melih Melik SÖNMEZ
Danışman & Sistem Yöneticisi
Yazılım Geliştirme
************************************************************************
Temizleme Araçları
NAI
www.nai.com
http://vil.nai.com/vil/stinger/
Symantec
www.symantec.com
http://securityresponse.symantec.com/avcenter/FxSasser.exe
************************************************************************
Diğer Araçlar
SPY BOT Search & Destroy
http://www.safer-networking.org/
http://www.safer-networking.org/index.php?page=download
GRISOFT AVG Antivİrus
www.GRISOFT.com
http://www.grisoft.com/us/us_dwnl_free.php (Muhakkak doğru bilgilerinizi
girin,yoksa key alamazsınız yani en azından mail adresini)
http://download.grisoft.cz/softw/removers/?C=M;O=D
ZONELABS
www.Zonelabs.com
http://download.zonelabs.com/bin/free/1012_zl/zlsSetup_45_594_000.exe
************************************************************************
Yukarıdaki yazıda geçen kişi, kuruluş ve kurumların isim ve logo kullanım
hakları kendilerine aittir. Bu yazıda geçen tüm lisanslı ürünlerin haklarıda
kurumların kendilerine aittir. Bu yazımda geçen ve uygulandığında sisteminize
zarar verebilecek eylemlerle iligili olarak ayrıca yukarıda adları geçen
programları yükleme yada tavsiye ettiğiniz durumlarda doğabilecek problem, sorun
veya hukuki tazminatı doğurabilecek haklarla ilgili olarak sorumlu
tutulamayacağımı kabul ettiğiniz varsayılmış olacaktır. Bu yazıda geçen herhangi
bir kusur veya ihmalden dolayı sorumlu tutulamayacağımı, bu yazının delil olarak
kullanılamayacağını da kabul ettiğiniz varsayılmış olacaktır.
netyorum.com: (Bu metin, yazarın ismi ve kaynak
gösterilerek elektronik, basılı veya görsel yayın organlarında tamamen veya
kısmen yayınlanabilir.)
|