Sinan Oymacı - 20020411

Merhaba,

Bu sefer başımız dertte. Bu virüs çok uyanık. Biraz bilgi vermek istiyorum.

Virus kendi smtp yazılımını kullanarak mesajları gönderiyor. Bir başka deyişle virüsün bulaştığı bilgisayarda, kullanıcının bilmediği bir smtp server çalışıyor.

Bilinen etkisi, ekinde virüslü yazılımı içeren bir dosya olan mesajlar göndermesi.

Peki diğer virüslerden farkı ne?

Microsoft Outlook ve Outlook Express'teki adres defterindeki e-postaları taradığı gibi, ICQ'daki e-postaları ve en önemlisi bilgisayardaki çeşitli belgelerdeki e-postaları da taraması. Bir başka deyişle hiç adres defteriniz olmasa dahi, bir ahbabınızdan gelmiş word dosyasının içinde e-posta adresi geçiyorsa, o adreste tehdit altında.

Bir diğer ciddi tehdit ise en önemlisi;

e-posta mesajları bildiginiz gibi 4 ana kısımdan oluşur. From (gönderen), To (alıcı), Subject (konu), Message (mesaj).

Daha önceki virüsler from kısmını bilgisayarı kullanan kişinin e-posta adresini kullanarak doldururlardı. Böylece virüsün kimin sisteminde olduğunu anlayabilir ve kişiyi uyarabilirdik. Ancak bu defa virus e-postadaki from kısmını da adres defterindeki bilgilerle dolduruyor. Böylece inanılmaz bir kargaşa sağlamış durumda. Örnek vermek istiyorum;

x'in e-posta adresi x@x.abc, bilgisayarında bu virus var ve sistemdeki dosyalarda arkadaşı y@y.dfg e-posta adresi ile bir başka dosyada z@z.jkl adresleri mevcut. Virus z@z.jkl adresine mesaji gönderirken from kısmına da y@y.dfg dolduruyor. Böylece z@z.jkl adresindeki kişi mesajın y@y.dfg 'dan geldiğini (aslında o bilgisayarda virüs yok) zannediyor. Tek bildiği mesajı gönderdiğini düşündüğü adres olan y@y.dfg 'ya sisteminizde virüs vardır uyarısı göndermek. Bu arada x@x.abc hala virüslü mesajları göndermeye devam ediyor çünkü onu ikaz eden yok.

Kısaca, internet'e erişimi olan tüm kullanıcılar sistemlerini kontrol edip, temiz olduğundan emin olmadıkça bu virüsten kurtulmak zor. Bir diğer seçenekde başka bazı virüslerde yapıldığı gibi e-posta dağıtımı yapan ana sunucularda bu virüsü denetlemek.

Ancak şu anda hızla yaygınlaşıyor. Herkesin dikkatli olmasını önermekten başka bir çare düşünemiyorum.

Bu virüsün bir diğer tasarım özelliği de, her defasında farklı bir subject (konu) üretebilmesi ve ekindeki virüslü dosya ismini değiştirebilmesi.

Ayrıca bulaştığı sistemlerdeki pek çok antivirüs yazılımını devre dışı bırakıyor.

Virüsün adını da yazayım, boşta kalmasın; " W32 . Klez . H @ mm ". Anti virüs yazılımları ve e-posta sunucuları sorun çıkarmasın diye virüsün adı boşluklar ile yazılmıştır.

Bu bilgileri tanıdıklarınıza, arkadaşlarınıza iletin. Hasarın mümkün olduğunca az olmasını sağlayalım.

20.4.2002 ek: Gelen sorulardan yola çıkarak, biraz daha bilgi vermek istiyorum.

http://www.symantec.com

http://www.avp.ch

http://www.pandasoftware.com

adreslerinden daha fazla bilgi için yararlanabilirsiniz.

Ayrıca

http://www.antivirus.com adresinde internete bağlı olan bilgisayarı online test eden bir sistem mevcut.

İlerisi için önerim; sisteminizde bir antivirüs yazılımı bulundurun ve sürekli güncelleyin. Ayrıca Microsoft işletim sistemi kullanıyorsanız hotfix denilen güncellemeleri yapın. Bir son önerim de; güvenlik için belirtilen bazı ayarlar vardır yazılımlara uygulamanız gereken. Bunları da uygulayın.

Bir son not: 2000 senesinde gündeme gelen " I - Love - You " virüsü için yazdığım yazı ilginç bilgiler içeriyordu. O yazıya da bakmanızı öneririm. 05.05.200 tarihli yazıya erişim için tıklayın.

Not: Sayın Nedret Türer'den gelen bu konu ile ilgili bir uyarı mesajı.

Sitenizde "worm kleze" ile ilgili bilgileri okuyunca içim burkuldu açıkçası.

Çünkü geçtiğimiz üç hafta öncesinde bu virus (solucan) bana da bulaştı maalesef. Fakat sizin yazdığınız uyarılarda bir noktayı bulamadım. (ya da ben rastlayamadım). Bu oldukça önemli bir nokta. Başıma geldiği için hemen uyarayım dedim.

Ben genelde tanıdıklarımdan bile olsa yabancı bulduğum hiç bir maili açmam. Bu mail outlook'a degil outlook eksprese geldi. Outlook'a gelmemesini sıkı bir koruma altında olmasına yorumladım.

Neyse, asıl anlatmak istediğim; outlook ekpress'te mail ayarlarında 2 kötü olay varmış bende.

1- Otomatik download etme olayı (açılır açılmaz). Meğerse ayarlarda o işaretliymiş.

2- Mail okumada "auto preview" olayı.

İşte bu olay başımı yakan olay oldu.

Maili açmadığım ve hemen silmeyi kararlastırdığım halde "auto preview"la maili açılıp okundu kabul edip anında download etti. Anti virus programım bunu haberdar edip anında kayboldu!!! :(

Ben daha neler olup bittigini anlayamadan güya anında delete ettiğim bu maili iyice ortadan kaldırmak için "deleted mail" e girdim. Orada da "auto preview" olduğu için orada bir kez daha download etti kendini ve anti virus programım son kez durumu haber verip, kendini öldürdü! (ya da solucan yedi) :)

Ardından virus olayından şüphe edip hemen www.antivirus.com 'a tarattım ve korktuğum başıma geldi. Onlarca worm kleeze bir çok dosyaya yerleşmişti bile. Hemen pc'yi kapattım, teknik servisteki arkadaşıma haber verdim. Kontrol etti ve pc, virus hiç bir şeye ve kimseye zarar vermeden formatlandı ve hepsinden böylelikle kurtulmuş oldum :)

Kimseye de benden mail olarak gidemedi :)

O nedenle size acilen bunu duyurmak istedim.

Herkes mail box ayarlarına iyi baksın. "Auto download" ve "Auto Preview" olayını kesinlikle yapmasın. Mail açılmadığı takdirde tehlikesi yok! :))

İyi çalışmalar,

M.Sinan Oymacı
TRIO Çözüm Evi Bilişim Hizmetleri A.Ş.
elektronik posta: sinanoym@triosh.com

Yorum Ekle

Yorumları Listele

107. Sayı önceki yazı

107. Sayı sonraki yazı

Yazarın Önceki Yazısı

Yazarın Sonraki Yazısı