BizimOkul.biz [Haber]
     
 
Profil Al!

 
Bana Ulaşmak İçin

Geri

 
 
 
 

 

Alien NT iletişim sponsoru

Bizi Tavsiye Edin

 

               
·Eğer BizimOkul'dan hoşlanacağını ve ilgisini çekeceğini düşündüğünüz arkadaşlarınız varsa sitemizi onların e-mail adreslerine mesaj bırakarak tanıtabilirsiniz.

 
 

Bir konu & Bir konuk

 

               
·Her hafta yepyeni bir konukla, en güncel konuları tartışacağız.   (çok yakında)

 
 
 
Alien NT Resim Galeri


·Bu bölümde sizlerin beğeneceğini umduğumuz masaüstü resimleri bulunmaktadır.
 
 
 

Korkulu Rüyamız Mydoom
 

  Mydoom rehberi
, 26 Ocak'tan bu yana Windows tabanlı sistemlerin başağrısı haline gelen Mydoom virüsü, yeni varyantlarıyla birlikte ortalığı kasıp kavurmaya devam ediyor. İşte bu virüs hakkında merak ettiğiniz her şeyi bulabileceğiniz, nasıl korunacağınızı öğrenebileceğiniz bir rehber.

(Güncelleme : 11.02.2004)

Mydoom, antivirüs firmaları tarafından hâlâ yüksek tehdit grubunda gösteriliyor. Son olarak ortaya çıkan Doomjuice adlı varyantıysa, daha önce Mydoom'un bulaştığı makinelerdeki gediklerden yararlanıyor. Rehberimizi okuyarak, Mydoom'dan ve varyantlarından nasıl korunacağınzı öğrenebilirsiniz.

Mydoom nedir?
Mydoom, Microsoft programlarını hedefleyen bir dizi virüsten biri.

Virüs, Outlook'taki açıkları kullanıyor ve bulaştığı sistemin adres defterindeki adreslere kendini e-posta yoluyla gönderiyor. Mydoom, aynı zamanda Novarg ve Mimail_r adlarıyla da biliniyor. Virüsü, gönderdiği e-postalardaki konu satırından (subject) tanımak mümkün.

Konu satırına bakarak, mesajı bir e-posta hatası sanmak mümkün. Mesajın ekindeyse, hatanın nedenini açıklar gibi görünen bir metin dosyası yer alabiliyor. Kullanıcı mesajına ne olduğunu anlamak üzere bu dosyaya tıkladığında, virüs sistemine bulaşmış oluyor.

Ne kadar yaygın?
Mydoom oldukça hızlı yayılıyor; hatta şimdiye dek en hızlı yayılan virüs olduğu bile söylenebilir. E-posta filtreleme işiyle uğraşan MessageLabs şirketinin verilerine göre, gönderilen her 12 e-posta mesajından biri Mydoom'a ait. Bundan en öönce en hızlı yayılan virüs unvanını elinde bulunduran Sobif-F ise, ancak her 17 mesajdan birine bulaşabilmeyi başarmıştı.
MessageLabs'e göre, virüs ortaya çıkışından sonraki 16 gün içinde 38 milyon kopyayla, tarihin en aktif virüsü.
Finlandiya merkezli antivirüs firması F-Secure, Mydoom'un şimdiye dek karşılaşılan en belalı e-posta virüsü olduğunu, e-posta trafiğinin yaklaşık %30'unu kapladığını açıkladı.

Bu rakamlara, virüsün kendi yarattığı mesajlar, sistemlerin gelen virüslü mesaja verdikleri otomatik yanıtlar ve virüslü mesajı alıp da diğerlerine "Bana virüs bulaştırıyorsun" diye mesaj atan kızgın kullanıcıların iletileri de dahil. Virüs gönderdiği mesajların "Gönderen" bilgisini de değiştirdiği için, bu mesajlar daha da çok trafiğe neden oluyor.

Rusya kaynaklı olduğu düşünülen virüs 200 ülkeye yayılmış durumda. Bu kadar hızlı yayılmasının altındaysa, ABD'deki iş günü sırasında ortaya çıkmış ve hızla büyük şirketlerin iletişim ağına girmiş olması yatıyor.

Mydoom bulaştığı makineye ne yapıyor?
Her şeyden önce, Mydoom'un yalnızca Windows tabanlı sistemlerde etkili olduğunu söyleyelim. Virüs, Outlook'taki adres defterini tarayarak kendini göndereceği yeni adresler buluyor. Ardından kendi e-posta motorunu kullanarak kendi kendini gönderiyor. Bu arada, açığa çıkma riskini ortadan kaldırmak için de, kendini antivirüs firmalarının, devlet kuruluşlarının ve askeri kurumların adreslerine göndermiyor.

Virüs, aynı zamanda, bulaştığı sistemlerin antivirüs firmalarının Web sitelerine bağlanıp son güncellemeleri indirmelerine de engel olmaya çalışıyor.

Daha da kötüsü, Mydoom bulaştığı makinelerde bir arka kapı, yani bir gedik açıyor; böylece, doğru aaçlara ve bilgiye sahip olan herkes bu gedikten yararlanıp sisteme sızabiliyor. ANtivirüs ve güvenlik firmaları, virüslü makineleri bulmak için yapılan rasgele taramaların sayısının arttığına dikkat çekiyor.

Virüs ve daha sonra ortaya çıkan Mydoom.b varyantı, bir yandan da, 1 Şubat'tan sonra DOS saldırıları (Denial of Service Attack - Hizmetin Reddi Saldırıları) denilen türden bir saldırıyı düzenlemek üzere programlanmış durumdalar. Virüsün bulaştığı makineler, arka planda SCO şirketinin Web sitesine sürekli olarak bağlanmaya çalıştıkları için, şirketin Web sitesi geçici olarak çökmüştü. Virüsün yeni varyantı Doomjuice ise, aynı saldırıları Microsoft'un Web sitesine yönlendirmek üzere programlanmış durumda.

Korunmak için ne yapabilirim?
Mydoom Bilgi
  • Gönderen: Rasgele bir e-posta adresi
  • Gönderilen: Alıcının adresi
  • Konu: Rasgele sözcükler (hi, error, mail delivery system, mail transaction failed, server report, status, test gibi)
  • Mesaj: Çeşitli e-posta hata mesajları: (Mail transaction failed. Partial message is available) gibi.
  • Ekler (metin dosyası ikonuyla geliyor): Rasgele bir dosya adı. Uzantısı ZIP, BAT, CMD, EXE, PIF veya SCR olabiliyor
  • Kullanıcı bu ekli dosyaya tıkladığında Notepad (ya da metin editörü) açılıp rasgele karakterlerle dolu bir metin görüntüleniyor.
    • İşinize yarayacak adresler
    Antivirüs ve güvenlik şirketleri, Mydoom'un sisteminizde varolup olmadığını denetleyecek özel dosyaların yanı sıra, herhangi bir şey indirmenize gerek kalmadan İnternet üzerinden virüs tarama hizmeti de veriyorlar. Üstelik bunların çoğu ücretsiz.
  • Microsoft
  • Network Associates (Mcafee)
  • Trend Micro (Pc-Cillin)
  • Symantec (Norton Antivirus)
  • Kaspersky Labs
  • F-Secure Mydoom Temizleme
    • Yapabileceğiniz çok şey var.

    Özellikle bu salgın durumu sırasında, antivirüs yazılımınızı düzenli olarak, sık sık güncelleyin. (Antivirüs yazılımınız yoksa, hemen edinin. Zira sadece bu acil durum sırasında değil, her zaman ihtiyaç duyacağınız bir yazılım türünden bahsediyoruz). Her zaman yapmıyor olsanız bile, bütün sisteminizi baştan aşağıya antivirüs yazılımıyla tarayın ve zararlı dosyaların, programların hepsinden kurtulun. Sisteminize kişisel bir güvenlik duvarı (firewall) kurmak da işinize yarayabilir, böylece gedikleri kapatmış olursunuz.

    Genellikle haberleşmediğiniz kişilerden gelen e-postalara kuşkuyla bakın; özellikle mesajın ekinde bir de dosya varsa. Konu satırı bu rehberde bahsettiğimi türden kuşkuluysa, mesajı açmadan silin. Böylesi büyük salgın durumlarında, Outlook'un önizleme (preview) panelini kapatmak da dikkate değer.

    Virüsün makineme bulaştığını nasıl anlarım?
    Virüs, kendini yollamak için kendi e-posta motorunu kullandığından, büyük olasılıkla farkına varmayacaksınız. Bir e-posta mesajının ekindeki dosyayı (zip ya da ekran koruyucu olabilir) açmak üzere tıklayıp da, beklediğiniz sonuçla karşılaşmadıysanız, Mydoom sisteminize bulaşmış olabilir.

    Antivirüs yazılımları, Mydoom'u ve varyantlarını hemen tanıyıp etkisiz hale getirebilecek güce sahipler. Dolayısıyla en iyi çözüm antivirüs yazılımınızı sürekli olarak güncel tutmak.

    Antivirüs ve güvenlik şirketleri, Mydoom'un sisteminizde varolup olmadığını denetleyecek özel dosyaların yanı sıra, herhangi bir şey indirmenize gerek kalmadan İnternet üzerinden virüs tarama hizmeti de veriyorlar. Üstelik bunların çoğu ücretsiz.

    Aynı zamanda, Microsoft da sisteminizi İnternet üzerinden tarayabilecek bir hizmet sunuyor.

    Yeni varyant: Doomjuice!
    Mydoom'un iki yeni varyantıysa bu hafta başında ortaya çıktı. İlki ve en yaygın olanı Doomjuice, Microsoft.com sitesine DOS saldırısı düzenliyor. Microsoft, şimdiden bu virüse karşı önlem olarak, sitesinin yedek kopyalarını yaratmış durumda.

    Deadhat adlı diğer varyantsa, sistemde kurulu olan diğer Mydoom varyantlarını kaldırıp, makinenin antivirüs korumasını sekteye uğratmaya çalışıyor.

    Bu iki varyantın en önemli özelliği, önceki varyantların tersine, e-posta yoluyla yayılmamaları. Bunlar, daha önce sisteme sızan Mydoom'un açtığı gedikten yararlanarak sisteme giriyorlar. Antivirüs şirketlerine göre, Doomjuice şimdiye dek Mydoom bulunan 75,000 civarında sisteme sızmış durumda. Orijinal Mydoom (Mydoom.A), başarısının doruğundayken 1 milyon civarında sisteme sızmıştı.

    Yaratıcısını koruyan virüs
    Yeni varyant Doomjuice'un temel özelliği, yaratıcısını korumak. Zira bu varyant, bulaştığı sisteme orijinal Mydoom'un kaynak kodlarını da yüklüyor. Mydoom'un yazarını bulmak için yürütülen çalışmalar, kaynak kodu bulmaya dayanıyordu; böylece kaynak kodun bulunduğu sistemlerin virüsün yazarıyla bağlantılı olduğu ortaya çıkacak ve virüs yazarının izi sürülebilecekti. Ancak Doomjuice sayesinde bu kaynak kod, şimdi korunmasız her sisteme sızabileceği için, virüs yazarının kalabalıkta izini kaybettirme olasılığı da artmış oluyor.

    Diğer varyant Deadhat'se, bulaştığı makinedeki orijinal Mydoom.A ve Mydoom.B virüsünü siliyor, kendini kuruyor ve ardından sistemdeki antivirüs yazılımının çalışmasını, güncellenmesini engellemeye çalışıyor.

    Kaynak: (e-kolay Haber)
    Designed by Cihan Arslan [Alien NT Corporation]