USB depolama birimleri ve internet bağlantısı yoluyla yayılan solucan Conficker/Downadup/Kido

USB depolama birimleri ve internet bağlantısı yoluyla yayılan solucan Conficker/Downadup/Kido'nun salgın haline gelmesi, bu sefer tamamiyle Microsoft'un kabahati değil.

Windows yüklü bilgisayarlar, yine bir zararlı yazılım salgınının etkisine girdi. Ancak ilginç bir şekilde bu sefer sorunun temeli Microsoft'un delik deşik kodları değil, her fırsatta işletim sisteminin güvensizliğinden yakınan kullanıcıların güvenlik yamalarını yüklemeyi ihmal etmesi.

Conficker, Downadup, ya da Kido adları (ve bunların çeşitlemeleri) ile anılan bu yeni virüs, bir çeşit solucan. netapi32.dll'in, Uzaktan Yordam Çağrısı (RPC) istemlerini yanıtlamada yaşadığı bir sorunu sömürüyor ("Yığın arabellek taşması" terimi, yazılımla ilgilenen okurlarımıza tanıdık gelecektir).

Windows 95'ten itibaren bütün Windows sürümlerini, hatta Windows 7'nin alfa ve betasını bile etkileyen Conficker/Downadup/Kido, Vista ve Windows 7'de çok kurnazca bir yayılma politikası uyguluyor. USB depolama birimlerine bulaşan solucan, bu cihaz bir bilgisayara takıldığında Otomatik Çalıştır menüsünde "Dosyaları görüntülemek için klasörü aç" seçeneğinin üstünde aynı isimli bir seçenek daha belirmesine sebep oluyor. Ancak, bu seçenek aslında "AutoPlay" adlı .exe dosyası ve verilerine ulaşmak için en üstteki seçeneğe tıklamaya alışmış kullanıcının boş bulunmasından yararlanarak solucanı bilgisayara sokuyor.

Conficker/Downadup/Kido bundan sonra "kaba kuvvet" kullanarak yönetici haklarına sahip hesabı kırıyor ve TCP portları üstünden HTTP sunucuları açarak diğer bilgisayarlara bulaşıyor. Böylece saldırganlar, zombi bilgisayarlardan oluşan enfes bir "botnet" sahibi oluyor. Solucandan şimdiye kadar 9 milyona yakın yamanmamış bilgisayarın etkilendiği ya da etkilenme potansiyeli olduğu belirtiliyor.

İşin fena tarafı, bu açığın ekim ayında bir kullanıcı tarafından Microsoft'a bildirilmiş ve şirketin derhal bir yama yayınlamış olması. Ancak kullanıcıların çoğu bu yamayı yüklemeyi ihmal ettikleri için bilgisayarları tehdit altında ya da etkilenmiş durumda.

Conficker/Downadup/Kido'dan kurtulmak için, Microsoft'un yayınladığı yamayı yükledikten sonra tercih ettiğiniz virüs koruma yazılımının sitesinden solucana özel temizleme araçlarını da indirip bilgisayarınızı dip köşe paklamanız gerekiyor. Güvenlik duvarında 135 ve 445 numaralı portları kapamak da öneriliyor. Solucan, antivirüs programları tarafından W32/Downadup.gen, Net-Worm.Win32.Kido, W32/Conficker.worm.gen, Mal/Conficker, Win32/Conficker adlarıyla tespit ediliyor.Yahoyt

Yorum Gönder

0 Yorumlar