Son zamanların en popüler "solucanı" W32.Blaster veya
türevi ile karşılaştıysanız ve sisteminiz onun elinde
ise, önlem almanızın bir anlamı yok. Vakit, sistemi
solucanlardan ve virüslerden kurtarma vaktidir, işe
koyulalım. Önlemlere daha sonra bakarız.
W32.Blaster, diğer isimleriyle W32/Lovsan.worm.a,
Win32.Poza.A, Lovsan , WORM_MSBLAST.A, W32/Blaster-A,
W32/Blaster, Worm.Win32.Lovesan; daha önce Microsoft'un
açıkladığı ve yamasını sunduğu bir açıktan faydalanan
bir solucan. Açığı bulan birisi, uzaktan erişim ile
sisteminizde istediği her şeyi yapabilir. Yani son
derece tehlikeli bir durum…
Düzenli olarak işletim sistemini yamalayan ve firewall
kullanan kişiler bu solucandan pek etkilenmediler.
Uzaktan erişim portlar üzerinden yapıldığından ve aklı
başında her firewall programı bu portları dinlediği ve
koruduğu için, farkına varılmaması mümkün. Solucan, 135
nolu TCP portunu kullanan RPC servisindeki açıktan
faydalanıyor. Çözümlere ve detaylı bilgilere geçmeden
önce etkilenen işletim sistemlerinin de listesini vermek
gerekiyor. Windows 98 ve ME dışındaki tüm Microsoft
işletim sistemleri bu açığa sahip.
Eğer sisteminize W32.Blaster solucanı bulaştıysa,
Internet'e girdiğiniz anda RPC servisinde bir hata ile
karşılaşacaksınız ve sistemin 60 saniye içerisinde
yeniden başlatılacağı mesajını alacaksınız. RPC (Remote
Procedure Call) servisinin Türkçe işletim
sistemlerindeki karşılığı "Uzaktan Yordam Çağrısı". Bu
servis sonlandırıldığı için sistemin 60 saniye
içerisinde yeniden başlatılacağı mesajı geliyor:
Bu mesajla ilk karşılaşan kişilerin tepkisi genelde
"Windows'um çöktü, bir format çekeyim şöyle bir…"
oluyor. Windows'a şiddet göstermeden yapılması gereken
işlemleri şöyle bir sıralayalım.
İlk olarak Internet'e bağlanmayın. Bağlanmadan önce
mutlaka bir Firewall kurun. WindowsXP veya 2003
kullanıyorsanız, işletim sisteminin yapısında gelen
Firewall'ı aktif hale getirmelisiniz. Bunu yapmak için,
bağlantınıza sağ tuş tıklayıp, Advanced bölümünden
Firewall'ı aktif hale getirmelisiniz.
Eğer üçüncü parti Firewall yazılımlarından kullanmak
isterseniz, tavsiyemiz ZoneAlarm Pro ve SyGate Personal
Firewall olur. Fakat Windows'un kendi firewall'ını
kullanmak şuanda yeterlidir. RPC servisinde hata
oluştuğu zaman sistemin 60 saniye içinde yeniden
başlamasını engelleyeceğiz. Control Panel (Denetim
Masası) - Administrative Tools (Yönetimsel Araçlar) -
Services (Hizmetler) yolunu izleyin. Sağ pencerede RPC (Remote
Procedure Call)'yi yani Uzaktan Yordam Çağrısını bulun.
Servisin üzerine sağ tuş tıklayıp özelliklere gelin.
Hata oluştuğu zaman yapılacak işlemi Recovery bölümünden
ayarlıyoruz. Buradaki 3 seçeneği de Take No Action
konumuna getiriyoruz.
Şimdiki adımda ise W32.Blaster solucanını ezeceğiz.
Symantec'in W32.Blaster solucanını silme yazılımını
buraya tıklayarak çekebilirsiniz. Dosyayı çektikten
sonra hemen çalıştırmayın. İlk başta Windows XP ile
birlikte gelen "System Restore" (Sistem Geri Yükleme)
özelliğini kapatmak gerekiyor. System Restore'u kapatmak
için, Bilgisayarım'a sağ tuş tıklayın ve System Restore
(Sistem Geri Yükleme) bölümüne gelin. Buradan
kapatabilirsiniz.
İşlemler bittikten sonra eski haline getirmenizi tavsiye
ederiz. Aynı durum RPC Servisi için de geçerli.
Çektiğiniz dosyayı şimdi çalıştırın ve gerekli dosyaları
ve registry kayıtlarını silmesine izin verin. Program
tarama işlemini bitirdikten sonra sizi Microsoft'un bu
açık için sağladığı yama adresine yönlendirecek. Hatta
biz de üşengeçlik etmeyip bu sayfanın adresini de
verelim. Buraya tıklayın. Eğer FixBlast dosyası, dosya
silemediğini söylerse, sistemi güvenli kipte açıp
dosyayı tekrar çalıştırın. Ayarları eski haline
getirmeyi unutmayın.
Buradan çıkarılacak önemli sonuçlar da var.
Micrososft işletim sistemi kullananlar sürekli tehdit
altında. İşletim sisteminizi düzenli olarak "Güncelleme"
işlemine tabii tutmalısınız. Eğer "herşeyi elle yapayım"
derseniz, Micrososft'un TechNet sitesini takip etmenizi
önereceğim. Güvenlik açıklarını takip etmek için
TechNet'in bu sayfasına gitmelisiniz.
Özellikle sabit IP ile Internet'e çıkış yapan kişiler
sistemlerinde mutlaka Firewall yazılımı kullanmalılar.
Firewall kullananlar Blaster'dan neredeyse
etkilenmediler. Sisteminizde mutlaka AntiVirüs yazılımı
kullanın ve virüs tanımlamalarını mutlaka güncel tutun.
Bana virüs bulaşmaz demeyin; günü birinde Blaster
benzeri bir solucan / virüs kafanızı feci bir şekilde
ağrıtabilir.
Geçmiş olsun. |