W32 Blaster Solucanı
Volkan Tolga
 

Son zamanların en popüler "solucanı" W32.Blaster veya türevi ile karşılaştıysanız ve sisteminiz onun elinde ise, önlem almanızın bir anlamı yok. Vakit, sistemi solucanlardan ve virüslerden kurtarma vaktidir, işe koyulalım. Önlemlere daha sonra bakarız.

W32.Blaster, diğer isimleriyle W32/Lovsan.worm.a, Win32.Poza.A, Lovsan , WORM_MSBLAST.A, W32/Blaster-A, W32/Blaster, Worm.Win32.Lovesan; daha önce Microsoft'un açıkladığı ve yamasını sunduğu bir açıktan faydalanan bir solucan. Açığı bulan birisi, uzaktan erişim ile sisteminizde istediği her şeyi yapabilir. Yani son derece tehlikeli bir durum…

Düzenli olarak işletim sistemini yamalayan ve firewall kullanan kişiler bu solucandan pek etkilenmediler. Uzaktan erişim portlar üzerinden yapıldığından ve aklı başında her firewall programı bu portları dinlediği ve koruduğu için, farkına varılmaması mümkün. Solucan, 135 nolu TCP portunu kullanan RPC servisindeki açıktan faydalanıyor. Çözümlere ve detaylı bilgilere geçmeden önce etkilenen işletim sistemlerinin de listesini vermek gerekiyor. Windows 98 ve ME dışındaki tüm Microsoft işletim sistemleri bu açığa sahip.

Eğer sisteminize W32.Blaster solucanı bulaştıysa, Internet'e girdiğiniz anda RPC servisinde bir hata ile karşılaşacaksınız ve sistemin 60 saniye içerisinde yeniden başlatılacağı mesajını alacaksınız. RPC (Remote Procedure Call) servisinin Türkçe işletim sistemlerindeki karşılığı "Uzaktan Yordam Çağrısı". Bu servis sonlandırıldığı için sistemin 60 saniye içerisinde yeniden başlatılacağı mesajı geliyor:

Bu mesajla ilk karşılaşan kişilerin tepkisi genelde "Windows'um çöktü, bir format çekeyim şöyle bir…" oluyor. Windows'a şiddet göstermeden yapılması gereken işlemleri şöyle bir sıralayalım.

İlk olarak Internet'e bağlanmayın. Bağlanmadan önce mutlaka bir Firewall kurun. WindowsXP veya 2003 kullanıyorsanız, işletim sisteminin yapısında gelen Firewall'ı aktif hale getirmelisiniz. Bunu yapmak için, bağlantınıza sağ tuş tıklayıp, Advanced bölümünden Firewall'ı aktif hale getirmelisiniz.

Eğer üçüncü parti Firewall yazılımlarından kullanmak isterseniz, tavsiyemiz ZoneAlarm Pro ve SyGate Personal Firewall olur. Fakat Windows'un kendi firewall'ını kullanmak şuanda yeterlidir. RPC servisinde hata oluştuğu zaman sistemin 60 saniye içinde yeniden başlamasını engelleyeceğiz. Control Panel (Denetim Masası) - Administrative Tools (Yönetimsel Araçlar) - Services (Hizmetler) yolunu izleyin. Sağ pencerede RPC (Remote Procedure Call)'yi yani Uzaktan Yordam Çağrısını bulun.

Servisin üzerine sağ tuş tıklayıp özelliklere gelin. Hata oluştuğu zaman yapılacak işlemi Recovery bölümünden ayarlıyoruz. Buradaki 3 seçeneği de Take No Action konumuna getiriyoruz.

Şimdiki adımda ise W32.Blaster solucanını ezeceğiz. Symantec'in W32.Blaster solucanını silme yazılımını buraya tıklayarak çekebilirsiniz. Dosyayı çektikten sonra hemen çalıştırmayın. İlk başta Windows XP ile birlikte gelen "System Restore" (Sistem Geri Yükleme) özelliğini kapatmak gerekiyor. System Restore'u kapatmak için, Bilgisayarım'a sağ tuş tıklayın ve System Restore (Sistem Geri Yükleme) bölümüne gelin. Buradan kapatabilirsiniz.

İşlemler bittikten sonra eski haline getirmenizi tavsiye ederiz. Aynı durum RPC Servisi için de geçerli.

Çektiğiniz dosyayı şimdi çalıştırın ve gerekli dosyaları ve registry kayıtlarını silmesine izin verin. Program tarama işlemini bitirdikten sonra sizi Microsoft'un bu açık için sağladığı yama adresine yönlendirecek. Hatta biz de üşengeçlik etmeyip bu sayfanın adresini de verelim. Buraya tıklayın. Eğer FixBlast dosyası, dosya silemediğini söylerse, sistemi güvenli kipte açıp dosyayı tekrar çalıştırın.  Ayarları eski haline getirmeyi unutmayın.

Buradan çıkarılacak önemli sonuçlar da var.

Micrososft işletim sistemi kullananlar sürekli tehdit altında. İşletim sisteminizi düzenli olarak "Güncelleme" işlemine tabii tutmalısınız. Eğer "herşeyi elle yapayım" derseniz, Micrososft'un TechNet sitesini takip etmenizi önereceğim. Güvenlik açıklarını takip etmek için TechNet'in bu sayfasına gitmelisiniz.

Özellikle sabit IP ile Internet'e çıkış yapan kişiler sistemlerinde mutlaka Firewall yazılımı kullanmalılar. Firewall kullananlar Blaster'dan neredeyse etkilenmediler. Sisteminizde mutlaka AntiVirüs yazılımı kullanın ve virüs tanımlamalarını mutlaka güncel tutun. Bana virüs bulaşmaz demeyin; günü birinde Blaster benzeri bir solucan / virüs kafanızı feci bir şekilde ağrıtabilir.

Geçmiş olsun.

 

 
 
İstanbul -25.03.2008
volkantolga@hotmail.com
http://sufizmveinsan.com