www.cihansalim.net
site içindeİnternet'te

 Ayın Dosyası
 
  Bugbear kurtu sistemlerimizi tehdit ediyor
Ekim 2002
 
Hızlı Bugbear Kurtcuğu İnternet'te
Özgürce Tehlike Saçıyor!

Uzun sayılabilecek bir süredir dijital ortamda tehlikeli virüslerle karşılaşmamıştık. Ama Bugbear kurtcuğu eski boşlukları çok etkin kullanıp üç yandan saldırıyor...

Öncelikle bu kurtun sadece Windows sistemleri tehdit ettiğini belirterek başlayalım ki diğer işletim sistemlerini
tıklayın, destekleyin:
kullananlar hiç dertlenmesin. Windows kullananlardan da özellikle İnternet Explorer 5 ve 5.5 kullananların dikkatli olması gerekiyor.

Bugbear şaşırttı, ama kimi?
Uzunca bir süredir yeni ve yüksek risk oluşturan bir virüsle karşılaşmamıştık. Antivirüs şirketleri bu sessizliğin Nimda gibi karmaşık bir virüs ile bozulacağını beklediklerini belirtmişlerdi. Ama hiç de öyle olmadı. Zira bu kurt hakkında belki de en şaşırtıcı olan şey, yaklaşık bir buçuk yıl önce kapatıldığı belirtilen bir açığı kullanarak Windows'u "alt etmesi". Şu anda Bugbear'ın Malezya kökenli olduğu ve de geçen yılki Badtrans adlı kurtun değişime uğratılmış hali olduğu düşünülüyor. Kendini kitlelere postalayan virüsün risk notu da bu nedenle gittikçe yükseliyor. Microsoft Visual C++ 6 dili kullanılarak ve de UPX v0.76.1-1.22 ile sıkıştırılarak hazırlanmış kurt şu adlarla tanımlanıyor: W32/Bugbear-A, WORM_BUGBEAR.A, Win32.Bugbear, W32/Bugbear@MM, I-Worm.Tanatos, W32/Bugbear, Tanatos.

Microsoft'un hazırladığı yama ve de açıklamalar okumakta olduğunuz sayfanın sağ tarafındaki ekstra başlığı altında bulunabilir ama yamayı yüklemek bile yeterli olamayabiliyor. Kurt son derece akıllı yöntemler izliyor. Konu satırında diğer reklam içerikli e-postalardan ayıramayacağınız basit cümleler kullanıyor, örneğin "bilmemne dergisinin bir sayısını deneyin, risksiz ve ücretsiz" tarzı mesajlar bunlar. Ve "heyecan" burada başlıyor. Ben tüm reklamları ilgilenmeden, bir kerede siliyorum deseniz bile eğer Outlook kullanıcısı iseniz hala tehlikedesiniz. Zira Bugbear içeren e-postayı açmanız bile gerekmiyor ki. Bu e-posta İnternet sayfası biçiminde, yani HTML formatında oluyor. Outlook da bu mesaj seçilirse, ya da en son gelen olarak en alta geçip otomatik olarak seçili olursa, Outlook programınız HTML formatında e-postayı görüntülemek için İnternet Explorer'dan yardım alıyor. İşte burada, Bugbear İnternet Explorer'daki bir açıktan yararlanıyor ve de sisteminize bulaşıyor!

Üç koldan saldırıyor
Tüm bunların yanında kurt son derece şeytani adımlarla kendini gizliyor. Arkaplanda çalışmakta olan antivirüs programları ve benzerlerini kapıyor, kendine isim seçerken bile bazı sistemlerde "Belgelerim" klasöründeki bir dosyadan esinlenebiliyor. Ayrıca uzantısını da farklılaştırıp kendini bir resim gibi gösterebiliyor. Ayrıca bulduğu e-posta adreslerini karıştırarak gerçekte olmayan bir adresten geldiği izlenimi veriyor.

İkincisi Bugbear bir ağ bilgisayarında olduğunu anlayıp ona göre yayılabiliyor. Bir bilgisayarın kurta yakalanması tüm ağın hızla etki altında kalmasına yetebiliyor. Hatta sadece bilgisayarlar değil, NETBIOS dosya paylaşımının 137. portundan yazıcılara bile atlayabiliyor. Bunun sonucunda yazıcılar manasız harf yığınları basıyor. Geçen yıl da Nimda yazıcıları etkilemişti, artık yazıcı üreticilerinin de bu durumu ciddiye alması gerekiyor.

Üçüncü olarak ağdan temizlemenin son derece zor olduğu Bugbear içinde bir Truva atı da bulunduruyor. Klavyenizden girdiğiniz harf ve rakamları haydeden bu Truva atı bilgileri virüs yayıcısına iletebiliyor. 36794. porttan sisteminizi dinleyebilen kötü niyetli kişiler bazı dosyalara zarar verebilir, sisteminizi bir noktaya kadar kontrol edebilir ve bu Truva atı sayesinde şifrelerinizi ele geçirebilirler. Örneğin Bugbear bulaştıktan sonra bir sitede kredi kartı bilgilerinizi yazarsanız bunu da kaydetmiş oalbilir.

Bugbear'dan kurtulmak
Antivirüs ve firewall programlarınızı durduran Bugbear için en iyi çözüm kuşkusuz elinizdeki antivirüs programınızı yenilemek, böyle bir programınız yoksa da gidip satın almak. Eğer bir bilgisayar ağında iseniz ya da devamlı olarak kablo ile İnternet'e bağlıysanız, öncelikle dikkat etmeniz noktalar var. Bugbear paylaşıma açılmış dosyaları kullanarak yayıldığından öncelikle her türlü bağlantınızı kesmekte büyük yarar var. Ya da ağdaki bilgisayarlara ulaşma aşamasını şifrelendirin, paylaşıma açılmış dosyaları "salt-okunur" yapın ki kurt dönüp dolaşıp geri gelmesin, çabalarınız boşa gitmesin.

Bugbear için birçok antivirüs şirketi programlarını yeniledi. Eğer siz de böyle bir program kullanıyorsanız, yenilemeden sonra sisteminizi Güvenli Mod'da açıp tarama ve temizleme işlemini gerçekleştirin. Ama en sonunda Başlat menüsünden Çalıştır deyip Regedit yazın ve enter'a basın. Karşınıza çıkacak Registry'de sol taraftaki klasörler vasıtasıyla HKEY_LOCAL_MACHINE\Software \Microsoft\Windows\CurrentVersion\RunOnce yoluna ulaşın ve burada kurt tarafından eklenmiş bir kayıt hala duruyorsa elle silin. Bunu özellikle Norton Antivirüs kullanıyorsanız yapmanız önemli, bazı diğer programlarda zaten bu kaydın da silindiğini göreceksiniz.

Fakat elinizde bir antivirüs programı yoksa aşağıdaki adreslerden Bugbear temizleme programcıkları indirebilirsiniz:
AVERT'in sunduğu programcık: http://vil.nai.com/vil/stinger
Symantec'in sunduğu programcık: http://securityresponse.symantec.com/avcenter/ venc/data/w32.bugbear@mm.removal.tool.html. (not: sayfa görüntüsü için ben adresteki "avcenter/"dan sonra bir boşluk bıraktım, siz buna tıklamak yerine başka zaman kullanmak için not etmeye kalkarsanız "avcenter/venc" bölümünü aralıksız yazınız.

 
 

- Tabii ki antivirüs programcıları web sitelerinde Bugbear'a özel sayfalar açtılar, virüsün çalışma metodu, temizlenmesi hakkında daha detaylı bilgi için tıklayın:
Symantec
Sophos
McAfee

- İnternet Explorer 5 ve 5.5 için Microsoft'un yayınladığı yama ve açıklaması burada.

- Hazırladığım öteki dosya konularına ulaşmak için Diğer Dosyalar sayfasına göz atabilirsiniz.

Doğal olarak bilgisayar ile tanışalı uzun süre olmayan insanlar bu sayfadaki gibi virüs uyarılarından don derece korkuyorlar. Ama Türk atasözlerine önem vererek bu durumlardan korunulabilir. Çok merakın zararını anlatan atasözlerimize kula verin ve bilmediğiniz kişilerden gelen en ilginç mektupları bile önemsemeyin! Elinizdekinin değerini geç farkedip kaybedince üzülmemek için söylenmiş atasözlerimizi hatırlayın ve de bilgisaya- rınızdaki bilgilerinizi sık sık yedek alın! Sonra da bu uyarıları daha rahat okuyun :)
12.10.2002