Bu haftanın virüs ve saldırı hakkındaki raporunda beş solucan incelenecek: Sasser.F, Cycle.A, Bagle.AC, Sober.G and Wallon.A-, ve Qhost.gen. Sasser.F LSASS açığından yararlanarak internet aracılığı ile yayılır. Etkilenen bilgisayarlarda bu solucan LSASS.EXE programında ön bellek taşmasına neden olur, bilgisayarı yeniden başlatır ve ekranda bir mesaj görünür. Sasser solucanın önceki varyantlarına çok benzer ve F varyantı Windows XP/2000 bilgisayarlarına otomatik olarak yayılır. Bu solucan, içeride kalan Windows işletim sistemlerinde çalışıyor, eğer bu solucan dosyayı taşıyorsa kötü niyetli kullanıcılar tarafından çalıştırılabilir. Yukarıda bahsedilen zararlı kodlar gibi Cycle.A solucanı da LSASS açığından yararlanarak internet aracılığı ile yayılıyor ve bilgisayarların yeniden başlamasına sebep oluyor. Bu solucan Blaster, Sasser.A, Sasser.B, Sasser.C ve Sasser.D solucanlarının işlemlerini sonlandırır ve sistem tarihi mayısın 1 ile 18’i arasında ise birkaç web sitesinden DoS (Denial of Service )ataklarını başlatır. Bugünün raporundaki üçüncü solucan IT güvenlik uygulamalarının örneğin antivirüs ve firewall programlarının işlemlerini sonlandıran Bagle.AC solucanıdır. Bu solucan etkilenen bilgisayarlarda 14441.porttan bağlanmayı dener, çeşitli PHP kodları bulunduran web sayfalarından virüs yazarlarını haberdar eder. Sober.G e-mail aracılığı ile yayılan bir solucandır. Bu mesaj İngilizce veya Almanca yazılabilir. Domaindeki kullanıcıların e-mail adreslerine güveniyor. Bu solucan etkilenen bilgisayarlarda belirli uzantılı dosyalarda e-mail adresleri arar ve kendini bu mail adreslerine gönderir. Beşinci solucan Exploit/MIE.CHM açığından yararlanarak kendi kendine bilgisayarlara yüklenen Wallon.A dır. Bu solucan belirtilen rutin yayılmayı kullanır. Kullanıcı belirli bir web sitesinin linkini içeren bir e-mail alır. Eğer kullanıcı bu linke tıklayıp bu siteye bağlanırsa Wallon.A solucanı bilgisayara kendini yükler. Wallon.A Windows Adres Defterindeki tüm adresleri toplar ve bir mail adresine onları gönderir. Bu solucan aynı zamanda Internet Explorer’ın ana sayfasını değiştirir ve Windows Adres Defteri herhangi bir adres içermiyorsa ekrana bir hata mesajı gösterir. Bu haftaki raporumuzu Qhost.gen ile bitireceğiz. Bu solucan bir genel rutin virüs bulma HOSTS dosyaları için Gaobot solucanının varyantlarını içeren birkaç zararlı yazılım tarafından değiştirdi. Bu dosya Windows tarafından isimleri IP adreslerine çevirmesinde kullanılan(diğer servislerden önce WINS yada DNS gibi) hizmet serilerini içerir. HOSTS dosyaları bu zararlı kodlar tarafından değiştirildi bu yüzden web adreslerinin listesi 127.0.0.1 IP adresine birleştirildi. Bu ulaşılmaz listesindeki adresleri içerenleri etkiliyor. Bu web sayfaları genellikle güvenlik yazılımı üreticileri (örneğin anti zararlı kod çözümleri.) bilgisayar kullanıcıları Qhost.gen den etkilendiler. Bu yüzden web sayfalarına erişemediler.
|
