Microsoft Windows NT, 2000, XP ve 2003 Windows sistemlerdeki RPC (Remote Procedure Call) protokolünde yer alan bir açığı kullanarak bulaştığı sistemleri trafik yoğunluğu sebebi ile çalışamaz hale getiren yeni bir solucan (worm) ortaya çıkmıştır (MS Blaster Worm). Solucan yayılım için TCP 135 portunu kullanmaktadır. Etkilenen sistemler rastgele seçtiği güvenlik yamaları yüklü olmayan sistemlere wormu yaymaya çalışmakta ya da güvenlik yamaları yüklü olmayan sistemlerin yeniden başlatılmasına sebep olmaktadır .
Ayrıca bu solucanın kendisini kopyaladığı sistemlerin tarihini kontrol ederek her ayın 16'sı ile 31'i arasında windowsupdate.com sitesine servis verememe (Denail of Service) atağı yapacağı tespit edilmiştir. Bu nedenle solucanın bulaşmış olduğu sistemlerin acil olarak temizlenmesi ve ilgili güvenlik yamasının sistemlere uygulanması gereklidir.
-----------------------------------------------------------------------
Solucanın Bulaşmasını önlemek için :
Aşağıdaki web sitesinden kullanılan işletim sistemine ait güvenlik yaması mutlaka uygulanmalıdır. Böylece solucanın sisteminizi etkilemesi engellenecektir.
Windows XP Turkce Yama : INDIR
Windows XP Ingilizce Yama : INDIR
Windows 2000 Ingilizce Yama : INDIR
Windows 2000 Turkce Yama : INDIR
Windows NT 4.0 Ingilizce Yama : INDIR
-----------------------------------------------------------------------
Solucanın bulaştığını tespit etmek ve temizlemek için :
Öncelikle çalıştır komutuna "regedit" yazılarak registry editörü açılmalıdır.
Registry editörün'de aşağıdaki anahtar bulunarak
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
değerinin "windows auto update"="msblast.exe" olup olmadığı kontrol edilmelidir.
Eğer anahtarın değeri "windows auto update"="msblast.exe" ise sisteminize Blaster solucan bulaşmış demektir.
Temizlemek için aşağıdaki link'de yer alan program indirilmelidir.
http://securityrespo...moval.tool.html
Programı çalıştırmadan önce tüm programlarınızın kapalı olduğunu kontrol edilmeli eğer sisteminiz XP ise "System Restore" özelliğini kapatarak program çalıştırılmalıdır. (System restore 'u kapatmak icin;
1. My Computer (sağ tıkla -> properties)
2. System Restore tab'i seçilir.
3. Turn Off System Restore on all hard drives" isimli kutuyu seçili duruma getirilmelidir.)
Programın çalışması esnasında bazı dosyaları silemediği uyarısı alıyorsanız, sistemi güvenli oturumda açarak programı yeniden çalıştırılmalıdır.
İşlem sonunda makinanız reboot edilmelidir.
Makinanız açıldıktan sonra registry editöründen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
anahtarına ait "windows auto update"="msblast.exe" değerinin silindiğini kontrol edilmelidir.
XP sistemlerinde daha önce kapatılan "System Restore" özelliği yeniden aktif hale getirilmelidir.
(System restore 'u aktif hale getirmek icin;
1. My Computer (sağ tıkla -> properties)
2. System Restore tab'i seçilir.
3. Turn Off System Restore on all hard drives" isimli kutuyu seçilmemiş duruma getirilmelidir.)
Solucan her ayın 16'sı ile 31'i tarihleri arasında bulaştığı sistemlerden windowsupdate.com sitesine servis verememe atağı gerçekleştireceğinden dolayı solucanı yukarıda önerilen tool ile sisteminizden silmeniz önemlidir.
Saygilar...