Conficker solucanı halen çok tehlikeli vürüslerden biri çalıştığımız işyerlerinde halen var. Esasen çok uzun bir konu ama kısaca yayılma ve korunma yönyemlerini anlatacağım.
Conficker solucanı ilk çıktığında fazla dikkat çekmedi. Solucanın yayılımı beklenenin, diğer bir deyişle korkulanın altında bir sayıdaydı. Hatta görülen o ki bu durum birçok güvenlik sorumlusunu rehavete sevk etti. Çünkü işin ciddiyeti yaklaşık üç hafta önce solucanın yeni bir sürümünün çıkmasıyla değişti. Sonuç; 3 gün içinde 9 milyon bilgisayara bulaştı.
Peki Nasıl Yayılıyor?
Windows’un SMB portunu kullanıyor. Ele geçirilmiş olan bilgisayardan solucan diğer bir bilgisayara SMB açığı yardımıyla bulaşıyor. İlk önce ele geçirilmiş olan bilgisayarın dış ip adresini aşağıdaki web sayfalarından herhangi birini kullanarak tespit ediliyor.
http://www.whatsmyipaddress.com
Aaşağıda yayılma şeması görülüyor.
Bilgisayara bulaştığında ilk önce çevresindeki bilgisayarları tarıyor. Tarama sonucunda bulduğu bilgisayara bulaşabilmesi için tarama için kullandığı kullanıcı hesabının karşı bilgisayarda yerel yönetici haklarına sahip olması gerekmektedir.
Bu saldırı sonucunda solucan yerel yönetici haklarına sahipse ve ağ üzerinden bilgisayarın paylaşımlarına ulaşabiliyorsa, aşağıdaki adreste bir kopyasını “ADMIN$” paylaşımda oluşturmakta:
Bundan sonra zamanlanmış bir iş tanımlayarak kopyalamış olduğu dosyanın çalıştırılmasını sağlıyor;
rundll32.exe [rasgele dosya ismi].[rastgele uzantı], [rastgele]
Nasıl Korunulur?
Bilgisayarınızı güncelleyin, anti virüs programınızı güncelleyin, şifrelerinizi güçlendirin, autorun özelliğini kaldırın ve diğer bilgisayarlara da giren taşınabilir sürücüleri taktığınızda nereye tıkladığınıza dikkat edin.
Temizleme için MSRT (Malicious Software Removal Tool) veya F-Secure “Disinfection Tool” kullanılabilir.
Kayıtlar
0 comments :
Yorum Gönder