background img

The New Stuff

CONFICKER.WORM REMOVAL TOOLS

Bilgisayar virüsü Fransız ordusuna saldırdı
TEK KURSUN ATMADAN BIR ORDUYU DURDURMAK

Fransa Savunma Bakanlığı bilgisayarlarına saldıran Conficker virüsü dolayısıyla ordunun bazı savunma sistemleri devre dışı kaldı.

AA muhabirinin derlediği bilgilere göre, geçtiğimiz yıl sonbahar aylarında Microsoft tarafından, Conficker isimli bilgisayar virüsüne yönelik yapılan uyarılara kulak asmayan Fransa, virüs dolayısıyla sıkıntılı günler geçirdi.

İki hafta boyunca bakanlığın ağlarında dolaşan virüs sebebiyle ülke savunmasına yönelik ancak detayları belirtilmeyen bazı güvenlik sistemleri kullanılamadı. Savunma Bakanlığı ağına girmesinden iki gün sonra Villacoublay Hava Üssü’ne ulaşan virüs dolayısıyla savaş uçakları da kalkış yapamadı.

Bakanlık uzmanları, virüsün ağa nasıl bulaştığını ve bundan kaç bilgisayar ve bilgi sisteminin etkilendiğini tespit etmeye çalışıyor.

Microsoft Conficker Worm Virüsü hakında uyarıda bulunmuş ve bu konuda güncelleme yayımlamıştı. Genede Conficker.Worm solucanı bulaştı ise Şu adımlar izlemenizde fayda var.


Sunucu hizmetini durdurmak için, Hizmetler Microsoft Yönetim Konsolu'nu (MMC) kullanın. Bunu yapmak için şu adımları izleyin:
Sisteminize bağlı olarak şunları yapın:
Windows Vista ve Windows Server 2008'de, Başlat'ı tıklatın, Aramaya Başla kutusuna services.msc yazın ve sonra da Programlar listesinde services.msc dosyasını tıklatın.
Windows 2000, Windows XP ve Windows Server 2003'te, Başlat'ı ve sonra Çalıştır'ı tıklatın, services.msc yazın ve ardından Tamam'ı tıklatın.
Sunucu hizmetini çift tıklatın.
Durdur'u tıklatın.
Başlangıç türü kutusunda Devre Dışı seçeneğini belirleyin.
Uygula'yı tıklatın.
AT ile oluşturulan tüm zamanlanmış görevleri kaldırın. Bunu yapmak için, komut istemine AT /Delete /Yes yazın.
Görev Zamanlayıcısı hizmetini durdurun.
Windows 2000, Windows XP ve Windows Server 2003'te Görev Zamanlayıcısı hizmetini durdurmak için, Hizmetler Microsoft Yönetim Konsolu'nu (MMC) veya SC.exe yardımcı programını kullanın.
Windows Vista veya Windows Server 2008'de Görev Zamanlayıcısı hizmetini durdurmak için aşağıdaki adımları izleyin.

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 (http://support.microsoft.com/kb/322756/ ) Windows XP ve Windows Server 2003'te kayıt defteri nasıl yedeklenir, düzenlenir ve geri yüklenir
Başlat'ı tıklatın, Aramaya Başla kutusuna regedit yazın ve sonra da Programlar listesinde regedit.exe dosyasını tıklatın.
Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
Ayrıntılar bölmesinde, Start DWORD girdisini sağ tıklatın ve ardından Değiştir'i tıklatın.
Değer verisi kutusuna 4 yazın ve Tamam'ı tıklatın.
Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.
Güvenlik güncelleştirmesi 958644'ü (MS08-067) karşıdan yükleyin ve el ile kurun. Daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/turkiye/technet/security/bulletin/2008/ms08-067.mspx (http://www.microsoft.com/turkiye/technet/security/bulletin/2008/ms08-067.mspx)
Not Bu site, kötü amaçlı yazılım tarafından engelleniyor olabilir. Bu senaryoda, güncelleştirmeyi bulaşma olmayan bir bilgisayardan yüklemeniz ve güncelleştirme dosyasını bulaşma olan sisteme aktarmanız gerekmektedir. Güncelleştirmeyi bir CD'ye yazmanız önerilir, çünkü yazılan CD bir kez daha yazılamaz hale gelir. Bu nedenle de solucan CD'ye bulaşamaz. Kaydedilebilir bir CD sürücüsü yoksa, güncelleştirmeyi bulaşma olan sisteme kopyalamanın tek yolu bir taşınabilir USB bellek sürücüsü kullanmak olacaktır. Taşınabilir sürücü kullanıyorsanız, kötü amaçlı yazılımın bu sürücüye bir Autorun.inf dosyasıyla bulaşabileceğini unutmayın. Güncelleştirmeyi taşınabilir sürücüye kopyaladıktan sonra, aygıtınızda salt okunur modunu kullanabiliyorsanız sürücüyü salt okunur moduna geçirdiğinizden emin olun. Salt okunur modu kullanılabiliyorsa, genellikle aygıt üzerindeki bir fiziksel anahtar kullanılarak etkinleştirilir. Güncelleştirme dosyasını bulaşma olan bilgisayara kopyaladıktan sonra, taşınabilir sürücüyü denetleyerek Autorun.inf dosyasının sürücüye yazılıp yazılmadığına bakın. Yazılmışsa, Autorun.inf dosyasını Autorun.bad gibi bir adla yeniden adlandırarak, taşınabilir sürücü bir bilgisayara bağlandığında çalıştırılamamasını sağlayın.
Yerel Yönetici ve Etki Alanı Yöneticisi parolalarını yeni bir güçlü parola kullanacak şekilde sıfırlayın. Daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet.microsoft.com/tr-tr/library/cc875814.aspx (http://technet.microsoft.com/tr-tr/library/cc875814.aspx)
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
Ayrıntılar bölmesinde, netsvcs girdisini sağ tıklatın ve sonra Değiştir'i tıklatın.
Listenin en altına gidin. Bilgisayara Conficker.b solucanı bulaşmışsa, rasgele bir hizmet adı listelenir. Örneğin bu yordamda, kötü amaçlı yazılımın hizmet adının "gzqmiijz" olduğunu varsayacağız. Kötü amaçlı yazılımın hizmet adını not alın. Bu bilgiye bu yordamda daha sonra gereksinim duyacaksınız.
Kötü amaçlı yazılım hizmetine başvuran satırı silin. Listelenen son geçerli girdinin altında boş bir yeni satır bıraktığınızdan emin olun ve ardından Tamam'ı tıklatın.

Not Aşağıdaki listede yer alan tüm girdiler geçerlidir. Bu girdilerden hiçbirini silmeyin. Silinmesi gereken girdi, listedeki son girdidir ve rasgele oluşturulmuş bir ada sahiptir.
AppMgmt AudioSrv Browser CryptSvc DMServer EventSystem HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Sacsvr Schedule Seclogon SENS Sharedaccess Themes TrkWks TrkSvr W32Time WZCSVC Wmi WmdmPmSp winmgmt wuauserv BITS ShellHWDetection uploadmgr WmdmPmSN xmlprov AeLookupSvc helpsvc axyczbfsetg

SVCHOST kayıt defteri anahtarının izinlerini kısıtlayarak anahtara yeniden yazılamamasını sağlayın. Bunu yapmak için aşağıdaki adımları izleyin.

Notlar
Çalışma ortamı tümüyle temizlendikten sonra varsayılan izinleri geri yüklemelisiniz.
Windows 2000'de, kayıt defteri izinlerini ayarlamak için Regedt32 aracını kullanmalısınız.
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
Svchost alt anahtarını sağ tıklatın ve sonra İzinler'i tıklatın.
SvcHost için İzin Girdisi iletişim kutusunda Gelişmiş'i tıklatın.
Gelişmiş iletişim kutusunda Ekle'yi tıklatın.
Kullanıcı, Bilgisayar veya Grup Seç iletişim kutusunda, everyone yazın ve Adları Denetle'yi tıklatın.
Tamam'ı tıklatın.
SvcHost için İzin Girdisi iletişim kutusundaki Uygula listesinde Yalnızca bu anahtar'ı seçin ve sonra da Değer Ata izin girdisinde Reddet onay kutusunu işaretleyin.
İki kez Tamam'ı tıklatın.
Güvenlik uyarısı isteğini aldığınızda Evet'i tıklatın.
Tamam'ı tıklatın.
Önceki yordamda, kötü amaçlı yazılımın hizmet adını not almıştınız. Buradaki örnekte, kötü amaçlı yazılım girdisi "gzqmiijz" olarak adlandırılmıştı. Bu bilgiyi kullanarak şu adımları izleyin:
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın; burada KötüHizmetAdı, kötü amaçlı yazılımın hizmet adıdır:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
Örneğin, aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz
Gezinti bölmesinde, kötü amaçlı yazılım hizmet adının alt anahtarını sağ tıklatın ve sonra da İzinler'i tıklatın.
SvcHost için İzin Girdisi iletişim kutusunda Gelişmiş'i tıklatın.
Gelişmiş Güvenlik Ayarları iletişim kutusunda, aşağıdaki onay kutularının her ikisini de tıklatıp seçin:
Bağımlı nesnelere uygulanan izin girdilerini ana öğeden devral. Bunları açıkça burada tanımlananlara ekle.

Tüm bağımlı nesnelerdeki izin girdilerini burada gösterilen ve bağımlı nesnelere uyanlarla değiştir
F5 tuşuna basarak Kayıt Defteri Düzenleyicisi'ni güncelleştirin. Ayrıntılar bölmesinde, kötü amaçlı yazılımın "ServiceDll" adıyla yüklenen DLL dosyasını artık görebilir ve düzenleyebilirsiniz. Bunu yapmak için şu adımları izleyin:
ServiceDll girdisini çift tıklatın.
Başvurulan DLL dosyasının yolunu not alın. Bu bilgiye bu yordamda daha sonra gereksinim duyacaksınız. Örneğin, başvurulan DLL dosyasının yolu aşağıdakine benzeyebilir:
%SystemRoot%\System32\emzlqqd.dll

Başvuruyu, aşağıdakine benzeyecek şekilde yeniden adlandırın:
%SystemRoot%\System32\emzlqqd.old

Tamam'ı tıklatın.
Kayıt defterindeki Run alt anahtarından kötü amaçlı yazılımın hizmet girdisini kaldırın.
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarlarını bulun ve tıklatın:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Her iki alt anahtarda da, "rundll32.exe" ile başlayan ve zararlı yazılımın adım 13b'de belirlediğiniz "ServiceDll" adıyla yüklenen DLL dosyasına başvuran tüm girdileri bulun. Girdiyi silin.
Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.
Sistemdeki tüm sürücülerde bulunan Autorun.inf dosyalarını denetleyin. Not Defteri'ni kullanarak dosyaları tek tek açıp, geçerli bir Autorun.inf dosyası olduğunu doğrulayın. Aşağıda, geçerli olan tipik bir Autorun.inf dosyasına örnek verilmektedir.
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico


Geçerli bir Autorun.inf dosyası genellikle 1 - 2 kilobayt (KB) boyutundadır.
Geçersiz gibi görünen tüm Autorun.inf dosyalarını silin.
Bilgisayarı yeniden başlatın.
Gizli dosyaların görünür olmasını sağlayın. Bunu yapmak için, komut istemine aşağıdaki komutu yazın:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
Dosyayı görebilmek için Gizli dosya ve klasörleri göster seçeneğini belirleyin. Bunu yapmak için şu adımları izleyin:
Adım 13b'de, zararlı yazılımın başvurulan DLL dosyasının yolunu not almıştınız. Örneğin, aşağıdakine benzer bir yolu not almış olabilirsiniz:
%systemroot%\System32\emzlqqd.dll
Windows Gezgini'nde, %systemroot%\System32 dizinini veya kötü amaçlı yazılımı içeren dizini açın.
Araçlar'ı ve sonra Klasör Seçenekleri'ni tıklatın.
Görünüm sekmesini tıklatın.
Gizli dosya ve klasörleri göster onay kutusunu işaretleyin.
Tamam'ı tıklatın.
DLL dosyasını seçin.
Dosya izinlerini düzenleyerek Everyone (Herkes) grubu için Tam Denetim iznini ekleyin. Bunu yapmak için şu adımları izleyin:
DLL dosyasını sağ tıklatın ve sonra Özellikler'i tıklatın.
Güvenlik sekmesini tıklatın.
Everyone (Herkes) öğesini tıklatın ve sonra da İzin Ver sütununda Tam Denetim onay kutusunu tıklatıp seçin.
Tamam'ı tıklatın.
Kötü amaçlı yazılımın başvurduğu DLL dosyasını silin. Örneğin, %systemroot%\System32\emzlqqd.dll dosyasını silin.
Hizmetler Microsoft Yönetim Konsolu'nu (MMC) kullanarak BITS, Otomatik Güncelleştirmeler, Hata Bildirimi ve Windows Defender hizmetlerini etkinleştirin.
Yeniden bulaşma olasılığını azaltmak için Otomatik Kullan özelliğini kapatın. Bunu yapmak için şu adımları izleyin:
Sisteminize bağlı olarak, aşağıdaki güncelleştirmelerden birini yükleyin:
Windows 2000, Windows XP veya Windows Server 2003 çalıştırıyorsanız, 953252 numaralı güncelleştirmeyi yükleyin. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
953252 (http://support.microsoft.com/kb/953252/ ) Windows'da "Otomatik Çalıştır kayıt defteri anahtarını devre dışı bırak" zorlaması nasıl düzeltilir
Windows Vista veya Windows Server 2008 çalıştırıyorsanız, güvenlik güncelleştirmesi 950582'yi yükleyin. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
950582 (http://support.microsoft.com/kb/950582/ ) MS08-038: Windows Gezgini'ndeki güvenlik açığı uzaktan kod yürütülmesine izin verebilir
Not 953252 numaralı güncelleştirme ve güvenlik güncelleştirmesi 950582, bu kötü amaçlı yazılım sorunuyla ilişkili değildir. Adım 24b'deki kayıt defteri işlevinin etkinleştirilmesi için bu güncelleştirmelerin yüklü olmaları gerekmektedir.
Komut istemine aşağıdaki komutu yazın:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
Sistemde Windows Defender çalışıyorsa, Windows Defender otomatik başlatma konumunu yeniden etkinleştirin. Bunu yapmak için, komut istemine aşağıdaki komutu yazın:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
Windows Vista ve sonraki işletim sistemlerinde, kötü amaçlı yazılım, TCP Alma Penceresi Otomatik Ayarı'nın genel ayarını devre dışı olarak değiştirir. Bu ayarı önceki değerine döndürmek için, komut istemine aşağıdaki komutu yazın:
netsh interface tcp set global autotuning=normal
Bu yordamı tamamladıktan sonra bilgisayara solucan bulaşmış gibi görünüyorsa, aşağıdaki koşullardan biri doğru olabilir:
Otomatik başlatma konumlarından biri kaldırılmamıştır. Örneğin, AT işi veya bir Autorun.inf dosyası kaldırılmamıştır.
MS08-067 güvenlik güncelleştirmesi doğru yüklenmemiştir
Bu kötü amaçlı yazılım, bu Bilgi Bankası makalesinde açıklanmayan başka ayarları değiştirebilir. Win32/Conficker.b ile ilgili en son bilgiler için aşağıdaki Microsoft Kötü Amaçlı Yazılımlardan Korunma Merkezi Web sayfasını ziyaret edin:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)
Üste
Sistemde bulaşma olmadığını doğrulayın
Aşağıdaki hizmetlerin başlatılmış olduğunu doğrulayın:
Otomatik Güncelleştirmeler (wuauserv)
Arka Plan Akıllı Aktarım Hizmeti (BITS)
Windows Defender (windefend) (yüklüyse)
Windows Hata Bildirimi Hizmeti
Bunu yapmak için, komut istemine aşağıdaki komutları yazın: Her komutun ardından ENTER tuşuna basın:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Her komut çalıştırıldıktan sonra, aşağıdakine benzer bir ileti alırsınız:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Bu örnekte, "STATE : 4 RUNNING", hizmetin çalıştığını gösterir.

SvcHost kayıt defteri alt anahtarının durumunu doğrulamak için, aşağıdaki adımları izleyin:
Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
Ayrıntılar bölmesinde, netsvcs öğesini çift tıklatın ve listelenen hizmet adlarını gözden geçirin. Listenin en altına gidin. Bilgisayara Conficker.b solucanı yeniden bulaşmışsa, rasgele bir hizmet adı listelenir. Örneğin bu yordamda, kötü amaçlı yazılım hizmeti "gzqmiijz" olarak adlandırılmıştır.
Bu adımlar sorunu gideremezse, virüsten koruma yazılımı satıcınıza başvurun. Bu sorun hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
49500 (http://support.microsoft.com/kb/49500/ ) Virüsten koruma yazılımı satıcılarının listesi
Virüsten koruma yazılımınız yoksa veya virüsten koruma yazılımı satıcınız size yardımcı olamazsa, daha fazla yardım için Microsoft Müşteri Destek Hizmetleri'ne başvurun.
Yukarıda anlatılanlar manuel müdahale teknikleridir, eğer karmaşık geldi ise Conficker.Worm Removal tools 'ları yüklemenizi öneririm.
MS08-067 Conficker worm - Description
MS08-067 Conficker worm - F-Secure offers free removal tools

0 yorum :

Yorum Gönder

Reklam

Hosting