|
Mydoom rehberi
 26 Ocak'tan bu yana Windows tabanlı
sistemlerin başağrısı haline gelen Mydoom
virüsü, yeni varyantlarıyla birlikte ortalığı
kasıp kavurmaya devam ediyor. İşte bu virüs
hakkında merak ettiğiniz her şeyi
bulabileceğiniz, nasıl korunacağınızı
öğrenebileceğiniz bir
rehber.
Mydoom, antivirüs firmaları
tarafından hâlâ yüksek tehdit grubunda
gösteriliyor. Son olarak ortaya çıkan Doomjuice
adlı varyantıysa, daha önce Mydoom'un bulaştığı
makinelerdeki gediklerden yararlanıyor.
Rehberimizi okuyarak, Mydoom'dan ve
varyantlarından nasıl korunacağınzı
öğrenebilirsiniz.
Mydoom nedir?
Mydoom, Microsoft programlarını hedefleyen bir
dizi virüsten biri.
Virüs, Outlook'taki
açıkları kullanıyor ve bulaştığı sistemin adres
defterindeki adreslere kendini e-posta yoluyla
gönderiyor. Mydoom, aynı zamanda Novarg ve
Mimail_r adlarıyla da biliniyor. Virüsü,
gönderdiği e-postalardaki konu satırından (subject) tanımak mümkün.
Konu satırına
bakarak, mesajı bir e-posta hatası sanmak mümkün.
Mesajın ekindeyse, hatanın nedenini açıklar gibi
görünen bir metin dosyası yer alabiliyor.
Kullanıcı mesajına ne olduğunu anlamak üzere bu
dosyaya tıkladığında, virüs sistemine bulaşmış
oluyor.
Ne kadar yaygın?
Mydoom
oldukça hızlı yayılıyor; hatta şimdiye dek en
hızlı yayılan virüs olduğu bile söylenebilir.
E-posta filtreleme işiyle uğraşan MessageLabs
şirketinin verilerine göre, gönderilen her 12
e-posta mesajından biri Mydoom'a ait. Bundan en
öönce en hızlı yayılan virüs unvanını elinde
bulunduran Sobif-F ise, ancak her 17 mesajdan
birine bulaşabilmeyi başarmıştı.
MessageLabs'e
göre, virüs ortaya çıkışından sonraki 16 gün
içinde 38 milyon kopyayla, tarihin en aktif
virüsü.
Finlandiya merkezli antivirüs firması
F-Secure, Mydoom'un şimdiye dek karşılaşılan en
belalı e-posta virüsü olduğunu, e-posta trafiğinin
yaklaşık %30'unu kapladığını açıkladı.
Bu
rakamlara, virüsün kendi yarattığı mesajlar,
sistemlerin gelen virüslü mesaja verdikleri
otomatik yanıtlar ve virüslü mesajı alıp da
diğerlerine "Bana virüs bulaştırıyorsun" diye
mesaj atan kızgın kullanıcıların iletileri de
dahil. Virüs gönderdiği mesajların "Gönderen"
bilgisini de değiştirdiği için, bu mesajlar daha
da çok trafiğe neden oluyor.
Rusya
kaynaklı olduğu düşünülen virüs 200 ülkeye
yayılmış durumda. Bu kadar hızlı yayılmasının
altındaysa, ABD'deki iş günü sırasında ortaya
çıkmış ve hızla büyük şirketlerin iletişim ağına
girmiş olması yatıyor.
Mydoom bulaştığı
makineye ne yapıyor?
Her şeyden önce,
Mydoom'un yalnızca Windows tabanlı sistemlerde
etkili olduğunu söyleyelim. Virüs, Outlook'taki
adres defterini tarayarak kendini göndereceği yeni
adresler buluyor. Ardından kendi e-posta motorunu
kullanarak kendi kendini gönderiyor. Bu arada,
açığa çıkma riskini ortadan kaldırmak için de,
kendini antivirüs firmalarının, devlet
kuruluşlarının ve askeri kurumların adreslerine
göndermiyor.
Virüs, aynı zamanda,
bulaştığı sistemlerin antivirüs firmalarının Web
sitelerine bağlanıp son güncellemeleri
indirmelerine de engel olmaya çalışıyor.
Daha da kötüsü, Mydoom bulaştığı
makinelerde bir arka kapı, yani bir gedik açıyor;
böylece, doğru aaçlara ve bilgiye sahip olan
herkes bu gedikten yararlanıp sisteme sızabiliyor.
ANtivirüs ve güvenlik firmaları, virüslü
makineleri bulmak için yapılan rasgele taramaların
sayısının arttığına dikkat çekiyor.
Virüs
ve daha sonra ortaya çıkan Mydoom.b varyantı, bir
yandan da, 1 Şubat'tan sonra DOS saldırıları (Denial of Service Attack - Hizmetin Reddi
Saldırıları) denilen türden bir saldırıyı
düzenlemek üzere programlanmış durumdalar. Virüsün
bulaştığı makineler, arka planda SCO şirketinin
Web sitesine sürekli olarak bağlanmaya
çalıştıkları için, şirketin Web sitesi geçici
olarak çökmüştü. Virüsün yeni varyantı Doomjuice
ise, aynı saldırıları Microsoft'un Web sitesine
yönlendirmek üzere programlanmış durumda.
Korunmak için ne yapabilirim?
Yapabileceğiniz
çok şey var.
Özellikle bu salgın durumu
sırasında, antivirüs yazılımınızı düzenli olarak,
sık sık güncelleyin. (Antivirüs yazılımınız yoksa,
hemen edinin. Zira sadece bu acil durum sırasında
değil, her zaman ihtiyaç duyacağınız bir yazılım
türünden bahsediyoruz). Her zaman yapmıyor olsanız
bile, bütün sisteminizi baştan aşağıya antivirüs
yazılımıyla tarayın ve zararlı dosyaların,
programların hepsinden kurtulun. Sisteminize
kişisel bir güvenlik duvarı (firewall) kurmak da
işinize yarayabilir, böylece gedikleri kapatmış
olursunuz.
Genellikle haberleşmediğiniz
kişilerden gelen e-postalara kuşkuyla bakın;
özellikle mesajın ekinde bir de dosya varsa. Konu
satırı bu rehberde bahsettiğimi türden kuşkuluysa,
mesajı açmadan silin. Böylesi büyük salgın
durumlarında, Outlook'un önizleme (preview)
panelini kapatmak da dikkate değer.
Virüsün makineme bulaştığını nasıl
anlarım?
Virüs, kendini yollamak için
kendi e-posta motorunu kullandığından, büyük
olasılıkla farkına varmayacaksınız. Bir e-posta
mesajının ekindeki dosyayı (zip ya da ekran
koruyucu olabilir) açmak üzere tıklayıp da,
beklediğiniz sonuçla karşılaşmadıysanız, Mydoom
sisteminize bulaşmış olabilir.
Antivirüs
yazılımları, Mydoom'u ve varyantlarını hemen
tanıyıp etkisiz hale getirebilecek güce sahipler.
Dolayısıyla en iyi çözüm antivirüs yazılımınızı
sürekli olarak güncel tutmak.
Antivirüs ve
güvenlik şirketleri, Mydoom'un sisteminizde
varolup olmadığını denetleyecek özel dosyaların
yanı sıra, herhangi bir şey indirmenize gerek
kalmadan İnternet üzerinden virüs tarama hizmeti
de veriyorlar. Üstelik bunların çoğu ücretsiz.
Aynı zamanda, Microsoft da sisteminizi
İnternet üzerinden tarayabilecek bir hizmet
sunuyor.
Yeni varyant: Doomjuice!
Mydoom'un iki yeni varyantıysa bu hafta
başında ortaya çıktı. İlki ve en yaygın olanı
Doomjuice, Microsoft.com sitesine DOS saldırısı
düzenliyor. Microsoft, şimdiden bu virüse karşı
önlem olarak, sitesinin yedek kopyalarını yaratmış
durumda.
Deadhat adlı diğer varyantsa,
sistemde kurulu olan diğer Mydoom varyantlarını
kaldırıp, makinenin antivirüs korumasını sekteye
uğratmaya çalışıyor.
Bu iki varyantın en
önemli özelliği, önceki varyantların tersine,
e-posta yoluyla yayılmamaları. Bunlar, daha önce
sisteme sızan Mydoom'un açtığı gedikten
yararlanarak sisteme giriyorlar. Antivirüs
şirketlerine göre, Doomjuice şimdiye dek Mydoom
bulunan 75,000 civarında sisteme sızmış durumda.
Orijinal Mydoom (Mydoom.A), başarısının
doruğundayken 1 milyon civarında sisteme sızmıştı.
Üreticisini koruyan virüs
Yeni
varyant Doomjuice'un temel özelliği, yaratıcısını
korumak. Zira bu varyant, bulaştığı sisteme
orijinal Mydoom'un kaynak kodlarını da yüklüyor.
Mydoom'un yazarını bulmak için yürütülen
çalışmalar, kaynak kodu bulmaya dayanıyordu;
böylece kaynak kodun bulunduğu sistemlerin virüsün
yazarıyla bağlantılı olduğu ortaya çıkacak ve
virüs yazarının izi sürülebilecekti. Ancak
Doomjuice sayesinde bu kaynak kod, şimdi
korunmasız her sisteme sızabileceği için, virüs
yazarının kalabalıkta izini kaybettirme olasılığı
da artmış oluyor.
Diğer varyant
Deadhat'se, bulaştığı makinedeki orijinal Mydoom.A
ve Mydoom.B virüsünü siliyor, kendini kuruyor ve
ardından sistemdeki antivirüs yazılımının
çalışmasını, güncellenmesini engellemeye
çalışıyor. |
Donanım
Test
Bilgisayar
ve internet ile ilgi Yardım ve Bilgi için 
