Conficker terörü henüz engellenemedi

"Conficker" virüsü yayılıyor

Ankara- İnternette hızla yayılan Conficker isimli virüsün şimdiden milyonlarca bilgisayara bulaştığı ve kendisini temizlemeye yönelik çabaları da boşa çıkardığı bildirildi.
hesaplarını, ağ üzerindeki paylaşımları ve bulaştığı bilgisayarlara takılan harici taşınabilir bellekleri kullanarak yayılıyor.
Bu solucan, sisteme bulaştıktan sonra bilgisayarın işletim sistemi ve anti virüs güncellemelerini almalarını önleyerek sistem üzerinde diğer virüs ve zararlı yazılımların da bulaşmasını sağlayacak 'açık kapı' oluşmasını sağlıyor. Solucandan etkilenen sistem üzerinde daha sonra bulaşan zararlı kodun yeteneklerine göre, bankacılık hesap bilgileri gibi kişisel bilgilerin çalınmasından başka bilgisayarlara saldırıda kullanılmaya kadar birçok faaliyet gerçekleşebiliyor.

Solucanın henüz bulaşmadığı sistemlerde işletim sistemi ve anti virüs güncellemelerinin acilen yapılması gerektiğini belirten TR-BOME uzmanları, açıklar, açıkların kapatılması ve solucanın bulaşmış olduğu sistemlerin temizlenmesiyle ilgili detaylı bilginin [Linkleri görebilmek için üye olun veya giriş yapın.] internet adresinden alınabileceğini bildirdi.TÜBİTAK'a bağlı Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü bünyesinde faaliyet gösteren Türkiye Bilgisayar Olayları Müdahale Ekibi'nden (TR-BOME) yapılan açıklamaya göre, Microsoft, 23 Ekim 2008 tarihinde Windows 2000, Windows XP ve Windows 2003 işletim sistemlerini etkileyen, çok acil olduğunu bildirdiği "MS08-67" kodlu güncellemeyi yayımladı. 15 milyon bilgisayara bulaştığı tahmin edilen Conficker isimli solucan, bu güncellemenin uygulanmadığı sistemlerde etkin oluyor.
Terör estiren zararlı Conficker, ****** Havalimanı'ndan sonra ABD'nin adalet sistemini de sarstı.

[size=9]ABD'nin Houston eyaletindeki güvenlik güçleri, geçtiğimiz gün hayatlarının en zor mesailerinden birini yaşadılar. Önce polis ve yargı merkezlerindeki bilgisayarlar normalden daha yavaş çalışmaya başladı. Kısa süre içerisinde bilgisayarlardaki verilere erişmek neredeyse imkansız hale gelince görevliler bilgisayarları bir kenara bırakıp kağıt kalemle işlemleri sürdürmeye çalıştılar. Yavaşlık mahkemeleri etkileyince Vali, tüm duruşmaların ileri tarihlere ertelenmesini istedi. Bu sırada polis, işlem yapılamayacağı için ufak suçlar için tutuklama yapmayı kesti.
Çok geçmeden tüm bunların sebebinin son zamanlarda adını sıkça duyduğumuz ve ****** Havalimanı'nı da etkileyen Conficker solucanı olduğu ortaya çıktı. Eyalet yetkilileri 475 bilgisayarın virüsten etkilendiğini duyurdu ve 25 bin dolar ödeyerek Gray Hat Research adlı bir güvenlik firması ile sorunun çözülmesi için anlaştılar.
Bu Conficker'ın yarattığı ilk ciddi sorun değil. Şu ana kadar ****** Havalimanı dışında, Yeni Zelanda Sağlık departmanı, İngiltere Sheffiled'da hastane sistemleri ve Fransa'nın savunma sistemleri Conficker kabusunu yaşadılar.
Tahribatın boyutları ve en çok etkilenen ülkeler burada...

PandaLabs'tan gelen bilgilere göre Conficker solucanı yayılmasını sürdürüyor ve bu malware'den etkilenen bilgisayarların sayısı artmaya devam ediyor. PandaLabs tarafından yürütülen bu çalışmaya göre taranan bilgisayarların yüzde 6'sında (5,77) bu solucana rastlandı. İki milyon bilgisayarda yapılan bu araştırma, Çin'de üretilien bu malware'in şu anda 83 ülkeye yayıldığını; ABD, Brezilya, İspanya, Meksika ve Tayvan'da tahrip edici boyutlarda yaygınlaştığını gösteriyor.
Microsoft'un MS08-067 yamasıyla kapattığı açığı kullanarak yayılan solucan, bu yamanın yüklenmesine rağmen kolay temizlenemiyor. Özellikle ardışık sayılardan veya basit klavye dizilişlerinden oluşan 123456, qwerty, 123qwe, qweasd gibi basit şifreleri çok rahat kıran Conficker bu sayede yayılmasını hızlandırıyor. Ülkemizde de THY'nın sistemlerine giren ve 400 bilgisayara bulaşarak bilet işlemlerinin aksamasına neden olan solucan USB flash diskler ile daha hızlı yayılıyor.

Coficker nasıl çalışıyor?

[size=9]Çalışma mantığı ise şöyle: Conficker öncelikle Windows içinde bulunan ses hizmetleri, sunucu yazılımları gibi arkaplan servislerinin çalışmasını sağlayan "services.exe" isimli uygulamayı enfekte ederek, aslında Windows'un çalışması için gerekli olan bu uygulamanın bir parçası haline geliyor. Services.exe'nin bir parçası haline gelen zararlı betik parçacığı, kendisini Windows'un sistem klasörü altına kopyalayarak, 5-8 karakterli bir "dll" dosyası olarak saklıyor. Windows'un uygulama ayarlarını tutan "Registry" içinde bir düzenleme yapan uygulama, bu noktadan sonra kendini sistem için gerekli bir servis olarak tanımlayarak bilgisayar açık olduğu her an arkaplanda çalışmaya devam ediyor. Solucan bilgisayarın en son alınmış olan Sistem Geri Yükleme Nokta'sını siliyor ve durumu kurtarılması güç bir hale getiriyor, daha sonra da çalışmaya başladığı andan itibaren oluşturduğu HTTP sunucusu ile Conficker'i üreten saldırganların sitesi üzerinden bilgisayara dosyalar yüklemeye başlıyor ve bu şekilde istedikleri işlemleri yapmalarına imkan sağlıyor.
Solucan malware'lerin birçoğu bağlanmaya çalıştıkları siteler sayesinde kolayca yakalanabilirken, Conficker tamamen rastgele isimlere bağlanmaya çalışan karmaşık algoritması sayesinde yakalanması imkansız bir hale geliyor. Çünkü bağlandığı bu yüzlerce site arasından hangisinin saldırganlara ait olduğu bulunamıyor.
Blaster ve Kournikova solucanlarından bu yana bu kadar güçlü ve çabuk dağılan bir worm saldırısı olmamıştı. Bu saldırıdan etkilenmemek için bilgisayarımıza transfer ettiğimiz veriye ve bu transfer esnasında kullanmış olduğumuz kaynağa dikkat etmemiz gerekmekte.