11 Ağustos gecesi saat 21:30 sularında Internet trafiğinde olağanüstü bir yoğunlaşma belirleyen Koç.net güvenlik uzmanları, söz konusu yoğunluğun Windows sistemlerdeki RPC (Remote Procedure Call) protokolünde yer alan bir açığı kullanan Blaster solucanından kaynaklandığını saptadı.
Etkilediği sistemleri “windowsupdate.com” (windows güncelleme) sayfasına yönlendiren veya sistemi tekrar başlatan solucanın özellikle TCP 135 portunu kullandığı tespit edildi. Saat 00:00 itibariyle iletişim ağında solucan yayılımını kontrol altına alan Koç.net, etkilenen sistemlerin diğer kullanıcılarına da solucan yaymasını engelledi.
Yeni atak olasılığı
Dünya genelinde etkili bir biçimde yayılmaya başlayan solucan saldırısının Koç.net tarafından dünyanın önde gelen ekipleriyle aynı anda fark edildiğini belirten Koç.net Genel Müdürü Bülent Yıldırım, şunları söyledi:
“Şu anda aktif olan solucan; TCP 135 portunu kullanarak yayılmaktadır. Solucan, Internet’e bağlantı yapıldıktan sonra eğer TCP 135 portu, gelen bağlantı isteklerine açık durumda ise sisteme bulaşarak aktif hale gelmektedir. Fakat bu solucanın ortaya çıkmasına sebep olan Microsoft RPC Protokolündeki güvenlik açığı, TCP 139 ve TCP 445 portlarının da kullanılmasına olanak vermektedir. Bu nedenle solucanın, TCP 139 ve TCP 445 portlarını kullanan farklı türevlerinin çıkma olasılığı yüksektir.”
Ms Blaster Worm’un kendisini kopyaladığı sistemlerin tarihini kontrol ederek her ayın 16’sı ile 31’i arasında windowsupdate.com sitesine servis verememe (Denail of Service) atağı yapacağının tespit edildiğini söyleyen Bülent Yıldırım, “Bu nedenle solucanın bulaşmış olduğu sistemlerin acil olarak temizlenmesi ve ilgili güvenlik yamasının sistemlere uygulanması gereklidir” dedi.
Koç.net’ten şirketlere solucan etkilerini en aza indirme önerileri:
- Kullanılan işletim sisteminin wormdan etkilenen Microsoft Windows NT, 2000, XP ve 2003 işletim sistemlerden biri olup olmadığı kontrol edilmelidir.
- Koc.Net/Windows Patches adresli web sitesinden kullanılan işletim sistemine ait güvenlik yaması mutlaka uygulanmalıdır. Böylece wormun sisteminizi etkilemesi engellenecektir.
- Eğer bilgisayarınıza worm’un bulaştığından şüpheleniyorsanız, bu wormu temizlemek için üretilen temizleme aracını kullanarak bilgisayarınızı tarayabilirsiniz. Temizleme aracına burayi tiklayarak ulasabilirsiniz.
- Daha detaylı bilgi için;
www.cert.org,
www.securityfocus.com http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp adresleri üzerinde yer alan Microsoft’a ait güvenlik bülten sayfası ve diğer bilgi güvenliği sayfaları kullanılabilir.
Koç.net:
Koç.net, 1996 yılında Koç Holding bünyesinde, topluluk şirketlerinde gerekli olan geniş alan ağ ve internet altyapısını kurmak amacıyla kuruldu. Hizmet kapsamının genişletilmesi ve Fornet şirketinin satın alınmasıyla birlikte Koç.net, 1 Ağustos 2000 tarihi itibarı ile Koç.net Haberleşme Teknolojileri ve İletişim Hizmetleri AŞ adını aldı.
Kaynak : 