Yılbaşı yaklaşıyor. Tabi sağdan soldan tebrikler, mailler alma zamanı. Bazılarını belki zar zor hatırlıyorsunuz. Maalesef tebrik kartları ile ilgili bir şey diyemiyoruz ama ekinde dosya olan e-mailler virüs taşıyor olabilir. Aldığınız mail çok hoş olabilir ama açtığınız anda.. you are a Goner….
W32/Goner, aslında Outlook kullananlara bulaşan bir yeni virüs serisinin adı. Makinanıza bulaşıyor ve herşeyi siliyor. En büyük tehlikesi ise, Güvenlik yazılımları içeren klasörleri yok ediyor. Instant Messanger Programınızdan, ICQ dan ya da mIRC’dan da bulaşabiliyor. Kurtçuk ürerken, e-mail girişiniz geçici olarak akarken, bilgisayarınızdan istediğiniz bir takım hizmetlerin yapılamadığını görebilirsiniz. Goner’in önemi şurda, eğer sisteminizi tamamen silmedi ise, başka ataklara açık hale geliyorsunuz. Mesela Nimda’ya.
Üremesi
En bilineni, Goner aşağıdaki tür bir mail ile ulaşıyor.
Konu :Hi!
Mesaj :How are you ?
When I saw this screen saver, I immediately thought about you
I am in a hurry, I promise you will love it!
Eki : gone.scr
Şüphesiz, bu ifadenin başka çeşitleri de ortalıkta dönecektir.
Diğer bir yöntem ise, ICQ içinden kendi kendine ürüyor. Mail sistemindekine benzer şekilde, kurbanlarının adres defterini kullanarak yeni hedefler buluyor. Kontak listenizdeki birisine dosya transferi talebi yapıyor. Tabi karşı taraf kabul etmeli ki dosya transfer olabilsin. Kabul edildiği zaman Goner bir kopyasını gönderiyor.
mIRC kullanıcıları da tehlikeye maruz durumdalar. Chat programı içinde iken, kurtçuk REMOTE32.INI dosyasını yaratıyor. Daha sonra mIRC SCRIPT.INI dosyasını bu file’ı kullanacak şekilde update ediyor. Böylece, mIRC kullanıcısı kendisi ile aynı kanala bağlanmış olan remote IRC kullanıcılarına atak başlatabiliyor.
ve İşlem
Ekteki dosya açıldığında, kötü niyetli virüs size normal program sayfaları sandığınız bir ekran gösteriyor. Sonra bir hata mesajı alıyorsunuz. Bu mesaj size basit bir hataymış gibi geliyor. Tabi bu arada virüs başka şeyler yapmaya devam ediyor. Program kendisini SCR.EXE olarak C:WINNTSYSTEM32 veya C:WINDOWSSYSTEM32 (İşletim sisteminize bağlı olarak) altına kopyalıyor. BadTrans.B ve diğer bazı virüsler gibi Goner, Windows kayıt bölümüne şöyle bir ifade ekliyor,
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun C:%WINDIR%SYSTEMgone.scr=C:%WINDIRSYSTEMgone.scr
Bu ifade, bilgisayarınızı reboot (kapanıp açılması) ettiğiniz zaman programın yüklenmesine neden oluyor. Böylece de varlığını sağlamlaştırmış oluyor. Şimdiye kadar anlattıklarımız hep üremesi ile ilgili olan bölümler. Goner ne yapıyor ? Aşağıda ismi olan programlar ve başka birçok anti-virüs ve güvenlik programını bulup, susturuyor..
- _AVP32.EXE
- _AVPCC.EXE
- _AVPM.EXE
- APLICA32.EXE
- AVCONSOL.EXE
- AVP.EXE
- AVP32.EXE
- AVPCC.EXE
- AVPM.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- ESAFE.EXE
- FEWEB.EXE
- FRW.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- LOCKDOWN2000.EXE
- PCFWallIcon.EXE
- PW32.EXE
- SAFEWEB.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- VP32.EXE
- VPCC.EXE
- VPM.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSSTAT.EXE
- VW32.EXE
- WEBSCANX.EXE
- ZONEALARM.EXE
Eğer bunlardan bir tanesi varsa, siliniyor. Aynı klasörde bulunan tüm dosyalar yokediliyor. Eğer bunu başaramaz ise, WININIT.INI dosyası yaratıp bir sonraki windows çalıştırdığınızda yeniden deniyor.
Yok Etmek
Goner bulaşmış makinanızı kurtarmak için, önce makinanızı SAFE modunda çalıştırın. Ya da hafızada çalışan kurtçuğun bölümündeki çalışmanızı durdurun (1 dakika bekleyip, hiç program çalışmadığına emin olun). Sonra, kurtçuğun kayıt bölümünde yaptığı değişiklikleri iptal edin. System32 klasörüne eklenen dosyayı silin. Ondan sonra bilgisayarınızı yeniden çalıştırıp, anti-virüs programınızı yükleyin. Bilgisayarı scan edip temizleyin.
Herşeyin bir çaresi vardır ama önlem almak, tedavi olmaktan daha kolaydır. Kullanıcılarınıza ekinde dosya olan ve tanımadıkları kişilerden gelen mailleri açmamalarını ve ICQ’dan dosya transferi yapmamalarını anlatın. mIRC kullanan varsa, onu da ikaz edin. Outlook ve Outlook Express programlarını otomatik olarak eki aç şeklinde çalıştırtmayın. Tüm Anti-Virüs programlarınızın güncel olduğuna emin olun. Outlook yamalarını takip edin (Goner ilk 4 Aralık’ta gözüktü. Bu nedenle yeni yamalar çıkmış olabilir. Kontrol edin)
Son Söz; Truva Atının ağzındaki hediyeye kanmayın..