IRC-Mocbot kurtçuğunun kendisini WINDOWS SYSTEM directory (genellikle c:windowssystem32) içine, wgareg.exe (Windows Genuine Advantage Registration Service) ya da wgavm.exe (Windows Genuine Advantage Validation Monitor) ismiyle kurduğu görülüyor.
Microsoft bu açıkla ilgili olarak 8 Ağustosta yama yayınlamıştı. Ancak daha sonra bu yama ile ilgili sorunlar görülmüştü. (Bkz : Yamalamak mı, yamalamamak mı?).
Mocbot’un ilk olarak 2005 sonlarında görüldüğü ve yayılmak için o zaman MS05-039 PNP açığını kullandığı bildiriliyor. Ancak o dönem çok da dikkat çekici bir durum yaratmadı.
Ancak yeni versiyon Mocbot, komut ve kontrol mekanizmasında aynı IRC sunucu adlarını kullanıyor. Bu, kontrol ve kumanda sunucularının Çin’de olması ile açıklanabilir. Tarihsel sürece bakılırsa, Çin’li ISS’ler ve devlet, bu tür kodların yaratılmasına ve kendi networkleri içinden yönetilmesine ses çıkarmıyorlar.
Virüs wgareg.exe yarattıktan sonra, bir de NT servisi oluşturuyor. Bu servisin durdurulması ya da çalışamaz hale getirilmesi sistemde kararsızlığa yol açabiliyor. Bu nedenle de kullanıcı bu virüsü durdurmayı denemekten vazgeçiyor.
Kurtçuk networke sızdıktan sonra TCP port 445 üzerinden yayılıyor.
Virüsün diğer adları;
- – Backdoor.Win32.IRCBot.st (Kaspersky)
– Backdoor:Win32/Graweg.A (Microsoft)
– Backdoor:Win32/Graweg.B (Microsoft)
– CME-482 CME-762 W32.Wargbot (Symantec)
– W32/Cuebot-L (Sophos)
– W32/Cuebot-M (Sophos)
– WORM_IRCBOT.JK (TrendMicro)
– WORM_IRCBOT.JL (TrendMicro)
Uzmanlar 30 ağustos gecesinden bu yana, virüsün Türkiye içinde yoğun olduğu ve trafiği zaman zaman zorladığını bildiriyor. SP1 veya SP2’nin yüklenmesini öneriyorlar.
Çözüm
Windows XP / 2003 / 2000 / NT’lerin tüm service Pack’lerinde açık var. Ancak sızma işleminin XP SP2 ile çalışıp çalışmadığı bilinmiyor. XP/2003/2000/NT versiyonlarının en son service pack’leri en çok risk altında olanlar.
Öncelikle Microsoft’un sağladığı yamayı kullanın. Networkünüz varsa, tüm sunucu ve workstation’ları yamalayın.
Kaynak : 