Shockwave filmi görünümüne bürünmüş olan bir virüs bu hafta e-postalarını sildiği çok sayıda Microsoft Outlook kullancısını meşgul etti.
Virüs, e-posta aracılığıyla geliyor. E-posta’nın başlığında da: “Harika bir Shockwave hızlı filmi”. Mesajın içeriğinde de: “Bilgisayarıma hemen şimdi indirdiğim bu yeni hızlı filme bir bakın. – Harika bir film – Hoşçakalın.”yazıyor. Ataşlanan dosyanın adı CREATIVE.EXE.
Ataşlanmış dosyaya tıklayınca virüs, JPG ve ZIP kısaltmasıyla biten bütün dosyaların adını değiştirip dosyanın kısaltma kısmına şunu yazıyor: “Hiç olmazsa şimdi LINUX’a geçin.” Daha sonra virüs masaüstünüze MESSAGEFORU.TXT adlı bir metin dosyası açıyor.
McAfee (http://www.mcafeeb2b.com/default.asp) AVERT (Giderici) araştırmacısı Patrick Nolan gibi virüsleri gözler önüne sermek üzerine çalışmış olan uzmanlar bu internet solucanının başlangıçtan itibaren şüpheli göründüğünü söylüyor.
“İlk anda gözüme, Navidad virüsünün bir sürümüymüş gibi göründü, çünkü onunla aynı Shockwave ikonunu kullanıyor.” diyen Nolan sözlerini şöyle sürdürdü: “Daha sonra düşündüm ki, kodu oluşturmak için Visual Basic kullandığına göre MyPics ile benzerlik taşıyor. Ancak daha yakından bakınca anladım ki, bu solucan Virtual Basic 6 ile yaratılmış. Dolayısıyla biz de ona linux yanlısı çağrısından ötürü Prolin adını verdik.”
Mesajda tam olarak şöyle yazıyor: “Merhaba, mesajınız olduğunu tahmin edersiniz. Bunun altında bozduğum dosyaların bir listesini sakladım. Eğer yeterince zekiysen sadece süreci tersten yürüt. İsteseydim çok daha büyük zarar verebilirdim; tüm sabit diskini silmek gibi. Bu uyarıyı hatırla & açık seçik, anlamlı olarak kavra.”
Mesajın altındaki imza “The Penguin” (Penguen) adına. Linux’un ikonu bir penguen.
“Virüs, yazılımın sonunda bir Yahoo e-posta hesabına bir mesaj gönderiyor” diyen Nolan bu mesajda şunun yazdığını bildiriyor: “İş tamamlandı – Bir Salak daha ele geçirildi.”
Nolan virüse ilk olarak geçen Salı günü göz attı ve gözünü virüsün üzerinde tutmaya devam edeceğini söylüyor. Nolan’a göre bu virüs, sadece Microsoft Outlook kullanan insanlara etki edecek biçimde tasarlanmış.
“İnanıyorum ki, bunu her kim yazmışsa, yaratıcı değişimler için açık tutmuş,” diyen Nolan şöyle konuştu: “Sadece ufak bir değişiklikle bu şey yıkıcı olabilirdi. Bu tamamen yazarının keyfine kalmış.”
Virüslerin çoğunluğunda olduğu gibi Santa Clara’lı McAfee FBI’ı durumdan haberdar etti.
Kendimi Kullanılmış Hissediyorum
Mesaj bir Shockwave filmi vaadettiği için virüs oldukça hızlı yayılmış görünüyor.
Eğer açtıysanız kendinizi kötü hissetmeyin. Shockwave’i yapan San Francisco’lu Macromedia’ya göre 165 milyonu aşkın kayıtlı Shockwave oynatıcısı var.
Trend Micro (http://www.antivirus.com) ‘un sözcüsü Anita Chen: “Bizim bakış açımıza göre, film dosyası paylaşımı görünümü taknan virüsler en revaçta olanlar.” dedi.
Cupertino’lu antivirüs kuruluşu da sorun üzerinde çalışmış ve en büyük müşterilerinin bazılarında geniş çaplı bulaşma olduğunu rapor ediyorlar.
Chen konuyla ilgili olarak: “Virüsle mücadele etmek için size tavsiyemiz, bilgisayarınıza herhangi bir tür antivirüs yazılımı kurmanız. İnternet hattına girip güncelleyebileceğiniz bir yazılım olursa daha iyi olur.” diyor.
Chen ayrıca önümüzdeki birkaç hafta süresince e-postanıza dikkat etmenizi de öğütlüyor.
“Eğer beklemediğiniz birisinden bir .EXE diye biten bir dosya alırsanız onları, gönderdikleri şeyi doğrulamaları için arayın.” diyen Chen sözlerine şöyle devam etti: “Eğer şüpheli görünüyorsa, büyük olasılıkla öyledir.”
Beni Bu Şeyden Kurtarın!
Eğer mesajı gördüyseniz ama mesaja ataşlanan dosyayı çalıştırıp bilgisayarda kurmadıysanız, virüs uzmanları bu dosyayı silebileceğinizi söylüyorlar. Yalnızca ataşlanan bu dosyayı açmanız durumunda etkilenirsiniz.”
Virüsten kurtulmak için bir tür antivirüs programına ihtiyacınız var. Antivirüs programını internet hattından edinebilirsiniz.
Antivirüs programı virüsü bir kere sildikten sonra bilgisayarınız artık ne bozulur, ne de dışarıya virüsün ataşlandığı e-postalar gönderir. Yine de tüm JPG ve Sip dosyalarınızın adı değiştirilmiş ve taşınmış olarak kalırlar.
Bu dosyaların hepsi C sürücünüzün köküne yerleşmiştir. (“Bilgisayarım” ikonunu çift tıklayın ve C: Sürücüsü ikonunu çift tıklayın). Orada tüm adı değiştirlmiş dosyalarınızı ve messageforu.txt dosyasını göreceksiniz. Messageforu.txt metin dosyasında adı değiştirilmiş tüm dosyalar ve onların esas adlarının bir listesi var.
Dosyalarınızın size geri dönmesi için dosyaların sonuna eklenen “change atleast now to LINUX” (Hiç olmazsa şimdi LINUX’a geçin) yazısını silmeniz ve dosyayı asıl yerine tekrar taşımanız gerekli.
Örneğin: c:arabam.jpgchange atleast now to LINUX
Bunu onarmak için dosyanın adını eski haline, arabam.jpg haline getirecek biçimde değiştirin. (dosyanın üzerine farenin sağ tuşuyla tıklayın ve “Yeniden Adlandır”ı seçin) ve daha sonra C:messageforu.txt dosyasının metninden dosyanın nereye yerleştirileceğine bakıp oraya taşıyın.
Kaynak : 