Bugünlerde yeni bir virüs dalgasının başladığını duymadığımız gün yok nerdeyse. En son vuranın adı W32/[email protected] veya I-Worm.Updater. Yeni arkakapı, Yeni Kurtçuk veya I-Worm.Imelda olarak da biliniyor. Biz bu yazıda Updater olarak adlandıracağız. Bu kurtçuk ilk olarak 2000 Eylül’ünde kendini gösteren VBS.Update’in bir başka türevi.
Bu truva atı da, diğerleri ile aynı yöntemleri kullanıyor. Kullanıcıya zararsızmış gözüken bir ek gönderiyor. İlk bakışta tanımak çok zor çünkü mail “konu”su olarak çok farklı şeyler kullanılıyor. Sizin için aşağıda bunları 4 gruba topladık;
| 1 : | “Have you “, “You Should “, “Just “, “Why Not you “, “How to “, “Re: “, “Fwd : ” |
|---|---|
| 2 : | “Check “, “Check out”, “Watch out “, “Open “, “Look at ” |
| 3 : | “this “, “my “, “For this “, “The “, “Subject ” |
| 4 : | “Report”, “Documment”, “Quotation”, “Transaction”, “Bank Account”, “WTC Tragedy”, “Osama Vs Bush”, “Account”, “Private Pic”, “Picture “, “Program “, “Patch”, “Nude pic” |
Yani “Konu” bölümünde “Have you Open Documment” ya da “Check out For this Report” görürsünüz. Mailin içinde ise yazılı olanlar belirlidir. Sadece ekli dosyanın adı değişiebilir. Aşağıdakilerden birisi olabilir ;
Files.exe
install.exe
Letter.Doc.exe
Picture.exe
Picture.jpg.exe
Quotation.Doc.exe
Readme.exe
Setup.EXE
Tipik bir updater içeren mailin içinde aşağıdaki bölüm yer alır.
———————————————————–
From: [Someone you may know]
Subject: Just Look at my Account
Attachment: Letter.Doc
—
Hi:
This is the file you ask for, Please save it to disk and open this
file, it’s very important.
———————————————————–
Bu notun ekindeki dosya muhtemelen word ikonu taşıyor olabilir.
Nasıl Çalışır
Ekli dosyaya tıkladığınızda makinanız enfekte olur. Arkasından düzmece bir “Dosya Açma” hatası gözükür “Cannot Open File : It does not appear to be a valid archive. If you Downloaded this file, try Downloading the file again” . Bu kullanıcıyı, kötü bir şey olmadığına sadece dosya açmada bir problem oluştuğuna inandırır.
Updater çalışmaya başladığında, kendini önce kopyalar sonra outlook adres defterindeki tüm adreslere gönderir. Daha sonra da kendini WINDOWS ya da WINDOWS/SYSTEM32 bölümü içine kopyalayarak aşağıdaki kayıt anahtarını yaratır:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunUpdate=C:WINDOWSUpdate.exe
Bu arada şöyle bir Visual Basic script yazılır; C:WINDOWSSTARTM~1PROGRAMSSTARTUPUpdate.vbs
Bu ise, Windows’u bir sonraki çalıştırmanız sırasında devreye girer. Network drive’larınızı tarar ve .DOC, .EXE and .TXT uzantılı dosyalarınızın bulunduğu bölğme kendini kopyalar. Bulduğu dosyaları değiştirmez ama aynı isimde olan ama uzantısına .VBS eklenen dosyalar yaratır. Mesela README.TXT, README.TXT.VBS haline gelir.
Script aşağıdaki gibi okur:
I-WORM.IMELDA.B
(C)2001, by Iwing
Virusindo – Indonesian Virus Network
http://indovirus.8m.com , IRC Dalnet #indovirus
Daha da ötesi, her ayın 12sinde, şöyle bir mesajla karşılasacaksınız “Hi there… you are infected by some of IWING creations… Have a nice day.”
Sonuç
Updater çok büyük hasarlara yol açmıyor ama makinanızın ve network’ünüzün bütünlüğü ve güvenliği açısından bir problem. Anti-virüs şirketleri henüz bu virüsü çok tehlikeli sınıfına koymadılar ama yine de belli olmaz. Bilgisayarınıza nüfuz eden zararsız bir virüs, daha sonra gönderilecek çok daha zararlı bir başkasının öncüsü olabilir.
Korunma ya da Kurtulma
Tüm korunma (virüs ya da firewall) programlarınızı güncel tutun. Kullanıcılarınıza da bilmedikleri kişilerden gelen “ekli dosya”ları açmamalarını öğretin. Windows, Outlook ve Outlook Express programlarının ayarlarını kontrol edin, ettirin, eğer dosyaları otomatik açıyorlarsa, değiştirin. Dosyaların da isimlerini uzantıları ile birlikte gösterecekleri şekilde düzelttirin.
Virüsü sistemden silmek için RegEdit ya da benzer bir araç kullanarak Registry açın. Yukarıda yazdığımız anahtarı bulun ve eğer bu satırlar varsa silin. Makinanızı command line modunda reboot edin. Ya da temiz bir DOS disketi kullanarak reboot edin. Sonra UPDATER.EXE ve .VBS uzantılı dosyaları arayın. Şüpheli dosyalar varsa silin.
Virüslerin girişini kolaylaştıran ayarları değiştirmek için, Windows 9x ya da NT’de, Windows Explorer’ açın. View | Option | View’i tıklayın. Sonra “Hide file extensions for known file types” kutucupunu işaretleyin. Windows 2000’de aynı ayarı Tools | Folder Options | View bölümünden yapacaksınız.
