F-Secure Corporation güvenlik firması bugün yaptığı açıklamada SoBig.F virüsünün şimdiden, kendisinden önce en çok dağılan virüsün 2 katı dağılıma ulaştığını bildirdi. Virüsün cuma ve pazar günleri yeni faza geçmesi ve 10 eylülde ise dağılımının sona ermesi bekleniyor.
Kurtçuğun, sahte adreslerle gönderilmiş e-mailler ekleri sayesinde, yaklaşık 1 milyon bilgisayara bulaştığı tahmin ediliyor. Bu enfekte olmuş bilgisayarların artık, virüsün içinde programlanmış bir listede bulunan adreslerdeki makinalara bağlantı yapmaya başlaması bekleniyor. F-Secure bu listede ABD, Kanada ve Güney Kore’den 20 kadar bilgisayarın adreslerinin bulunduğunu söylüyor.
Sophos’tan Chris Belthoff “Enfekte olmuş bilgisayarların bu 20 adresten birisine bağlanması ve o makinadan belli bir kodu çekmesi programlanmış. Bu 20 makinanın şu anda online olmadığı sanılıyor” diyor.
F-Secure’den Mikko Hyponen “Bu 20 makina tipik ev bilgisayarı görünümünde. Tek ortak özellikleri hepsi DSL bağlantıyla internete çıkıyor. En büyük olasılık, SoBig.F’in arkasındaki kişilerin bu bilgisayarları ele geçirdikleri ve saldırıda kullanacakları şeklinde.” diye ekliyor.
F-Secure ve diğer uzmanlar kurtçuğun bu 20 makinaya bağlanıp, 8-byte’lık bir gizli kodla kendini tanıttığını bildiriyor. Sunucular bir web adresi ile cevap veriyor. Enfekte olmuş makinalar, bu adresten bir program yüklüyor ve çalıştırıyorlar. Şu anda bu programın ne yapmaya programlandığı bilinemiyor.
F-Secure, sistemin içine girip, şifrelemeyi kırmalarının mümkün olduğunu ama sunucuların gönderdiği web adreslerinin şu anda hiçbir yere gitmediğini belirtiyorlar.
Hypponen “Virüsün programlayıcılarının bizim programı önceden yükleyebileceğimizi, analiz edebileceğimizi ve bir karşı atak gerçekleştirebileceğimizi bilmeleri lazım. Yani, bu nedenle planlarının bu web adreslerini tam süre bitiminde, doğru olan web adresleri ile değiştireceklerini sanıyoruz. Biz o anda dosyayı kopyalarız ama zaten çalışmaya başlamış olacak” diyor.
iDefense’de Ken Dunham “Sobig kurtçuğu 3 adımlı bir saldırı olarak geldi” diyor ve “İlk adım e-mail kurtçuğu idi. İkinci adımda arka kapı Trfojan yerleştirildi. Üçüncü adımda ise proxy sunucu kuruldu” diye devam ediyor. “Arka kapı, saldırganın bilgi çalmasına müsade edecek şekilde tasarlandı. Şifreleri çalabiliyor. Ya da, siz online bankacılık işlemlerinize yönelik bir hareket yaparken o bir key logger’ı çalıştırıyor”
Dunham, saldırı sırasında 20 IP’nin saldırgan tarafından kullanılabilir olması durumunda, bunların belli bir IP’den program yükleyeceklerini söylüyor. Bu ne olabileceğini bilmediklerini söyleyen Dunham, klasik anlamda bir arka kapı Trojan (Lala/Hooker) ya da Wingate (proxy server) olabilir diye düşünüyor.
Dunham “UDP 8998 aktivitelerini bloklamak SoBig’in uzaktaki bilgisayarlarla haberleşmesini başarıyla engeller. Bu şekilde, o bilgisayarlardan kendisini güncelleyecek/kuracak yeni programların yüklenmesi engellenir. NTP sunucu portlarının bloklanması da kurtçuğun belli bir tarih ve saatte 2.ci ya da alansal saldırılarının önüne geçecektir. 123 ve 995-999 portlarını da bloklamalısınız” diyor.
Dunham ayrıca Bilgi İşlem yöneticilerine, “Eğer bilgisayarların birisinde Wingate proxy sunucu bulunduysa, bloklayın. Böylece eskiden ya da şimdi enfekte olmuş bilgisayarı kullanarak spam yapmak engellenir” tavsiyesinde bulunuyor.
Güvenlik uzmanlarına göre SoBig.F varyantı bu hafta ilk tespit edildiğinden bu yana İnternet üzerinde en hızlı yayılan kurtçuk olarak görüldü.
F-Secure hükümet yetkilileri, otoriteler ve CERT organizasyonları ile birlikte, bahsedilen makinaların internet ilişkilerinin kesilmesi üzerinde çalıştıklarını bildiriyor: “Maalesef bu virüsün yazarları da böyle bir hareket beklentisi içinde. Bu 20 makina çok farklı operatörlerin networklerinden seçilmiş. Bu nedenle de hepsini saat 3’e kadar durdurma şansı yok. Sadece 1 tanesi bile ayakta kalsa, bu kurtçuğun başarılı olması için yeterli olabilir” diye ekliyorlar.
F-Secure, kurtçuk tarafından kullanılan tekniklerin, yazarının acemi bir genç virüs yazıcı olmadığını gösterdiğini söylüyor. Hypponen “Bütün bunun arkasındaki kim olabilir? Bana örgütlü bir suç teşkilatı gibi geliyor” diyor.
turk-internet.com Virüs Penceresi
Bu arada hatırlatmak istediğimiz bir husus var. 3 aydır sağ kolonda Virüs penceresi görüyorsunuz. Bu pencerede, 3 farklı tablo yani en son virüsler, en yaygın virüsler ve yalanci e-mail postaları random olarak karşınıza geliyor. Bu tabloları virüs bilgilerinizin güncel kalması ve en son ne tür gelişmeler olduğunu görmek için kullanabilirsiniz.