Symantec Güvenlik Yanıt Merkezi Direktörü Alfred Huger yaptığı açıklamada; Microsoft Windows DCOM RPC Interface Buffer Overrun güvenlik açığını kullanan The W32.Blaster.Worm’un, dünyada CodeRed, Nimda ya da Slammer’dan daha yavaş yayıldığını, ancak W32.Blaster.Worm’un yayılma potansiyelinin, MS RPC Buffer Overrun açığını kullanarak zarar veren diğer solucanlara göre daha fazla olduğunu belirtti.
Şu ana kadar solucan tarafından 572.458 sunucunun etkilendiği ilk 5 ülke sırasıyla; ABD (%43), Ingiltere (%17), Kanada (%3), Avustralya (%3) ve Almanya (%2)’dır.
Virüsün yayılma hızının yavaşlamasına rağmen ilk varyantı belirlendi. W32.Blaster.worm’un bir varyantı olan W32.Blaster.B.worm, Penis.exe adıyla da faaliyet gösteriyor. Symantec Güvenlik Yanıt Merkezi bu solucanın tehdit seviyesini 2 olarak belirledi. Buna ek olarak Symantec W32.Randex.E adında, aynı güvenlik açığının avantajlarını kullanan yeni bir Trojan keşfetti. Yine 2.seviye olarak tanımlanan bu Trojan, yaratıcısının IRC (Internet Relay Chat)’yi kullanarak bir bilgisayarı uzaktan kontrol etmesine imkan veriyor.
Symantec Erken Uyarı Sistemlerinin bir parçası olan Symantec DeepSight Threat Management System, güvenlik tehditlerinin izini sürerek, global bir kaynak üzerinden kötü niyetli tehditlere karşı koruma sağlamak üzere, hızlı karşı tedbir analizleri yapar. Internet üzerinde olup biten herşeye en geniş açıdan bakma fırsatı sağlayan Symantec DeepSight Threat Management System, dünyadaki en geniş kapsamlı veri ağına sahiptir ve180’den fazla ülkede 20.000’den fazla partnerinin Saldırı Tespit Sistemleri’nden (IDS) ve firewall’larından sorun çözümü için veri toplamaktadır.
Symantec Güvenlik Yanıt Merkezi ağ yöneticilerine aşağıdaki araçları kullanmalarını öneriyor:
- Kullanılabilir bütün yamaları ve Microsoft Security Bulletin MS03-026’dan ulaşılan zararın etkisini azaltıcı, uygun olabilecek bütün stratejileri temin edin. Yamaya burayı tıklayarak ulaşabilirsiniz.
- Ağ çevresindeki ve bütün güvenilmeyen ağ segmentleri arasındaki şu portların filtre edildiğinden emin olun:
udp/135, udp/137, udp/138, tcp/135, tcp/445 and tcp/593.
Symantec Güvenlik Yanıt Merkezi ev kullanıcılarının da en kısa sürede Microsoft’un en son yamasını kurmalarını ve W32.Blaster.Worm’a karşı koruma sağlamak üzere virüs tanımlamalarını güncellemelerini öneriyor.
W32.Blaster.Worm Removal Tool
Symantec Güvenlik Yanıt Merkezi W32.Blaster.Worm için bir etkisizleştirme aracı hazırladı. Bu araca burayı tıklayarak ulaşabilirsiniz.
Symantec Güvenlik Çözümleri
Symantec’in full-application tespit firewall’ları W32.Blaster’a karşı koruma sağlamaktadır. Solucanı etkisiz hale getirmek için güvenlik açıklarının bulunduğu bütün 135, 139 ve 445 TCP port’lar bloke edilmektedir. Maksimum koruma için 3.kuşak full-application tespit teknolojisi, HTTP kanalları üzerinde DCOM trafiğinin açılmasını akıllıca bloke ederek, en yaygın ağ filtreleme firewall’larında bile henüz hazır olmayan ekstra bir koruma tabakası sağlar. Özellikle masaüstünü korumak üzere geliştirilen Symantec Client Security and Norton Internet Security’de bulunan firewall teknolojisi, bu tehdidi etkisiz hale getirerek koruma sağlamaktadır.
Symantec ManHunt’ta bulunan protokol anomali tespit teknolojisi, “Portscan” gibi, bu Microsoft güvenlik açığı ile bağlantılı aktiviteleri tespit eder.
Kullanıcılar, ayrıca, Symantec’in 25 Temmuz 2003’te yayınladığı, Microsoft DCOM RPC Buffer Overflow güvenlik açığınının kesin olarak tespit edilmesine yarayan, özel imzayı kullanabilirler. RPC DCOM buffer overflow açığından yararlanan saldırıları tespit etmek üzere hazırlanan bu imzalar sadece W32.MSblaster.Worm için kullanılmamaktadır. Symantec ManHunt, bu imzaları kullanarak yeni bir sunucuya yapılan saldıran ya da etkileyen solucanı tespit edebilmektedir.
Symantec Enterprise Security Manager (ESM) bu solucanın istismarına neden olan olan güvenlik açığını 17 Temmuz 2003 tarihinden itibaren tespit etmiş ve yayınlamış bulunmaktadır. (LiveUpdate ve Web Sitesi’nde)
Symantec ESM, heterojen kurumlardaki her türlü kritik iş uygulamaları ve sunucular için tek bir noktadan özgün güvenlik politikalarının oluşturulmasına, bu politikaların yürütülmesine imkan tanıyan, endüstri lideri güvenlik politikalarına uyum çözümüdür.
W32.Blaster.Worm Hakkında
W32.Blaster.Worm, TCP port 135’ı kullanarak DCOM RPC güvenlik açığını istismar eden bir solucandır. Bu solucan msblast.exe dosyasını indirip çalıştırmayı hedefliyor. Ayrıca Windows Update’e karşı “Servis Reddi” atağı girişiminde bulunuyor. Bu girişim, kullanıcıların DCOM RPC güvenlik açığına karşı sistemlerine yama uygulamalarını engelliyor.
Bu solucan hakkında daha fazla bilgi almak ve onun nasıl yok edileceğini, virüslü dosyaların nasıl taranacağını öğrenmek için Symantec Güvenlik Yanıt Merkezi’nin web sitesine girebilirsiniz
SYMANTEC HAKKINDA
İnternet güvenlik teknolojilerinde dünya liderlerinden Symantec; bireylere, işletmelere ve servis sağlayıcılara, geniş çaplı içeriğin yanı sıra ağ güvenliği yazılımı ve uygulama çözümleri sağlıyor. Şirket, dünya çapındaki kuruluşlara; firewall security, sanal ağ oluşturma, virüs koruması, saldırılara karşı hassasiyet değerlendirmesi, izinsiz girişlerin önlenmesi, İnternet içeriği ve e-mail filtrelemesi, uzaktan yönetim teknolojileri ve güvenlik hizmetlerinin sağlanmasında lider çözümler sunuyor. Symantec’in Norton markalı tüketici güvenlik ürünleri, dünya çapındaki perakende satışlarda ve endüstri ödülleri sıralamalarındaki pazar lideri konumunu sürdürüyor. Merkezi, Cupertino California’da olan Symantec, aralarında Türkiye’nin de bulunduğu 38 ülkede faaliyet gösteriyor.