Her yılbaşı mutlaka bir “Yılbaşı Virüsü” ortaya çıkar ve hepsi de farklıdır. Ama bu yazıda konuşacağımız asıl tehlike, farklı kaynaklardan farklı bilgiler buluyor olmamız. Mesela her zaman kullandığınız arama motorunda “Happy New Year Virüs”üne bakarsanız, muhtemelen “Şaka” olduğunu yazdıklarını göreceksiniz. 1999 yılında öyleydi. Aşağıdakine benzer bir metin ile gönderilirdi:
————————-
Warning on December 31, 1999 you may receive an email called, Happy New Year…do not open it, it contains a deadly virus…it will erase windows from your computer along with many other program files.Pass this on as soon as you can to get the WORD out!!!This is not a hoax….this was reported on CNN on Tuesday the 2nd November 1999!
Bereft of any attachments or a bona-fide e-mail following up on this, that was, of course, a hoax.
————————-
Ancak, arama motorunda bunu görüp hafife almayın. Şimdi aynı adı taşıyan yeni bir virüs var. Üstelik makinanızda izini bırakmaya hazır bekliyor.
Aşağıdakine benzer bir e-mail ile geliyor:
————————-
From: an associate
To: you
Subject: Happy New Year
or in many instances,
Subject: Hi
Message text:
Hi, I can’t describe my feelings But all I can say is Happy new year:-)
Bye
Attachment: Christmas.exe
————————-
Ekli dosyada güzel bir şeyler varmış gibi gözüküyor. Mesela eğer Macromedia Flash dosyası gibi gözüküyorda, çalıştırıldığında Santa ve Ren geyiği olan bir ufak animated program gibi gözüküyor. Christmas.exe aslında Reezak ya da Zacker veya Keyluc olarak bilinen bir Trojan.
Nasıl Çalışıyor
Bu kurtçuğun da bir sürü çeşidi var. Ama her durumda aynı şeyi yapıyor. Reeezak kendisini Windows altına CHRISTMAS.EXE olarak kopyalıyor. Bir iki türünün yaptıkları ise şöyle:
sm56hlpr olarak adlandırılan bir işlem oluşturulur ve keyboard kilitlenir.
Tüm kitlesel mailing işlemlerinde olduğu gibi, Reeezak, Outlook ya da Outlook Express adres defterinizdeki tüm adreslere kendisini göndererek çoğalır.
Windows Registry aşağıdaki gibi değiştirilir;
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/ZaCker
Aşağıdaki girişle ise CHRISTMAS.EXE çalıştırılır. Çünkü kurtçuğu içeren dosyanın yeri işaret edilmektedir. Sonuçta, bu iğrenç program windows’un her açılışında çalışır.
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/ComputerName/
ComputerName/ComputerName = “ZaCker”
Sonraki giriş, yani aşağıdaki ile worm Bilgisayarınızın adını ZaCker olarak değiştirir.
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/
Start page = http://geocites.com/jobreee/ZaCker.htm
Bu da Internet Explorer başlangıç sayfanızı modifiye ediyor. Browser’ınıza kötü bir site adresi gönderiyor. Bu arada Visual basic bir script çalışarak bilgisayarınızdaki windows işletim sisteminin büyük bir kısmını siliyor.
Reeezak Windows NT üzerinde çalışır ise, bir sürü işlem yapar ve sonuçta bilgisayarın tüm memory’sini kullanıyor hale gelir.
Bu programın mIRC (Aynen Goner gibi) ve paylaşılan network sürücüler yoluyla da dağıldığına dair bazı raporlar var.
Nasıl Temizlenir
Bu kurtçuğu manual olarak temizlemek için, bilgisayarınızı SAFE MODE’da çalıştırın. Daha sonra, yukarıda anlattığımız tüm derğişiklikleri yok edin. Tersini yapın. Windows ve/veya SYSTEM32 klasörlerinin altında yeni bir dosya yaratılmış mı kontrol edin. Bilgisayarınızı yeniden çalıştırın. Anti-Virüs programınızı kullanıp scan ve temizleme yapın.
Bu yeni bir virüs. Bu nedenle anti-virüs programınızın güncel olmasını önemseyin. Outlook Express’in güvenlik yamalarını tamamlayın. Network yöneticisi iseniz, kullanıcılarınızı eğitin. Özellikle, ekli dosyalar, paylaşılmış klasörlerden alacakları dosyalar, mIRC konularında dikkatli olmalarını sağlayın. Outlook ya da Outlook Express programlarının ek dosyaları otomatik çalıştırmalarını yasaklayın.