Downadup, Kido ve Conficker adlarıyla bilinen 'solucan' şimdi de askeri birliklere saldırıyor
Microsoftun MS08-067 yamasıyla çözmüş olduğu solucan tipi virüs, Atatürk Havalimanı’na bulaştıktan sonra şimdi de Fransız ordusunda ortaya çıktı. Virüsün bugüne kadar 9 milyon bilgisayarı ele geçirdiği tanhmin ediliyor.
Fransız savunma bakanlığının bilgisayar ağlarında iki hafta boyunca dolaşan virüs sebebiyle ülke savunmasına yönelik kurulmuş bazı güvenlik sistemleri kullanılamadı.
Savunma Bakanlığı ağına girmesinden iki gün sonra Villacoublay Hava Üssü’ne ulaşan virüs sebebiyle savaş uçakları da kalkış yapamadı.
Virüsün varlığı 23 Ekim 2008 tarihinde yayınlanan Microsoft Güvenlik Bülteni ile kamuoyuna açıklanmış, problemin çözümü ortaya konmuş ancak Microsoft tarafından yapılan tüm haberlere rağmen ağ yöneticilerinin ve bilgi teknolojileri çalışanlarının uyarılara kulak asmadığı belirtilmişti.
Microsoft’un yayınladığı bültene göre solucan Windows içinde bulunan ses hizmetleri, sunucu yazılımları gibi arkaplan servislerinin çalışmasını saplayan “services.exe” isimli uygulamayı enfekte ederek, aslında Windows’un çalışması için gerekli olan bu uygulamanın bir parçası haline geliyor.
Services.exe’nin bir parçası haline gelen zararlı betik parçacığı, kendisini Windows’un sistem klasörü altına kopyalayarak, 5-8 karakterli bir “dll” dosyası olarak saklıyor. Windows’un uygulama ayarlarını tutan “Registry” (Kayıt kitaplığı) içinde bir düzenleme yapan uygulama, bu noktadan sonra kendini sistem için gerekli bir servis olarak tanımlayarak bilgisayar açık olduğu her an arkaplanda çalışmaya devam ediyor.
Solucan çalışmaya başladığı andan itibaren bir HTTP sunucusu (İnternet üzerinden tarayıcı vasıtasıyla ulaşabilen Web sunucu hizmeti) oluşturuyor, sistemin en son Geri Yükleme Noktasını (System Restore Point) silen virüs bu şekilde temizlenmesini daha güç hale getiriyor ve saldırganların sitesi üzerinden dosyalar yüklemeye başlıyor. Bu şekilde uzaktan bağlanan saldırganlar enfekte olan bilgisayarda kolaylıkla istedikleri işlemleri gerçekleştirebiliyorlar.
Birçok solucan, İnternet üzerinden bağlandıkları siteler sayesinde kolaylıkla ayırt edilebiliyor ancak, Conficker olarak anılan bu yeni solucan, tamamen rasgele isimlerle (mphtfrxs.net, imctaef.cc, ve hcweu.org gibi) oluşturulmuş yüzlerce alan adına bağlanan son derece sofistike bir algoritma kullandığı için rahatlıkla fark edilemiyor. Çünkü sayısıyla yüzlerle ifade edilen bu alan adlarından hangisinin saldırganın websitesi olduğu henüz çözülebilmiş değil. Solucanın hangi internet sitesinden zararlı betiği çekip çalıştırdığını anlamak neredeyse imkansız.
Solucan’ın nasıl çalıştığını anlamak amacıyla virüsü tersine mühendislik (reverse engineering) yöntemiyle analiz eden bilgisayar uzmanları henüz bir çözüm bulabilmiş değil ancak, en azından Downadup adı verilen varyantın kaç bilgisayar üzerinde çalıştığını biliyorlar.
“Onları görebiliyoruz ancak, temizleyemiyoruz” şeklinde konuşan F-Secure’un araştırmacılarından Toni Kovunen, rasgele oluşturulmuş alan adlarından birkaç tanesini ele geçirdiklerini ifade ederek, bu alan adlarına yüzbinlerce farklı IP adresi üzerinden istemcilerin bağlandığını söylüyor.
Microsoft’un yorumlarına göre, zararlı yazılım dünyanın farklı noktalarında bir çok bilgisayarı ele geçirmiş durumda. En çok hasarı ise Çin, Brezilya, Rusya ve Hindistan’da bulunuyor.haberturk
