Msn worm'u diye adlandırdığım bu illet, msn yoluyla kendini çoğaltıyor bulaştığı bilgisayardaki dosyaları silmesi yanısıra kullanıcının msn listesindeki arkadaşlarınada mail göndererek ve bu mailin açılmasıyla birlikte hızla yaılıyor. öncelikle tanıdığınız kişiler dahi olsa içeriğinden şüphelendiğiniz, daha önce o arkadaşınızdan bu tür bir içerik mesajı almadıysanız tıklamamya bakın. Büyük ihtimallae o worm arkadaşınıza bulaşmış ve listede olan sizede bulaşmak için bir mail göndermiştir
Tabi konumuz eğer bulaştıysa işte burada ne yapılması gerektiğini anlatmya çalışacağım. bu worm'un antivirüs güncelleştirmelerinide engellediği yönünde bigiler öğrendim bu şekilde kullanıcının güncelleme yoluyla wo'u silmesine engel olmak ama bu şuan için pekde önemli değil aşağı yukarı tüm antivirüs programlarında bu tarih itibariyle bu güncelleme mevcut. ama çoğu antivirüs, özelliklede ücretsiz olanları e-posta taraması özellikleri sunmadığı için bu wormu saptamadan yoksun olabiliyor veya kullanıcının yanış tercihleride buana olanak sağlayabiliyor. bu worm antivirüs programlarınca çeşitli isimlendirmelerle anılmakta
WORM_ATOMICKS.A (Trend), Win32/Hotatom!Worm, Win32.Hotatom.A, W32.Hotmatom (Symantec), W32/Hotmatom.worm (McAfee), W32/Melo-B (Sophos), Worm.Win32.VB.cd (Kaspersky) ve ayrıca IRC-Worm.Win32.Agent.a olarakda geçiyor. konu msn olduğu için bu konudaki diğer temizleme içeriklerinede değineceğim.
Symatec ve McAfee sitesinde incelediğim bilgilere göre ve Microsofta kadar yönlendirme bilgilerine göre bu wormdan kurtulmak için bir reg temizleme yoluna gitmemiz gerekiyor bu işlemi Microstta ki anlatımını aynen aktarayım
FIFO Yöntemi 2
Veri deposunu yeniden boyutlandırararak, eski geri yükleme noktalarını veri deposundan kaldırmak üzere FIFO özelliğini tetikleyebilirsiniz. Veri deposunun boyutunu ayarlamak için Sistem Geri Yükleme'yi kullanmak:Veri deposunu en düşük boyutta yeniden boyutlandırdıktan sonra veri deposunda hala virüslü bir dosya varsa, bu dosyanın FIFO temelinde (FIFO Yöntemi 1) işlenip atılması için bekleyebilir veya bilgisayarınızdaki tüm geri yükleme noktalarını kaldırmak için bu makalede daha sonra açıklanan "Veri Deposunu El ile Temizleme" yöntemini kullanmayı düşünebilirsiniz.
1. Veri deposunda gerçekten ne kadar veri bulunduğunu belirlemek için _Restore klasörünün özelliklerini görüntüleyin. Bunu, bu adımın veri deposunda etkisi olup olmayacağını belirlemek için yaparsınız. Veri deposu en alt sınırın (200 MB) yüzde 90'ından (180 MB'den) daha azını kullanıyorsa, bu yöntem geri yükleme noktalarının temizlenmesinde etkili olmayabilir. Veri deposunun yüzde 90'ından daha azı kullanılıyorsa, en düşük ayarlarda bile FIFO yöntemini kullanmayı veya bu makalede daha sonra listenen "Veri Deposunu El ile Temizleme" yöntemini kullanmayı düşünmelisiniz. 2. Başlat'ı tıklatın, Ayarlar'a gidin ve sonra Denemetim Masası'nı tıklatın. 3. Sistem'i çift tıklatın ve sonra Performans sekmesini tıklatın. 4. Dosya Sistemi'ni tıklatın. 5. Sistem Geri Yükleme disk alanı kullanımı kaydırıcısını uygun düşük miktara ayarlayın ve sonra Uygula'yı tıklatın.
Sistem Geri Yükleme disk alanı kullanımı kaydırıcısını veri deposu için ayrılacak en az alan miktarını, en çok alan miktarını veya ikisi arasındaki bir alanı seçmek için kullanabileceğinizi unutmayın. Kaydırıcıyı daha düşük bir değere ayarlamak FIFO'yu tetikleyen değerleri değiştirir. Tüm değişikliklerin etkili olması için bilgisayarınızı yeniden başlatmanız gerekebilir.6. Tamam'ı tıklatın ve sonra Sistem özelliklerini kapatmak için Tamam'ı tıklatın. 7. Virüs bulaşan dosyaların veri deposundan temizlendiğinden emin olmak için, bilgisayarı taramak üzere virüsten koruma programı kullanın. Veri deposunda hala virüslü dosyalar varsa, önceki adımları tekrarlayın ve veri deposu virüs buluşan dosyalardan temizlenene kadar veri deposu boyutunu küçültün.
Ne kadar gerideki geri yükleme noktalarının temizlendiğini görüntülemek için Sistem Geri Yükleme aracındaki takvim sayfasını da kullanabilirsiniz.8. Virüs bulaşan dosyalar bu yöntem kullanılarak veri deposundan temizlendikten sonra, kaydırıcıyı özgün veya uygun boyutuna döndürün ve açık pencereleri kapatmak için Tamam'ı tıklatın ve sonra bilgisayarınızı yeniden başlatın.
Veri Deposunu El ile Temizleyin
Virüs bulaşan dosya veya dosyaları tamamen ve hemen kaldırmak için, Sistem Geri yükleme özelliğini devre dışı bırakın ve tekrar etkinleştirin.
UYARI: Aşağıdaki adımları izlemek veri deposundan tüm geri yükleme noktalarını kaldıracaktır. Eğer sorunlara neden olacaksa bu yöntemi kullanmayın. Sistem Geri Yükleme özelliğini tekrar etkinleştirdiğinizde, Sistem Geri Yükleme özelliği yeni bir geri yükleme noktası oluşturacak ve sonra bilgisayarınızı izlemeyi sürdürecektir.
1. Başlat'ı tıklatın, Ayarlar'a gidin ve sonra Denetim Masası'nı tıklatın. 2. Sistem'i çift tıklatın ve sonra Performans sekmesini tıklatın. 3. Dosya Sistemi'ni tıklatın ve sonra Sorun Giderme sekmesini tıklatın. 4. Sistem Geri Yüklemeyi Devre Dışı Bırak onay kutusunu seçmek için tıklatın, Uygula'yı tıklatın, Sistem Geri Yüklemeyi Devre Dışı Bırak onay kutusunu temizlemek için tıklatın, Uygula'yı tıklatın ve sonra Tamam'ı tıklatın. 5. İstendiğinde bilgisayarınızı yeniden başlatın. Bilgisayar yeniden başladığında, veri deposu temizlenir ve Sistem Geri Yükleme özelliği tekrar sistemi izlemeye başlar.
Microsoftta ki içerik bu şekilde. bu konuda bilgi alabileceğiniz (ingilizce) Symantec ve McAfee sitelerinede göz atabilirsiniz.
Şimdi başka çözüm yollarına gelelim. internette bulduğum ve bundan kurtulma yolarına değinen bilgileri aldığım adresleride akratmak suretiyle bu sorunu çözme yoluna.
İlk Aktaracagım bilgi antivirusler.info sitesine ait
Bir diğer bilgi içeriğini Akdeniz sitesinde buldum onuda aynen aktarayım (konu önemli olduğu için uzun bir sayfa içeriği olacak o yüzden anlayış göstereceğinize inanıyorum)
Son günlerde bir hayli yoğunlukta olan Beach Picture 2003 adıyla msn listelerinde birbirine habersiz dosya göndererek dolaşan virüsün sistemden temizlenmesi için çalışan antivirüs firmaları uzun bir zaman içinde bu illete karşı koyamadılar, aslında antivirüs firmaları ile ilgisi yok bu durumun sitemize gelen yorumlardanda anladığımız üzere antivirüslerini update etmeyen kullanıcılar bu virüsünde sisteme girmesi ile update edemez hale geliyorlar ve haliyle virüsü temizleyemiyorlar, şimdi burada yayınlayacağımız 3 yardımcı program ile bilgisayarınızı tarattığınızda bu virüsü temizleyebilirsiniz.
Msn Virüsü Temizlemek için kullanabileceğiniz yardımcı dosyalar (Bunlar antivirüs değildir)http://www.forospyware.com/Msncleaner/MsnCleaner.zip (online virüs taramasından geçemedi)
http://www.atribune.org/ccount/click.php?id=4http://www.cisrt.org/tools/SREngPS.EXE(online virüs taramasından geçemedi)
MSN kullanıcılarını hedefleyen virüs hızla yayılıyor. Bulaştığı sistemde, tüm MSN kontaklarına kendisini yaymaya yönelik mesajlar gönderiyor. Messenger listesindeki kişilerden gelen transfer aslında dosya değil, bir İnternet linki. Çoğunlukla gelen link ve dosyalar “pif” ve “scr” uzantılı oluyor.Yeni virüs tanım dosyalarında bu virüs, Serflog.A, Kelvir.B, Fatso.A vb. isimlerle tespit ediliyor.
Temizleme Yöntemi
Antivirüs yazılımları güncellenmeden virüs bulaşan PC’lerde artık otomatik güncelleme özelliği çalışmayacağından, virüsün elle silinmesi gerekiyor. Eğer İnternet’ten bir temizleme programı indirilip kullanılacaksa, MSN Messenger programının çalışmadığına emin olunmalı.
Elle temizlemede izlenecek yöntemler ise şunlar:
1. Bilgisayarınızı restart edip güvenli kipte açın (Açılış anında <F8> tuşuna basarak güvenli kipi seçebilirsiniz.)
2. Başlat menüsünden “çalıştır” (run) sekmesini tıklayıp açılan pencereye “regedit” yazarak enter’a basın.
3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmiş yeni kayıtları silin:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Yukarıdaki kayıtlar içinde “serpe”, “avnort”, “ltwob” gibi tanımlar var ise sisteminiz virüsten etkilenmiş ve her açılışta kendisini tekrar çalıştırıyor demektir. Bu tanımları silin.
4. “Bilgisayarım”ı açtıktan sonra “araçlar”dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki “gizli dosyaları göster” seçeneğini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçeneğindeki işareti kaldırın. Böylelikle virüs'ün sistem içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.
5. Aşağıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin.
C:\windows\system32\formatsys.exe
C:\windows\system32\serbw.exe
C:\windows\msmbw.exe
C:\Crazy frog gets killed by train!.pif
C:\Annoying crazy frog getting killed.pif
C:\See my lesbian friends.pif
C:\LOL that ur pic!.pif
C:\My new photo!.pif
C:\Me on holiday!.pif
C:\The Cat And The Fan piccy.pif
C:\How a Blonde Eats a Banana...pif
C:\Mona Lisa Wants Her Smile Back.pif
C:\Topless in Mini Skirt! lol.pif
C:\Fat Elvis! lol.pif
C:\Jennifer Lopez.scr
C:\lspt.exe
C:\Documents and Settings\
\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe C:\British National Party.jpg
C:\Crazy-Frog.Html
C:\Message to n00b LARISSA.txt
6. C:\Windows\System32\Drivers\etc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini silin.
Örnek içerik:
64.233.167.104 www.symantec.com
64.233.167.104 www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.avp.com
64.233.167.104 www.kaspersky.com
Bu vb. antivirüs üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız yeni güncellemeleri indirebilir hale gelecektir.
Yukarıdaki işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs yazılımını İnternet’e bağlanarak güncelleyin ve gözden kaçmış kalıntılar olabileceğini düşünerek bilgisayarınızı virüs taramasından geçiri.
Etkilenen Sistemler
Windows 95, 98, ME, NT, 2000, XP Detaylı bilgi için:
http://www.symantec.com/avcenter/venc/data/w32.serflog.a.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.bropia.html
ve son olarakta Akirawa sitesinden aldığım bilgileri aktarıp bu konuyu sonlandırmak umarım bu sorunla karşı karşıya olan arkadaşlar bu yollardan biryle çözüme ulaşır.
Son iki gündür özellikle Türkiye de çok yaygın bir MSN worm salgını var. MSN listenizdeki birilerinden gelen bir takım resimler olduğunu belirten mesajlarla birlikte dosyalar gönderen bu worm un sadece 2 günde 7-8 adet farklı örneği elime ulaştı. Burada en iyi çözüm hepimizin bildiği üzere gelen dosyaları açmamak ya da en azından bu zipler içindeki .com uzantılı dosyaları(worm bir sosyal mühendislik hilesi ile dosya isimlerine bir web sitesi linki süsü veriyor
örn: www.539_06.jpg.com) çalıştırmamak. Son 2 gündür tecrübe ettiğim üzere bu çok da kolay değilmiş :)
Sorunu geçici de olsa bir çözüm geliştirmek için en azından son iki gündeki örneklerden basit bir fix tool hazırladık(çalışma arkadaşım Gürcan'ın katkılarıyla) buradan indirebilirsiniz.
Ancak belirtmeliyim ki çok fazla test etme şansımız olmadı. 8-10 virüslü sistemde yaptığımız denemeler olumlu sonuç verdi.
Hiç yorum yok:
Yorum Gönder