- Kayıt
- 3 Nisan 2008
- Mesaj
- 2.630
- Tepki
- 89
Teknikve sistem konularında forum içerisinde kendisinin makalelerine yer verdiğim Sayın Burak Şekercioğlu'nun bilgisayarımızı tehdit eden önemli bir virüs ile ilgili olarak hazırlamış olduğu makaleyi sizinle paylaşmak istiyorum. Makele orjinal haliyle aşağıdadır.
//////////******////////////
Bu virüs sisteme bulaştığında hiçbir belirti görmeyebilirsiniz ya da aşağıdaki belirtilerden bir yada birkaçını yaşayabilirsiniz;
İsterseniz, bir çok kurum ve kuruluşun başını ağrıtan bu virüsün bulaşma tekniklerini inceleyelim;
Virüs sistemlere taşınabilir bellekler aracılığı ile bulaştıktan sonra ağ üzerindeki diğer sistemlere uzak sistemlerin ADMIN$ kullanıcısını kullanarak yayılıyor. Eğer ADMIN$ kullanıcısında şifre var ise bu seferde otomatik olarak basit şifre kombinasyonlarını denemek sureti ile uzak sisteme erişmeye çalışıyor.
Virüsün sistemlerde denediği şifre kombinasyonları aşağıda yer aldığı gibidir;
Bu şifreler sayesinde virüs sisteme ulaştığında ise
\
(örn: C:\Windows\system32\zdtnx.g or C:\Windows\system32\kdcktv.dll)
%Program Files%\Internet Explorer\[Rastgele].dll
%Program Files%\Movie Maker\[Rastgele].dll
%Program Files%\Windows Media Player\[Rastgele].dll
%Program Files%\Windows NT\[Rastgele].dll
Hemen ardından rastgele isime sahip bir servis olarak çalışmaya başlıyor ve bazı erişim yetkilerini değiştirerek kullanıcılar tarafından görülmemeyi sağlıyor.
HKLM\SYSTEM\CurrentControlSet\Services\
Genel olarak kullandığı servis kaydı HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs
netapi32.dll dosyasına kendini patch haline getiriyor ve silinmesi imkansız hale geliyor bununla ilgili Microsoft tarafından kritik olarak nitelendirilen güncelleştirmeler çıkmıştır.LİNK
Ayrıca virüs sistem açılışında otomatik olarak çalışabilmek için
Virüs ayrıca sistemde yer alan aşağıdaki servisleri de kapatır;
Virüs aynı zamanda Lokal ağ yerine Geniş Ağ (WAN) üzerinde de yayılmak isteyebilir bu durumda da;
* http://www.whatismyipaddress.com
* http://www.ipdragon.com
* http://www.findmyip.com
* http://www.ipaddressworld.com
* http://www.myipaddress.com
* http://checkip.dyndns.com
* http://checkip.dyndns.org
adreslerine bağlanır ve aldığı IP bilgileri doğrultusunda yayılmaya çalışır.
Evet gördüğünüz gibi virüsümüz öncelikli olarak USB taşınabilir diskler aracılığı ile yayılıp daha sonrada yayılımına LAN ortamında devam etmektedir. Peki bizler ne yapmalıyız ki bu virüsten kurtulalım.
1) USB belleklerin AUTORUN özelliğini kapatın
4)Sisteminizdeki kullanıcılara basit şifre tanımlaması yapmayın
5) Çeşitli temizleme araçlarını kullanarak sisteminizi temizleyebilirsiniz.
Microsoft Conficker Temizleme aracı
Sophos temizleme aracı
Symantec Conficker FixTool ancak bu programı kullanmadan önce komut satırınıza net stop dnscache yazarak DNS önbellekleme servisini durdurmalısınız.
//////////******////////////
Bu virüs sisteme bulaştığında hiçbir belirti görmeyebilirsiniz ya da aşağıdaki belirtilerden bir yada birkaçını yaşayabilirsiniz;
* Hesap kilitleme ilkeleri takılıyor.
* Otomatik Güncelleştirmeler, Arka Plan Akıllı Aktarım Hizmeti (BITS), Windows Defender ve Hata Bildirimi Hizmetleri devre dışı bırakılıyor.
* Etki alanı denetleyicileri, istemci isteklerine yavaş yanıt veriyor.
* Ağda sıkışıklık yaşanıyor.
* Güvenlikle ilgili çeşitli Web sitelerine erişilemiyor.
Win32/Conficker.B solucanı birden çok yayılma yöntemi kullanmaktadır.* Otomatik Güncelleştirmeler, Arka Plan Akıllı Aktarım Hizmeti (BITS), Windows Defender ve Hata Bildirimi Hizmetleri devre dışı bırakılıyor.
* Etki alanı denetleyicileri, istemci isteklerine yavaş yanıt veriyor.
* Ağda sıkışıklık yaşanıyor.
* Güvenlikle ilgili çeşitli Web sitelerine erişilemiyor.
* Güvenlik güncelleştirmesi 958644 (MS08-067) ile giderilen güvenlik açığından yararlanma
* Ağ paylaşımlarını kullanma
* Otomatik Kullan işlevselliği kullanma
Bu nedenle, tehdidin daha önce temizlenen sistemlere yeniden bulaşmaması için solucanı ağdan temizlerken dikkatli olmalısınız. * Ağ paylaşımlarını kullanma
* Otomatik Kullan işlevselliği kullanma
İsterseniz, bir çok kurum ve kuruluşun başını ağrıtan bu virüsün bulaşma tekniklerini inceleyelim;
Virüs sistemlere taşınabilir bellekler aracılığı ile bulaştıktan sonra ağ üzerindeki diğer sistemlere uzak sistemlerin ADMIN$ kullanıcısını kullanarak yayılıyor. Eğer ADMIN$ kullanıcısında şifre var ise bu seferde otomatik olarak basit şifre kombinasyonlarını denemek sureti ile uzak sisteme erişmeye çalışıyor.
Virüsün sistemlerde denediği şifre kombinasyonları aşağıda yer aldığı gibidir;
99999999
9999999
999999
99999
9999
999
99
9
88888888
8888888
888888
88888
8888
888
88
8
77777777
7777777
777777
77777
7777
777
77
7
66666666
6666666
666666
66666
6666
666
66
6
55555555
5555555
555555
55555
5555
555
55
5
44444444
4444444
444444
44444
4444
444
44
4
33333333
3333333
333333
33333
3333
333
33
3
22222222
2222222
222222
22222
2222
222
22
2
11111111
1111111
111111
11111
1111
111
11
1
00000000
0000000
00000
0000
000
00
0987654321
987654321
87654321
7654321
654321
54321
4321
321
21
12
fuck
zzzzz
zzzz
zzz
xxxxx
xxxx
xxx
qqqqq
qqqq
qqq
aaaaa
aaaa
aaa
sql
file
web
foo
job
home
work
intranet
controller
killer
games
private
market
coffee
cookie
forever
freedom
student
account
academia
files
windows
monitor
unknown
anything
letitbe
letmein
domain
access
money
campus
explorer
exchange
customer
cluster
nobody
codeword
codename
changeme
desktop
security
secure
public
system
shadow
office
supervisor
superuser
share
super
secret
server
computer
owner
backup
database
lotus
oracle
business
manager
temporary
ihavenopass
nothing
nopassword
nopass
Internet
internet
example
sample
love123
boss123
work123
home123
mypc123
temp123
test123
qwe123
abc123
pw123
root123
pass123
pass12
pass1
admin123
admin12
admin1
password123
password12
password1
default
foobar
foofoo
temptemp
temp
testtest
test
rootroot
root
adminadmin
mypassword
mypass
pass
Login
login
Password
password
passwd
zxcvbn
zxcvb
zxccxz
zxcxz
qazwsxedc
qazwsx
q1w2e3
qweasdzxc
asdfgh
asdzxc
asddsa
asdsa
qweasd
qwerty
qweewq
qwewq
nimda
administrator
Admin
admin
a1b2c3
1q2w3e
1234qwer
1234abcd
123asd
123qwe
123abc
123321
12321
123123
1234567890
123456789
12345678
1234567
123456
12345
1234
123
Bu şifreler sayesinde virüs sisteme ulaştığında ise
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Applets
ds = “{binary values}”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Applets
ds = “{binary values}”
registry kaydını oluşturuyor veCurrentVersion\Applets
ds = “{binary values}”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Applets
ds = “{binary values}”
\
(örn: C:\Windows\system32\zdtnx.g or C:\Windows\system32\kdcktv.dll)
%Program Files%\Internet Explorer\[Rastgele].dll
%Program Files%\Movie Maker\[Rastgele].dll
%Program Files%\Windows Media Player\[Rastgele].dll
%Program Files%\Windows NT\[Rastgele].dll
Hemen ardından rastgele isime sahip bir servis olarak çalışmaya başlıyor ve bazı erişim yetkilerini değiştirerek kullanıcılar tarafından görülmemeyi sağlıyor.
HKLM\SYSTEM\CurrentControlSet\Services\
Genel olarak kullandığı servis kaydı HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs
netapi32.dll dosyasına kendini patch haline getiriyor ve silinmesi imkansız hale geliyor bununla ilgili Microsoft tarafından kritik olarak nitelendirilen güncelleştirmeler çıkmıştır.LİNK
Ayrıca virüs sistem açılışında otomatik olarak çalışabilmek için
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{Service Name}
Image Path = “%Windows%\System32\svchost.exe -k netsvcs”"
Image Path = “%Windows%\System32\svchost.exe -k netsvcs”"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{Service Name}\
Parameters
ServiceDll = “{virüs dosyası}”
Parameters
ServiceDll = “{virüs dosyası}”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SvcHost
netsvcs = {Servis ismi}
registry kayıtlarını ekler. Burada belirtilen servis isimleri aşağıda yer alan kombinasyonlardan seçilmektedir;CurrentVersion\SvcHost
netsvcs = {Servis ismi}
* App
* Audio
* DM
* ER
* Event
* Ias
* Ir
* Lanman
* Net
* Ntms
* Ras
* Remote
* SR
* Sec
* Tapi
* Trk
* W32
* Wmdm
* Wmi
* help
* win
* wsc
* wuau
* xml
* access
* agent
* auto
* logon
* man
* mgmt
* mon
* prov
* serv
* Server
* Service
* Srv
* srv
* svc
* Svc
* System
* Time
Virüs ayrıca sistemde yer alan aşağıdaki servisleri de kapatır;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{kapatılacak servis ismi}
Start = “4″
* BITS
* ERSvc
* WerSvc
* WinDefend
* wscsvc
* wuauserv
Eğer sistemde aşağıdaki registry kaydı varsa bunları da kendi güvenliği için SİLERStart = “4″
* BITS
* ERSvc
* WerSvc
* WinDefend
* wscsvc
* wuauserv
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Windows Defender = {RASTGELE BİLGİ}
Windows Defender = {RASTGELE BİLGİ}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
explorer\ShellServiceObjects
{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
Ayrıca sistemde bulunan aşağıdaki API lere de bağlanır.explorer\ShellServiceObjects
{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
* DnsQuery_A
* DnsQuery_UTF8
* Query_Main
Eğer kullanıcı bir şeylerden şüphe edip aşağıdaki kelimeleri içeren sitelere girmek isterse bu siteleri kapatır;* DnsQuery_UTF8
* Query_Main
* activescan
* adware
* agnitum
* ahnlab
* anti-
* antivir
* arcabit
* av-sc
* avast
* avg.
* avgate
* avira
* avp.
* bdtools
* bit9.
* bothunter
* ca.
* castlecops
* ccollomb
* centralcommand
* cert.
* clamav
* comodo
* computerassociates
* coresecur
* cpsecure
* cyber-ta
* defender
* doxpara
* drweb
* dslreports
* emsisoft
* enigma
* esafe
* eset
* etrust
* ewido
* f-prot
* f-secure
* fortinet
* free-av
* freeav
* fsecure
* gdata
* gmer.
* grisoft
* hackerwatch
* hacksoft
* hauri
* honey
* ikarus
* insecure.
* iv.cs.uni
* jotti
* k7computing
* kaspersky
* kav.
* llnw.
* llnwd.
* malware
* mcafee
* microsoft
* mirage
* mitre.
* ms-mvp
* msdn.
* msft.
* msftncsi
* msmvps
* mtc.sri
* nai.
* ncircle
* networkassociates
* nmap.
* nod32
* norman
* norton
* onecare
* panda
* pctools
* precisesecurity
* prevx
* ptsecurity
* qualys
* quickheal
* removal
* rising
* rootkit
* safety.live
* sans.
* secunia
* securecomputing
* secureworks
* snort
* sophos
* spamhaus
* spyware
* staysafe
* sunbelt
* symantec
* technet
* tenablese
* threat
* threatexpert
* trendmicro
* trojan
* vet.
* virscan
* virus
* wilderssecurity
* windowsupdate
Virüs aynı zamanda Lokal ağ yerine Geniş Ağ (WAN) üzerinde de yayılmak isteyebilir bu durumda da;
* http://www.whatismyipaddress.com
* http://www.ipdragon.com
* http://www.findmyip.com
* http://www.ipaddressworld.com
* http://www.myipaddress.com
* http://checkip.dyndns.com
* http://checkip.dyndns.org
adreslerine bağlanır ve aldığı IP bilgileri doğrultusunda yayılmaya çalışır.
Evet gördüğünüz gibi virüsümüz öncelikli olarak USB taşınabilir diskler aracılığı ile yayılıp daha sonrada yayılımına LAN ortamında devam etmektedir. Peki bizler ne yapmalıyız ki bu virüsten kurtulalım.
1) USB belleklerin AUTORUN özelliğini kapatın
Başlat > Çalıştırı açıyor ve Regedit.exe yazıp entera basıyoruz.
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer kısmına geliyoruz
NoDriveTypeAutoRun
anahtarına sağ tıklatıp değiştir diyoruz ve açılan ekrandaki ” ff ” yazısını ” df ” olarak değiştiriyoruz.
Bilgisayarınızı kapatıp yeniden açtığınızda ayarlar aktif hale gelecektir.
2)Bilgisayarınızdaki gizli paylaşımları kapatınHKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer kısmına geliyoruz
NoDriveTypeAutoRun
anahtarına sağ tıklatıp değiştir diyoruz ve açılan ekrandaki ” ff ” yazısını ” df ” olarak değiştiriyoruz.
Bilgisayarınızı kapatıp yeniden açtığınızda ayarlar aktif hale gelecektir.
Baslat > Çalistir > Regedit [Enter]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmans erver\parameters
anahtarina gelip asagidaki REG_DWORD kayitlarini giriniz.
Serverlar için AutoShareServer deger 0
Is istasyonlari için AutoShareWks deger 0
Bilgisayarinizi tekrar baslattiktan sonra sisteminizde bu paylasimlar kalici olarak kalkacaktir.
3) Microsoft sitesinden sizin sisteminizle ilgili olan yamayı sisteminize kurunuzHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmans erver\parameters
anahtarina gelip asagidaki REG_DWORD kayitlarini giriniz.
Serverlar için AutoShareServer deger 0
Is istasyonlari için AutoShareWks deger 0
Bilgisayarinizi tekrar baslattiktan sonra sisteminizde bu paylasimlar kalici olarak kalkacaktir.
4)Sisteminizdeki kullanıcılara basit şifre tanımlaması yapmayın
5) Çeşitli temizleme araçlarını kullanarak sisteminizi temizleyebilirsiniz.
Microsoft Conficker Temizleme aracı
Sophos temizleme aracı
Symantec Conficker FixTool ancak bu programı kullanmadan önce komut satırınıza net stop dnscache yazarak DNS önbellekleme servisini durdurmalısınız.