bilgi@bendevar.com http://www.bendevar.com Bendevar.com Ä°nternet ve BiliÅŸim Çözüm Bankası tr Copyright 2004 2005-05-11:09 http://www.bendevar.com/v3/service/blogger.xml http://blogs.law.harvard.edu/tech/rss MSN Messanger'dan Virüs Yayýlýyor

Bu virüsün kullandýðý açýk 1 ay kadar önce Microsoft'un Güvenlik Bülteni ile yayýnlanmýþtý*. Bu açýðý kullanan çeþitli virüsler hakkýnda haberler yayýlýyorken, bugün daðýlmaya baþlayan virüsün hýzý hepsini geçti ve bazý Türk kullanýcýlarýný da vurdu.

Virüs'le karþýlaþanlar olayý þu þekilde anlatýyorlar;


MSN Messanger açýkken, listemdeki kiþilerden birisinden bir dosya transferi talebi geldi. Bir yandan "webshots.pif" isimli dosyanýn transferi baþlarken, diðer yandan arkadaþýma bunun ne olduðunu soruyordum ki, o anda ayný ofisteki arkadaþlarým benden dosya transferi baþladýðýný ikaz ettiler. Dosyanýn isö,mi herkes için farklý bir "*.pif" dosyasý þeklindeydi. Ben böyle bir dosya trasnferi baþlatmmamýþtým ama bana bulaþan dosya otomatikman diðerlerine dosya gönderiyordu.


Virüs'ün bazý kullanýcýlarýn iþletim sistemini ve bilgisayarlarýný çöktürürken, bazýlarýnda özellikle güvenlik uygulamalarýný devre dýþý býraktýðý bildiriliyor.

Virüsü bulaþtýran dosyalarýn aþaðýdaki "seksi" olarak adlandýrýlan çeþitli dosya adlarýný kullanabildiði bildiriliyor;


* Bedroom-thongs.pif
* Hot.pif
* LMAO.pif
* LOL.scr
* Naked_drunk.pif
* New_webcam.pif
* ROFL.pif
* Underware. Pif
* Webcam.pif
* Drunk_lol.pif
* Webcam_004.pif
* sexy_bedroom.pif
* naked_party.pif
* love_me.pif


Trend Micro firmasý orta risk düzeyindeki virüsün "WORM_BROPIA.F" olarak adlandýrýldýðýný bildiriyor.

WORM_BROPIA.F bulaþtýðý sisteme WORM_AGOBOT.AJC isimli bir dosya yerleþtiriyor. Bu dosya uzak kullanýcýnýn bulaþmýþ bilgisayarýn kontrolünü eline geçirebilmesine olanak veriyor. WORM_AGOBOT.AJC dosyasýnýn bazý Windows uygulamalarýnýn ürün seri nolarýný ve CD anahtarlarýný çalabildiði bildiriliyor.

Trend Micro'dan Joe Hartmann "Þirketler personelin üretkenliðini --chat yaparak-- azalttýðý düþüncesiyle Messanger'i yasaklýyorlardý. Þimdi ellerinde çok daha geçerli bir neden yani Güvenlik Korkusu var. Ancak ev kullanýcýlarýnýn sayýlarý da az deðil. Bu virüsün çok daha hýzlý yayýlacaðý sanýlýyor" diyor.

WORM_BROPIA.F, 184 KB'lýk bir dosya olarak geliyor ve Windows 95, 98, ME, NT, 2000 ve XP platformlarýný etkiliyor.

Size Virüs Bulaþtý mý? Bulaþmamasý için Ne Yapmalý?


Uzmanlar yukardaki satýrlarda da görebileceðiniz üzere bu ara MSN Messanger'i kullanmamanýzý tavsiye ediyorlar. Kullanacaksanýz en altta verdiðimiz linkten yazýlýmýný güncelleyin.

Sonra hep hatýrlatýlan konuyu vurgulayalým.. Messanger üzerinde ya da baþka bir yerde hiç bir þekilde, bilmediðiniz kiþilerden gelen, hatta bazen bildiðiniz kiþilerden gelen ama neden gönderdiðini bilmediðiniz exe uzantýlý dosyalarý kabul etmeyin.

Günümüzde çoðu mail servisi antivirüs programlarý ile çalýþmakta ve bu tür dosyalarý yakalamaktadýr. Ancak exe dosyalar, zip uzantýlý da gelebiliyor. Zip dosyalarda da dikkat edeceðiniz husus, kimden geldiðidir. Yabancýlardan gelen zip dosyalarý açmayýnýz.

PC’nizde trojen yada keylogger olup olmadýðýný da aþaðýdaki yöntem ile öðrenebilirsiniz;


BAÞLAT(START) menüsündeki Çalýþtýr (RUN)’a týklayýn ve açýlan pencerede msconfig‘i yazýn. Açýlan pencerenin baþlangýç tab'ýna göz atýn, eðer burda yabancý bir *.exe uzantýlý bir dosya varsa bunu kaldýrýp, PC’nizi restart edin.

Ayný þekilde Çalýþtýr’dan regedit kýsmýný açýp: HKEY_LOCAL_MACHINE - Software- Microsoft – Windows – Current Version Kýsmýnda Run – Runonce - Runonceex kýsýmlarýna bir göz atýn. Yine yabancý bir exe uzantýsý varsa bunu kaldýrýp PC’yi restart yapýn.


Ancak bu 2 iþlem son derece dikkatli yapýlmasý gereken iþlemlerdir. Eðer bilginiz bu iþlemi yapmaya yetersiz ise yardým alýn.

Microsoft Security Bulletin MS05-009 / Vulnerability in PNG Processing Could Allow Remote Code Execution (890261)

]]> http://www.bendevar.com/v3/makale_oku.php?id=526 http://www.bendevar.com/v3/makale_oku.php?id=526 http://www.bendevar.com/v3/makale_kategori.php?kategori=526