1
EXE RANK
-aLp'eren .)
Fexe Kullanıcısı
Puanları
0
Çözümler
0
- Katılım
- 11 Ağu 2009
- Mesajlar
- 1,155
- Tepkime puanı
- 0
- Puanları
- 0
- Yaş
- 29
Bu kendini yayan virüs Microsoft'un LSASS güvenlik açığını (MS04-011) kullanıyor. Solucan avserve.exe dosyası ile yayılıyor. Diğer worm'ların (solucan) aksine eposta ile yayılmıyor. Makineye bulaşması için kullanıcı müdahelesi gerektirmiyor.
Solucan etkilenen sistemlerin virüslü kodu indirerek çalıştırmasını sağlıyor.
Semptomları:
Virüs kendisini Windows klasörüne avserve.exe olarak kopyalıyor ve açılışta kendisinin otomatik olarak çalıştırılması için aşağıdaki registry anahtarını yaratıyor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe
Solucan açık için rastgele IP adreslerini tarıyor. TCP port 5554'de FTP sunucusu olarak çalışıyor ve TCP port 9996'da remote shell açıyor.
C sürücüsünün kök dizininde win.log isminde bir dosya yaratıyor. Bu dosya yerel makinenin IP adreslerini içeriyor.
Virüsün kopyaları Windows System klasöründe #_up.exe olarak yaratılıyorlar. örnek:
c:\WINDOWS\system32\11583_up.exe
c:\WINDOWS\system32\16913_up.exe
c:\WINDOWS\system32\29739_up.exe
Solucanın yan etkilerinden biri LSASS.EXE'nin çökmesi ve sonucunda makinenin reboot etmesi.
Diğer İsimleri:
W32.Sasser.Worm (Symantec)
W32/Sasser.A (F-Secure)
Çözüm:
Microsoft Güvenlik Bülteni MS04-011'de belirtilen yamalar geçilmeli:
[COLOR=black]http://www.microsoft.com/technet/sec.../MS04-011.mspx[/COLOR]
[COLOR=black]http://www.olympos.org/article/articleview/1247/1/1/[/COLOR]
Antivirüs yazılımları güncellenmeli. Antivirüs yazılımına sahip olmayanlar NAI firmasının Stinger aracını indirerek sistemlerini tarayabilirler ya da Trend Micro'nun ücretsiz online virüs tarama sayfasından sistemlerini tarayabilirler.
Manuel korunma için ağ sınırlarında TCP portları 139, 445, 5554 ve 9996 bloklanmalı.
Solucan etkilenen sistemlerin virüslü kodu indirerek çalıştırmasını sağlıyor.
Semptomları:
Virüs kendisini Windows klasörüne avserve.exe olarak kopyalıyor ve açılışta kendisinin otomatik olarak çalıştırılması için aşağıdaki registry anahtarını yaratıyor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe
Solucan açık için rastgele IP adreslerini tarıyor. TCP port 5554'de FTP sunucusu olarak çalışıyor ve TCP port 9996'da remote shell açıyor.
C sürücüsünün kök dizininde win.log isminde bir dosya yaratıyor. Bu dosya yerel makinenin IP adreslerini içeriyor.
Virüsün kopyaları Windows System klasöründe #_up.exe olarak yaratılıyorlar. örnek:
c:\WINDOWS\system32\11583_up.exe
c:\WINDOWS\system32\16913_up.exe
c:\WINDOWS\system32\29739_up.exe
Solucanın yan etkilerinden biri LSASS.EXE'nin çökmesi ve sonucunda makinenin reboot etmesi.
Diğer İsimleri:
W32.Sasser.Worm (Symantec)
W32/Sasser.A (F-Secure)
Çözüm:
Microsoft Güvenlik Bülteni MS04-011'de belirtilen yamalar geçilmeli:
[COLOR=black]http://www.microsoft.com/technet/sec.../MS04-011.mspx[/COLOR]
[COLOR=black]http://www.olympos.org/article/articleview/1247/1/1/[/COLOR]
Antivirüs yazılımları güncellenmeli. Antivirüs yazılımına sahip olmayanlar NAI firmasının Stinger aracını indirerek sistemlerini tarayabilirler ya da Trend Micro'nun ücretsiz online virüs tarama sayfasından sistemlerini tarayabilirler.
Manuel korunma için ağ sınırlarında TCP portları 139, 445, 5554 ve 9996 bloklanmalı.