Downadup, Kido ve Conficker adıyla bilinen worm yani “solucan” tipi virüs, Microsoft’un 2008 Ekim ayında yayınladığı bir güvenlik bildirisine rağmen, gerekli önlemler alınmayınca, yayınlanan son güvenlik bildirilerine göre 9 milyon bilgisayarı ele geçirdi.
Microsoft’un 23 Ekim’de yayınladığı güvenlik bülteniyle duyurduğu zararlı yazılım, Windows işletim sistemlerinin sunucu servislerini etkileyerek düşük güvenlikli bilgisayar ağları, ve USB flaş belleklerle son derece ciddi bir hızla yayılmaya devam ediyor.
Köklü güvenlik firmalarından F-Secure tarafından yayınlanan rapora göre, ilk olarak 2008 yılının Ekim ayında saptanan virüs, günümüzde 8,9 milyon bilgisayarı etkilemiş durumda. Yayınlanan raporda “hızla yayılmaya devam ettiği” belirtilen solucanın (Worm - bulaştığı sistemleri yeni sistemlere bulaşmak için kullanan zararlı uygulama ve dosya parçacıkları) güncel anti-virüs yazılımları veya Microsoft’un yayınladığı MS08-067 yamasının sisteme yüklenerek engellenmesi mümkün.
Microsoft’un yayınladığı güvenlik yamasıyla ev kullanıcılarının zamanında korunmasına olanak sağladığını belirten anti-virüs yazılım geliştirici firması Sophos’un teknoloji danışmanlarından Graham Culley, güvenlik yamasını görmezden gelen firmaların tehlikeyi arttırdığını ifade ediyor.
BT (IT / Bilişim Teknolojileri) departmanlarında çalışan yetkin elemana sahip olmayan firmaların virüsten korunmasının kolay olmadığını belirten Culley, 12345, QWERTY gibi çözülmesi kolay şifreler kullanan çalışanların bulunduğu ağlarda, virüsün şifreleri daha kolay kırarak daha hızlı yayıldığını ifade ediyor.
USB bellekler ile de kolaylıkla yayılabilen solucanın bu teknikle yayılırken kurbanın bilgisayarında Microsoft’un son yamalarının da bulunmasının yeterli olamayabileceğini belirten Culley, bu tip bulaşmayı önlemenin tek yolunun güncel bir anti-virüs yazılımı kullanmak olduğunu belirtiyor.
Nasıl yayılıyor?
Microsoft’un yayınladığı bültene göre solucan Windows içinde bulunan ses hizmetleri, sunucu yazılımları gibi arkaplan servislerinin çalışmasını saplayan “services.exe” isimli uygulamayı enfekte ederek, aslında Windows’un çalışması için gerekli olan bu uygulamanın bir parçası haline geliyor.
Services.exe’nin bir parçası haline gelen zararlı betik parçacığı, kendisini Windows’un sistem klasörü altına kopyalayarak, 5-8 karakterli bir “dll” dosyası olarak saklıyor. Windows’un uygulama ayarlarını tutan “Registry” (Kayıt kitaplığı) içinde bir düzenleme yapan uygulama, bu noktadan sonra kendini sistem için gerekli bir servis olarak tanımlayarak bilgisayar açık olduğu her an arkaplanda çalışmaya devam ediyor.
Solucan çalışmaya başladığı andan itibaren bir HTTP sunucusu (İnternet üzerinden tarayıcı vasıtasıyla ulaşabilen Web sunucu hizmeti) oluşturuyor, sistemin en son Geri Yükleme Noktasını (System Restore Point) silen virüs bu şekilde temizlenmesini daha güç hale getiriyor ve saldırganların sitesi üzerinden dosyalar yüklemeye başlıyor. Bu şekilde uzaktan bağlanan saldırganlar enfekte olan bilgisayarda kolaylıkla istedikleri işlemleri gerçekleştirebiliyorlar.
Birçok solucan, İnternet üzerinden bağlandıkları siteler sayesinde kolaylıkla ayırt edilebiliyor ancak, Conficker olarak anılan bu yeni solucan, tamamen rasgele isimlerle (mphtfrxs.net, imctaef.cc, ve hcweu.org gibi) oluşturulmuş yüzlerce alan adına bağlanan son derece sofistike bir algoritma kullandığı için rahatlıkla fark edilemiyor. Çünkü sayısıyla yüzlerle ifade edilen bu alan adlarından hangisinin saldırganın websitesi olduğu henüz çözülebilmiş değil. Solucanın hangi internet sitesinden zararlı betiği çekip çalıştırdığını anlamak neredeyse imkansız.
Solucan’ın nasıl çalıştığını anlamak amacıyla virüsü tersine mühendislik (reverse engineering) yöntemiyle analiz eden bilgisayar uzmanları henüz bir çözüm bulabilmiş değil ancak, en azından Downadup adı verilen varyantın kaç bilgisayar üzerinde çalıştığını biliyorlar.
“Onları görebiliyoruz ancak, temizleyemiyoruz” şeklinde konuşan F-Secure’un araştırmacılarından Toni Kovunen, rasgele oluşturulmuş alan adlarından birkaç tanesini ele geçirdiklerini ifade ederek, bu alan adlarına yüzbinlerce farklı IP adresi üzerinden istemcilerin bağlandığını söylüyor.
Microsoft’un yorumlarına göre, zararlı yazılım dünyanın farklı noktalarında bir çok bilgisayarı ele geçirmiş durumda. En çok hasarı ise Çin, Brezilya, Rusya ve Hindistan’da bulunuyor.