|
|
ÖNEM DERECESİ: KRİTİK
Microsoft Güvenlik Takımı bu uyarıyı “W32.Sasser.worm” ve türevlerinden müşterilerini haberdar etmek için hazırlamıştır. Microsoft halen orijinal Sasser solucanı ve, B, C ve D türevlerinden haberdardır. Tüm türevler 13 Nisan tarihli MS04–011 güvenlik güncelleştirmesi ile Local Security Authority Subsystem Service (LSASS) de giderilen güvenlik açığını hedef almaktadır.
Microsoft bu raporların güvenilir ve ciddi olduğuna inanmaktadır ve tüm müşterilerin 13 Nisan tarihinde sunulan MS04–011 güncelleştirmesini ve diğer kritik güncelleştirmeleri hiç zaman kaybetmeden yüklemesini rica etmektedir.
ETKİLENEN ÜRÜNLER: Windows 2000, Windows XP
SALDIRININ ETKİSİ: Uzaktan Kod Çalıştırma (Remote Execution of Code)
TEKNİK DETAYLAR:
Microsoft tarafından Sasser solucanı hakkında sağlanan son teknik bilgiler için bakınız: (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
View the on-demand version of the 9:00 AM PDT May 4, 2004 Microsoft Technical Update Webcast on the Sasser Worm:
http://go.microsoft.com/fwlink/?LinkId=28571
Solucan ile ilgili olarak Microsoft Virus Information Alliance (VIA) iştirakinde yer alan anti-virus program üreticilerinin detaylı açıklamaları için lütfen aşağıdaki bağlantıları takip ediniz.
• Computer Associates:
• Sasser.A: http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
• Sasser.B: http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39021
• Sasser.C: http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39025
• Sasser.D: http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39037
• F-secure:
• Sasser and variants: http://www.f-secure.com/v-descs/sasser.shtml
• Global Hauri:
• Sasser and variants: http://www.globalhauri.com/html/notice/notice_read.html?uid=447
• Network Associates:
• W32/Sasser.worm.a: http://vil.nai.com/vil/content/v_125007.htm
• W32/Sasser.worm.b: http://vil.nai.com/vil/content/v_125008.htm
• Norman:
• Sasser.A: http://www.norman.com/Virus/Virus_descriptions/14919/en-us
• Sasser.B: http://www.norman.com/Virus/Virus_descriptions/14920/en-us
• Panda:
• Sasser.A: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46865&sind=0
• Sasser.B: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46875&sind=0
• Sasser.C: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46892&sind=0
• Sasser.D: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46915&sind=0
• Sophos:
• Sasser.A: http://www.sophos.com/virusinfo/analyses/w32sassera.html
• Sasser.B: http://www.sophos.com/virusinfo/analyses/w32sasserb.html
• Sasser.D: http://www.sophos.com/virusinfo/analyses/w32sasserd.html
• Symantec:
• Sasser.A: http://www.sarc.com/avcenter/venc/data/w32.sasser.worm.html
• Sasser.B: http://www.sarc.com/avcenter/venc/data/w32.sasser.b.worm.html
• Sasser.C: http://www.sarc.com/avcenter/venc/data/w32.sasser.c.worm.html
• Sasser.D: http://www.sarc.com/avcenter/venc/data/w32.sasser.d.html
• Trend Micro:
• Sasser.A: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
• Sasser.B: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
• Sasser.C: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.C
• Sasser.D: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D
"Microsoft’s Virus Information Alliance" hakkında bilgi almak için aşağıda ki adresi ziyaret ediniz:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/virus/via.asp
Bu solucan hakkında daha detaylı teknik bilgi için Antivirus Üreticiniz ile görüşünüz.
KORUNMA:
En son Microsoft Güvenlik Bülteni MS04-011 i yükleyiniz.
Türkçe Sistemler:
· Microsoft® Windows® XP ve Microsoft Windows XP Service Pack 1 – Güncellemeyi İndiriniz
· Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 ve Microsoft Windows 2000 Service Pack 4 – Güncellemeyi İndiriniz
· Microsoft Windows Server™ 2003 – Güncellemeyi İndiriniz
Not: Yüklemek için açılan pencerede yer alan "Yönergeler" bölümünü inceleyiniz.
Diğer dillerdeki işletim sistemlerine uygun güncellemeyi bulmak için Microsoft Güvenlik Bülteni MS04–011 i referans alabilirsiniz.
Windows XP Güvenlik Duvarını kullananlar, bu solucanın 445 numaralı TCP bağlantısından yaptığı saldırıya karşı korunmaktadırlar. Güvenlik duvarının kurulumu için tıklayınız.
Bunlara ek olarak; ISA Server 2000 veya ISA Server 2004 tarafından kontrol edilen ağ üzerinde solucanın giriş ve çıkışlarını engelleyen Internet Security and Acceleration (ISA) Server komut dizileri (script) yayınlanmıştır.
Bu komut dizilerine ulaşmak ve daha fazla detay almak için lütfen http://isatools.org bağlantısını ziyaret edip, aşağıdaki komut dizilerini alınız.
• ISA 2000: block_sasser.vbs
• ISA 2004: block_sasser_2k4.vbs
KURTARMA:
Eğer sisteminiz solucanın saldırısına uğramışsa, öncelikle aşağıda belirtile adımları uygulamanız gerekmektedir.
• Gelecekte oluşabilecek saldırılardan korunmak için Microsoft Güvenlik Bülteni MS04–011 i mutlaka yükleyiniz.
Not: Türkçe sistemler için güncelleştirmeleri bir önceki bölümde bulabilirsiniz.
Güncelleştirmeyi bir kere uyguladıktan sonra temizleme adımlarını uygulamaya başlayabilirsiniz. Solucanın etkisini sistemden temizlemeniz için lütfen seçmiş olduğunuz antivirus üreticisine danışın veya Microsoft ‘un temizleme aracını kullanın. Temizleme aracı bu güncelleştirme de Sasser ve türevlerini (A-D) başarıyla silmektedir.
Buna alternatif olarak, el ile temizleme yolunu da seçebilirsiniz. Temizlemek için şu adımları takip ediniz.
Eğer sisteminiz etkilenmişse, solucan LSASS.EXE hizmetini sonlandırmakta ve bu nedenle işletim sisteminin 60 saniye sonunda kapatılmasına sebep olmaktadır. Bu kapanma süreci Windows XP sistemlerde engellenebilir. Bunun için, Başlat (Start) menüsünden Çalıştır (Run) ı tıklayarak "shutdown -a" (Tırnaklar olmadan) yazıp, enter tuşuna basınız. Kapanmanın engellenmesi Windows 2000 sistemlerde uygulanamamaktadır.
Windows 2000 sistemlerde LSASS.EXE hizmetinin sonlandırılmasının dolayısıyla sistemin kapatılmasının engellenmesi için, aşağıda belirtilen çözüm yollarından birini uygulayınız.
1. %systemroot%debugdcpromo.log dosyasını yaratın ve salt okunur (read-only) hakkı verin. Bunun için aşağıdaki komutu kullanın:
echo dcpromo >%systemroot%debugdcpromo.log & attrib +r %systemroot%debugdcpromo.log
Not: Bu en uygun azaltıcı tekniktir. Öyle ki, kodun çalıştırılmasını engelleyerek etkiyi azaltmaktadır. Bu yol, korunmasız bağlantı noktalarına gönderilen paketler için geçerli olacaktır.
2. Tüm ağ bağdaştırıcılarında (network adapters) gelişmiş TCP/IP filtrelemesini kullanın.
• Başlat (Start) menüsünden Çalıştır (Run) ı tıklayarak "Control" (Tırnaklar olmadan) yazıp, enter tuşuna basınız
• Denetim Masası (Control Panel) penceresinde Ağ ve Çevirmeli Bağlantılar (Network and Dialup Connections) simgesini iki kere tıklayınız
• Internet bağlantısını sağladığınız bağlantı üzerinde sağ tıklayınız ve Özellikleri (Properties) seçiniz
• Internet İletişim Kuralları (TCP/IP) (Internet Protocol) üzerinde iki kere tıklayınız
• Gelişmiş (Advanced) butonuna basınız
• Seçenekler (Options) sekmesini seçiniz
• TCP/IP Süzme İşlemi (TCP/IP filtering) iki kere tıklayınız
• TCP/IP Süzme İşlemini Etkinleştir (Tüm bağdaştırıcılar için) (Check the Enable TCP/IP filtering (all adapters)) seçeneğini seçiniz.
• TCP Bağlantılarının üzerinde Seçilene İzin Ver (Permit Only) seçeneğini seçiniz.
Not: Listeye başka bağlantı (port) eklemeyiniz ve UDP Bağlantılar üzerinde Seçilene İzin Ver (Permit Only) seçeneğini seçmeyiniz.
• 4 kere Tamam (Ok) butonuna basınız ve sistemi yeniden başlatmanız sorulduğunda Evet (Yes) seçeneğini tıklayınız. (Yapılan seçimlerin uygulanabilmesi için sistemi yeniden başlatmanız gerekmektedir.)
Bu alternatif azaltma tekniğidir ve TCP protokolü üzerindeki olabilecekaçıkları hedef alan saldırıları bloke edecektir. Bu yöntem, bozuk UDP paketlerinin yukarıda belirtildiği şekilde engellenmesini sağlamayacaktır.
3. Sunucu hizmetini (Server service) geçici olarak durdurmak için şu komutu kullanın:
net stop server /y
Not: Bu teknik sadece 139 ve 145 numaralı TCP bağlantıları içindir.
Eğer sistem Sasser solucanından etkilenmişse ve yerel ağ bağlantısını etkiliyorsa, güncelleştirmeleri yüklemek için Internet erişiminizi sağlamak mümkün olmayabilir. Bu durumda geçici olarak solucanı etkisiz hale getirmek için; Başlat (Start) menüsünden Çalıştır (Run) ı tıklayarak "taskmgr.exe" (Tırnaklar olmadan) yazıp, Enter tuşuna basınız. Açılan pencerede işlemler (processes) sekmesini seçiniz. Aşağıda belirtilen işlemleri sonlandırmanız gerekecektir. Sonlandırmak için işlemi seçip, İşlemi Sonlandır (End Process) butonuna tıklayınız.
• “_up.exe” ile biten tüm işlemleri sonlandırınız. (Örn. 12345_up.exe)
• avserver ile başlayan işlemleri sonlandırınız. (Örn. avserver.exe, avserve2.exe v.b.)
• skynetave.exe isimli işlemi sonlandırınız.
• hkey.exe isimli işlemi sonlandırınız
• msiwin84.exe isimli işlemi sonlandırınız
• wmiprvsw.exe isimli işlemi sonlandırınız |
| Toplam
2012 kez okundu. |
| Makale Editörü:
Umut Dereli |
| Makale Tarihi:
16 eylül 2004 perşembe 14:32 |
|
Bu sayfayı e-Mail olarak gönder