Windows 2000 kullanıcıları için Sasser virüsünden kurtulmanın yolları

Windows 2000 Kullanıcıları İçin Sasser Virüsünden
Kurtulmanın Yolları
İrfan MACİT, Adana, 10 Mayıs 2004
Microsoft® Windows 2000 kullanıcıları Windows 2000 SP3, veya Windows 2000 SP4 ile güncellenmiş
bilgisayarlara Sasser solucanı bulaştığında aşağıdaki adımları takip ederek bu solucandan kurtulabilir. Bu
dokümanın güncel hali http://hpss.endustri.cu.edu.tr adresinden takip edilebilir.
Adım 1) Internet Bağlantınızı Kesin
Daha fazla problem ile karşılaşmamak için Internet bağlantınızın kesilmesi gerekmektedir. Bunun için modem
bağlantılarında bilgisayarınızdan modem ile telefon hattı arasındaki bağlantı kablosunu çekin. Eğer geniş band
kullanıcısı iseniz (örn. Kampus ağı veya şirket içi kullanıcısı bilgisayar veya notebook bilgisayarlar için de
Ethernet kablosunu bilgisayarınızdan ayırın)
Adım 2) Solucana Ait Dosyaları Silin
Solucanı temizlerken kayıt (log) dosyalarını tutun.
Kayıt Dosyası Oluşturma
1.
Görev çubuğundan Başlat (İngilizce Sürümlerde Start) gidin ve çalıştıra Fare ile basın.
2.
cmd yazarak Tamam düğmesine basın komut durumu geçin.
3.
Komut durumunda echo dcpromo >%systemroot%\debug\dcpromo.log yazın ve klavyeden
ENTER tuşuna basın.
Kayıt Dosyasını Yalnız okunabilir yapın
4.
Komut durumunda attrib +R %systemroot%\debug\dcpromo.log yazın ve klavyeden ENTER
tuşuna basın.
Admı 3) Sistem Performansını Düzeltin
Bilgisayarınıza solucan türü bir virüs bulaşması durumunda bilgisayar ağınızda yavaşlama olacaktır. Bu durum
solucan tarafından yerel bilgisayar ağı sisteminize yapılan saldırılardan dolayıdır. Bundan dolayı bilgisayar ağ
sisteminizden güvenlik güncellemesi veya diğer bilgisayarlara bağlantı yapamayabilirsiniz. Bunu düzeltmek için ;
CTRL+ALT+DELETE tuşlarına aynı anda basarak ekrana gelen Windows güvenliği ekranından
Görev
Yöneticisi’ni (Task Manager) çalıştırın.
İşlemler sekmesine (tab) giderek aşağıdaki çalışan işlemlerin çalışmasını iptal edin. Bunun için işlemleri
sekmesindeki çalışan yansıma adına giderek işlemi sonlandır düğmesine basınız. Burada önemli olan bir husus
ise yansıma adlarından _up.exe ile başlayanların hepsinin silinmesi gerektiğidir. (örn. 12345_up.exe gibi).
•
avserve yansıma adı (örn. avserve.exe).
1
•
avserve2 yansıma adı (örn. avserve2.exe).
•
skynetave yansıma adı (örn. skynetave.exe).
•
hkey.exe
•
msiwin84.exe
•
wmiprvsw.exe bu temel sistem çalışma dosyası değildir.
Solucanı bulup temizleyen araçlardan bazıları Internet’ten bilgisayarınıza indirerek silebilirsiniz. Bunun
için aşağıdaki adreslerden dosyaları indirip bilgisayarınızda çalıştırmanız gerekmektedir. AVG temizleme aracı
olarak Grisoft firmasının Internet sitesinden new removal tool yazan yere fareniz ile tıklayarak veya Internet
gezgininiz
ile
http://www.grisoft.com/us/us_remtext.php?id=bagbugnet
adresini
kullanarak
vcleaner.exe
programını bilgisayarınıza indirin. Bu aracı çalıştırmak için bilgisayarınızı güvenli kipte tekrar başlatın ve
programı Windows gezgininden çalıştırın. Program birçok solucan ve varyantını bularak kendiliğinden
temizlemektedir.
Panda Software firmasının geliştirildiği panda anti virüs programı ile bilgisayarınızdan sasser solucanını
silmek için http://www.pandasoftware.com/download/utilities/ Internet adresinden bu virüse ait varyantları
temizleyen temizleme aracını bilgisayarınıza indirerek silebilirsiniz.
Symantec
firmasının
(Norton
olarak
bilinen)
yine
bu
solucandan
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html
kurtulmak
için
Internet adresinden
FxSasser.exe virus removal tool (virüs temizleme aracı) bilgisayarınıza indirerek kurtulabilirsiniz. Bu temizleme
aracının direk Internet’ten indirmek için http://securityresponse.symantec.com/avcenter/FxSasser.exe yazarak
dosyayı bilgisayarınıza indirin ve sonra bilgisayarınızı güvenlik kipte başlatarak indirdiğiniz programı çalıştırın.
McAfee firmasının temizleme aracı olarak stinger adlı programı kullanmaktadır. Internet adresini
Internet gezginin adres yerine http://vil.nai.com/vil/stinger/ yazarak bu diğer bir çok solucan ve varyantını
temizleyen aracı bilgisayarınıza kurarak bu solucanlardan kurtulabilirsiniz. Bu araç yaklaşık olarak 41 adet
solucanı ve varyantını temizleyebilmektedir. Bazı solucan veya varyantlarını ise sadece bulabilmektedir.
Temizleme işlemi için özel birkaç komut veya işlem yapmak gerekmektedir. Lisanslı kullanıcıları için temizleme
hizmetini sağlamaktadır.
Adım 4) Güvenlik Duvarı (Firewall) Etkin Duruma Getirin
Güvenlik duvarları yazlım veya donanımlardan oluşmaktadır. Donanım türü güvenlik duvarlarının maliyetleri çok
yüksek olduğundan evlerde veya küçük ölçekli ağlarda kullanılması maliyet gerektiren bir durumdur. Bu
durumda yazılım ile çözümlerin araştırılması gerekir. Yazılım ile çözümlerde ise aşağıda yazılı bulunan Internet
adreslerinden daha fazla bilgi alınabilir.
•
BlackICE PC Protection—Save 25% (http://blackice.iss.net/microsoft.php)
•
Computer Associates—12-month free trial (http://www.my-etrust.com/microsoft/)
•
F-secure—6-months free trial (http://www.f-secure.com/protectyourpc/)
•
McAfee Security—save up to 35% (http://us.mcafee.com/root/campaign.asp?cid=8437)
•
Panda Software—90-day free trial (http://www.pandasoftware.com/microsoft/)
•
Symantec/Norton—90-day
free
(http://www.symantecstore.com/dr/v2/ec_dynamic.main?sp=1&pn=46&sid=27674)
2
trial
•
Tiny Software: Tiny Personal Firewall (http://www.tinysoftware.com)
•
ZoneAlarm—save $20 (http://download.zonelabs.com/bin/promotions/microsoftsecurity/)
Genelde bu türden güvenlik duvarlarının deneme sürümlerine bilgisayar dergilerinin verdiği cd-rom’lardan
ulaşılabilir. Fakat bu türden olanlar geçici çözümlerdir. Korunmanın temel yolu lisanslı bir güvenlik duvarına
sahip olmaktır. Büyük ölçekteki bilgisayar ağları için bu tür çözümler yeterli değildir. Bu durumda Windows
işletim sisteminde olduğu kadar Linux/unix üzerinde çalışan değişik çözümler bulunmaktadır.
Admı 5) Internet’e Tekrar Bağlanın
Modem kablosunu ve Ethernet kablosunu bilgisayarınıza tekrar bağlayın.
Adım 6) Gerekli Güncellemeleri İndirin
Bilgisayarınıza gerekli güncellemeler olan 835732 güncellemeyi Microsoft Security Bulletin MS04-011 adı ile
olan işlemi yapın . bu güncellemeyi bilgisayarınıza indirmek için http://go.microsoft.com/?LinkID=526386
adresine gidin.
Adım 7) Sasser Solucanını Bulun ve Silin
Bütün
güncellemeleri
yaptıktan
sonra
bilgisayarınızı
http://www.microsoft.com/security/incident/sasser.asp
adresine
hakkında bilgi edinerek diğer varyantlarını silebilirsiniz.
3
yeniden
giderek
başlatın.
Sasser
solucanı
Daha
ve
sonra
varyantları