üretim yazılımları laboratuarı
Transkript
üretim yazılımları laboratuarı
ÇUKUROVA ÜNİVERSİTESİ MÜHENDİSLİK MİMARLIK FAKÜLTESİ ENDÜSTRİ MÜHENDİSLİĞİ BÖLÜMÜ ÜRETİM YAZILIMLARI LABORATUARI ÜRETİM YAZILIMLARI LABORATUARI TEKNİK RAPOR VE DÖKÜMANLAR BAŞLIK : MicroSoft Windows2000 Kullanıcıları İçin I-Worm/Bagle Solucan Virüsünden Kurtulmanın Yolları ÖZET: Microsoft işletim sistemini kullanan bilgisayarlarda I-Worm/Bagle solucan virüsünün nasıl temizleneceğini anlatmaktadır. YAZAN : ÖĞR. GÖR. İRFAN MACİT YAYIN TARİHİ: 10 Nisan 2005 YAYIN NO : 3 1 I-Worm/Bagle solucan tipli virüsün sisteme bulaşma şekli. Bu dokümanda Solucan/Bagle varyantlarının solucanının sistemlere nasıl bulaştığı ve temizleneceği anlatılmaktadır. Bu solucan dosyası elektronik posta ve bu postaya eklenmiş olan dokümanlar ile bilgisayarlara bulaşmaktadır. 1. I-Worm/Bagle.AA varyantı Sisteme Bulaşması: Windows işletim sisteminin yüklü olduğu dizine (örneğin c:\Windows veya C:\Winnt) kendisini drvsys.exe olarak kaydetmektedir. Kayıt dosyası ise sistem kaydında (Windows registry) HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run key olarak başlangıç kaydına çalıştırılması gereken dosya anahtarı ile yerleşmektedir. Elektronik Posta yolu ile yayılması : Bu solucan kendisini e-posta yolu ile internet üzerinden e-posta kullanıcılarına yaymaktadır. Yayılması sırasında windows dosya uzantıları aşağıdaki gibi olan dosyalar ile gelmektedir. E-postaya mesaj olarak eklenen dosya uzantıları; wab, txt, msg, htm, shtm, stm, xml, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp, php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi, mht, dhtm and jsp extension. E-posta mesaj formatı aşağıdaki gibidir. Mesajın geldiği adres gerçek değildir ve konu satırı aşağıdaki konulardan birini içermektedir. Password: <name> Pass - <name> Password - <name> Hello! Hey! Let's socialize, my friend! Let's talk, my friend! I'm bored with this life Notify from a known person ;-) I like you I just need a friend I'm a sad girl... Re: Msg reply Re: Hello Re: Yahoo! Re: Thank you! Re: Thanks :) RE: Text message Re: Document Incoming message Re: Incoming Message Re: Incoming Fax Hidden message Fax Message Received Protected message RE: Protected message Forum notify Request response Site changes Re: Hi Encrypted document 2 Gelen e-postanın içerisinde yazılı olanlar ise aşağıdaki kelime veya kelimelerden oluşan cümlelerden ibarettir. Hello <name>, Dear <name>, Dear <name>, It's me ;-) Hi <name>, Hey <name>, It's me -> Hi<!--<name>-->, It's me <name>, Hey <name>, Hey<!--<name>-->, Hi<!--<name>-->, Hello<!--<name>-->, I Like You! Don't you remember me? Kewl :-) I need a friend... I just want to talk with someone... I like reading the books and socializing, let me talk with you... It's time to find a friend! Ready to accept a new friend? :-) Like me, odore me! ;-) I study at school, I like to spend time cheerfully even if not all so well, I hompe and trust, that all bad when nibud will pass and necessarily nastanet there would be a desire. I like to feel protected, to understand, that near to me the man, which both in sex, and in life knows what to do. It is possible to fall in love with such the man for ever. Cometime I write a poem, play the gitar. I love a traveling, I like a romantice and I want to meet, comeday, my big love! I am kind, fair, careful, gentle also want to create family. I love animal (cats, dogs), the literature, theatre, cinema, music, walks in park . I very much love productive leisure, to prepare for new exotic dishes, at leisure to leave with friends on the nature, to float, I like to go for a drive on mountain skiing, to visit excursions, travel. Very easy going. I have recently got demobilize from army and also I am going to act in a higher educational institution Searching for the right person,for real man, who will really cares and love me. I am a honest, kind,loving,with good sense of humor...etc.,looking for true love... or maybe for pen friend.I like cats. I am looking for a serious relationship. I am NOT interested in flirt and short-term love adventure. I love, as the good company, and I dream about romantic appointment at candles with loved. I still believe in love. I like an active life... and interesting people... i am honest, responsible, romantic person. iwould like to find my only love,to find my destiny. I'm a young lady of 20 years old i'd like to find my second part!!! I am simple girl who are looking for serious relation with responsible and confident man. I am ready to give all my love and carering for a right person who is going to love and respect me I am a beautiful, sexual girl with very big ambitions and dreams. I can make happy anyone man... I am a student. I'm studying international relationships. I would like to find an 3 interesting and active man for serious relations. Sitting at home it is not for me. I like to go out to the theater, cinema, and nightclubs. I love productive leisure, to travel, communicate with friends. I very much love new acquaintances, I love music, meetings with friends. I go on night clubs, except for parties I sometimes visit theatres and I love cinema. In general I only shall be glad to new acquaintance and class dialogue... I'm so bored, let me talk with you... You are my prince :-) You are cool :-) Read the attach. Your file is attached. More info is in attach See attach. Please, have a look at the attached file. See the attached file for details. Message is in attach Here is the file. For more information see the attached file. Attached file will tell you everything. For details see the attach. Attached file tells everything. Further details are in attach. Sincerely, <name> Best wishes, <name> Yours, <name> Have a good day, <name> Cheers, <name> Kind regards, <name> For security reasons attached file is password protected. The password is <image with password> For security purposes the attached file is password protected. Password -- <image with password> Note: Use password <image with password> to open archive. Attached file is protected with the password for security reasons. Password is <image with password> In order to read the attach you have to use the following password: <image with password> Archive password: <image with password> Password <image with password> Password: <image with password> Elekronik posta ekinde yer alan dosya .exe, .scr, .com veya cpl uzantılıdır. Bazı durumlarda Visual Basic .vbs uzantılı betik (script) dosyaları gibi sisteme bulaşabilmektedir. Yayılması sırasında ziplenmiş dosyalar şeklinde şifreli zip dosyalarını aşağıdaki konu başlıkları ile göndermektedir. Information Details Readme Document Info Details MoreInfo Message Bilgisayar Ağları üzerinde yayılması Solucan aktif hale geldikten sonra shar dizinlere isimlerini vererek kendisini aşağıdaki adları vererek kopyalar 4 Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe Porno Screensaver.scr Serials.txt.exe KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe 2. I-Worm/Bagle.AB Varyantı Sisteme Bulaşması: Bu solucan kendisini HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run key kayıt anahtar kelimesi ile Windows sistemi dizinine drvddll.exe adı ile kopyalar. Elektronik Posta yolu ile yayılması : Bu solucan varyantı da bilgisayar sistemleri arasında wab, txt, msg, htm, shtm, stm, xml, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp, php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi, mht, dhtm ve jsp uzantılı olarak yayılır. Yayılan elektronik posta adresinde gönderici adı ve adresi doğru değildir. Bunun yerine rasgele isimler verilmektedir. Konu alanları ise aşağıdakilerden birisi olarak yer alır. Password: <name> Pass - <name> Password - <name> Re: Msg reply Re: Hello Re: Yahoo! Re: Thank you! Re: Thanks :) RE: Text message Re: Document Incoming message Re: Incoming Message RE: Incoming Msg RE: Message Notify Notification Changes.. New changes Hidden message Fax Message Received Protected message RE: Protected message Forum notify Site changes 5 Re: Hi Encrypted document Elektronik postanın mesaj kısmında ise ziplenmiş bir şekilde veya bir betik dosyası olarak aşağıdaki yazılar yeralır. For security reasons attached file is password protected. The password is <image with password> For security purposes the attached file is password protected. Password -- <image with password> Note: Use password <image with password> to open archive. Attached file is protected with the password for security reasons. Password is <image with password> In order to read the attach you have to use the following password: <image with password> Archive password: <image with password> Password <image with password> Password: <image with password> Elektronik dosyanın ekinde ise betik dosyasının kendisi, ziplenmiş resim gibi veya derlenmiş hali gönderilir. E-postanın ekindeki dosyanın adı aşağıdaki adlardan birisine sahiptir. Information Details text_document Readme Document Info the_message Details MoreInfo Message You_will_answer_to_me Half_Live Counter_strike Loves_money the_message Alive_condom Joke Toy Nervous_illnesses Manufacture You_are_dismissed Your_complaint Your_money Smoke I_search_for_you Bilgisayar Ağları üzerinde yayılması Solucan aktif hale geldikten sonra shar dizinlere isimlerini vererek kendisini aşağıdaki adları vererek kopyalar Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe Porno Screensaver.scr 6 Serials.txt.exe KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe 3. I-Worm/Bagle.AF Varyantı Sisteme Bulaşması: Bu solucan da diğe solucan tiplerinde olduğu gibi kendisini HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run key kayıt anahtar kelimesi ile Windows sistemi dizinine sysxp.exe adı ile kopyalar. Elektronik Posta yolu ile yayılması : Bu solucan varyantı da bilgisayar sistemleri arasında wab, txt, msg, htm, shtm, stm, xml, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp, php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi, mht, dhtm ve jsp uzantılı olarak yayılır. Yayılan elektronik posta adresinde gönderici adı ve adresi doğru değildir. Bunun yerine rasgele isimler verilmektedir. Konu alanları ise aşağıdakilerden birisi olarak yer alır. Password: <name> Pass - <name> Password - <name> Re: Msg reply Re: Hello Re: Yahoo! Re: Thank you! Re: Thanks :) RE: Text message Re: Document Incoming message Re: Incoming Message RE: Incoming Msg RE: Message Notify Notification Changes.. Update Fax Message Protected message RE: Protected message Forum notify Site changes Re: Hi Encrypted document Body is generated from the following texts: Read the attach. Your file is attached. More info is in attach See attach. 7 Please, have a look at the attached file. Your document is attached. Please, read the document. Attach tells everything. Attached file tells everything. Check attached file for details. Check attached file. Pay attention at the attach. See the attached file for details. Message is in attach Here is the file. For security reasons attached file is password protected. The password is <image with password> For security purposes the attached file is password protected. Password -- <image with password> Note: Use password <image with password> to open archive. Attached file is protected with the password for security reasons. Password is <image with password> In order to read the attach you have to use the following password: <image with password> Archive password: <image with password> Password <image with password> Password: <image with password> Elekronik posta ekinde yer alan dosya .exe, .scr, .com veya cpl uzantılıdır. Bazı durumlarda Visual Basic .vbs uzantılı betik (script) dosyaları gibi sisteme bulaşabilmektedir. Yayılması sırasında ziplenmiş dosyalar şeklinde şifreli zip dosyalarını aşağıdaki konu başlıkları ile göndermektedir. Information Details text_document Updates Readme Document Info Details Message Bilgisayar Ağları üzerinde yayılması Solucan aktif hale geldikten sonra shar dizinlere isimlerini vererek kendisini aşağıdaki adları vererek kopyalar Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe Porno Screensaver.scr Serials.txt.exe KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe 8 Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe 4. I-Worm/Bagle.AI Varyantı Sisteme Bulaşması: Bu solucan kendisini HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run key kayıt anahtar kelimesi ile Windows sistemi dizinine winxp.exe adı ile kopyalar. Elektronik Posta yolu ile yayılması : Bu solucan varyantı da bilgisayar sistemleri arasında wab, txt, msg, htm, shtm, stm, xml, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp, php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi, mht, dhtm ve jsp uzantılı olarak yayılır. Yayılan elektronik posta adresinde gönderici adı ve adresi doğru değildir. Bunun yerine rasgele isimler verilmektedir. Konu alanları ise aşağıdakilerden birisi olarak yer alır. Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe Porno Screensaver.scr Serials.txt.exe KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe 5. I-Worm/Bagle.AK Varyantı Sisteme Bulaşması: Bu solucan kendisini diğer varyantlarından farklı olarak price.exe adlı program çalıştığında kendisini WINdirect.exe adı ile Windows sistem dizinine kopyalar ve yine aynı dizine _dll.exe adı ile bir dosya oluşturur. Solucan win_upd2.exe adı ile Windows sistem kaydı dosyasına kendisini kaydeder. Daha sonra windll.exe adında kendisine ait diğer komponentleri yüklemek için internetten indirmeye ve sisteme yüklemeye çalışır. Elektronik Posta yolu ile yayılması : Bu solucan varyantı da bilgisayar sistemleri arasında wab, txt, msg, htm, shtm, stm, xml, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp, php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi, mht, dhtm ve jsp uzantılı olarak yayılır. Yayılan elektronik posta adresinde gönderici adı ve adresi doğru değildir. Bunun yerine rasgele isimler verilmektedir. Konu alanları ise aşağıdakilerden birisi olarak yer alır e-postanın konusu boş olarak gelir. Mesaj yapısı içerisinde html formatında new price adı vardır. E-posta ek dosyasında price adı ile kayıtlı iki adet zipli dosya vardır. Dosyalardan birisi html şeklinde olan price.html diğeri ise price.exe’dir. Bilgisayar Ağları üzerinde yayılması 9 Solucan aktif hale geldikten sonra shar dizinlere isimlerini vererek kendisini aşağıdaki adları vererek kopyalar Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe Porno Screensaver.scr Serials.txt.exe KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe Sophos Antivirüs Yazılımı ile Solucanı Temizleme Bu solucanların temizlenmesi için en güvenilir yol mutlaka lisanslı bir antivirüs yazılımı kullanmaktır. Bir çok firmanın ürünü kullanıcı seviyesinde eskiden olduğu gibi çok pahalı değildir. Lisanslı antivirüs yazılımlarının yanı sıra antivirüs yazılım firmaları bazı tür solucan veya truvaatı tiplerinin temizleme araçlarını internet üzerinden ücretsiz indirilmesine olanak sağlamaktadır. Bu firmaların her birisinin çözümü aslında aynıdır. Bagle solucanını temizlemek için AxelSoft firmasının temizleme aracını aşağıdaki bağlantıdan indirebilirsiniz. http://www.nod32.ro/download/free.htm Benzer tipte olan bir çok solucanı temizleyen Sophos firmasının temizleme aracını aşağıdaki bağlantıda bulabilirsiniz. Bu bağlantıda solucanı nasıl ve hangi araç ile temizleneceği konusunda bir yönerge bulunmaktadır. http://www.sophos.com/support/disinfection/baglea.html Şekil 1. Lisans Kabul Ve Kullanım Ekranı Çözümleme aracı olan BAGLEGUI aracı internet üzerinden bilgisayarınıza indirildikten sonra Windows gezgini ile üzerine iki kez tıklayarak çalıştırılır. İlk gelen karşılama ekranı Şekil 1’deki gibidir. Daha sonra şekil 2’de görüntü gelir ve temizleme işlemi başlatılır. Çözümleme aracı bilgisayarınızın sabit diski üzerinde solucanı bulmaya çalışacaktır. Bilgisayarınızda Bagle solucanı veya varyantını bulmak için komut satırı dosyası olan 10 BAGLESFX.EXE tamir aracını yine aynı bağlantıdan indirerek Windows sisteminize bulaşan solucanı komut isteminden bulabilirsiniz. Şekil 2. Sophos Aracı Temizleme Ekranı Solucanı Windows sisteminden temizlemek için sophos firmasının temizleme araçlarını kullanabiliriz. Şekil 3’te Configuration menusunden kayıt (log) dosyasının kopyalanacağı yer seçilir. Bu ekrandan yine tarama metodu da seçilebilir. En iyi yöntem biraz uzun sürmesine karşılık Tüm dosyaları Tar olan (Scan All Files) seçeneiğdir. Şekil 3 Temizleme Aracı Ayarlar Ekranı. Windows 95/98/ME sürümlerinden solucanı temizleme işlemi; 1. Bilgisayarınıza Sophos antivirüs yazılımının yüklendiği varsayılmaktadır. 2. Başlat menüsünden -> Programlar -> Sophos Antivirus tabına geçerek programı çalışıtırın 3. Sophos Antivirüs programı çalımaya başladıktan sonra menüden Option -> Configuration alt menusune gidin. 4. Action tabından infected files kontorl (check) işaretini kaldırın. 5. Araç çubuğundan scan (tarama) işlemini başlatın 6. Solucanın bulaştığı dosyaları silin. 7. Sophos Antivirüsü yine aynı yolları izleyerek infected files işaetini tekrar işaretli duruma getirin. 8. Bilgisayarınızı yeniden başlatın. 11 9. Gerekli sistem dosyalarını bilgisayarınıza kopyalayın. Windows NT/2000/XP/2003 sürümlerinden solucanı temizleme 1. Bilgisayarınıza Sophos antivirüs yazılımının yüklendiği varsayılmaktadır. 2. Başlat menüsünden -> Programlar -> Sophos Antivirus tabına geçerek programı çalışıtırın 3. Sophos Antivirüs programı çalımaya başladıktan sonra menüden Option -> Configuration alt menusune gidin. 4. Action tabından infected files kontorl (check) işaretini kaldırın. 5. Araç çubuğundan scan (tarama) işlemini başlatın 6. Solucanın bulaştığı dosyaları silin. 7. Sophos Antivirüsü yine aynı yolları izleyerek infected files işaetini tekrar işaretli duruma getirin. 8. Bilgisayarınızı yeniden başlatın. Solucan bilgisayarınızdan Sophos Antivirüs programı yardımı durumlarda ise aşağıdaki komutlar yardımı ile temizleyebilirsiniz. ile temizlenemediği Windows 2000/XP/2003 sürümlerinden solucanı temizleme yöntemi: 1. Solucunun bulaşmadığı bir bilgisayara aynı internet adresinde bulunan SAV32CLI dosyasını indirin. 2. SAV32CLI dosyasını bir diskete kopyalayın ve yazmaya karşı korumasını kapatın ( diskete sadece okuma izni veren duruma getirin). Cd-Rom veya IDE disk birimlerinden herhangi birisi ile taşıyacaksanız o birimide yazmaya karşı korumalı duruma getirin. 3. bilgisayarınızı güvenli kip (Safe Mode) ile komut isteminde (Command Promt) açın. 4. SAV32CLI hagi sürücüde ise o sürücüye geçin. 5. SAV32CLI –REMOVE –P=C:\LOGFILE.TXT yazarak solucanı sabit diskinizden temizleyin. Windows NT sürümünden solucanı temizleme yöntemi: 1. Solucunun bulaşmadığı bir bilgisayara aynı internet adresinde bulunan SAV32CLI dosyasını indirin. 2. SAV32CLI dosyasını bir diskete kopyalayın ve yazmaya karşı korumasını kapatın ( diskete sadece okuma izni veren duruma getirin). Cd-Rom veya IDE disk birimlerinden herhangi birisi ile taşıyacaksanız o birimide yazmaya karşı korumalı duruma getirin. 3. Bilgisayarınızdaki bütün açık programları kapatın. 4. Başlat -> Ayarlar -> Denetim Masası penceresinden Servisler kontrol eden programı çalıştırın ve mümküm olduğunca çok servisi kapatın. 6. SAV32CLI hagi sürücüde ise o sürücüye geçin. 5. SAV32CLI –REMOVE –P=C:\LOGFILE.TXT yazarak solucanı sabit diskinizden temizleyin. 12