Bu ay en son virüs açıklamalarının yanı sıra biraz da exploit açıklayabileceğimi düşündüm. Sistemin ve bazı programların açıklarını kötüye kullanmaya exploit deniliyor. Gerek Unix, gerekse Windows birçok açık içerir. Exploitler ile sistem şifreleri görülebilir, sistemler hakkında bilgiler elde edilir; hatta ICQ exploitleri yüzünden siz istemeseniz de karşı taraf IP adresinizi görebilir ve sizi listesine izin istemeksizin (Request göndermeden) alabilir. Çeşitli programlar ile bunlar artık o kadar kolay ki! Şimdi sıra bazı exploitlerin açıklamalarında; arkasından da tabi ki diğer virüslerimiz gelecek. Yalnız sistemlere zarar verebilecek exploitleri burada açıklamam mümkün olmadığı için, bulabildiğim en zayıf exploitleri yazdım. Winamp M3u Playlist Taşması Bilindiği gibi M3Ular Playlist dosyalarıdır. Bunları bir yazı programında (örn. Notepad) görüntülediğimizde M3U dosyalarının karmaşık olmayan, çok basit bir sistem içerdiklerini anlarız. İşte bizde bir M3U dosyasının içine birkaç karakter ekleyeceğiz ve Winampı çökerteceğiz! Bu program açığı tehlikeli olmadığı için kendi sistemimizde çekinmeden deneyebiliriz. Beynimizdeki Yapmak istediğine emin misin? mesaj kutusuna Tamam tuşuna basarak yanıt verelim ve hemen başlayalım. İster sıfırdan bir M3U dosyası yaratabilir, ister var olan bir dosyaya ekleme yapabiliriz seçim size kalmış. Ben sıfırdan yaratmayı seçiyorum. Öncelikle bir Not Defteri (Notepad) dokümanı yaratalım. İçerik olarak fazla bir şey eklemeyeceğiz, sadece #EXTM3U #EXTINF: yazacağız böyle alt alta ve #EXTINF: yazısının hemen yanına en az 250 tane aynı karakterden yazacağız. Ancak önemli nokta asla alt satıra geçmemek, yani tüm karakterleri yan yana yazacağız. Ben A tuşuna canım sıkılana kadar bastım, oldu. 
Metnimizi hazırladıktan sonra sıra geldi kaydetmeye. Bunun için Dosya mönüsünden Farklı Kaydeti (Save As) seçeceğiz ve dosya ismi soyadı, yani dosya biçimi olarak M3U kullanacağız ve alt taraftaki Metin Dosyası yerine Tüm Dosyaları seçeceğiz. Kaydettikten sonra M3U dosyamızı çalıştırdığımızda bir de ne görelim, Winamp çökmüş! Not: Bu çökme olayı sadece Winampda oluyor. Microsoft Media Player üstte yazdıklarımızdan etkilenmiyor.
BlackICE BlackICEın kayda geçirdiği paketler ve de gösterdiği saldırı mesajlarında bir kısıtlama/sınır var. Bu yüzden de bir kişi çok fazla saldırı paketi gönderirse BlackICE bunlardan bazılarını gösteremeyebiliyor. Ancak bu sınırlamanın bir iyi yanı var; programın kullandığı bellek biraz olsun azaltılıyor. Evet, 2 exploit açıkladıktan sonra sıra geldi bu ayın virüslerine: W97M/Timeless (W97M/Lesstime.a , WM97/InAdd-D) Word 97 ve 2000 belgelerini etkileyen bu makro virüsünün aslında sisteme, programlara zarar veren herhangi bir yönü yok. Virüslü belge 28 Mayıs günü açılırsa Registry de HKU.DefaultPanel= "" Anahtarını, Türkçe anlamıyla Zaman Biçimi ayarlarını, sıfırlamak için değiştiriyor ve Word kullanıcı adını Timeless Phenomenon" olarak değiştiriyor. Diğer virüslere göre ne kadar vicdanlı değil mi? Bildiğiniz gibi bu tip makro virüsleri Word makro korumasını devre dışı bıraktıktan sonra her oluşturduğunuz, yada okuduğunuz dokümana bulaşır. Peki nasıl? -Birkaç yöntemi vardır; Timeless virüsü ilk olarak Word programının Global Templatei olan Normal.DOT u etkiliyor. Bu sayede de Worddeki tüm belgeler de bunu kullandığı için okunan, yazılan her şey virüsten etkilenmiş oluyor. Hazır Makro virüslerinin bulaşma yöntemlerine değinmişken; bazı virüsler de, Excelin XLStart klasöründe Book1 isminde bir belge yaratırlar. Bu belge de Excel uygulaması her başladığında yüklenir. Unutmayın! Eğer Excel her açıldığında Book1 veya bu tip bir kitapla/çalışma kitabı ile açılıyorsa ve ya makro koruma seçeneği pasif ise sisteminize virüs bulaşmış olma olasılığı yüksektir (Makro destekli Office bileşenlerinin Default program ayarlarında makro koruma seçeneği aktiftir.). VBS/Kakworm (Wscript.Kak.A) Bir Visual Basic Script modası sürüp gidiyor bu günlerde. Ama VB Scripti geçen ay açıkladığım için hemen solucanımıza geçiyorum. Kakworm, Internet Explorer, Outlook ve Outlook Expressdeki güvenlik açıklarını kullanıyor. (Hemen belirteyim; Microsoft bu açık için bir yama yaptı. Ayrıntılı bilgiyi ve de yamayı http://www.microsoft.com/Security/Bulletins/ms99-032.asp sitesinde bulabilirsiniz.) Solucan yalnızca Outlook Express posta göndermede kullanılıyorsa yayılabiliyor; Office bileşeni olan Outlook ile değil. Kakworm, HTML imzalı olan bir e-postanın içerisine sıkıştırılmış biçimde geliyor. Alıcı hiçbir belirti göremiyor üstelik. Eğer kullanıcı virüslü e-postayı açıp görüntülerse, solucan KAK.HTA isminde bir dosyayı Windows* Başlangıç klasörüne bırakıyor. Windows yeniden başlatıldığında KAK.HTA çalışıyor ve C:.HTM Dosyasını yaratıyor. Bunun ardından Outlook Registry ayarlarını KAK.HTM in bir imza olması ve gönderilen her mesaja eklenmesi için değiştiriyor. Virüs, her ayın 1. gününde saat 17.00dan sonra aşağıdaki gibi bir kutu-mesaj çıkartıyor Ve Windowsu kapatıyor! Bu tür virüslerden -şimdilik- kurtulmak için Microsoft yamasını bilgisayarınıza kurmanızda gerçekten çok büyük fayda var. VBS/LoveLet-C Loveletter (LoveLet-A)ın varyantı olan bu VBScript virüsü biraz karışık bir virüs. Bu varyant da Outlooku kullanarak yayılıyor. Virüsün gönderdiği mesajlar aşağıdaki gibi. Konu: Susitikim shi vakara kavos puodukui... Hayır, küfür değil sadece Bu akşam bir kahve için tanışalım gibi bir anlamı varmış. (Bu arada bu hangi dil?) Mesaj Metni: kindly check the attached LOVELETTER coming from me. Ek Dosya İsmi (Virüs):LOVE-LETTER-FOR-YOU.TXT.vbs Virüs yayılmak için sisteme hem kedisine özel bir HTM dosyası, hem de küçük bir mIRC script ekliyor (Bu script onun IRC ortamı sayesinde yayılmasını sağlıyor). Virüs Registryyi Internet Explorer açılış sayfasını değiştirmek için düzenliyor. Peki Explorera hangi linki veriyor dersiniz? WIN-BUGSFIX.exe isminde bir dosyayı. Dosyanın ismine kanmayın! O bir bug düzeltme yaması değil, o, LoveLet-A Trojanı! Sistem yeniden başlatıldığında bu sefer Internet Explorer açılış sayfası blank hale getiriliyor. Virüs bunların dışında etkilediği bilgisayardaki JPG ve JPGE dosyalarına .vbs soyadı ekliyor. Ayrıca hemen hemen tüm ev kullanıcılarının sahip olduğu, en değerli varlıkları MP3lerin sonuna da .vbs ekleyen virüs, önceden dosyaları kopyalayıp görünmez yapmayı da ihmal etmiyor.
TOP 10 VİRÜSLER
1 VBS/Stages-A 7.9%
2 VBS/Kakworm 5.7%
3 VBS/LoveLet-G 5.0%
3 WM97/Marker-O 5.0%
5 WM97/FF-F 4.3%
5 WM97/Panther-B 4.3%
7 XM97/Yawn-A 3.6%
8 OF97/Jerk-I 2.9%
8 WM97/Ethan 2.9%
8 WM97/Marker-C 2.9%
Diğerleri 55.5%
Bu değerler Sophos Anti-Virusden alınmıştır. (www.sophos.com) Benim için çok keyifli olan bir yazının daha sonuna geldik. Unutmayın; bilgisayarınızın belleği yeterli ise iki tane anti-virüs programı kullanmak ve bunları her hafta güncelleştirmek virüslerden korunmanın en iyi yoludur. Hayır, performans çok düşüyor derseniz bir normal birde hafif anti-virüs programı kullanmak en iyisidir (McAfee ve Sophos mesela...).
Metnimizi hazırladıktan sonra sıra geldi kaydetmeye. Bunun için Dosya mönüsünden Farklı Kaydeti (Save As) seçeceğiz ve dosya ismi soyadı, yani dosya biçimi olarak M3U kullanacağız ve alt taraftaki Metin Dosyası yerine Tüm Dosyaları seçeceğiz. Kaydettikten sonra M3U dosyamızı çalıştırdığımızda bir de ne görelim, Winamp çökmüş! Not: Bu çökme olayı sadece Winampda oluyor. Microsoft Media Player üstte yazdıklarımızdan etkilenmiyor.BlackICE BlackICEın kayda geçirdiği paketler ve de gösterdiği saldırı mesajlarında bir kısıtlama/sınır var. Bu yüzden de bir kişi çok fazla saldırı paketi gönderirse BlackICE bunlardan bazılarını gösteremeyebiliyor. Ancak bu sınırlamanın bir iyi yanı var; programın kullandığı bellek biraz olsun azaltılıyor. Evet, 2 exploit açıkladıktan sonra sıra geldi bu ayın virüslerine: W97M/Timeless (W97M/Lesstime.a , WM97/InAdd-D) Word 97 ve 2000 belgelerini etkileyen bu makro virüsünün aslında sisteme, programlara zarar veren herhangi bir yönü yok. Virüslü belge 28 Mayıs günü açılırsa Registry de HKU.DefaultPanel= "" Anahtarını, Türkçe anlamıyla Zaman Biçimi ayarlarını, sıfırlamak için değiştiriyor ve Word kullanıcı adını Timeless Phenomenon" olarak değiştiriyor. Diğer virüslere göre ne kadar vicdanlı değil mi? Bildiğiniz gibi bu tip makro virüsleri Word makro korumasını devre dışı bıraktıktan sonra her oluşturduğunuz, yada okuduğunuz dokümana bulaşır. Peki nasıl? -Birkaç yöntemi vardır; Timeless virüsü ilk olarak Word programının Global Templatei olan Normal.DOT u etkiliyor. Bu sayede de Worddeki tüm belgeler de bunu kullandığı için okunan, yazılan her şey virüsten etkilenmiş oluyor. Hazır Makro virüslerinin bulaşma yöntemlerine değinmişken; bazı virüsler de, Excelin XLStart klasöründe Book1 isminde bir belge yaratırlar. Bu belge de Excel uygulaması her başladığında yüklenir. Unutmayın! Eğer Excel her açıldığında Book1 veya bu tip bir kitapla/çalışma kitabı ile açılıyorsa ve ya makro koruma seçeneği pasif ise sisteminize virüs bulaşmış olma olasılığı yüksektir (Makro destekli Office bileşenlerinin Default program ayarlarında makro koruma seçeneği aktiftir.). VBS/Kakworm (Wscript.Kak.A) Bir Visual Basic Script modası sürüp gidiyor bu günlerde. Ama VB Scripti geçen ay açıkladığım için hemen solucanımıza geçiyorum. Kakworm, Internet Explorer, Outlook ve Outlook Expressdeki güvenlik açıklarını kullanıyor. (Hemen belirteyim; Microsoft bu açık için bir yama yaptı. Ayrıntılı bilgiyi ve de yamayı http://www.microsoft.com/Security/Bulletins/ms99-032.asp sitesinde bulabilirsiniz.) Solucan yalnızca Outlook Express posta göndermede kullanılıyorsa yayılabiliyor; Office bileşeni olan Outlook ile değil. Kakworm, HTML imzalı olan bir e-postanın içerisine sıkıştırılmış biçimde geliyor. Alıcı hiçbir belirti göremiyor üstelik. Eğer kullanıcı virüslü e-postayı açıp görüntülerse, solucan KAK.HTA isminde bir dosyayı Windows* Başlangıç klasörüne bırakıyor. Windows yeniden başlatıldığında KAK.HTA çalışıyor ve C:.HTM Dosyasını yaratıyor. Bunun ardından Outlook Registry ayarlarını KAK.HTM in bir imza olması ve gönderilen her mesaja eklenmesi için değiştiriyor. Virüs, her ayın 1. gününde saat 17.00dan sonra aşağıdaki gibi bir kutu-mesaj çıkartıyor Ve Windowsu kapatıyor! Bu tür virüslerden -şimdilik- kurtulmak için Microsoft yamasını bilgisayarınıza kurmanızda gerçekten çok büyük fayda var. VBS/LoveLet-C Loveletter (LoveLet-A)ın varyantı olan bu VBScript virüsü biraz karışık bir virüs. Bu varyant da Outlooku kullanarak yayılıyor. Virüsün gönderdiği mesajlar aşağıdaki gibi. Konu: Susitikim shi vakara kavos puodukui... Hayır, küfür değil sadece Bu akşam bir kahve için tanışalım gibi bir anlamı varmış. (Bu arada bu hangi dil?
) Mesaj Metni: kindly check the attached LOVELETTER coming from me. Ek Dosya İsmi (Virüs):LOVE-LETTER-FOR-YOU.TXT.vbs Virüs yayılmak için sisteme hem kedisine özel bir HTM dosyası, hem de küçük bir mIRC script ekliyor (Bu script onun IRC ortamı sayesinde yayılmasını sağlıyor). Virüs Registryyi Internet Explorer açılış sayfasını değiştirmek için düzenliyor. Peki Explorera hangi linki veriyor dersiniz? WIN-BUGSFIX.exe isminde bir dosyayı. Dosyanın ismine kanmayın! O bir bug düzeltme yaması değil, o, LoveLet-A Trojanı! Sistem yeniden başlatıldığında bu sefer Internet Explorer açılış sayfası blank hale getiriliyor. Virüs bunların dışında etkilediği bilgisayardaki JPG ve JPGE dosyalarına .vbs soyadı ekliyor. Ayrıca hemen hemen tüm ev kullanıcılarının sahip olduğu, en değerli varlıkları MP3lerin sonuna da .vbs ekleyen virüs, önceden dosyaları kopyalayıp görünmez yapmayı da ihmal etmiyor.TOP 10 VİRÜSLER
1 VBS/Stages-A 7.9%
2 VBS/Kakworm 5.7%
3 VBS/LoveLet-G 5.0%
3 WM97/Marker-O 5.0%
5 WM97/FF-F 4.3%
5 WM97/Panther-B 4.3%
7 XM97/Yawn-A 3.6%
8 OF97/Jerk-I 2.9%
8 WM97/Ethan 2.9%
8 WM97/Marker-C 2.9%
Diğerleri 55.5%
Bu değerler Sophos Anti-Virusden alınmıştır. (www.sophos.com) Benim için çok keyifli olan bir yazının daha sonuna geldik. Unutmayın; bilgisayarınızın belleği yeterli ise iki tane anti-virüs programı kullanmak ve bunları her hafta güncelleştirmek virüslerden korunmanın en iyi yoludur. Hayır, performans çok düşüyor derseniz bir normal birde hafif anti-virüs programı kullanmak en iyisidir (McAfee ve Sophos mesela...).
