Conficker'ın yol açtığı hasar giderek artıyor
Conficker terörü henüz engellenemedi: Tahribatın boyutları ve en çok etkilenen ülkeler burada...
PandaLabs'tan gelen bilgilere göre Conficker solucanı yayılmasını sürdürüyor ve bu malware'den etkilenen bilgisayarların sayısı artmaya devam ediyor. PandaLabs tarafından yürütülen bu çalışmaya göre taranan bilgisayarların yüzde 6'sında (5,77) bu solucana rastlandı. İki milyon bilgisayarda yapılan bu araştırma, Çin'de üretilien bu malware'in şu anda 83 ülkeye yayıldığını; ABD, Brezilya, İspanya, Meksika ve Tayvan'da tahrip edici boyutlarda yaygınlaştığını gösteriyor.
Microsoft'un MS08-067 yamasıyla kapattığı açığı kullanarak yayılan solucan, bu yamanın yüklenmesine rağmen kolay temizlenemiyor. Özellikle ardışık sayılardan veya basit klavye dizilişlerinden oluşan 123456, qwerty, 123qwe, qweasd gibi basit şifreleri çok rahat kıran Conficker bu sayede yayılmasını hızlandırıyor. Ülkemizde de THY'nın sistemlerine giren ve 400 bilgisayara bulaşarak bilet işlemlerinin aksamasına neden olan solucan USB flash diskler ile daha hızlı yayılıyor.
Coficker nasıl çalışıyor?
Çalışma mantığı ise şöyle: Conficker öncelikle Windows içinde bulunan ses hizmetleri, sunucu yazılımları gibi arkaplan servislerinin çalışmasını sağlayan "services.exe" isimli uygulamayı enfekte ederek, aslında Windows'un çalışması için gerekli olan bu uygulamanın bir parçası haline geliyor. Services.exe'nin bir parçası haline gelen zararlı betik parçacığı, kendisini Windows'un sistem klasörü altına kopyalayarak, 5-8 karakterli bir "dll" dosyası olarak saklıyor. Windows'un uygulama ayarlarını tutan "Registry" içinde bir düzenleme yapan uygulama, bu noktadan sonra kendini sistem için gerekli bir servis olarak tanımlayarak bilgisayar açık olduğu her an arkaplanda çalışmaya devam ediyor. Solucan bilgisayarın en son alınmış olan Sistem Geri Yükleme Nokta'sını siliyor ve durumu kurtarılması güç bir hale getiriyor, daha sonra da çalışmaya başladığı andan itibaren oluşturduğu HTTP sunucusu ile Conficker'i üreten saldırganların sitesi üzerinden bilgisayara dosyalar yüklemeye başlıyor ve bu şekilde istedikleri işlemleri yapmalarına imkan sağlıyor.
Solucan malware'lerin birçoğu bağlanmaya çalıştıkları siteler
sayesinde kolayca yakalanabilirken, Conficker tamamen rastgele
isimlere bağlanmaya çalışan karmaşık algoritması sayesinde
yakalanması imkansız bir hale geliyor. Çünkü bağlandığı bu yüzlerce
site arasından hangisinin saldırganlara ait olduğu bulunamıyor.
Blaster ve Kournikova
solucanlarından bu yana bu kadar güçlü ve çabuk dağılan bir
worm saldırısı olmamıştı. Bu saldırıdan
etkilenmemek için bilgisayarımıza transfer ettiğimiz veriye ve bu
transfer esnasında kullanmış olduğumuz kaynağa dikkat etmemiz
gerekmekte.
Basın bülteninden derlenmiştir.