Dünyanın önde gelen güvenlik içerik çözümleri şirketlerinden biri olan Kaspersky Lab, bugüne kadar internet bağlantısı olan pek çok bilgisayar için büyük sorun olan ve 1 Nisan 2009 tarihinde kendini yeniden güncelleyen Conficker ya da diğer adıyla Kido zararlısı için, bilgisayar kullanıcılarını bir kez daha uyardı. Ortaya ilk çıkışının ardından yayılımının en hızlı evresini Ocak 2009'da yaşadığına dikkat çeken Kaspersky Lab uzmanları, tehdidin büyümesini önemli sayıda bilgisayarın Microsoft'un geçtiğimiz sonbaharda yayınladığı yamasını yüklememesi sonucuna bağlıyor.
İlgili güvenlik yamasının yüklenmemiş olması ve etkin bir antivirüs korumasının kullanılmıyor olması gibi nedenler, problemin bir salgın seviyesine dönüşmesinde önemli rol oynuyor. Bugüne kadar 5 ila 6 milyon bilgisayara bulaştığı tahmin edilen Kido'nun şu anda bilinen birkaç yüz türevi üçüncü jenerasyona ulaşmış durumda.
En son türevler, zararlı yazılım geliştiricilerince bilinen en karmaşık teknolojileri kullanarak her gün değişen web adreslerinden kendilerini güncelleyebiliyor. Ayrıca çok güçlü şifreleme sistemleri sayesinde izinsiz olarak kontrol edilmenin önüne geçebilmelerinin yanı sıra, sahip oldukları son derece gelişmiş mekanizmalar ile güvenlik sistemlerini etkisiz hale getirerek güvenlik yazılımlarının güncellenmesini de engelliyor.
Siber suçluların bir sonraki adımı hala belirsiz
"Conficker veya Downadup olarak da bilinen Kido'nun üçüncü jenerasyonu her gün değişen 50.000 alan adı arasından seçilen 500'üne bağlanıp bu alanlardan indirdiği kodlar ile kendisini güncelleyebiliyor" açıklamasını yapan Kaspersky Lab EEMEA Bölgesi Baş Güvenlik Uzmanı Costin Raiu konuya ilişkin ayrıca şunları söyledi: "Güncelleme için kullanılan 500 alan adının rastgele seçiliyor olması toplam alan adı sayısının büyüklüğü ile birleşince zararlı yazılımın kullandığı alan adlarının belirlenip engellenmesini aşırı derecede zorlaştırıyor. Bu yüzden Kido'nun oluşturduğu botnet, en gelişmiş süper bilgisayarlarınkine denk büyüklükte işlem gücüne sahip çok büyük bir kaynak haline geliyor".
Siber suçluların bir sonraki adımı bilinmezliğini koruyor.
Kido'nun geliştiricileri tarafından yaratılan bu devasa botnet siber suçlulara herhangi bir internet kaynağına son derece kuvvetli DDoS saldırıları düzenlemeleri, enfekte olan bilgisayarlardaki gizli bilgilere erişmeleri ve istenmeyen içeriklerin dağıtımı (ör: toplu spam eposta gönderimi) gibi problemler yaratıyor.
Kido botnetinin 1 Nisan 2009 tarihinden itibaren, geliştiricilerinden yeni kod talep etmeye başladığını belirten uzmanlar, kullandığı kuvvetli şifreleme algoritmaları sayesinde sadece Kido'nun geliştiricilerinin botnet'e güncelleme gönderebildiğini belirtti.
Kido ile ilgili bilinmesi gereken her şey
- Soru: Kido'dan nasıl korunabilirim?
- Cevap: Kullandığınız antivirus yazılımını ve Windows için otomatik güncellemelerin (özellikle Microsoft tarafından yayınlanan MS08-067 güncellemesinin) etkin olduğundan emin olun. Windows'da otomatik çalıştır işlevini devre dışı bırakın ve bilgisayarınızda tam antivirüs taraması gerçekleştirin.
- Soru: Kido'nun bilgisayarıma bulaşıp bulaşmadığını nasıl anlayabilirim?
- Cevap: Eğer bilgisayarınızın enfekte olduğundan şüpheleniyorsanız tarayıcınızla bir arama motoru sayfası açmaya çalışın. Sayfa sorunsuz açılıyorsa www.kaspersky.com veya www.microsoft.com adreslerine ulaşmaya çalışın. Eğer web sayfası açılmıyorsa web sitesi muhtemelen zararlı yazılım tarafından engellenmektedir. Kido tarafından engellenen web kaynaklarının tam listesine aşağıdaki adresten ulaşılabilir: http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782725
- Soru: Sanırım bilgisayarıma Kido bulaşmış! Nasıl temizleyebilirim?
- Cevap: Önce şu adrese gidin: http://support.kaspersky.com/faq/?qid=208279973
Kido'nun bulaştığı bilgisayara KKiller_v3.4.1.zip dosyasını indirin ve sıkıştırılmış dosyanın içeriğini ayrı bir klasöre aktarın. KKiller.exe uygulamasını çalıştırın. KKiller Kido'yu etkisiz hale getirip cihazınızdan temizleyecektir. Tarama tamamlandığında bir komut satırı penceresi hala açık olabilir. Herhangi bir tuşa basarak pencereyi kapatın.
Basın bülteninden derlenmiştir.