Leb Demeden

Internet solucani MS03-026, MS03-001, MS03-007 ve MS03-049 aciklarini kullanarak bilgisayari etkilemektedir.
Belirtiler:
Beklenmeyen acik portlar, Asagida belirtilen verilerilin kayit dosyasinda varligi,Guvenlik programlarin calismamasi,
Etkileme Yöntemi:
Güncellenmemis isletim sistemlerin yukarda belirtilen aciklarinda faydalanarak ve acik paslasimlardan kullanici adi ve parola tahmini ile bilgisayara ulasmakta ve etkilemektedir.
Korunma Yöntemi:
Virüsten korunmak için yapılması gerekenler.
Yukarda adı geçen Windows işletim sistemi güncelemelerini mutlaka yapınız.
Bilgisayarda bulunan her kullanıcının şifresinin en az 8 karakter uzunluğunda olmasına ve içinde büyük harf, küçük harf, rakam ve özel karakterlerin bulunmasına özen gösteriniz.
Kullanılmayan windows paylaşımlarının kesinlikle kapatılması gerekmektedir. Bunun yanında varsayılan yönetici paylaşımlaırnın da
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareWks (REG_DWORD) 0
verisi kayıt dosyasına işlenerek (registry) durdurulmalıdır (Bölüm Birim Koordinatörünüzden konu ile ilgili yardım alınız).
Windows paylaşımın kullanımının zorunlu olduğu durumlarda paylaşım parola korumalı olmalıdır. Paylaşımın parolasız olması durumunda bilgisayaraınız virüse karşı korumasızdır.
Teknik özellikler:
Kendisini %System%\wuamps.exe olarak kopyalıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri;

kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ wuamps.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce wuamps.exe
Guvenlik yazilimlarini calismasini durduruyor.
Asagida belritilen baska Internet solucanlari tafindan kullanilan surecleri duruduruyor
taskmon.exe, bbeagle.exe, d3dupdate.exe, winsys.exe, ssate.exe, i11r54n4.exe, rate.exe, irun4.exe, sate.exe, wuamps.exe
Asagidaki siteler baglanti yapilmasin engellemek icin “host” olarak ilgili verileri giriyor.
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
Onceden belirlenmis IRC sitesine baglanmaya calisiyor ve oradan alicagi komutlari uyguluyor. Komutlar asagidaki islemleri saglamaktadir:
Sistem hakkida bilgi edinmek
Dosya indirmek ve calistirmak
FTP sitelerine baglanip dosya yuklemek
SSH kullanarak baska sistemlere baglanmak
Calisan programlari durdurmak
E-posta adresleri toplamak
SOCKS proxy olarak calismak
Yukarda belirtilen aciklari olan bilgisayalari agda ariyor.
Asagidaki paylasimlara kullanici adi ve parola deniyerek baglanmaya calisiyor.
admin$, c$, d$, e$, print$