Cpu

Evet bugün 1 Nisan ama bu bir şaka olmayabilir: Birden fazla güvenlik firma/grubu, daha önceden varolan bir virüsün 1 Nisan günü geniş çaplı hasar vermeye hazırlandığı uyarısını yapıyor. Conficker daha önceden bilinen ve bulaştığı sistemlere bulaşmak dışında net bir zarar vermeyen bir solucan. Ancak solucan üzerinde yapılan araştırmalar güvenlik uzmanlarını endişelendiriyordu. Conficker olarak (ya da kimin adlandırdığına göre değişen isimlerle) anılan solucanın son versiyonu geniş çapta hasar verebilir.
Mesele Microsoft'un şu güvenlik açığıyla başlıyor. Bu açığın ve virüsün/solucanın ortaya çıkmasından beri yapılan araştırmalar solucanın epeyce becerikli olduğunu ortaya koymuş. Symantec'in bir araştırma dokümanında araştırmacıların virüsü yakaladıkları zaman bile temizleyemediklerini farkettiklerini yazıyor. Solucan girdiği bilgisayarda, antivirüs yazılımı tarafından temizlenmesi gereken dosyayı kilitleyip işletim sisteminin "bu dosyayı silemezsin çünkü bir servis onu kullanıyor" uyarısı vermesini sağlıyor. Tabii kullanan servis de svchost süreçlerinden biri olarak gizlenen, solucanın kendisi (ya da bir parçası). Symantec kendi antivirüs yazılımlarının güncellenmiş versiyonunda bu virüsün temizlenmesini sağlamış. Ancak antivirüs yazılımınız güncel değilse yine de tehlike altındasınız.
Bir başka araştırma grubu şu anda güncel olduğu tahmin edilen solucan versiyonunun (Conficker.C ya da Downadup.C olarak adlandırılıyor), bir önceki versiyon olan B'ye göre %80 oranında farklı olduğunu belirtiyor. Bu versiyon 5 Mart'tan beri yayılıyormuş. Yeni versiyonun bulaştığı sistemler günde 50.000 psödo-rassal alan adından oluşan listeler üretip komut indirmeye başlayacağını söylüyorlar.
Solucan aynı zamanda güvenlik yazılımlarını bloke edip, kendisini iki sistem arası kurduğu ağlarla dağıtıyor ve yazarları dışında kimsenin kodunu güncellemesine izin vermiyor. Bunu, güncellemelere MD6 olarak bilinen bir algoritmayla denetim uygulayarak yapıyor.
SourceFire da bu konuda bir bilgilendirme iletisi gönderenlerden. SNORT kullanıcıları için sorun olmadığını, çünkü Conficker'ın yararlandığı açıkla ilgili Conficker.A çıkmadan bile bir ay önce aksiyon aldıklarını belirtiyorlar. Sorun açığı kullanan koda değil, doğrudan açığa karşı çözüldüğü için bu bağlamda sorun yok.
Pekiyi bu günü kabus haline getirebilecek şey ne? Çok eskiden kalan o "X günü bilgisayardan duman çıkacak, BIOS'u silinecek, diski yanacakmış" efsanelerini bir kenara bırakın. Bu tip bir saldırının yazarları -diğer kötü amaçlı kod yazarlarının bir kısmı gibi- muhtemelen daha büyük bir şeyin peşinde. Büyük ölçekli spam, sahtekarlık ve hatta İnternet'in kendisine ağır bir saldırı için hazırlık yapıyor olabilirler; yani aslında nette kullanacakları silahlarını daha iyi korumaya çalışıyorlar. Yukarıda andığımız "komut indirme" hikayesi de bunun bir parçası. Daha önceki varyantın amacı virüsün kendi güncellemelerini sağlamasıydı; böylece şekil değiştirip uyum sağlayarak etkisiz hale gelme olasılığını azaltmaya çalışıyor. Güvenlik firmaları da bunu engellemeye çalışıyorlardı ama 5 Mart günü solucan bulaşmış olduğu makinelerin %20'sinde -tüm engelleme çabalarına rağmen- kendisini C versiyonuna yükseltmeyi başardı. İki hafta sonra enfekte sistemlerin hemen hemen yarısında kendisini güncellemeyi başarmıştı. O zamanlar enfekte makinelerin herbiri günde 500 alan adını tarıyordu; 1 Nisan'dan itibarense rakam 50.000'e yükseliyor, yani güncelleme şansını artırmayı hedefliyor.
SecurityFocus'a göre Conficker'a karşı önlem almaya çalışan grubun bir üyesi olan Microsoft, solucanın yazarlarını tutuklamaya yarayacak bilgiyi verene 250.000 dolarlık bir ödül biçti.
Editörün 1 Nisan notu: O son tümceyi okuyunca ben de "Hah, tam zincir posta iletisi" dedim ama bu haber şaka amaçlı değil. Windows'larınızı, antivirüslerinizi ve güvenlik duvarlarınızı güncel tutun; virüsün şu anda saptanmaktan kurtulma gibi bir durumu gözükmüyor.