Yeni DCom Solucanımız hayırlı olsun !

11-8-2003

Evet, bir kaç gün önce haber vermeye çalıştığım Dcom Worm' ü sağlam bir şeklide faaliyete geçti. Bu gece bir çok yerden aynı anda ciddi alarmlar geldi. Solucan kısaca kendini registry' ye atıyor ve her restartta tekrar başlıyor, random IPler ve network deki diğer IPlere 135 portunda Dcom açığından erişmeye çalışıyor.

Eriştikten sonra tftp ile yeni bir binary download ediyor.

İlginç bir huyu var ki windowsupdate serverlerına yükleniyor, Yüksek derecede bir etkilenme (ki daha öncede belirttiğim gibi kişisel kullanıcıların %70 civarı açık durumda) de windowsupdate' in ciddi sorunları olacak gibi.

Tespit :
Size bulaşıp bulaşmadığını anlamak için;

  1. system32 dizininizde TFTP2576 veya benzer isimli bir dosya arayın
  2. Registry' de SOFTWARE\Microsoft\Windows\CurrentVersion\Run kısmında
    name: 'windows auto update'
    value:'msblast.exe'
Son olarak ekstra güvenlik için system32 dizinindeki tftp.exe yi XXXtftp.exe gibi bir isme çevirin %90 olarak hiç bir aktif programın çalışmasını engellemeyecektir.

Ek bir bilgi : Alert DCom Worm - Symantec

Saat : 00:45, Bu gece bu kadar macera yeter...

Recent Blog Posts

See all of the blog posts