W32.Welcia.Worm
Bir kaç haftadır network'te yavaşlamaya sebeb olan; Symantec ve diğer antivirus firmaları tarafından yapılan bildiride W32.Welcia.Worm adında yeni bir worm bulunmaktadır.Bu worm Windows2000 ve WindowsXp işletim sistemlerindeki DCOM RPC servisinin güvenlik açığından kaynaklanmaktadır. Bu wormu temizlemek ve sistemin güvenliğini sağlamak için aşağıdaki işlemleri sırasıyla yapmanız gerekmektedir. Virüs çalıştırıldığında ne oluyor???
Virüs çalıştırıldığında
Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%System%\Wins\Dllhost.exe
%System%\Dllcache\Tftpd.exe dosyasını bir kopyasını %System%\Wins\svchost.exe isminde çıkarıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri;
RpcPatch
RpcTftpd
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Aşağıdaki servisleri hazırlıyor
Servis Adı: RpcTftpd
Servis Görsel Adı: Network Connections Sharing
Servis Binari: %System%\wins\svchost.exe
Elle çalıştırılacak şekilde bırakılıyor.
Servis Adı: RpcPatch
Servis Görsel Adı: WINS Client
Servis Binari: %System%\wins\dllhost.exe
Servis otomatik olarak çalışıyor.
Msblast servisini sonlandırıyor ve %System%\msblast.exe dosyasını siliyor.
IP adresleri belirledikten sonra bilgisayarların çalıtığını anlamak için ICMP echo isteği ve PING paketleri gönderiyor.
TCP 135 porta DCOM RPC zayıflığından yararlanan ve TCP 80 porta WebDav zayıflığından yararlanan paketleri IP'lere gönderiyor.
Açıktan yararlanarak etkilene bilgisayar TCP 666-765 port aralığında rastgele bir portu dinleyen gizli CMD uygulaması çalıştırıyor.
Yeni etkilen bilgisayara Dllhost.exe ve Svchost.exe dosyasın çekmesi için komut gönderiyor.
İşetim sistemini ve güncellemelerini kontrol edip, DCOM RPC zayıflığı bulunuyorsa WindowsUpdate sitesine bağlanıp gerekli güncelleme dosyalarını indip çalıştırıyor.
Güncelleme indildikten sonra aktif hale gelebilmesi için bilgisayarı tekrar başlatıyor.
Sistem tarihi 2004 yılındaysa kendisini sistemden siliyor.
Symantec firmasinin ürettiği özel programla kaldirmak (ÖNERİLEN)
a-) FixWelch.exe programını indiriniz indirmek için tıklayın.
b-) İşletim sisteminize uygun patch(yama) programını seçiniz.
Windows XP - Türkçe
Windows XP - İngilizce
Windows 2000 - Türkçe
Windows 2000 - İngilizce
c-) Antivirüs programınızı güncelleyiniz.
d-) Bilgisayarınızı kapatınız ve güvenli modda (safe mode) açınız (Bilgisayar açılırken, F8 tuşuna basınız.)
e-) FixWelchia.exe programını çalıştırın.
f-) svchost.exe,dllhost.exe (C:\WINDOWS\system32\wins\) altındaki dosyasını siliniz.
Dikkat:Sistemde aynı isimli fakat baş harfi küçük olan bir dosya daha mevcuttur;sisteminizin güvenliği açısından bu dosyayı silmeyiniz.Dosyanın adı "svchost.exe" dir.
g-) Bilgisayarınızı antivirüs programı ile taratınız.
h-) İşletim sisteminize uygun indirdiğiniz patch'i çalıştırınız.
i-) Bilgisayarınızı normal olarak yeniden başlatınız.
j-) WindowsXP/2000/ME işletim sistemlerini güncelleyiniz.
(WindowsXP/2000 için internet explorer'ınız açın araçlar menüsünden windows güncelleyi seçiniz, sistem kendini otomatik olarak güncelleyecektir. Eğer windows güncelle çalışmıyor ise sisteminiz kopya windows isletim sistemi içeriyor demektir, lütfen sisteminizi kopya olmayan bir işletim sistemine güncelleyiniz)
bilmiyorum dediğim konu hakkında 2 saat eh bence dersem günlerce konuşurum
Virüs çalıştırıldığında
Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%System%\Wins\Dllhost.exe
%System%\Dllcache\Tftpd.exe dosyasını bir kopyasını %System%\Wins\svchost.exe isminde çıkarıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri;
RpcPatch
RpcTftpd
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Aşağıdaki servisleri hazırlıyor
Servis Adı: RpcTftpd
Servis Görsel Adı: Network Connections Sharing
Servis Binari: %System%\wins\svchost.exe
Elle çalıştırılacak şekilde bırakılıyor.
Servis Adı: RpcPatch
Servis Görsel Adı: WINS Client
Servis Binari: %System%\wins\dllhost.exe
Servis otomatik olarak çalışıyor.
Msblast servisini sonlandırıyor ve %System%\msblast.exe dosyasını siliyor.
IP adresleri belirledikten sonra bilgisayarların çalıtığını anlamak için ICMP echo isteği ve PING paketleri gönderiyor.
TCP 135 porta DCOM RPC zayıflığından yararlanan ve TCP 80 porta WebDav zayıflığından yararlanan paketleri IP'lere gönderiyor.
Açıktan yararlanarak etkilene bilgisayar TCP 666-765 port aralığında rastgele bir portu dinleyen gizli CMD uygulaması çalıştırıyor.
Yeni etkilen bilgisayara Dllhost.exe ve Svchost.exe dosyasın çekmesi için komut gönderiyor.
İşetim sistemini ve güncellemelerini kontrol edip, DCOM RPC zayıflığı bulunuyorsa WindowsUpdate sitesine bağlanıp gerekli güncelleme dosyalarını indip çalıştırıyor.
Güncelleme indildikten sonra aktif hale gelebilmesi için bilgisayarı tekrar başlatıyor.
Sistem tarihi 2004 yılındaysa kendisini sistemden siliyor.
Symantec firmasinin ürettiği özel programla kaldirmak (ÖNERİLEN)
a-) FixWelch.exe programını indiriniz indirmek için tıklayın.
b-) İşletim sisteminize uygun patch(yama) programını seçiniz.
Windows XP - Türkçe
Windows XP - İngilizce
Windows 2000 - Türkçe
Windows 2000 - İngilizce
c-) Antivirüs programınızı güncelleyiniz.
d-) Bilgisayarınızı kapatınız ve güvenli modda (safe mode) açınız (Bilgisayar açılırken, F8 tuşuna basınız.)
e-) FixWelchia.exe programını çalıştırın.
f-) svchost.exe,dllhost.exe (C:\WINDOWS\system32\wins\) altındaki dosyasını siliniz.
Dikkat:Sistemde aynı isimli fakat baş harfi küçük olan bir dosya daha mevcuttur;sisteminizin güvenliği açısından bu dosyayı silmeyiniz.Dosyanın adı "svchost.exe" dir.
g-) Bilgisayarınızı antivirüs programı ile taratınız.
h-) İşletim sisteminize uygun indirdiğiniz patch'i çalıştırınız.
i-) Bilgisayarınızı normal olarak yeniden başlatınız.
j-) WindowsXP/2000/ME işletim sistemlerini güncelleyiniz.
(WindowsXP/2000 için internet explorer'ınız açın araçlar menüsünden windows güncelleyi seçiniz, sistem kendini otomatik olarak güncelleyecektir. Eğer windows güncelle çalışmıyor ise sisteminiz kopya windows isletim sistemi içeriyor demektir, lütfen sisteminizi kopya olmayan bir işletim sistemine güncelleyiniz)
bilmiyorum dediğim konu hakkında 2 saat eh bence dersem günlerce konuşurum