W32.Welcia.Worm

[commodore1tr]

Bir kaç haftadır network'te yavaşlamaya sebeb olan; Symantec ve diğer antivirus firmaları tarafından yapılan bildiride W32.Welcia.Worm adında yeni bir worm bulunmaktadır.Bu worm Windows2000 ve WindowsXp işletim sistemlerindeki DCOM RPC servisinin güvenlik açığından kaynaklanmaktadır. Bu wormu temizlemek ve sistemin güvenliğini sağlamak için aşağıdaki işlemleri sırasıyla yapmanız gerekmektedir. Virüs çalıştırıldığında ne oluyor???

Virüs çalıştırıldığında

Aşağıdaki dosyaları belirtilen yerlere kopyalıyor.
%System%\Wins\Dllhost.exe
%System%\Dllcache\Tftpd.exe dosyasını bir kopyasını %System%\Wins\svchost.exe isminde çıkarıyor.
Windows açıldığında kod çalışması için aşağıdaki değeri;

RpcPatch
RpcTftpd
kayıt (registry) dosyasında belirtilen yerlere yazıyor;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Aşağıdaki servisleri hazırlıyor
Servis Adı: RpcTftpd
Servis Görsel Adı: Network Connections Sharing
Servis Binari: %System%\wins\svchost.exe
Elle çalıştırılacak şekilde bırakılıyor.
Servis Adı: RpcPatch
Servis Görsel Adı: WINS Client
Servis Binari: %System%\wins\dllhost.exe
Servis otomatik olarak çalışıyor.
Msblast servisini sonlandırıyor ve %System%\msblast.exe dosyasını siliyor.
IP adresleri belirledikten sonra bilgisayarların çalıtığını anlamak için ICMP echo isteği ve PING paketleri gönderiyor.
TCP 135 porta DCOM RPC zayıflığından yararlanan ve TCP 80 porta WebDav zayıflığından yararlanan paketleri IP'lere gönderiyor.
Açıktan yararlanarak etkilene bilgisayar TCP 666-765 port aralığında rastgele bir portu dinleyen gizli CMD uygulaması çalıştırıyor.
Yeni etkilen bilgisayara Dllhost.exe ve Svchost.exe dosyasın çekmesi için komut gönderiyor.
İşetim sistemini ve güncellemelerini kontrol edip, DCOM RPC zayıflığı bulunuyorsa WindowsUpdate sitesine bağlanıp gerekli güncelleme dosyalarını indip çalıştırıyor.
Güncelleme indildikten sonra aktif hale gelebilmesi için bilgisayarı tekrar başlatıyor.
Sistem tarihi 2004 yılındaysa kendisini sistemden siliyor.


Symantec firmasinin ürettiği özel programla kaldirmak (ÖNERİLEN)
a-) FixWelch.exe programını indiriniz indirmek için tıklayın.
b-) İşletim sisteminize uygun patch(yama) programını seçiniz.
Windows XP - Türkçe
Windows XP - İngilizce
Windows 2000 - Türkçe
Windows 2000 - İngilizce
c-) Antivirüs programınızı güncelleyiniz.
d-) Bilgisayarınızı kapatınız ve güvenli modda (safe mode) açınız (Bilgisayar açılırken, F8 tuşuna basınız.)
e-) FixWelchia.exe programını çalıştırın.
f-) svchost.exe,dllhost.exe (C:\WINDOWS\system32\wins\) altındaki dosyasını siliniz.
Dikkat:Sistemde aynı isimli fakat baş harfi küçük olan bir dosya daha mevcuttur;sisteminizin güvenliği açısından bu dosyayı silmeyiniz.Dosyanın adı "svchost.exe" dir.
g-) Bilgisayarınızı antivirüs programı ile taratınız.
h-) İşletim sisteminize uygun indirdiğiniz patch'i çalıştırınız.
i-) Bilgisayarınızı normal olarak yeniden başlatınız.
j-) WindowsXP/2000/ME işletim sistemlerini güncelleyiniz.
(WindowsXP/2000 için internet explorer'ınız açın araçlar menüsünden windows güncelleyi seçiniz, sistem kendini otomatik olarak güncelleyecektir. Eğer windows güncelle çalışmıyor ise sisteminiz kopya windows isletim sistemi içeriyor demektir, lütfen sisteminizi kopya olmayan bir işletim sistemine güncelleyiniz)


bilmiyorum dediğim konu hakkında 2 saat eh bence dersem günlerce konuşurum

[admin]

Şu anda aklıma geldi ve yazmadan edemeyeceğim. Ben bu virüsleri yazanları artık çok sevmeye başladım. Neden mi? İnsanlara kötülük yapmak için bilgisayarlarının başından hiç kalkmayıp, virüs yazmakla uğraşıp, dışarıya çıkıp kötülük yapamadıkları için ...

https://www.hukuki.net

[K.V.]

Aslında birçok virüsün bizzat anti-virus firmaları tarafından yada desteklenerek yazıldığını biliyormusunuz?

Sebep:
Para kazanma hırsı
Popülarite arttırma zorunluluğu

[commodore1tr]

haklısınız zaten norton bu konuda kısmi sabıkalıda kimse dokunamıyor.
Forum konusu olan virüs ten korunma yollarını bu sene pilot bölge seçtiği danimarkada denedi işin garibi bu virüs daha yoktu... ))

bilmiyorum dediğim konu hakkında 2 saat eh bence dersem günlerce konuşurum