windows işletim sistemlerine bulaşan conficker solucanı, son zamanlarda bilişim güvenliği sektörünü en çok meşgul ettiren konulardan bir tanesi.
microsoft'un 23 ekim 2008 tarihinde yayınladığı çok acil güncellemenin ardından kısa bir süre sonra, bu açığı kullanan conficker.a solucanı tespit edildi. sanılanın aksine conficker.a, çok fazla yayılamadı.
ancak 1 ocak 2009 itibariyle aktif hale geçen solucanın diğer bir sürümü conficker.b, 2 haftalık kısa bir süre içerisinde 3 milyondan fazla bilgisayara bulaşmayı başardı. ocak 2009'dan bu yana kadar 15 milyondan fazla bilgisayara bulaşmış olabileceği tahmin ediliyor.
conficker.b solucanın en önemli özelliklerinden birisi her gün rastgele isimler ve uzantılardan oluşan 250 adet domain üretip, bu domain'lerde kendine ait bir kod varsa bunu bulup indirmesi. (evi-ara çağrısı) genellikle diğer solucanlar önceden belirlenmiş domain'ler kullandıklarından bu domain'ler solucan tespit edildikten sonra bloke edilip solucanın kendini güncellemesi engellenir.
conficker.b ile ilgili daha ayrıntılı bilgi aşağıdaki adreslerden elde edilebilir:
peki nereden çıktı bu 1 nisan şakası?
geçtiğimiz hafta conficker'ın yeni bir sürümü daha tespit edildi. conficker.c olarak adlandırılan bu sürüm, yeni bir "evi-ara" protokolüne sahip ve bu protokol 1 nisan'da aktif olacak. bu yeni protokol ile birlikte, solucanın her gün rastgele isimlerden ve uzantılardan ürettiği "evi-ara" domain sayısı 250'den 50.000'e çıkacak.
50.000 domain, medyanın büyük ilgisini çekmiş olacak ki hemen felaket haberleri yayınlamaya başladılar:
ancak işin aslı pek öyle değil. ilk protokol ile ikincisi arasında oldukça ciddi farklar var ve sanılanın aksine yeni protokol eskisinden daha az DNS sorgulaması yapıyor olacak.
conficker.b ve conficker.c karşılaştırması
açıkca görülüyor ki yeni protokol eskisine oranla daha gizli ve network üzerindeki anormal aktiviteleri tespit eden sistemlere çaktırmadan işini yapıyor. eski protokolde günde 3000 adres kontrol edilirken, yenisi sadece 500 adres kontrol ediliyor.
her ne kadar yeni protokolün kontrol ettiği günlük domain sayısı azalsa da conficker'ın yaratıcısı, bu 50.000 domain arasında bazı domainlere yeni bir kod koyup solucanı güncelleyebilir. 50.000'in içinde çok küçük bir ihtimalde olsa bu domain (ler), şu an conficker.c bulaşmış bilgisayarlar tarafından bulunabilir.
kısaca 1 nisan'da conficker, büyük ihtimalle bir şaka yapmayacak ya da büyük oranda bilgisayarlara ulaşmayacak.
ancak siz yine de işinizi şansa bırakmayın
- herşeyden önce microsoft'un 23 ekim 2008'de yayınladığı bu güncellemeyi mutlaka yükleyin.
- "bilgisayarın performansını etkiliyor" diye windows'un otomatik güncellemelerini kapatmayın.
- eğer bilgisayarınızda hala şifresi olmayan kullanıcı varsa, bu kullanıcılara şifre verin. ancak vereceğiniz şifre basit ve kolayca tespit edilen bir şifre olmasın. örneğin conficker'in deneyeceği şifrelerden hiç biri olmasın.
conficker bilgisayarınıza zaten bulaştıysa
bir çok anti-virüs firması conficker için ücretsiz temizleme programları yayınladılar. sophos bunlardan bir tanesi.
ancak conficker bulaşmış bir bilgisayardan, içerisinde 'sophos', 'kaspersky', 'symantec' gibi kelimelerin geçtiği adreslere ulaşamayacağınızı şimdiden hatırlatmak isterim. o yüzden başla bir bilgisayardan bu programlara ulaşmanız gerekebilir.
