Hybris ve Navidad Virüsleri:Gelen bazi ileti (mail) ekindeki (attachments) dosyalar virüs içeriyor. Isimleri de Hybris ve Navidad. Bu virüsler tehlikeli olarak kabul ediliyor. "Navidad.exe" uzantili mesajlari açmadan silelim (deleting). Eger açtiysak, bundan sonra soyadi "exe" olan dosyalari açamayacagiz demektir. winsvrc.exe dosyasinin olmadigini söyleyecek ve yerini bildirmemizi isteyecektir. Ama bunu bulamayacagiz. Nasil kurtulabiliriz?: Su yolu deneyelim: 1) Bilgisayarimizi kapatalim (shutting down). 2) Açma dügmesine bastiktan sonra ilk ekran geçer geçmez bip sesini duyar duymaz önünüze açilis menüsü çikincaya kadar bir kaç defa F8 tusuna basalim. 3) Menü açildiginda 1 den 5, 6, 7 ye kadar (bilgisayardan bilgisayara degisir) liste görecegiz. 4) Burada "Komut Istemi" seçenegini seçelim. 5) Bu asamadan sonraki ekran C:\WINDOWS> seklinde degilse CD\ yazarak ENTER tusuna basalim ve CD WINDOWS yazarak tekrar ENTER basalim (bosluga dikkat). Artik ekranda C:\WINDOWS görmemiz gerekir. 6) Bunun arkasindan asagidaki gibi aynen yazalim ve ENTER tusuna basalim (bosluga dikkat). C:\WINDOWS>REGEDIT /D HKEY_CLASSES_ROOT\EXEFILE\SHELL\OPEN\COMMAND 7) Bu asamadan sonra ekranda yine CINDOWS> görünecektir. WIN yazarak ENTER tusuna basalim. 8) artik Windows çalistirabiliriz. 9) Bütün açilis islemleri bittikten sonra Baslat (Start) Menüsünden Çalistir (Run) i seçelim. 10) Açilan kutucuga "REGEDIT" yazip, tirnaksiz olarak, Tamam (Ok) i tiklayalim. 11) Isin zor kismi burasi. Önümüze Windows Gezginine (Windows Explorer) benzer açilan pencerede HKEY_CLASSES_ROOT klasörünün önündeki "+" isaretine basarak içerisini açalim. 12) Sonra sirayla ayni sekilde önündeki "+" isaretine basarak asagidaki klasörleri de açalim. Bunlar "exefile" "shell" 13) "shell" klasörünün içinde "open" klaörünü seçelim ve "open" üzerindeyken sag tiklayarak Yeni (New) seçeneginden Tus (Button) u seçelim 14) Yeni eklenen klasörün adini "command" olarak degistirelim. Eger adini degistirmeden baska bir yere tiklarsak yeni ekledigimizi silerek ekleme islemini tekrarlayim ve aktif haldeyken ismini degistirelim. 15) Pencerenin sag bölmesinde Varsayilan (Default) seçenegine çift tiklayalim ve açilacak ekranda Deger Verisi (Value Data) kismina sunu aynen yazalim (tirnaklar dahil ve bosluga dikkat): "%1" %* , 16) Tamam (Ok) tusuna basarak kapatalim. 17) Sonraki ekrani da kapatalim. 18) Bilgisayarimizi tekrar baslatalim (rebooting).
Microsoft Güvenlik: “Web Istemcisi NTLM Yetkilendirme” gedigine karsi yapilan yeni yama. Microsoft firmasi, Microsoft® Office 2000, Windows 2000, ve Windows ME (Milennium Edition) isimli ürünlerinde ortak olarak var olan güvenlik boslugunu ortadan kaldiracak bir yama yaptigini açiklamis durumdadir. Bu güvenlik gediginin belli kosullar altinda, kötü amacli bir üçüncü kiseye, bir Web Sunucu’ sundan bir Office belgesi talep ettiginde, baska bir kullanicinin sifrelenmis-biçimde saklanan (cryptographically protected) erisim bilgilerine (logon credentials), ulasma olanagi sagladigi belirtilmektedir. Bu güvenlik boslugunun etkiledigi yazilimlar ve sürüm isimleri sunlardir: Microsoft Office 2000, Microsoft Windows 2000, Microsoft Windows Me, Posted on to Internet Güvenlik
Up-grade Internet2 Aldatmaca (Hoax) Virüs Uyarisi: Ortaya çikisi: Ekim 3, 2000, Son Güncelleme: October 3, 2000 1:19:50 AM PST, Aldatmaca (hoax) virus uyarisi su bilgilerele dolasmakta: Konu: : Çaresi olmayan virus uyarisi. Lütfen bu bilgiyi adresdefterinizde bulunan hekese yollayin. Eger “Upgrade Internet2” adinda bir ileti alirsaniz, sakin bu iletiyi açmayin. Çünkü “perrin.exe” diye bir çalistirilabilir (executanble) dosya içermekte ve bu dosya PC’ nizde ne var neyoksa hepsini silmekte. Kalici olarak PC’ nize yerlesmekte ve PC’ nize herne yüklemeye calissaniz bu kendiliginden silinmekte ve artik PC’ nizi kullanamaz duruma gelmekte. Bu bilgiler dün CNN’ nin Web sayfasinda yayinlandi. Oldukça tehlikeli bir virüs. Bundan baska IBM’ nin yolladigi su bilgilerinde dikkate alinmasinda yarar var. Asagida listesi yer alan çalistirilabilir (exe) uzantili bir ileti alirsaniz, kesinlik be iletileri açmayin: 1) buddylst.exe, 2) calcu18r.exe, 3) deathpr.exe, 4) einstein.exe, 5) happ.exe, 6) girls.exe, 7) happy99.exe, 8) japanese.exe, 9) keypress.exe, 10) kitty.exe, 11) monday.exe, 12) teletubb.exe, 13) The Phantom Menace, 14) prettypark.exe, 15) Up-Grade Internet2, 16) perrin.exe, 17) I love You, 18) Celcom Screen Saver or Celsaver.exe, 19) Win a Holiday (e-mail), 20) Join the crew o penpals. tekrarliyorum bu iletileri açmayin ve bu bilgileri hemen arkadaslariniza geçin. Katagori: Saka, Yoketme: Bu iletiyi alirsaniz, lütfen dikkate almayin ve silin. Saka yada kafabulma siniflamasi ne anlama gelir: Genelde zincir ileti seklinde gelen ve açiklamasinda yüksek riskden sözeden aslinda böyle bir riski içeren herhangi bir eklentisi olmayan yada üçüncü tarafin ileri sürdügü bir tehdit mesaji içermeyen virus uyar iletileridir.
VBS.TQLL.A@mm:Visual Basic Script (VBS) programi ile yazilmis bir solucandir (worm). Symantekin bildirdigine göre denetim disi bir soluncan degildir. Risk seviyesi düsük yada hiç yok düzeyindir. Solucan (Worm) ileti ekinde eklenti olarak, ve konu kisminda su mesajlar ile yayilmaktdir. Konu: New Year, Body: Wow Happy New Year, 'happynewyear.txt.vbs' isimli, 10,390 byte boyutunda bir eklentisi vardir. Uzantisina dikkat! .txt uzantili. Herkes alismistir, uzantisi .exe yada .ini degilse tehlike yok diye. Ama su .vbs uzantili yeni teknik solucanlar (worm) durumu degistirdiler. Eger eklenti tiklanirsa daha sonra kendisine .exe uzantili bir dosya yaratacagindan adimiz gibi emin olalim. Iletiyi okumak herhangi bir tehlike arzetmemektedir. Ama 'happynewyear.txt.vbs' isimli eklentisi (attachment) meraktan veya yanlislikla tiklanirsa, program Windows Diznininde (Windows Directory) ‘3k.exe’ uzantili bir kötü niyetli bir program yaratiyor ve bunu da kendiliginden çalistirmaya basliyor. ‘3k.exe’ isimli program da bir Truva Ati (Trojan Horse) programidir. Eger Norton Anti Virüs Programi kullaniyorsak, NAV, onu Backdoor.TQLL ismiyle taniyor ve hemen yakaliyor. Eger temizlenmezse program kendiliginden MSOE (Microsoft Outlook Express) Adres Defteriniz’ deki herkesi kendini göndermeye basliyor. VBS.TQLL.A@mm ve Backdoor.TQLL isimleri ile tesbit edilen tüm dosyalari silerek bu solucandan kurtulabiliriz. Daha fzla ayrinti için su sayfayi ziyaret edebilirsiniz: http://www.sarc.com/avcenter/venc/data/vbs.tqll.a.html.
VBS.Sorry.A: Kendisini Sabit Diskimizdeki (HDD) yada Agsebekesi (Network) Sürücülerindeki (Drives) bir çok Dizine (Directory) kopyalayan bir Visual Basic Script (VBS) solucani (worm) ‘dir. Solucan mIRC kurulum dosyasi açiyor. Bu dosya SubSeven (Sub7) Truva Ati bulasmis bilgisayarlari taramaya basliyor ve bu bilgisayarlara kendini kopyalatip çalistiriyor. Solucan alisilmadik dosya ve klasörleri (Files & Folders) siliyor ve kendisini sndload.vbs, ttfload.vbs, yada rastgelen bir isimle kopyaliyor. VBS.Sorry isimli bu Truva Atini bilgisayarimizdan sökmek için (removing) tesbit edilen tüm dosyalari silmek gerekir. IE (Internet Explorere) Baslangiç Sayfasina (StartPage) döndürülmelidir. Ve Kayit (Registry) deki tüm degistirilmis degerler (keys) ya silinmeli yada daha önceki haline getirlmelidr. Bu Solucanla ilgili ayrintili bilgi Symantec’ in su sayfasinda görülebilir: http://www.sarc.com/avcenter/venc/data/vbs.sorry.a.html.
W32.Music.E.Worm: Isimli bu solucan (worm) sadece Win95 ve Win95 isletim sistemlerinde (OSs) çalismaktadir. Yani NT ve digerlerinde ektin degil. Çünkü programi kodlayanlar özgün Win32 API’ ye göre hareket etmisler. Bu mimari de sadece Kernel32.dll. özellikli Win95 ve Win98 isletim sistemleri (OSs) sürümlerinde (version) var. W32.Music.E.Worm solucani, W32.Music.A.Worm. isimli solucanin bir varyanti (degisik türü). Bu iki tür arasindaki yegane fark W32.Music.E.Worm dosyasi. Bu dosya ileti gereçlerini (mailer components) yüklemek için farkli Web sayfalari ile baglanti kuruyor. Bu yeni gereç zorunlu olarak illada belli bir mail gerecine bagimli çalismiyor, yani herhangi bir mail gereci ile de çalisabilmektdir. Bu sebeplerde, iletinin eklendigi mesajin Konusu (Subject) ve Gövdesi (body) degisiklik arzetmektedir. W32.Music.E.Worm This new dropper component does not necessarily depend on a specific mailer component; i.e. it may work with any version of that mailer component. The result of this is that the subject and body of the message to which the file is attached may vary, as well as the name of the attachment. To remove W32.Music.E.Worm solucanini bilgisayarimizdan silmek için linkini verecegim adresten ayrintilar saglanip, yönergelere göre hareket edilmelidir. .http://www.sarc.com/avcenter/venc/da...ic.e.worm.html.
JS.Seeker: Web Gezgini (Web Browser) ’mizin varsayimsal (default) baslangiç (statrup) ve arama (search) sayafalarini degistiren bir solucandir (worm). Bu program bazen ‘Runme.hta’ ismi ile gelmektedir ancak Windows Scripting Host yüklendigi zaman harekete geçmektedir. JS.Seeker isimli dosya çalistirildiginda, Windows Kayit (Registry) ‘inda, siralanan su degisiklikleri yapmaktadir; HKCU\Software\Microsoft\Internet Explorer\Main\Start Page, HKCU\Software\Microsoft\InternetExplorer\Main\Sear chBar, HKCU\Software\Microsoft\Internet, Explorer\Main\Default_Page_URL, HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Netscape\NetscapeNavigator\Main\Home Page. Orijinal kayit (Registry) degerleri (keys, values), Windows Dizinideki (Windows Directory) Backup1.reg ve Backup2.reg isimli dosyalara kaydedilmektedir. Truva Ati, Windows Dizinide (Windows Directory) ‘Homereg111.reg’ adinda bir dosya yaratmakta yukarida siralanan kayit degerlerini (registry values) kendi degerleri olarak ayarlamaktadir. Bu program, daha sonra C:\Windows\Baslat (Start Menu)\Programlar (Programs)\Baslat (Startup) klasöründen Runme.hta isimli dosyayi silen Removeit.hta adindaki dosyayi çalistirmaktadir. Ayrica Windows Dizinide (Windows Directory) Prefs.js adinda bir dosya yaratmaktadir. Prefs.js dosyasi Nestcape Tercihlerini (Preferences) kendi tercihleri ile degistiren bir java-script dosyasidir. JS.Seeker bilgisayarimizdan sökmek için, NAV ile bunu taratip, JS.Seeker adinda bulunan tüm dosyalar silimeliyiz. Windows Diziniden (Windows Directory) Homereg111.reg ve Prefs.js isimli dosyalar silmeliyiz. Sonra Windows Diziniden (Windows Directory) yer alan Backup1.reg ve Backup2.reg isimli dosyalari çalistirmaliyiz. Ayrinti için linki verilen sayfaya gidilbilirsiniz: http://www.sarc.com/avcenter/venc/data/js.seeker.html.
Virus Uyarisi: "Melissa-X" Virüsü: Bilgisayar virüs uzmanlari yeni bir Melissa virüsü varyantinin bu kez Macintosh-formatli Windows Microsoft Office Dokümani kiliginda yayilmakta oldugunu söylüyorlar. Son varyantin bir maille, mesaj gövde kisminda: "Here is that document you asked for ... don't show anyone else ;-)" (Iste istediginiz doküman.. baskasina göstermeyin :-) mesaji ile ve eklentisinde "anniv.doc." isminde bir dosya ile geldigini belirtiyorlar. Melissa-X ve Melissa 2001 olarak isimlendirilen virüs bir Machintosh Office 2001 kullanicisinin virüs bulasmis bir dökümanı Office 2001’ de kaydetmesinden ve Internet’ te dolsima salmasindan sonra yayilmaya baslamis. Doküman bir Windows 97 kullanicisina yollanmis, oda virüs bulasmis olan iletiyi (email) açmis ve bulsamanin yayginlasmasini baslatmis. Virüs hem PC hemde Machintosh’ da yayilmaktaymis. Diger Melissa virüsleri gibi, virüs bulasmis dosyanin toplu email kopyalarini sadece PC’ ler gönderebiliyormus. Birçok Antivirüs firmasi programlarinin bu yeni virüs varyantini tanimasi için güncellestirme islemlerini baslatmislar. AVP’ lerinizi lütfen LiveUpdate ile güncellestirin. Bunu onmline olarak yapamazsaniz, ilgili siteye gidip, update exe dosyasini yükleyin ve yükleme bittikten sonra, program kendiliginden kendisini güncellestirecektir. Korunmak için lütfen hiçbir süpheli ileti eklentisini (email attachment) açmayin yada en iyisi süphelendiginiz iletileri açmadan silin. AVP’ lerinizi lütfen güncellestirin: Melissa-X virüsü ile ilgili ayrintili bilgi için linki tiklayin, tabiiki site Ingilizce: http://two.digital.cnet.com/cgi-bin2...20hpuK0Cv0Z6dn Download.com’ dan en son antivirüs yazilimlarini indirebilirsiniz, içerik Ingilizce: http://two.digital.cnet.com/cgi-bin2...20hpuK0Cv0BfiI, Melissa-X ile ilgili son haberleri okumak için CNET News.com a gidebilirsiniz, iiçerik Ingilizce: http://two.digital.cnet.com/cgi-bin2...20hpuK0Cv0Z6Wa, CNET'in Virus Uyarilari Konu Merkezini ziyaret edebilirsiniz, içerik Ingilizce: http://two.digital.cnet.com/cgi-bin2...20hpuK0Cv0CG6v.

Benzer Konular: