Microsoft Windows NT, 2000, XP ve 2003 Windows sistemlerdeki RPC (Remote Procedure Call) protokolünde yer alan bir açığı kullanarak bulaştığı sistemleri trafik yoğunluğu sebebi ile çalışamaz hale getiren yeni bir worm ortaya çıkmıştır ( MS Blaster Worm ). Worm yayılım için TCP 135 portunu kullanmaktadır. Etkilenen sistemler rastgele seçtiği güvenlik yamaları yüklü olmayan sistemlere wormu yaymaya çalışmakta ya da güvenlik yamaları yüklü olmayan sistemlerin yeniden başlatılmasına sebep olmaktadır.
Yayılan worm, sistem Internete bağlantı yaptıktan sonra tcp 135 portu gelen bağlantı isteklerine açık durumda ise sisteme bulaşarak aktif hale gelmektedir. Şu anda aktif olan worm; TCP 135 portunu kullanarak yayılmaktadır. Fakat bu wormun ortaya çıkmasına sebep olan Microsoft RPC Protokolündeki güvenlik açığı TCP 139 ve TCP 445 portlarının da kullanılmasına olanak vermektedir. Bu durumdan ötürü wormun TCP 139 ve TCP 445 portlarını kullanan farklı türevlerinin çıkma olasılığı yüksektir.
Ayrıca bu wormun kendisini kopyaladığı sistemlerin tarihini kontrol ederek her ayın 16sı ile 31i arasında windowsupdate.com sitesine servis verememe (Denail of Service) atağı yapacağı tespit edilmiştir. Bu nedenle wormun bulaşmış olduğu sistemlerin acil olarak temizlenmesi ve ilgili güvenlik yamasının sistemlere uygulanması gereklidir.
Dünya genelinde etkili bir biçimde yayılmaya başlayan worm saldırısı, Koç.net tarafından güvenlik saldırı tespiti konusunda dünyanın önde gelen ekipleriyle aynı anda farkedilmiştir. Öncelikle Koç.net internet bağlantı noktalarında wormun yayılmasını sağlayan TCP 135 portunun kullanımı engellenmiştir. İncelemeler sırasında wormun özellikle dial-up bağlantı ile Interneti kullanan kullanıcılar tarafından yayıldığı gözlenmiştir. Bu kaynaklardan yayılımı engellemek için dial-up bağlantı sistemlerinde ilgili portun kullanımı engellenmiştir. Saat 11.08.2003 22:00 itibari ile Koç.net iletişim ağında yayılım kontrol altına alınmıştır.
Wormun Bulaşmasını önlemek için :
Kullanılan işletim sistemin wormdan etkilenen Microsoft Windows NT, 2000, XP ve 2003 işletim sistemlerinden biri olup olmadığı kontrol edilmelidir. Aşağıdaki web sitesinden kullanılan işletim sistemine ait güvenlik yaması mutlaka uygulanmalıdır. Böylece wormun sisteminizi etkilemesi engellenecektir.
Windows_2000 için;
ftp://ftp.koc.net/pub/windowspatches/Windows_2000
Windows_NT_4.0_Server icin;
ftp://ftp.koc.net/pub/windowspatches/Windows_NT_4.0_Server
Windows_NT_4.0_Terminal_Server_Edition icin;
ftp://ftp.koc.net/pub/windowspatches/Windows_NT_4.0_Terminal_Server_Edition
Windows_Server_2003_32_bit_Edition icin;
ftp://ftp.koc.net/pub/windowspatches/Windows_Server_2003_32_bit_Edition
Windows_Server_2003_64_bit_Edition icin;
ftp://ftp.koc.net/pub/windowspatches/Windows_Server_2003_64_bit_Edition
Windows_XP_32_bit_Edition icin;
ftp://ftp.koc.net/pub/windowspatches/Windows_XP_32_bit_Edition
Windows_XP_64_bit_Edition icin;
ftp://ftp.koc.net/pub/windowspatches/Windows_XP_64_bit_Edition
veya
http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Wormun bulaştığını tespit etmek ve temizlemek için
· Öncelikle çalıştır komutuna regedit yazılarak registry editörü açılmalıdır.
· Registry editöründe aşağıdaki anahtar bulunarak HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun değerinin "windows auto update"="msblast.exe" olup olmadığı kontrol edilmelidir.
· Eğer anahtarın değeri "windows auto update"="msblast.exe" ise sisteminize Blaster Wormu bulaşmış demektir.
· Temizlemek için aşağıdaki linkde yer alan programı indirilmelidir.
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
· Programın çalıştırmadan önce tüm programlarınızın kapalı olduğunu kontrol edilmeli eğer sisteminiz XP ise "System Restore" özelliğini kapatarak programı çalıştırılmalıdır.
· Programın çalışması esnasında bazı dosyaları silemediği uyarısı alıyorsanız, sistemi safe modda açarak programı yeniden çalıştırılmalıdır.
· İşlem sonunda makinanız reboot edilmelidir.
· Makinanız açıldıktan sonra registry editöründen HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun anahtarına ait "windows auto update"="msblast.exe" değerinin silindiğini kontrol edilmelidir.
· XP sistemlerinde daha önce kapatılan "System Restore" özelliği yeniden aktif hale getirilmelidir.
Worm her ayın 16sı ile 31i tarihleri arasında bulaştığı sistemlerden windowsupdate.com sitesine servis verememe atağı gerçekleştireceğinden dolayı wormu yukarıda önerilen tool ile sisteminizden silmeniz önemlidir.