W32.Blaster, diğer isimleriyle W32/Lovsan.worm.a, Win32.Poza.A, Lovsan , WORM_MSBLAST.A, W32/Blaster-A, W32/Blaster, Worm.Win32.Lovesan; daha önce Microsoft'un açıkladığı ve yamasını sunduğu bir açıktan faydalanan bir solucan. Açığı bulan birisi, uzaktan erişim ile sisteminizde istediği herşeyi yapabilir. Yani son derece tehlikeli bir durum.
Düzenli olarak işletim sistemini yamalayan ve firewall kullanan kişiler bu solucandan feci bir şekilde etkilenmediler. Uzaktan erişim portlar üzerinden yapıldığından ve aklı başında her firewall programı bu portları dinlediği ve koruduğu için, farkına varılmaması mümkün. Solucan, 135 nolu TCP portunu kullanan RPC servisindeki açıktan faydalanıyor. Çözümlere ve detaylı bilgilere geçmeden önce etkilenen işletim sistemlerinin de listesini vermek gerekiyor. Windows 98 ve ME dışındaki tüm Microsoft işletim sistemleri bu açığa sahip. Bunların içine Microsoft'un yeni göz ağrısı 2003 Server da dahil.
Eğer sisteminize W32.Blaster solucanı bulaştıysa, Internet' girdiğiniz anda RPC servisinde bir hata ile karşılaşacaksınız ve sistemin 60 saniye içerisinde yeniden başlatılacağı mesajını alacaksınız. RPC (Remote Procedure Call) servisinin Türkçe işletim sistemlerindeki karşılığı "Uzaktan Yordam Çağrısı". Bu servis sonlandırıldığı için sistemin 60 saniye içerisinde yeniden başlatılacağı mesajı geliyor:
Bu mesajla ilk karşılaşan kişilerin tepkisi genelde "Windows'um çöktü, bir format çekeyim şöyle güzelcene" oluyor. Windows'a şiddet göstermeden yapılması gereken işlemleri şöyle bir sıralayalım.
**1.**İlk olarak Internet'e bağlanmayın. Bağlanmadan önce mutlaka bir Firewall kurun. WindowsXP veya 2003 kullanıyorsanız, işletim sisteminin yapısında gelen Firewall'ı aktif hale getirmelisiniz. Bunu yapmak için, bağlantınıza sağ tuış tıklayıp, Advanced bölümünden Firewall'ı aktif hale getirmelisiniz.
Eğer üçüncü parti Firewall yazılımlarından kullanmak isterseniz, tavsiyemiz ZoneAlarm Pro ve SyGate Personal Firewall olur. Fakat dosya çekmek lüksümüz şuanda yok, Windows'un kendi firewall'ını kullanmak şuanda yeterli.
**2.**RPC servisinde hata oluştuğu zaman sistemin 60 içinde yeniden başlamasını engelleyeceğiz. Control Panel (Denetim Masası) - Administrative Tools (Yönetimsel Araçlar) - Services (Hizmetler) yolunu izleyin. Sağ pencerede RPC (Remote Procedure Call)'yi yani Uzaktan Yordam Çağrısını bulun.
Servisin üzerine sağ tuş tıklayıp özelliklere gelin
Hata oluştuğu zaman yapılacak işlemi Recovery bölümünden ayarlıyoruz. Buradaki 3 seçeneği de Take No Action konumuna getiriyoruz.
**3.**Şimdiki adımda ise W32.Blaster solucanını ezeceğiz. Symantec'in W32.Blaster solucanını silme yazılımını buraya">http://securityresponse.symantec.com/avcenter/FixBlast.exe>burayatıklayarak çekebilirsiniz.
**4.**Dosyayı çektikten sonra hemen çalıştırmayın. İlk başta Windows XP ile birlikte gelen "System Restore" (Sistem Geri Yükleme) özelliğini kapatmak gerekiyor. Windows 2003 ile bu özellik varsayılan olarak gelmiyor. System Restore'u kapatmak için, Bilgisayarım'a sağ tuş tıklayın ve System Restore (Sistem Geri Yükleme) bölümüne gelin. Buradan kapatabilirsiniz.
İşlemler bittikten sonra eski haline getirmenizi tavsiye ederiz. Aynı durum RPC Servisi için de geçerli.
**5.**Çektiğiniz dosyayı şimdi çalıştırın ve gerekli dosyaları ve registry kayıtlarını silmesine izin verin. Program tarama işlemini bitirdikten sonra sizi Microsoft'un bu açık için sağladığı yama adresine yönlendirecek. Hatta biz de üşengeçlik etmeyip bu sayfanın adresini de verelim. Buraya">http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx>Burayatıklayın. Eğer FixBlast dosyası, dosya silemediğini söylerse, sistemi güvenli kipte açıp dosyayı tekrar çalıştırın.
**6.**Geçmiş olsun! Ayarları eski haline getirmeyi unutmayın.
NOT : Bu yazı sorunne.net sitesinin forumunda alıntıdır . Fazla zamanım olmadığı için oradan yazıyı aldım ve attım resimlerini koyamadım kusura bakmayın . . .
NOT 2 : Oluşabilecek sorunlardan beni sorumlu tutmayın çünkü bende oradan çözdüm sorunu . . .
