EXPLOIT NEDİR?

EXPLOIT NEDİR?

Bu ay en son virüs açıklamalarının yanı sıra biraz da “exploit” açıklayabileceğimi düşündüm. Sistemin ve bazı programların açıklarını kötüye kullanmaya “exploit” deniliyor. Gerek Unix, gerekse Windows birçok açık içerir. Exploit’ler ile sistem şifreleri görülebilir, sistemler hakkında bilgiler elde edilir; hatta ICQ exploit’leri yüzünden siz istemeseniz de karşı taraf IP adresinizi görebilir ve sizi listesine izin istemeksizin (Request göndermeden) alabilir. Çeşitli programlar ile bunlar artık o kadar kolay ki! Şimdi sıra bazı exploit’lerin açıklamalarında; arkasından da tabi ki diğer virüslerimiz gelecek. Yalnız sistemlere zarar verebilecek exploit’leri burada açıklamam mümkün olmadığı için, bulabildiğim en “zayıf” exploitleri yazdım. Winamp M3u Playlist Taşması Bilindiği gibi M3U’lar “Playlist” dosyalarıdır. Bunları bir yazı programında (örn. Notepad) görüntülediğimizde M3U dosyalarının karmaşık olmayan, çok basit bir sistem içerdiklerini anlarız. İşte bizde bir M3U dosyasının içine birkaç karakter ekleyeceğiz ve Winamp’ı çökerteceğiz! Bu program açığı tehlikeli olmadığı için kendi sistemimizde çekinmeden deneyebiliriz. Beynimizdeki “Yapmak istediğine emin misin?” mesaj kutusuna “Tamam” tuşuna basarak yanıt verelim ve hemen başlayalım. İster sıfırdan bir M3U dosyası yaratabilir, ister var olan bir dosyaya ekleme yapabiliriz seçim size kalmış. Ben sıfırdan yaratmayı seçiyorum. Öncelikle bir “Not Defteri” (Notepad) dokümanı yaratalım. İçerik olarak fazla bir şey eklemeyeceğiz, sadece “#EXTM3U #EXTINF: ” yazacağız böyle alt alta ve #EXTINF: yazısının hemen yanına en az 250 tane aynı karakterden yazacağız. Ancak önemli nokta asla alt satıra geçmemek, yani tüm karakterleri yan yana yazacağız. Ben “A” tuşuna canım sıkılana kadar bastım, oldu. Metnimizi hazırladıktan sonra sıra geldi kaydetmeye. Bunun için Dosya mönüsünden “Farklı Kaydet”i (Save As) seçeceğiz ve dosya ismi soyadı, yani dosya biçimi olarak “M3U” kullanacağız ve alt taraftaki Metin Dosyası yerine Tüm Dosyalar’ı seçeceğiz. Kaydettikten sonra M3U dosyamızı çalıştırdığımızda bir de ne görelim, Winamp çökmüş! Not: Bu çökme olayı sadece Winamp’da oluyor. Microsoft Media Player üstte yazdıklarımızdan etkilenmiyor.

BlackICE BlackICE’ın kayda geçirdiği paketler ve de gösterdiği saldırı mesajlarında bir kısıtlama/sınır var. Bu yüzden de bir kişi çok fazla “saldırı paketi” gönderirse BlackICE bunlardan bazılarını gösteremeyebiliyor. Ancak bu sınırlamanın bir iyi yanı var; programın kullandığı bellek biraz olsun azaltılıyor. Evet, 2 exploit açıkladıktan sonra sıra geldi bu ayın virüslerine: W97M/Timeless (W97M/Lesstime.a , WM97/InAdd-D) Word 97 ve 2000 belgelerini etkileyen bu makro virüsünün aslında sisteme, programlara zarar veren herhangi bir yönü yok. Virüslü belge 28 Mayıs günü açılırsa Registry’ de HKU.DefaultPanel= "" Anahtarını, Türkçe anlamıyla “Zaman Biçimi” ayarlarını, sıfırlamak için değiştiriyor ve Word kullanıcı adını “Timeless Phenomenon" olarak değiştiriyor. Diğer virüslere göre ne kadar vicdanlı değil mi? Bildiğiniz gibi bu tip makro virüsleri Word makro korumasını devre dışı bıraktıktan sonra her oluşturduğunuz, yada okuduğunuz dokümana bulaşır. Peki nasıl? -Birkaç yöntemi vardır; Timeless virüsü ilk olarak Word programının “Global Template”i olan Normal.DOT ‘u etkiliyor. Bu sayede de Word’deki tüm belgeler de bunu kullandığı için okunan, yazılan her şey virüsten etkilenmiş oluyor. Hazır Makro virüslerinin bulaşma yöntemlerine değinmişken; bazı virüsler de, Excel’in “XLStart” klasöründe “Book1” isminde bir belge yaratırlar. Bu belge de Excel uygulaması her başladığında yüklenir. Unutmayın! Eğer Excel her açıldığında “Book1” veya bu tip bir kitapla/çalışma kitabı ile açılıyorsa ve ya makro koruma seçeneği “pasif” ise sisteminize virüs bulaşmış olma olasılığı yüksektir (Makro destekli Office bileşenlerinin “Default” program ayarlarında makro koruma seçeneği aktiftir.). VBS/Kakworm (Wscript.Kak.A) Bir “Visual Basic Script” modası sürüp gidiyor bu günlerde. Ama VB Script’i geçen ay açıkladığım için hemen solucanımıza geçiyorum. Kakworm, Internet Explorer, Outlook ve Outlook Express’deki güvenlik açıklarını kullanıyor. (Hemen belirteyim; Microsoft bu açık için bir yama yaptı. Ayrıntılı bilgiyi ve de yamayı “http://www.microsoft.com/Security/Bulletins/ms99-032.asp “ sitesinde bulabilirsiniz.) Solucan yalnızca Outlook Express posta göndermede kullanılıyorsa yayılabiliyor; Office bileşeni olan Outlook ile değil. Kakworm, HTML imzalı olan bir e-postanın içerisine sıkıştırılmış biçimde geliyor. Alıcı hiçbir belirti göremiyor üstelik. Eğer kullanıcı virüslü e-postayı açıp görüntülerse, solucan KAK.HTA isminde bir dosyayı Windows* Başlangıç klasörüne bırakıyor. Windows yeniden başlatıldığında KAK.HTA çalışıyor ve C:.HTM Dosyasını yaratıyor. Bunun ardından Outlook Registry ayarlarını KAK.HTM‘ in bir imza olması ve gönderilen her mesaja eklenmesi için değiştiriyor. Virüs, her ayın 1. gününde saat 17.00’dan sonra aşağıdaki gibi bir kutu-mesaj çıkartıyor Ve Windows’u kapatıyor! Bu tür virüslerden -şimdilik- kurtulmak için Microsoft yamasını bilgisayarınıza kurmanızda gerçekten çok büyük fayda var. VBS/LoveLet-C Loveletter (LoveLet-A)’ın varyantı olan bu VBScript virüsü biraz “karışık” bir virüs. Bu varyant da Outlook’u kullanarak yayılıyor. Virüsün gönderdiği mesajlar aşağıdaki gibi. Konu: Susitikim shi vakara kavos puodukui... Hayır, küfür değil sadece “Bu akşam bir kahve için tanışalım” gibi bir anlamı varmış. (Bu arada bu hangi dil? ) Mesaj Metni: kindly check the attached LOVELETTER coming from me. Ek Dosya İsmi (Virüs):LOVE-LETTER-FOR-YOU.TXT.vbs Virüs yayılmak için sisteme hem kedisine özel bir HTM dosyası, hem de küçük bir mIRC script ekliyor (Bu script onun IRC ortamı sayesinde yayılmasını sağlıyor). Virüs Registry’yi Internet Explorer açılış sayfasını değiştirmek için düzenliyor. Peki Explorer’a hangi linki veriyor dersiniz? WIN-BUGSFIX.exe isminde bir dosyayı. Dosyanın ismine kanmayın! O bir bug düzeltme yaması değil, o, “LoveLet-A” Trojanı! Sistem yeniden başlatıldığında bu sefer Internet Explorer açılış sayfası “blank” hale getiriliyor. Virüs bunların dışında etkilediği bilgisayardaki JPG ve JPGE dosyalarına “.vbs” soyadı ekliyor. Ayrıca hemen hemen tüm ev kullanıcılarının sahip olduğu, en değerli varlıkları “MP3”’lerin sonuna da .vbs ekleyen virüs, önceden dosyaları kopyalayıp görünmez yapmayı da ihmal etmiyor.

TOP 10 VİRÜSLER

1 VBS/Stages-A 7.9%

2 VBS/Kakworm 5.7%

3 VBS/LoveLet-G 5.0%

3 WM97/Marker-O 5.0%

5 WM97/FF-F 4.3%

5 WM97/Panther-B 4.3%

7 XM97/Yawn-A 3.6%

8 OF97/Jerk-I 2.9%

8 WM97/Ethan 2.9%

8 WM97/Marker-C 2.9%

Diğerleri 55.5%

Bu değerler Sophos Anti-Virus’den alınmıştır. (www.sophos.com) Benim için çok keyifli olan bir yazının daha sonuna geldik. Unutmayın; bilgisayarınızın belleği yeterli ise iki tane anti-virüs programı kullanmak ve bunları her hafta güncelleştirmek virüslerden korunmanın en iyi yoludur. Hayır, performans çok düşüyor derseniz bir normal birde hafif anti-virüs programı kullanmak en iyisidir (McAfee ve Sophos mesela...).