W32.Randex.E

CUPERTINO, Calif. – Internet güvenliği sektörünün dünya lideri Symantec, yeni solucan W32.Blaster.Worm’un etkisinin yavaşladığını duyurdu. Symantec Deepsight Threat Management System tarafından yapılan izlemeler sonucunda Symantec Güvenlik Yanıt Merkezi uzmanları, 11 Ağustos Pazartesi tarihinden itibaren solucanın yayılımında %30 ile %40 arasında bir azalma olduğunu tespit etti.

Symantec Güvenlik Yanıt Merkezi Direktörü Alfred Huger yaptığı açıklamada; Microsoft Windows DCOM RPC Interface Buffer Overrun güvenlik açığını kullanan The W32.Blaster.Worm’un, dünyada CodeRed, Nimda ya da Slammer’dan daha yavaş yayıldığını, ancak W32.Blaster.Worm’un yayılma potansiyelinin, MS RPC Buffer Overrun açığını kullanarak zarar veren diğer solucanlara göre daha fazla olduğunu belirtti.

Şu ana kadar solucan tarafından 572.458 sunucunun etkilendiği ilk 5 ülke sırasıyla; ABD (%43), Ingiltere (%17), Kanada (%3), Avustralya (%3) ve Almanya (%2)’dır.

Virüsün yayılma hızının yavaşlamasına rağmen ilk varyantı belirlendi. W32.Blaster.worm’un bir varyantı olan W32.Blaster.B.worm, Penis.exe adıyla da faaliyet gösteriyor. Symantec Güvenlik Yanıt Merkezi bu solucanın tehdit seviyesini 2 olarak belirledi. Buna ek olarak Symantec W32.Randex.E adında, aynı güvenlik açığının avantajlarını kullanan yeni bir Trojan keşfetti. Yine 2.seviye olarak tanımlanan bu Trojan, yaratıcısının IRC (Internet Relay Chat)’yi kullanarak bir bilgisayarı uzaktan kontrol etmesine imkan veriyor.

Symantec Erken Uyarı Sistemlerinin bir parçası olan Symantec DeepSight Threat Management System, güvenlik tehditlerinin izini sürerek, global bir kaynak üzerinden kötü niyetli tehditlere karşı koruma sağlamak üzere, hızlı karşı tedbir analizleri yapar. Internet üzerinde olup biten herşeye en geniş açıdan bakma fırsatı sağlayan Symantec DeepSight Threat Management System, dünyadaki en geniş kapsamlı veri ağına sahiptir ve180’den fazla ülkede 20.000’den fazla partnerinin Saldırı Tespit Sistemleri’nden (IDS) ve firewall’larından sorun çözümü için veri toplamaktadır.

Symantec Güvenlik Yanıt Merkezi ağ yöneticilerine aşağıdaki araçları kullanmalarını öneriyor:
·Kullanılabilir bütün yamaları ve Microsoft Security Bulletin MS03-026’dan ulaşılan zararın etkisini azaltıcı, uygun olabilecek bütün stratejileri temin edin. Yamaya şu adresten ulaşabilirsiniz: www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

·Ağ çevresindeki ve bütün güvenilmeyen ağ segmentleri arasındaki şu portların filtre edildiğinden emin olun:
udp/135, udp/137, udp/138, tcp/135, tcp/445 and tcp/593

Symantec Güvenlik Yanıt Merkezi ev kullanıcılarının da en kısa sürede Microsoft’un en son yamasını kurmalarını ve W32.Blaster.Worm’a karşı koruma sağlamak üzere virüs tanımlamalarını güncellemelerini öneriyor.

Symantec Güvenlik Yanıt Merkezi W32.Blaster.Worm için bir etkisizleştirme aracı hazırladı. Bu araca şu adresten ulaşabilirsiniz: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html.

Symantec Güvenlik Çözümleri
Symantec’in full-application tespit firewall’ları W32.Blaster’a karşı koruma sağlamaktadır. Solucanı etkisiz hale getirmek için güvenlik açıklarının bulunduğu bütün 135, 139 ve 445 TCP port’lar bloke edilmektedir. Maksimum koruma için 3.kuşak full-application tespit teknolojisi, HTTP kanalları üzerinde DCOM trafiğinin açılmasını akıllıca bloke ederek, en yaygın ağ filtreleme firewall’larında bile henüz hazır olmayan ekstra bir koruma tabakası sağlar. Özellikle masaüstünü korumak üzere geliştirilen Symantec Client Security and Norton Internet Security’de bulunan firewall teknolojisi, bu tehdidi etkisiz hale getirerek koruma sağlamaktadır.

Symantec ManHunt’ta bulunan protokol anomali tespit teknolojisi, “Portscan” gibi, bu Microsoft güvenlik açığı ile bağlantılı aktiviteleri tespit eder.

Kullanıcılar, ayrıca, Symantec’in 25 Temmuz 2003’te yayınladığı, Microsoft DCOM RPC Buffer Overflow güvenlik açığınının kesin olarak tespit edilmesine yarayan, özel imzayı kullanabilirler. RPC DCOM buffer overflow açığından yararlanan saldırıları tespit etmek üzere hazırlanan bu imzalar sadece W32.MSblaster.Worm için kullanılmamaktadır. Symantec ManHunt, bu imzaları kullanarak yeni bir sunucuya yapılan saldıran ya da etkileyen solucanı tespit edebilmektedir.

Symantec Enterprise Security Manager (ESM) bu solucanın istismarına neden olan olan güvenlik açığını 17 Temmuz 2003 tarihinden itibaren tespit etmiş ve yayınlamış bulunmaktadır. (LiveUpdate ve Web Sitesi’nde)

Symantec ESM, heterojen kurumlardaki her türlü kritik iş uygulamaları ve sunucular için tek bir noktadan özgün güvenlik politikalarının oluşturulmasına, bu politikaların yürütülmesine imkan tanıyan, endüstri lideri güvenlik politikalarına uyum çözümüdür.

W32.Blaster.Worm Hakkında
W32.Blaster.Worm, TCP port 135’ı kullanarak DCOM RPC güvenlik açığını istismar eden bir solucandır. Bu solucan msblast.exe dosyasını indirip çalıştırmayı hedefliyor. Ayrıca Windows Update’e karşı “Servis Reddi” atağı girişiminde bulunuyor. Bu girişim, kullanıcıların DCOM RPC güvenlik açığına karşı sistemlerine yama uygulamalarını engelliyor.

Bu solucan hakkında daha fazla bilgi almak ve onun nasıl yok edileceğini, virüslü dosyaların nasıl taranacağını öğrenmek için Symantec Güvenlik Yanıt Merkezi’nin web sitesine girebilirsiniz:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html