W32.Serflog.A bir worm (solucan) olup, MSN Messenger ve Windows Messenger üzerinden bilgisayarına virüs bulaşmış kişinin contact list'indeki tüm kişilere kendisini bir link olarak gönderir ve Windows'un güvenlik seviyesi ayarlarını da azaltır.



Diğer isimleri: Sumom.A [F-Secure], IM-Worm.Win32.Sumom.a [Kaspersky Lab], W32.Crog.worm [McAfee], W32.Sumom-A [Sophos], WORM_FATSO.A [Trend Micro].



Bilgisayara bulaşır bulaşmaz ekrana şunu yazar: "'-F-u-c-k-'-Y-o-u-'". Virüs kendisini aşağıdaki isimleri kullanarak bilgisayarda çoğaltır:



formatsys.exe (C:System dizini)

serbw.exe (C:System dizini)

msmbw.exe (C:Windows dizini)

Crazy frog gets killed by train!.pif (C: sürücüsünde)

Annoying crazy frog getting killed.pif (C: sürücüsünde)

See my lesbian friends.pif (C: sürücüsünde)

LOL that ur pic!.pif (C: sürücüsünde)

My new photo!.pif (C: sürücüsünde)

Me on holiday!.pif (C: sürücüsünde)

The Cat And The Fan piccy.pif (C: sürücüsünde)

How a Blonde Eats a Banana...pif (C: sürücüsünde)

Mona Lisa Wants Her Smile Back.pif (C: sürücüsünde)

Topless in Mini Skirt! lol.pif (C: sürücüsünde)

Fat Elvis! lol.pif (C: sürücüsünde)

Jennifer Lopez.scr (C: sürücüsünde)

lspt.exe (C: sürücüsünde)

autorun.exe (Co*****ents and SettingsLocal SettingsApplication DataMicrosoftCD Burning dizini)



Aşağıdaki gizli dosyaları oluşturur:

British National Party.jpg (C: sürücüsünde)

Crazy-Frog.Html (C: sürücüsünde)

Message to n00b LARISSA.txt (C: sürücüsünde)



Eğer bilgisayarda var ise aşağıdaki dosyayı siler:

MESSAGE_TO_BROPIA.txt



Virüs,

"Messenger Plus! 3.50.exe", "MSN all version polygamy.exe" ve "MSN nudge bomb.exe" isimlerini kullanarak,



My Shared dizinine (C: sürücüsünde)

Shared dizinine (C: sürücüsünde) ve

C:ProgramFilesProgram FileseMuleIncoming dizinine kendisini kopyalar. Daha sonra aşağıdaki Internet adreslerini bloke ederek kişinin antivirüs yazılımları indirmesini ya da yüklü antivirüs programlarını güncellemesini engelleyerek kendisini sağlama alır:



64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 securityresponse.symantec.com

64.233.167.104 symantec.com

64.233.167.104 sophos.com

64.233.167.104 mcafee.com

64.233.167.104 update.symantec.com

64.233.167.104 liveupdate.symantecliveupdate.com

64.233.167.104 viruslist.com

64.233.167.104 f-secure.com

64.233.167.104 kaspersky.com

64.233.167.104 kaspersky-labs.com

64.233.167.104 avp.com

64.233.167.104 nai.com

64.233.167.104 networkassociates.com

64.233.167.104 ca.com

64.233.167.104 mast.mcafee.com

64.233.167.104 my-etrust.com

64.233.167.104 download.mcafee.com

64.233.167.104 dispatch.mcafee.com

64.233.167.104 secure.nai.com

64.233.167.104 updates.symantec.com

64.233.167.104 us.mcafee.com

64.233.167.104 liveupdate.symantec.com

64.233.167.104 customer.symantec.com

64.233.167.104 rads.mcafee.com

64.233.167.104 trendmicro.com

64.233.167.104 grisoft.com

64.233.167.104 sandbox.norman.no

64.233.167.104 Only the registered members can see the link

64.233.167.104 uk.trendmicro-europe.com

Worm Virusleri ve Silme Yöntemleri, Çok önemli

Symantec firmasına ait Norton Anti-virüs yüklü bilgisayarlardan virüsü temizlemek için bilgisayarı güvenli kipte açmalısınız. System Restore (Sistem Geri Yüklemeyi) kapatmalısınız. Güncellemenizi yaptıktan sonra, Norton Antivirüs ile bilgisayarınızı scan edip bütün "W32.Serflog.A" solucanlarını temizlemelisiniz.



Norton Antivirüs yoksa, virüsü elle temizlemek için:



1. Bilgisayarınızı restart edip güvenli kipte açın. Bunun için açılış anında F8 tuşuna basarak güvenli kipi seçin.

2. Başlat menüsünden RUN'ı (çalıştır) seçip açılan pencereye "regedit" yazın, sonra da enter’a basın.

3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmiş yeni kayıtları silin:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionpolicie***plorerRun

HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVe rsionpolicie***plorerRun



Yukarıdaki kayıtlar içinde "serpe", "avnort", "ltwob" gibi tanımlar var ise sisteminiz virüsten etkilenmiş ve her açılışta kendisini tekrar çalıştırıyor demektir. Bu tanımları silin.



4. "Bilgisayarım"ı açtıktan sonra "araçlar"dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki "gizli dosyaları göster" seçeneğini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçeneğindeki işareti

kaldırın. Böylelikle virüs'ün sistem içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.



5. Aşağıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin.

C:windowssystem32formatsys.exe

C:windowssystem32serbw.exe

C:windowsmsmbw.exe

C:Crazy frog gets killed by train!.pif

C:Annoying crazy frog getting killed.pif

C:See my lesbian friends.pif

C:LOL that ur pic!.pif

C:My new photo!.pif

C:Me on holiday!.pif

C:The Cat And The Fan piccy.pif

C:How a Blonde Eats a Banana...pif

C:Mona Lisa Wants Her Smile Back.pif

C:Topless in Mini Skirt! lol.pif

C:Fat Elvis! lol.pif

C:Jennifer Lopez.scr

C:lspt.exe

Co*****ents and SettingsLocal SettingsApplication DataMicrosoftCD Burningautorun.exe

C:British National Party.jpg

C:Crazy-Frog.Html

C:Message to n00b LARISSA.txt



6. C:WindowsSystem32Driversetc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini silin.



Örnek içerik:

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link

64.233.167.104 Only the registered members can see the link



7. Bu ve benzeri antivirüs üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız yeni güncellemeleri indirebilir hale gelecektir. Yukarıdaki işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs yazılımını Internet’e bağlanarak güncelleyin ve gözden kaçmış kalıntılar olabileceğini düşünerek bilgisayarınızı virüs taramasından geçirin. Windows XP'nin System Restore (Sistem Geri Yükleme) özelliğini mutlaka kapatmalısınız. Sistem Geri Yüklemeyi eğer devredışı bırakırsanız W32 türevi pekçok zararlı solucanı ve virüsün bilgisayarınızda çalışmasının tetiklenmesini engellemiş olacaksınız. Sistem Geri Yükleme özelliğine Başlat/Ayarlar/Denetim Masası'ından "Sistem Geri Yükleme" sekmesinden ulaşabilirsiniz. Sistem Geri Yüklemeyi devredışı bırakıp Sistem'den çıktığınızda Windows sizi uyaracaktır. Windows'un uyarısına aldırmayarak devam edin.

Worm Virusleri ve Silme Yöntemleri, Çok önemli

KORUNMA: Sistem Restore (Sistem Geri Yükleme) neden kapatılmalı?

Sistem Geri Yükleme, Windows ME ve Windows XP'deki bir özellik olup kullanıcı tarafından seçilmiş dosyaların yedeklenmesi amacıyla tasarlanmıştır. Windows bu yedeklemeyi C:_Restore dizininde yapar. Yedeklenmiş dosyaları Windows özel bir algoritmayla sıkıştırarak yedeklediğinden, antivirüs yazılımları buradaki virüslü dosyalar göremezler. Siz bilgisayarındaki buradaki hariç tüm virüsleri temizledikten sonra eski belgenizi bir süre sonra restore ederek geri çağırdığınızda, dosyalarınızla birlikte yedeklenmiş virüsler de geri geleceğinden sistem geri yükleme kapatılmalıdır. Demek ki geri yüklemenin kapatılması için iki sebebimiz var:



- Sistem Geri Yüklemenin yedeklediği dosyaları antivirüs yazılımları göremez.

- Geri yedeklenen virüslü dosyalar virüsleri de geri getirirler.



Bu özelliği açık tutmak virüsleri çok sevindirecek, sizi de çok uğraştıracaktır.



TEMİZLEME: W32.Kelvir, W/32Serflog ve diğer solucanları temizlemek için ftp dizinindeki programları kullanabilirsiniz.Buradaki FxKelvir.exe, FixSerflog.exe, FixSobigF.exe, FxBropia.exe ve W32.Sobig.F@mm Removal Tool.exe programlarını deneyin. McAfee'nin Stinger antivirüs yazılımının en son versiyonu da ftp dizinindedir. Diğer solucanlar için bilgisayarınızı tarayabilirsiniz.



W32.Kelvir-A-E ise yine bir worm (solucan) olup, MSN Messenger ve Windows Messenger üzerinden bilgisayarına virüs bulaşmış kişinin contact list'indeki tüm kişilere kendisini bir link olarak gönderir ve "W32.Spybot.Worm" virüsünün değişik bir versiyonunu download edip bilgisayara bulaştırmaya çalışır. Virüs'ün download etmeye çalıştığı dosyanın yeri: Only the registered members can see the link*******/patch.exe olup güvenlik açısından adrese ulaşımı engellemek için bir kısmı yıldızlarla gizlenmiştir. Virüs bu adreste bulunan "patch.exe" dosyasını download eder etmez ilk iş bunu çalıştırır. Bu yazı hazırlanırken adresteki virüs değişmiş ve "Win32.Rbot.BWD" olmuştur. Daha çok bilgi için Bilgisayar Komisyonu üyeleri şu an yoğun olarak çalışılmaktadır.



Solucanın diğer isimleri: Win32.Bropia.Variant!Worm, W32.Kelvir.A [F-Secure], IM-Worm.Win32.Kelvir.a [Kaspersky].



Virüsü elle temizleme:

Symantec firmasına ait Norton Anti-virüs yüklü bilgisayarlardan virüsü temizlemek için bilgisayarı güvenli kipte açmalısınız. System Restore (Sistem Geri Yüklemeyi) kapatmalısınız. Norton Antivirüs ile bilgisayarınızı scan edip bütün "W32.Kelvir-C" solucanlarını temizlemelisiniz.



"Stinger AVERT" kullanarak diğer solucanlardan bilgisayarı temizleme:

Stinger yazılımı McAfee firmasına ait küçük bir antivirüs yazılımı olup aşağıdaki virüsleri temizler:

BackDoor-AQJ, BackDoor-CFB, BackDoor-DHC, BackDoor-JZ-JZ, Bat/Mumu.worm, Exploit-DcomRpc, IPCScan, IRC/Flood.ap, NutzenSie, IRC/Flood.cd, NTServiceLoader, PWS-Narod, PWS-Sincom.dll, W32.Anig.worm, W32.Bagle@MM, W32.Blaster.worm, (Lovsan), W32.Bugbear@MM, W32.Deborm.worm.gen, W32.Doomjuice.worm, W32.Dumaru, W32.Elkern.cav, W32.Fizzer.gen@MM, W32.FunLove, W32.Klez, W32.Korgo.worm, W32.Lirva, W32.Lovgate, W32.Mimail, W32.MoFei.worm, W32.Mumu.b.worm, W32.MyDoom, W32.Nachi.worm, W32.Netsky, W32.Nimda, W32.Pate, W32.Polybot, W32.Sasser.worm, W32.SirCam@MM, W32.Sober, W32.Sobig, W32.SQLSlammer.worm, W32.Swen@MM, W32.Yaha@MM, W32.Zafi, W32.Zindos.worm.



Not: Stinger programı bütün Windows işletim sistemlerinde çalışan küçük bir programdır. Lisanssız olup Freeware'dir. W32.Serflog.A ve W32.Kelvir-A solucanlarını temizlemez! Diğer solucanları temizleyebilirsiniz. Güncellenmiş en son sürümünü download etmek için



Only the registered members can see the link



Bugünlerde etkin diğer virüsler ve elle temizlenmeleri:



W32.Aplore@mm

Start-Run-Type "msconfig"

Click "startup"

Uncheck "Explorer"

Restart computer



Choke.exe (I-Worm.Choke)

Press CTRL-ALT-DEL, select "choke.exe" and select "end task"

Close MSN Messenger

Start-Run-Type "msconfig"

Click "startup"

Uncheck "Choke.exe"

Restart computer



Choke.exe (I-Worm.Choke)

Start-Find-Search "Choke.exe"

Select file and delete

Empty the Rcycle bin



PIC1234(1)(1)(1)(1)(1).exe Virus

Close MSN

Goto Start-Run-Type "msconfig"

Click "startup"

Uncheck "MSN Messenger"

Click OK and choose DO NOT RESTART

CTRL-ALT-DEL, select "MsgSpread" and end the task



PIC1234(1)(1)(1)(1)(1).exe" Virus

Go to desktop and open My Do*****ents

Double click on "Messenger Service Received Files"

Select the file "PIC1234(1)(1)(1)(1)(1).exe" and delete it.

Empty Recycle Bin

Restart computer

Worm Virusleri ve Silme Yöntemleri, Çok önemli

DİĞER WORM VİRÜSLERİ İLE İLGİLİ TEMiZLEME PROGRAMLARI VE BİLGİ:



W32 Sasser Worm Virüsü:

W32 Sasser worm virüsü A, B, C, D, E ve F şeklinde varyasyonlar halinde bulunur ve bilgisayara bulaşır. Microsoft'un MS04-011 numaralı güvenlik bülteninde açıklandığı üzere Windows'ta bulunan LSASS (Local Security Authority Subsystem Service) servis programının güvenlik açıklarını tarayarak, bulduğu açıklardan file transfer protokolünü kullanarak (FTP) kendisini başka bilgisayarlara kopyalar. Bunun için seçtiği rastgele IP'lerde tarama yapar. Güvenlik Patch dosyaları yüklenmemiş NT, 2000 ve XP işletim sistemi yüklü bilgisayarlara bulaşır. Win95/98/Me bilgisayarlara da bulaşır fakat aktif hale geçmez. XP ve 2000 bilgisayarlarda "Bilgisayarın kapanmasına 1 dakika var" yazısı ekrana çıkarak bilgisayarı kapatır. Bu 1 dakika içinde virüsü temizlemek mümkün olmadığı için sistem tarihini geçici olarak birkaç gün/ay geri atabilirsiniz. Bulaştığı makinanın Windows dizininde natpatch.exe dosyası oluşturur ve bunu registry'deki HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun kısmına ekler. Böylece her Windows'u başlattığınızda virüs aktif hale geçer. Virüsün aktifliğine son vermek için CTRL-ALT-DEL tuşuna bastığınızda gelen TASK MANAGER'de PROCESS kısmına geçin. Listedeki natpatch.exe'yi bulun, üzerine tıklayıp process'ine son verin. W32 Sasser virüsü için Symantec Antivirüs firması fxsasser.exe dosyasını kullanıcıların hizmetine sundu. Bu dosya ile (bilgisayarınızı kesinlikle güvenli kipte açtıktan sonra) virüsü temizleyin. Türkçe XP bilgisayarlar için hazırlanmış update dosyalarını bilgisayarınıza patch etmelisiniz. Bunun için service pack 2'yi kurmanız yeterlidir.



W32 Sasser Virüsünü temizlemek için adım adım yapılacak işler (NT, 2000 ve XP):



1. Bilgisayarınızı baştan başlatın ve güvenli kipte açın (açılış sırasında F8'e basacaksınız)

2. Fxsasser( ftp://fisheries.ege.edu.tr/ftp/anti-trojan/FxSasser.exe) ya da Fsasser(ftp://fisheries.ege.edu.tr/ftp/anti-trojan/f-sasser.exe) programıyla bilgisayarınızda virüsü aratın

3. Bilgisayarınızı kapatın açın (Normal olarak)

4. Service pack 2'yi kurun

5. Kurduktan sonra bilgisayarınızı baştan başlatıp virüsü tekrar arayın.

6. Sisteminizdeki anti-virüs'ü güncelleyin.



W32 Cycle virüsü ise LSASS güvenlik sisteminin buffer overrun açığı ile kendisini yayar. 2000 ve XP bilgisayarlara bulaşır. Virüsün aktifliğine son vermek için System Restore programının çalışmasına son vermelisiniz. Task Manager ile baktığınızda msblast.exe, avserve.exe, avserve2.exe veya skynetave.exe programlarını görürseniz bilgisayarınıza W32 Cycle worm virüsü bulaşmış demektir.



W32 Sasser E virüsü için registry editörü çalştırıp (regedit) lsasss.exe satırını bulup silmelisiniz. Registry'deki yeri:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunLSASS SVR = lsasss.exe







MyDoom Virüsü



E-mail ile yayılan bir spam mail worm virüsü olup bulaştığı bilgisayarlardaki outlook adres defterine musallat oluyor. Buradaki adreslere virüslü mailler gönderirken içerik olarak rastgele konular seçiyor. Maillere attachment olarak küçük bir .zip dosyası ekleyerek zararsız görünümlü bir içerik ile kullanıcıları aldatmaya çalışıyor. .bat, .cmd, .exe, .pif ve .scr uzantılı mail ekleri yaratıyor. Kazaa gibi servislerle yayılması dizayn edildiğinden bu servislerden gelen dosyalarda bulunma ihtimali yüksek. Klavyeyi kontrol eden bir virüs olduğundan klavyeden girilen kredi kartı bilgileri ve şifreleri bilgisayarda kendisine özel bir dosyada saklayıp yeri gelince bu bilgileri maille yollayamaya çalışıyor. MyDoom virüsünü temizleyen programı

ftp://fisheries.ege.edu.tr/ftp/anti-trojan/ buradan edinebilirsiniz



XP Bilgisayarınızdaki "System Restore" servisini iptal ederek W32 Sasser ve benzeri virüslerin bilgisayardaki işlevlerine son verme ve engelleme:

1. Masaüstündeki "Bilgisayarım" simgesine sağ tuşla tıklayın ve oradan "Sistem Geri Yükleme"yi seçin.

2. "Bütün sürücüler'deki sistem geri yüklemeyi kapat" kutucuğunu işaretleyin.

3. Tamam'a tıklayın, gelen uyarıya tamam deyin.



XP'de eğer bir dosyayı silmeye kalktığınızda "Bu dosya başka bir application tarafından kullanılıyor" deyip silmiyorsa ve o dosyayı başka bir programın kullanmadığından eminseniz yapacağız iş:

Kısa yol, çabuk çözüm 1:

1. Dosyanın ismini değiştirin, uzantısını da değiştirin. Mesela "a.a" yapabilirsiniz.

(Windows Explorer'da dosya uzantılarını gizle seçeneği aktif ise bunu yapamazsınız)

2. Sonra dosyayı silebilirsiniz.

3. Eğer Windows dosyanın ismini değiştirmenize izin vermez ise dosyayı silmek için aşağıdakini deneyin:



Kısa yol, çabuk çözüm 2:

1. Başlat'tan "cmd"yi çalıştırın.

2. Silinecek dosyanın ismi uzun ise klasörde "dir /x" yazarak kısa ismini içinde "~" olacak şekilde görün.

(Ör. "MatrixRevolutions2.avi" dosyasını dir/x ile "matrixr~1.avi" olarak göreceksiniz.)

3. Del /f yazarak kısa dosya isminin kısa halini yazarak dosyayı silin.

(Ör. Del /f matrixr~1.avi)



Uzun yol, kesin çözüm 3 (En inatçı dosyalar için):

1. CTRL-ALT-DEL yaparak Task Manager'i çalıştırın ve "explorer.exe"nin çalışmasına son verin (desktop silinecektir!)

2. Task Manager'deki Dosya kısmından "Yeni Görev (Çalıştır)"ı seçip oraya "cmd" ya da "command" yazın.

3. Silmek istediğiniz sürücüye ve klasöre gidin.

4. "del" komutuyla dosyayı silin.

5. Task Manager'deki Dosya kısmına "Yeni Görev (Çalıştır)"ı seçip oraya "explorer" yazıp enter'a bastığınızda desktop geri gelecektir.

6. Dosyayı silmiş oldunuz, en inatçı dosyaları bile silebilirsiniz.



Yararlanılan kaynaklar:

Symantec Antivirüs Sitesindeki Asuka Yamamoto'nun yazısı

Sophos Antivirüs Sitesi

Kaspersky Antivirüs Sitesi

Antivir Antivirüs Sitesi

F-Secure Antivirüs Sitesi

IT Güvenlik Uzmanı Ömer Kurtulmuş'un yazısı (inTellect Bilgisayar)

CA Virus Information Center

Symantec Virus Removal Tools Page [Tüm trojan, solucan ve virüsler için download edilebilir küçük temizleme programları]