Windows açığına ilginç solucan

[38-hrn-19]

Microsoft, geçtiğimiz ay yayınladığı güvenlik güncelleştirmesiyle kapatılan bir güvenlik açığından yararlanarak yayılan bir solucan hakkında uyardı.

Solucan bulaştığı makineden başkalarına kendisini yayarken bulaştığı sistemlerdeki güvenlik açığına yama uyguluyor.
Win32/Conficker.A olarak adlandırılan solucan, MS08-067 kodlu Microsoft güvenlik güncelleştirmesiyle kapatılan bir açıktan yararlanarak bulaşıyor. Bir kere bulaştıktan sonra 1024 ile 10000 arasındaki bir portu kullanan bir web sunucusu gibi davranmaya başlıyor ve ağdaki diğer bilgisayarlara bulaşmayı deniyor. Diğer bilgisayardaki açığı kullanmayı başarırsa açtığı portu kullanarak kendisini o bilgisayara da yüklüyor.Yüklema aşamasında JPG uzantılı bir dosya gibi davranırken, yerel sisteme rastgele isimlendirilmiş bir DLL olarak kaydoluyor.
Microsoft solucanla ilgili ilginç bir şeyler söylemiş. Solucan, bulaştığı bilgisayarın belleğinde sorunlu API'yi yamalıyor. Tabii ki bu virüs yazarlarının bize iyilik yapmak istemesi değil; sadece başka kötü amaçlı kodların da kendi bulaştıkları makineyi denetlemelerine izin vermek istemiyorlar. Yine ilginç bir not; solucanın aralarında Türkiye de bulunan ülkelerden enfeksiyon raporlarına neden olmasına rağmen Ukrayna'dan bir rapor gelmemiş olması.