GREW (NYXEM)’E DİKKAT!
NASIL KORUNACAKSINIZ, NELERİ BİLMEK GEREKİYOR?
Grew (Nyxem), PC kullanıcılarını yavaş yavaş rahatsız etmeye başlamıştı ki 3 Şubat’ta aktif olacağı haberleriyle herkes korkuya kapıldı. Grew’in (Nyxem) hızla yayıldığı ile ilgili son raporlarda sayıca tam olarak güvenilememekle birlikte, alarm ilk yayınladığı anda bulaşma sayısı 680.000 olduğu ve hızla arttığı tespit edilmişti.
InfoNet’in Türkiye temsilciliğini yaptığı güvenlik firmalarından Trend Micro Araştırma Labratuarı’ndan edindiğimiz bilgilere göre; Grew (Nyxem), şimdiye kadar birçok bilgisayara bulaşmış durumda. Sizin bilgisayarınıza da bulaşmış olabilir fakat siz farkında olmayabilirsiniz. Çünkü bu virüs 3 Şubat’ta aktif oluyor. Daha önceden bulaştığı makina üzerinde 3 Şubat’tan başlayarak her ayın 3’ünde tekrar aktif hale gelerek zarar verici hareketlerde bulunacağı tespit edilen Grew(Nyxem) doc, pdf, mdb, mde, pps, ppt, psd, rar, xls, zip uzantılarına sahip dosyaları siliyor. Bu worm’u taşıyan email’lerde "School girl fantasies gone bad" ve "Re: Sex Video" gibi başlıklar görülmektedir. Bulaşma email kullanıcılarının eki açması ile gerçekleşmektedir. Kod, güvenlik programlarını (antivirüs, firewall, vs...) devre dışı bırakmaya ve registry’de önemli değişikler yapmaya çalışmaktadır. Bir diğer önemli nokta ise, Grew (Nyxem), bulaşma sonucunda kullanıcının bilgisayarında bulunan kişi ile ilgili bilgileri bir web sunucusuna gönderen bir sayacı da içermektedir.
ÇÖZÜM:
- PC’lerin “bugün” virüs taramasından geçirilerek, eğer virüs tespit edilmişse manuel olarak temizlenmesi;
1) Öncelikle bilgisayarınızı Güvenli Kip'te (Safe Mode) açmanız gerekiyor.
2) Windows ME ve Windows XP kullanıcılarının "Sistem Geri Yüklemeyi" (System Restore) kapatmaları gerekir.
WINDOWS 98
3) Start > Run'a tıkladıktan sonra REGEDIT yazıp Enter tuşuna basınız.
4) Açılan pencerenin sol tarafından "HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run" kısımlarına tıklayınız.
5) Sağ taraftaki "ScanRegistry = "scanregw.exe /scan" seçeneğini ScanRegistry = "%Windows%/scanregw.exe /autorun" ile değiştirelim.
NOT: %Windows% normal kurulumlarda C:\Windows veya C:\WINNT'dir.
WINDOWS ME, NT, 2000, XP, and Server 2003
3) Start > Çalıştır'a tıkladıktan sonra REGEDIT yazıp Enter tuşuna basınız.
4) açılan pencerenin sol tarafından
"HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run" kısımlarına tıklayınız.
5) Sağ taraftaki ScanRegistry = "scanregw.exe /scan" seçeneğini silelim.
Registry'nin Düzeltilmesi
6) Start > Çalıştır'a tıkladıktan sonra REGEDIT yazıp Enter tuşuna basınız
7) açılan pencerenin sol tarafından "HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced" kısımlarına tıklayınız.
8) Sağ taraftaki ShowSuperHidden = "dword:00000000" seçeneğini ShowSuperHidden = "dword:00000001" seçeneği ile değiştiriniz.
9) Yukarıdaki işlemler tamamlandıktan sonra bilgisayarı yeniden başlatalım.
- Daha sonra güncellemelerinin (updates) yapılması gerekmektedir.
* Kullanmakta olduğunuz antivirüs programında en az 3.180.03 paterninin geçerli olması yeterli olacaktır.
- Son olarak tüm sistemin taranması
Trend Micro Web sitesinde daha ayrıntılı bilgiye ulaşabilirsiniz :
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_GREW.A
Virüslü maillerin konuları (subject) su sekildedir:
• *Hot Movie*
• A Great Video
• Arab sex DSC-00465.jpg
• eBook.pdf
• Fw: DSC-00465.jpg
• Fw: Funny :)
• Fw: Picturs
• Fw: Real show
• Fw: SeX.mpg
• Fw: Sexy
• Fwd: Crazy illegal Sex!
• Fwd: image.jpg
• Fwd: Photo
• give me a kiss
• Miss Lebanon 2006
• My photos
• Part 1 of 6 Video clipe
• Photos
• School girl fantasies gone bad
• Re: Sex Video
Virüslü maillerin içerikleri (body) su sekildedir:
• Fuckin Kama Sutra pics
• hello,
• Helloi attached the details.
• Hot XXX Yahoo Groups
• how are you?
• i just any one see my photos.
• i send the details.
• i send the file.
• It's Free :)
• Note: forwarded message attached. You Must View This Videoclip!
• Please see the file.
• ready to be FUCKED ;)
• Thank you
• The Best Videoclip Ever
• the file i send the details
• VIDEOS! FREE! (US$ 0,00)
• What?
Virüslü maillerin ekleri (attachment) su sekildedir:
• 007.pif
• 3.92315089702606E02.UUE
• 392315089702606E-02,.scR
• 392315089702606E-02,UUE{spaces}.scR
• 677.pif
• Adults_9,zip.sCR
• ATT01.zip.sCR
• Attachments00.HQX
• Attachments001.BHX
• Attachments[001],B64.sCr
• Attachments[001].B64
• Clipe,zip.sCr
• document.pif
• DSC-00465.pIf
• eBook.PIF
• eBook.Uu
• image04.pi
• New Video,zip
• New_Document_file.pif
• Original Message.B64
• photo.pif
• Photos,zip.sCR
• School.pif
• SeX,zip.scR
• Sex.mim
• Video_part.mim
• WinZip,zip.scR
• WinZip.BHX
• WinZip.zip.sCR
• Word XP.zip.sCR
• Word.zip.sCR
• Word_Document.hqx
• Word_Document.uu
