Conficker ve tespit etme yolları
tarih 03. Eki, 2009 yazar Editor in Haberler,internet ve Teknoloji
MS08-67 acikligini kullanan Conficker (ve turevleri) epey can yakti. Bircok guvenlik arastirmacisi virusun yeni versiyonu 1 nisanda kotu bir saka yapmak icin sinsi sinsi hazirlandigini belirtiyor. Virus uzerinde yapilan incelemeler sonucunda Conficker bir bilgisayara bulastiginda ms08-67 acikligini kendince bozuk bir yama atiyor, boylece baska saldirganin girmesini onluyor. Fakat bu yama bilgisayarin agdaki davranisini destiriyor, boylece virus bulasmis bilgisayar tespit edilebiliyor. Virusu agdan tespit etmek icin birkac yol var.
- HoneyNet projesinden Tillmann Werner ve Felix Leder virusu tespit eden bir tarayici yazdilar. Ayrintili bilgi honeynet blogunda . Tarayiciya su adresten ulasabilirsiniz. Sayfada ayni zamanda conficker’i tespit eden snort imzalari da mevcut.Daha teknik ayrintilarin oldugu inceleme makalesi honeynet sayfasinda yayinlandi.
- NMAP : Nmap’in son versiyonu icinden gelen smb-check-vulns scriptini kullanarak tespit edebilirsiniz. Nasil yapilacagina dair ayrinti su adreste.
- NESSUS : Nessus’un icinden gelen 36036 numarali plugin ile de tespit edilebiliyor. Ayrintili bilgi nessus blogunda.
Konu ile ilgili arastirma ve ayrintili bilgiler Bonn universitesi sayfasinda ve Dan Kaminsky blogundan edinilebilir. Bunun disinda conficker ile mucadele icin calisma gurubu kuruldu. Grupta bircok antivirus ureticisi var , grubun adresi : http://www.confickerworkinggroup.org/wiki/
Umarim bu bilgilere ihtiyaciniz olmaz…