Neyin Nesi Bu WORM_VOBFUS?

Kötü amaçlı yazılımların bazıları oldukça ısrarcı oluyor, tıpkı WORM_VOBFUS gibi. Bugünlerde rastladığımız ve genelde Facebook üzerinden yayıldıkları görülen WORM_VOBFUS versiyonları yeni rutinler içermiyorlar, ama bu durum kullanıcıları iyi bilinen ama kolayca gözardı edilen bazı güvenlik prensipleri konusunda uyarmaya yetiyor.

İlk analizlerimize göre bu WORM_VOBFUS versiyonları hiç bir gelişmiş rutin ya da yayılma tekniği içermiyorlar. Ancak, elde ettiğimiz Smart Protection Network™ geri dönüşlerime bakılırsa, bu kötü araçların yayılması son günlerce ciddi oranda arttı.

 

Facebook’dan yayılması dışında WORM_VOBFUS hakkında yeni bir şey yok. Peki niye hala bu sorunla karşı karşıyayız? WORM_VOBFUS’un hala can sıkmasına neden olan kalıcı nedenleri kısaca özetleyelim:

Autorun sistemini kapatmak yararlıdır, ama herkes bunu bilmiyor. WORM_VOBFUS ve benzeri internet kurtçukları Windows Autorun özelliğinden yararlanarak yayılırlar. Bunu engellemek için genellikle kullanıcıların Autorun özelliğini devredışı bırakmaları önerilir. Kullanıcılarsa bazen unuttuklarından, bazense alışkanlıklarını değiştirmemek için bu özelliği kapatmaz. Oysa kullanıcıların bir kaç basit adımı izleyerek Autorun sistemini kapamaları, kurtçuğun ilerlemesini durduracaktır.

Bilinen en eski numaralar her zaman sonuç verir. Raporlara bakılırsa WORM_VOBFUS versiyonları Facebook üzerinde yayılıyor ve cinsellik çağrışımlı Sexy.exe ya da Porn.exe gibi dosya isimleri kullanıyorlar. Cinsellik ve beraberinde gelen kışkırtıcı temaların tuzaklı bir dosyayı çalıştırmak için kullanıcıları kandırmakta kullanılması, web temelli tehditlerin değişmezidir. Peki bu bize ne anlatıyor? Kullanıcılar hala bu basit tuzağa düşebiliyorlar. Tek fark, ekli dosyalar artık email mesajlarıyla birlikte gelmiyor ama Facebook gibi sosyal ağlarda cirit atıyor.

Eski güvenlik açıkları hala kullanılabilir. WORM_VOBFUS ve türevleri, Microsoft’un 2010 yılında yamadığı bir güvenlik açığı olan Windows Kısayol Güvenlik Açığı (MS10-046 ve CVE-2010-2568) yoluyla sistemlere sızarlar. Çok konuşulan STUXNET saldırısı da tam olarak aynı güvenlik açığından yararlanmış ve tuzak içeren kısayol dosyaları (.LNK uzantılı dosyalar) Windows Explorer gibi dosya yöneticileri tarafından otomatik olarak çalıştırılmıştı. Trend Micro Deep Security uygulamamız, bu saldırıları içerdiği Deep Security rule 1004314 yönergesi sayesinde koruyabilmekte.

Güvenlik açığının bildirilmesi ve yamanmasının üzerinden iki yıl geçtiği düşünülürse, kullanıcıların çoktan bu açığı kapadıkları düşünülebilir.

Gelgelelim, gerçek hiç böyle değil. Skype tarafından yapılan bir ankete göre, bazı kullanıcılar yazılım geliştiriciler tarafından yayınlanan güncellemeleri uygulamıyorlar.  Bunun gerekçesi olaraksa güncelleme süreciyle uğraşmaktan kaçınmak ya da güncellemelerin getirilerini pek anlamamak gösteriliyor.

Özellikle büyük kurumlar için yazılım ve sunucu güncellemelerini uygulamaya koymak daha da zor. Tüm bir işletmenin güvenliğinden sorumlu olan sistem yöneticileri, güncellemelerin işletmenin çalışma süreçlerini nasıl etkileyeceğini hesaba katmak zorundalar. Güncellemeleri denemenin ve uzun saatler boyunca uygulamanın sıkıntısı düşünülürse, kurumsal bir çalışma ortamında yazılım güncellemesi  yapmanın nasıl bir çaba olduğu anlaşılabilir.

Zamanında yapılan güncellemelerin getirisi, tüm bu sıkıntılara değer. Bu nedenle, kullanıcılar güncellemeleri düzenli olarak uygulamalı ve eski güvenlik açıklarına dayanan saldırıların önünü kesmeli. Ayrıca kullanıcılar email mesajları, web siteleri ya da Facebook gibi sosyal ağlarda rastladıkları dosyaları indirip çalıştırırken çok dikkatli olmalı.

WORM_VOBFUS ve benzerleri konusunda daha çok bilgi edinmek ve korunma yollarını öğrenmek için, İngilizce sitemizde yer alan şu yazılarımızı okuyabilirsiniz:

WORM_VOBFUS ve benzeri tehditlerin gösterdiği üzere, eski ama esaslı güvenlik açıkları hemen ortadan kalkmıyorlar. Bazen bir süreliğine unutulsalar da, tekrar gündeme geliyorlar.

Trend Micro Smart Protection Network™ uygulaması sistemlerde yakaladığı WORM_VOBFUS versiyonlarını silmektedir. Trend Micro Deep Security uygulamasıysa kullanıcıları, Windows kısayol güvenlik açığını kullanan tuzaklara karşı içerdiği Deep Security rule 1004314 yönergesiyle korur.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir