MSN virüsü için ne yapmalı?
Abone olMSM Messenger virüsü bilgisayar kullancısının sistemini tehdit ediyor. Uzmanlar bilgisiyar kullanıcılarının virüse karşı alınması gereken önlemleri şöyle sıraladı:
Pek çok kullanıcının bilgisayar sistemine zarar verdiği
bildirilen bu virüs, kişilerin listesindeki diğer insanlar
tarafından gönderiliyor. Listenizdeki kişilerden gelecek türü
bilinmeyen dosyaları bilgisayarınıza kaydetmemeye özen gösterin.
Sistem klasörlerine sızıyor. Bilgi Teknolojileri Güvenliği
Danışmanı Ömer Kurtulmuş’tan aldığımız bilgiye göre, MSN Messenger
listesindeki kişilerden gelen transfer aslında dosya değil, bir
İnternet linki. Çoğunlukla gelen link ve dosyalar “pif” ve “scr”
uzantılı oluyor. MSN üzerinden yayılan bu virüs için antivirüs
firmaları saat 14:00 itibariyle güncel virüs imza dosyalarını
dağıtmaya başladılar. Daha bu virüsten etkilenmemiş olanların
antivirüs yazılımlarını güncellemeleri en önemli tedbir olacaktır.
Yeni virüs tanım dosyalarında bu virüs, Serflog.A, Kelvir.B,
Fatso.A vb. isimlerle tespit ediliyot. Gelen dosya değil link Bu
virüs, MSN Messenger üzerinden kontakt listenizde yer alan
kişilerden bir dosya veya İnternet sayfası link'i olarak geliyor.
Kullanıcı bu linke tıkladığında virüs dosyası hemen aktif olmuyor,
fakat gelen dosya çalıştırıldığında aktif oluyor. Bulaştığı anda o
bilgisayardaki MSN kayıtlarında yer alan herkese söz konusu link'i
gönderiyor. Bu durum tespit edildiğinde ilk yapılacak işlem
bilgisayarın İnternet bağlantısını kesmek olmalıdır. Böylelikle
başka birine virüsün yayılması engellenmiş olur. Adım adım
temizleme rehberi E-Güvenlik Danışmanı Ömer Kurtulmuş’ta aldığımız
bilgiye göre, antivirüs yazılımları güncellenmeden virüs bulaşan
PC’lerde artık otomatik güncelleme özelliği çalışmayacağından,
virüsün elle silinmesi gerekiyor. Eğer İnternet’ten bir temizleme
programı indirilip kullanılacaksa, MSN messenger programının
çalışmadığına emin olunmalı. Elle temizlemede izlenecek yöntemler
ise şunlar: 1. Bilgisayarınızı restart edip güvenli kipte açın
(Açılış anında tuşuna basarak güvenli kipi seçebilirsiniz.) 2.
Başlat menüsünden “çalıştır” (run) sekmesini tıklayıp açılan
pencereye “regedit” yazarak enter’a basın. 3. Regedit programı
içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle
ilgili eklenmiş yeni kayıtları silin:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run
HKEY_CURRENT_USER\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run
Yukarıdaki kayıtlar içinde “serpe”, “avnort”, “ltwob” gibi tanımlar
var ise sisteminiz virüsten etkilenmiş ve her açılışta kendisini
tekrar çalıştırıyor demektir. Bu tanımları silin. 4.
“Bilgisayarım”ı açtıktan sonra “araçlar”dan dizin seçenekleri
menüsünü açın ve görüntü bölümündeki “gizli dosyaları göster”
seçeneğini seçin ve bilinen dosya tipleri için dosya uzantısını
gösterme seçeneğindeki işareti kaldırın. Böylelikle virüs'ün sistem
içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.
5. Aşağıdaki dizinlerde isimleri verilen dosyaları
bilgisayarınızdan silin. C:\\windows\\system32\\formatsys.exe
C:\\windows\\system32\\serbw.exe C:\\windows\\msmbw.exe C:\\Crazy
frog gets killed by train!.pif C:\\Annoying crazy frog getting
killed.pif C:\\See my lesbian friends.pif C:\\LOL that ur pic!.pif
C:\\My new photo!.pif C:\\Me on holiday!.pif C:\\The Cat And The
Fan piccy.pif C:\\How a Blonde Eats a Banana...pif C:\\Mona Lisa
Wants Her Smile Back.pif C:\\Topless in Mini Skirt! lol.pif C:\\Fat
Elvis! lol.pif C:\\Jennifer Lopez.scr C:\\lspt.exe C:\\Documents
and Settings\\\\Local Settings\\Application Data\\Microsoft\\CD
Burning\\autorun.exe C:\\British National Party.jpg
C:\\Crazy-Frog.Html C:\\Message to n00b LARISSA.txt 6.
C:\\Windows\\System32\\Drivers\\etc altındaki hosts dosyasını edit
edin ve 64.233.167.104 veya benzeri IP adresleri için yeni
tanımlanmış adres bilgilerini silin. Örnek içerik: 64.233.167.104
www.symantec.com 64.233.167.104 www.sophos.com 64.233.167.104
www.mcafee.com 64.233.167.104 www.viruslist.com 64.233.167.104
www.f-secure.com 64.233.167.104 www.avp.com 64.233.167.104
www.kaspersky.com Bu vb. antivirüs üreticilerinin adreslerini
içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız
yeni güncellemeleri indirebilir hale gelecektir. Yukarıdaki
işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs
yazılımını İnternet’e bağlanarak güncelleyin ve gözden kaçmış
kalıntılar olabileceğini düşünerek bilgisayarınızı virüs
taramasından geçirin. Yukarıdaki yöntem, “inTellect Bilgisayar” IT
Güvenlik Uzmanı Ömer Kurtulmuş’un verdiğin bilgilerden
derlenmiştir. Şu adreslerden de detaylı bilgi alınabilir:
http://www.symantec.com/avcenter/venc/data/w32.serflog.a.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.bropia.html
Kaynak: www.haberx.com