Erkan TUĞRAL Blog

Son iki gündür özellikle Türkiye de çok yaygın bir MSN worm salgını var. MSN listenizdeki birilerinden gelen bir takım resimler olduğunu belirten mesajlarla birlikte dosyalar gönderen bu worm un sadece 2 günde 7-8 adet farklı örneği elime ulaştı. Burada en iyi çözüm hepimizin bildiği üzere gelen dosyaları açmamak ya da en azından bu zipler içindeki .com uzantılı dosyaları(worm bir sosyal mühendislik hilesi ile dosya isimlerine bir web sitesi linki süsü veriyor  örn: www.539_06.jpg.com) çalıştırmamak. Son 2 gündür tecrübe ettiğim üzere bu çok da kolay değilmiş :) Sorunu geçici de olsa bir çözüm geliştirmek için en azından son iki gündeki örneklerden basit bir fix tool hazırladık(çalışma arkadaşım Gürcan'ın katkılarıyla) buradan indirebilirsiniz. Ancak belirtmeliyim ki çok fazla test etme şansımız olmadı.  8-10 virüslü sistemde yaptığımız denemeler olumlu sonuç verdi. Eğer kullanan olursa yorumlarda ya da mail ile sonuçları bildirirse çok sevinirim.

Özellikle açık kaynaklı işletim sistemleri üzerinde çalışan e-posta sunucularını ve squid gibi proxy yazılımlarıyla birlikte yaygın olarak kullanılan açık kaynak antvirüs ClamAV 'ın tüm hakları , Snort ' un ana geliştiricisi olan Sourcefire firması tarafından satın alındı. Projenin kurucusu Tomasz Kojm ve diğer 4 geliştirici tarafından alınan bu karar bakalım projenin gelişimini nasıl etkileyecek. Bidiğiniz gibi açık kaynaklı güvenlik yazılımları arasında önce Nessus geliştiricisi Tenable  tarafından Nessus 3 den itibaren kapalı kod olarak geliştirilmeye başlanmış (2 sürümü halen açık kodlu) ve tanım dosyaları ücretsiz  kullanıcılar için gecikmeli olarak verilmeye başlanmıştı. Buna ek olarak Sourcefire da Snort için  benzer bir model geliştirmiş ve imza dosyalarını belirli bir gecikme ile abone olmayan müşterilerine sunmaya başlamıştı. Sourcefire bu kez ClamAV konusunda ne yapacak? İlk izlenimlerin Snort benzeri  bir model izleyecekleri. ClamAV ekibi tarafından hazırlanmış sa