NOT: Bu konu daha önce forumlarımızda okuyucularımız tarafından çözümlendi ve detaylıca anlatıldı fakat referans olması açısından konuyu şöyle bir toparlayalım istedik. Forum'daki konuya gitmek için tıklayın.

"Delikanlı bilgisayarcı 3. parti koruma yazılımları kurmaz, sistemine virüs bulaştırmaz" mantığıyla hareket edip de sistemine virüs bulaştırmayan delikanlı çok nadirdir. Özellikle son 2-3 ay içerisinde Microsoft Windows işletim sisteminin açıklarından yararlanarak ortaya çıkan bir çok virüs, çoğu kişiyi en amansız zamanda avlayabiliyor. Bunun önlemini almak mümkün, fakat özellikle son zamanların en popüler "solucanı" W32.Blaster veya türevi ile karşılaştıysanız ve sisteminiz onun elinde ise, önlem almanızın bir anlamı yok. Vakit, sistemi solucanlardan ve virüslerden kurtarma vaktidir, işe koyulalım. Önlemlere daha sonra bakarız.
W32.Blaster, diğer isimleriyle W32/Lovsan.worm.a, Win32.Poza.A, Lovsan , WORM_MSBLAST.A, W32/Blaster-A, W32/Blaster, Worm.Win32.Lovesan; daha önce Microsoft'un açıkladığı ve yamasını sunduğu bir açıktan faydalanan bir solucan. Açığı bulan birisi, uzaktan erişim ile sisteminizde istediği herşeyi yapabilir. Yani son derece tehlikeli bir durum.

Düzenli olarak işletim sistemini yamalayan ve firewall kullanan kişiler bu solucandan feci bir şekilde etkilenmediler. Uzaktan erişim portlar üzerinden yapıldığından ve aklı başında her firewall programı bu portları dinlediği ve koruduğu için, farkına varılmaması mümkün. Solucan, 135 nolu TCP portunu kullanan RPC servisindeki açıktan faydalanıyor. Çözümlere ve detaylı bilgilere geçmeden önce etkilenen işletim sistemlerinin de listesini vermek gerekiyor. Windows 98 ve ME dışındaki tüm Microsoft işletim sistemleri bu açığa sahip. Bunların içine Microsoft'un yeni göz ağrısı 2003 Server da dahil.
Eğer sisteminize W32.Blaster solucanı bulaştıysa, Internet' girdiğiniz anda RPC servisinde bir hata ile karşılaşacaksınız ve sistemin 60 saniye içerisinde yeniden başlatılacağı mesajını alacaksınız. RPC (Remote Procedure Call) servisinin Türkçe işletim sistemlerindeki karşılığı "Uzaktan Yordam Çağrısı". Bu servis sonlandırıldığı için sistemin 60 saniye içerisinde yeniden başlatılacağı mesajı geliyor:

Bu mesajla ilk karşılaşan kişilerin tepkisi genelde "Windows'um çöktü, bir format çekeyim şöyle güzelcene" oluyor. Windows'a şiddet göstermeden yapılması gereken işlemleri şöyle bir sıralayalım.

1. İlk olarak Internet'e bağlanmayın. Bağlanmadan önce mutlaka bir Firewall kurun. WindowsXP veya 2003 kullanıyorsanız, işletim sisteminin yapısında gelen Firewall'ı aktif hale getirmelisiniz. Bunu yapmak için, bağlantınıza sağ tuış tıklayıp, Advanced bölümünden Firewall'ı aktif hale getirmelisiniz.
   
   Eğer üçüncü parti Firewall yazılımlarından kullanmak isterseniz, tavsiyemiz ZoneAlarm Pro ve SyGate Personal Firewall olur. Fakat dosya çekmek lüksümüz şuanda yok, Windows'un kendi firewall'ını kullanmak şuanda yeterli.
2. RPC servisinde hata oluştuğu zaman sistemin 60 içinde yeniden başlamasını engelleyeceğiz. Control Panel (Denetim Masası) – Administrative Tools (Yönetimsel Araçlar) – Services (Hizmetler) yolunu izleyin. Sağ pencerede RPC (Remote Procedure Call)'yi yani Uzaktan Yordam Çağrısını bulun.
   
   Servisin üzerine sağ tuş tıklayıp özelliklere gelin.
   
   Hata oluştuğu zaman yapılacak işlemi Recovery bölümünden ayarlıyoruz. Buradaki 3 seçeneği de Take No Action konumuna getiriyoruz.
3. Şimdiki adımda ise W32.Blaster solucanını ezeceğiz. Symantec'in W32.Blaster solucanını silme yazılımını buraya tıklayarak çekebilirsiniz.
4. Dosyayı çektikten sonra hemen çalıştırmayın. İlk başta Windows XP ile birlikte gelen "System Restore" (Sistem Geri Yükleme) özelliğini kapatmak gerekiyor. Windows 2003 ile bu özellik varsayılan olarak gelmiyor. System Restore'u kapatmak için, Bilgisayarım'a sağ tuş tıklayın ve System Restore (Sistem Geri Yükleme) bölümüne gelin. Buradan kapatabilirsiniz.
   
   İşlemler bittikten sonra eski haline getirmenizi tavsiye ederiz. Aynı durum RPC Servisi için de geçerli.
5. Çektiğiniz dosyayı şimdi çalıştırın ve gerekli dosyaları ve registry kayıtlarını silmesine izin verin. Program tarama işlemini bitirdikten sonra sizi Microsoft'un bu açık için sağladığı yama adresine yönlendirecek. Hatta biz de üşengeçlik etmeyip bu sayfanın adresini de verelim. Buraya tıklayın. Eğer FixBlast dosyası, dosya silemediğini söylerse, sistemi güvenli kipte açıp dosyayı tekrar çalıştırın.
6. Geçmiş olsun! Ayarları eski haline getirmeyi unutmayın.

Buradan çıkarılacak önemli sonuçlar da var.

• Micrososft işletim sistemi kullananlar sürekli tehdit altında. İşletim sisteminizi düzenli olarak "Güncelleme" işlemine tabii tutmalısınız. Eğer "herşeyi elle yapayım" derseniz, Micrososft'un TechNet sitesini takip etmenizi önereceğim. Güvenlik açıklarını takip etmek için TechNet'in bu sayfasına gitmelisiniz.
• Özellikle sabit IP ile Internet'e çıkış yapan kişiler sistemlerinde mutlaka Firewall yazılımı kullanmalılar. Firewall kullananlar Blaster'dan neredeyse etkilenmediler.
• Sisteminizde mutlaka AntiVirüs yazılımı kullanın ve virüs tanımlamalarını mutlaka güncel tutun.
• Bana virüs bulaşmaz demeyin; günü birinde Blaster vari bir solucan / virüs kafanızı feci bir şekilde ağrıtabilir.

Belki birgün şu sistemleri virüsden koruma yollarına değiniriz de, yapılması gereken işlemleri tekrar gözden geçiririz.