SOBİG.F İNTERNETİ FELÇ ETTİ. VİRÜSDEN KORUNMA YÖNTEMLERİ

InfoNet yetkilileri, solucan virüsün bulaştığı bilgisayarları otomatik olarak temizlemek için http://www.trendmicro.com/download/tsc.asp adresinden tarama yapılabileceğini açıkladılar.

Manuel olarak temizlemek için aşağıdaki adımlar izlenmelidir :

Manuel temizleme SOBIG solucanın bu varyantı için oldukça zordur.Bu sebeple InfoNet otomatik araçların kullanılmasını önermektedir.


http://housecall.antivirus.com/ adresinde bulunan virüs tarayıcısı ile sisteminizi WORM_SOBIG.F adlı virüse karşı tarayın ve bulaştığı tüm dosyaları not edin.

Solucanın bulaştığı tüm dosyaları durdurun :

1. Görev Yöneticisini açın (Windows Task Manager).

Windows 95/98/ME sistemlerinde,

CTRL+ALT+DELETE

Windows NT/2000/XP sistemlerinde,

CTRL+SHIFT+ESC, tuşlarına basın ve Processes(Uygulamalar) sekmesini seçin.

2. Çalışan uygulamalar* arasından , bulaşılmış dosyaları bulun ve durdurun

3. Görev yöneticisini kapatıp tekrar açın ve uygulamanın durdurulduğundan emin olun.

*NOT: Windows 95/98/ME sistemlerinde , görev yöneticisi bazı uygulamaları göstermeyebilir. Başka bir uygulama tarayıcısı kullanabilirsiniz yada sonraki adımlara geçebilirsiniz(Ek adımları uygulayarak).

Registry den otomatik başlama girişlerini kaldırmak için:

1. Registry Editor ü açın. Başlat->Çalıştır( Start>Run), REGEDIT yazıp Enter tuşuna basın.

2. HKEY_LOCAL_MACHINE>Software>Microsoft>

Windows>CurrentVersion>Run anahtarı içerisinde :

TrayX = "%Windows%\winppr32.exe /sinc" adlı değeri silin.

(Not: %Windows% C:\Windows yada C:\WINNT anlamına gelmektedir.)


3. HKEY_CURRENT_USER>Software>Microsoft>

Windows>CurrentVersion>Run anahtarı içerisinde :

TrayX = "%Windows%\winppr32.exe /sinc" adlı değeri silin

NOT: Eğer solucanın bulaştığı dosyaları daha önce görev yöneticisi ile kapatamadıysanız, siteminizi şimdi restart etmeniz gerekmektedir.

VİRÜSLÜ DOSYALARI SİLMEK İÇİN:

Bilgisayarınızı WINSTT32.DAT adlı dosya için tarayın ve bulduğunuz tüm dosyaları silin.

VİRÜSÜN TEKNİK ANALİZİ

Solucan yayılma fonksiyonunu 10 Eylül 2003 tarihinde durduracak. Windows 95, 98, ME, NT, 2000, ve XP üzerinde çalışmakta. Solucan e-posta yollarken bulaştığı bilgisayardaki e-posta hesabı yerine, From (Kimden) alanını değiştirerek kendisini kendi SMTP motorunu kullanarak yaymaktadır. Yollanan e-postanın From (Kimden) kısmında support@yahoo.com ya da bulaştığı bilgisayarda tarayarak bulduğu herhangi bir e-posta adresi bulunmakta. Bu sebeple alıcılar ve anti-spam sistemleri yanılabilmekte ve zararlı e-postayı açabilmektedirler.