Make your own free website on Tripod.com

MELİSSA VİRÜSÜ

Yakın zamanda İnternet'e bomba gibi düşen ve ABD'nin en güvenlikli sistemlerine bile bulaşan Melissa virüsü, şimdiye dek görülmemiş oranda bir paniğe yol açtı. Virüsler tarihinde, kendisinden çok daha tehlikeli örneklerin bulunmasına karşın, yaygınlığı nedeniyle FBI' ı bile harekete geçiren Melissa virüsüne karşı alabileceğiniz önlemler var. Virüsün, şimdilik resmi bir adı yok. Melissa, W97M/Melissa adlarıyla biliniyor. Kimi yerlerde W97M_Melissa ya da W97M.Mailissa.A gibi adlar verildiğini de görebilirsiniz.
İlk anda büyük panik yaratmasına karşın, Melissa şimdiye kadar gördüğümüz virüsler arasında öyle en tehlikelisi falan değil. Zaten toz yatışıp virüsün içerdiği Visual Basic kodunu inceleme fırsat bulduğunuzda, savunma yöntemlerinin de kolayca yaratılabileceğini görüyorsunuz.

Neler yapıyor?
Melissa, Microsoft Word belgelerini Office' in içinde script dili olan Visual Basic for Applications' ı kullanarak etkiliyor. Melissa' nın üç temel eylemi var:
Word'e bulaşıp açtığınız tüm Word belgelerini etkiliyor.
Daha rahat yayılabilmek için ayarları değiştiriyor.
Microsoft Outlook'u kullanarak, kılık değiştirip kendini bir mesaj gibi gösteriyor ve kendi kendini e-postalıyor.
Melissa' nın bulaşmış olduğu bir Word belgesini açtığınızda, virüs Word' ün temel şablonu olan NORMAL.DOT' a bulaşıyor. Word sizin bütün kişisel ayarlarınızı ve temel makrolarınızı bu şablon dosyada tutar. Dolayısıya, kendini NORMAL.DOT'a kopyalayan Melissa, yarattığınız bütün yeni belgelere de kendiliğinden bulaşıyor.

Registry' de değişiklik
Melissa' nın Registry' e düştüğü bir kayıt da var. HKEY_Current_User/Software /Microsoft/Office/Melissa anahtarında, "... by Kwyjibo" diye bir değer görürseniz, bilin ki sisteminize Melissa uğramış.
Melissa her şeyden önce sisteminizdeki MS Word'ün sürümünü kontrol ediyor. Word 97 ve Word 2000'de farklı tavır gösteriyor çünkü. Word 95 ve daha önceki sürümleri ise etkilemiyor.

Sisteminizde Word 97 varsa...
Word 97'de Melissa'nın bulaştığı bir belgeyi açtığınızda şunlar oluyor: Tools (Araçlar) menüsündeki Macro (Makro) komutu kullanılamaz hale geliyor. Dolayısıyla, herhangi bir belgedeki veya bir şablondaki makroları denetleme özelliğini kaybediyorsunuz.
Melissa, kimi Word 97 ayarlarını da değiştirerek yayılmayı kolaylaştırıyor. Özellikle Macro virus protection (Makro virüs koruması), "Prompt to save normal template" (Normal şablonunu kaydetmeden önce sor) ve "Confirm conversion at open" (Açılışta dönüşümleri onayla) seçeneklerini devreden çıkarıyor.

Sisteminizde Word 2000 varsa...
Microsoft'un son şeklini almasını beklediğimiz yeni kelime işlemcisindeyse, Melissa biraz daha farklı davranıyor:
Tols|Macro menüsündeki Security komutuna erişimi engelliyor. Böylece, bir yere kadar da olsa, makro virüslerini engelleyebilen bu özellikten yoksun kalıyorsunuz.
Aynı zamanda, Word' ün makro virüs güvenlik düzeyini de minimuma düşürerek makrolara karşı korunma düzeyini sıfırlıyor.
Sisteminizde MS Outlook' un tam sürümü (Outlook Express değil) kurulu ise Melissa, adres defterinden 50 adet e-posta adresini seçip bulaştığı bir Word belgesini de ekleyerek bu adreslere mesaj gönderiyor. Mesajı alanlar, sizin gönderdiğinizi sanıyorlar, çünkü Melissa, başlık satırında sizin adınızı kullanabiliyor.

Melissa' nın sizin adınıza gönderdiği tipik bir mesajın özellikleri şöyle:
FROM: <e-posta adınız ve adresiniz>
TO: <Outlook' ta kayıtlı adreslerden 50' si>
SUBJECT: Important Message From <Melissa' nın Word' ün ayarlarından ele geçirdiği adınız>
BODY: Here is that document you asked for ... don't show anyone else ;-) (İşte istediğin belge... Kimseye gösterme)
ATTACHMENT: <Elbette ki Melissa' lı bir dosya>
Melissa, bir sisteme yerleştiği anda bu postalama süreci için hazırlıklarını yapmaya başlıyor. Çoğu kişi, Outlook' ta tek bir adres defteri kullanıyor. Ama eğer birden fazla adres defteri varsa, Melissa her bir defterden 50 adres derliyor.

Bart Simpson esprisi
Melissa' lı bir belge, çalıştırıldığı saatin dakikasıyla ayın gününün uyduğu bir zamanda, belgeye ünlü çizgi film karakteri Bart Simpson' dan alıntı bir repliği ekleyiveriyor. Örneğin herhangi bir ayın 29' unda, diyelim saat 12:29' da Melissa' nın bulaştığı bir belgeyi açtınız. Virüs, tipik bir Bart Simpson repliğini belgeye ekleyiveriyor. (Merak edenler için, replik şöyle: "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.")
Bir önceki sayfada anlattığımız koşullara uyan bir e-posta mesajı alırsanız, hemen bu mesajı silip, gönderen adresindeki kişiye sisteminde Melissa olduğunu bildirin.
Bunun yanı sıra, Melissa' dan korunma yöntemleri, aşağı yukarı hemen bütün makro virüslerine karşı kullanılan yöntemlerle aynı:
· Her şeyden önce, Office' le beraber gelen makro koruma özelliklerinin açık olduğundan emin olun.
· Word 97: Tools | Options | General | Macro virus protection (Araçlar | Seçenekler | Genel | Makro virüs koruması) seçeneğine gelip, kutuyu işaretleyin.
· Word 2000: Tools | Macro | Security seçeneklerine ulaşıp Security Level' ı medium veya high olarak işaretleyin.
Bu önlemler, asla tam bir koruma sağladığınızı göstermiyor. Bu anlattıklarımız, en fazla makro içeren bir belgeyle karşılaştığınızda yazılımın sizi uyarmasını sağlar. Ama bu makronun bir virüs olup olmadığı hakkında bilgi veremez. Makronun virüs olmadığından kesinlikle emin olana kadar, "disable macros" (makroları devreden çıkar) kutusu işaretli olmalı.
Bu birincil güvenlik önlemlerinin ardından, ilk yapacağınız şey, anti-virüs yazılımınızın virüs tanım dosyalarını güncellemek olmalı.
Melissa' yı sistemden atmanın tek ve en etkili yolu, anti virüs yazılımınızı güncellemek. Eski virüs tanım dosyalarına güvenirseniz, beklemediğiniz kadar çok hasarla karşılaşabilirsiniz.

Melissa' ya karşı ilk anda önlem alan popüler anti virüs yazılımların güncelleme dosyalarını şu adreslerden bulabilirsiniz:
F-PROT (Frisk Software)
ftp://ftp.complex.is/pub/macrdef2.zip

Mcafee VirusScan (Network Associates)
http://knowledge.nai.com/vsc/

Norton Anti-Virus (Symantec)
http://www.symantec.com/techsupp/mailissa.html ya da yazılımın live update özelliğini kullanın.

TrendMicro
http://www.antivirus.com/vinfo/security /sa032699.htm

Bu arada, TrendMicro'nun
http://housecall.antivirus.com/explorer.html adresinde, online virüs taraması yapan bedava bir servisi de var.

Sonuç:
· Her şeyden önce: Panik olmayın! Melissa baş ağrıtan bir virüs ama, dosyalarınızı veya sabit sürücünüzü mahvetmiyor.
· Sabit sürücünüzde virüsün bulaştığı tüm belgeleri temizleyin ya da silin. Bu işi yapmanın en sağlam yolu, güncellenmiş bir anti-virüs yazılımı kullanmak elbette. Programın, bütün sürücülerinizi (yalnızca C:'yi değil tüm sürücülerinizi) aramasını sağlayın. Sonra da, eğer bir iletişim ağı üzerindeyseniz ve başkalarıyla paylaştığınız dosyalar, klasörler varsa, bunları da tarayın.
· Üçüncü aşamada, e-posta programınızda virüsün bulaştığı bütün belgeleri silin. Unutmayın, yalnızca "attachment"ı olan yani ilişiğinde bir dosya taşıyan mesajlarda (iletilerde) Melissa bulunabilir. Bu bilgi, arama alanını daraltmanıza yardımcı olacak. Melissa'nın özelliklerine uyan bir mesajla karşılaşırsanız, silin gitsin. Eğer, ilişikteki dosya (attachment) çok önemliyse, sabit sürücünüzde başka bir yere kaydedip, sadece bu dosyayı virüs taramasından geçirin.
İkinci işlem ise, Melissa' nın Word' de yaptığı değişiklikleri düzeltmek. Bunun için Melissa' nın değişikliklerini birer birer geri almalısınız. Bunun için Word 97'de:
· Tools | Options | General | Confirm Conversion at Open (Araçlar | Seçenekler | Genel | Açılışta dönüşümleri onayla) özelliği işaretli olmalı.
· Tools | Options | General | Macro virus protection (Araçlar | Seçenekler | Genel | Makro virüs koruması) özelliği işaretli olmalı.
· Tools | Options | Save | Prompt to save Normal template (Araçlar | Seçenekler | Kaydetme | Normal şablonu kaydetmeden önce sor) özelliği işaretli olmalı. Word 2000' de ise, macro security level'ın medium ya da high olarak ayarlanması gerekiyor.