MELİSSA VİRÜSÜ
Yakın zamanda İnternet'e bomba gibi düşen
ve ABD'nin en güvenlikli sistemlerine bile bulaşan Melissa virüsü, şimdiye
dek görülmemiş oranda bir paniğe yol açtı. Virüsler tarihinde,
kendisinden çok daha tehlikeli örneklerin bulunmasına karşın, yaygınlığı
nedeniyle FBI' ı bile harekete geçiren Melissa virüsüne karşı alabileceğiniz
önlemler var. Virüsün, şimdilik resmi bir adı yok. Melissa, W97M/Melissa
adlarıyla biliniyor. Kimi yerlerde W97M_Melissa ya da W97M.Mailissa.A gibi
adlar verildiğini de görebilirsiniz.
İlk anda büyük panik yaratmasına karşın, Melissa şimdiye kadar gördüğümüz
virüsler arasında öyle en tehlikelisi falan değil. Zaten toz yatışıp virüsün
içerdiği Visual Basic kodunu inceleme fırsat bulduğunuzda, savunma yöntemlerinin
de kolayca yaratılabileceğini görüyorsunuz.
Neler yapıyor?
Melissa, Microsoft Word belgelerini Office' in içinde script dili
olan Visual Basic for Applications' ı kullanarak etkiliyor. Melissa' nın üç
temel eylemi var:
Word'e bulaşıp açtığınız tüm Word belgelerini etkiliyor.
Daha rahat yayılabilmek için ayarları değiştiriyor.
Microsoft Outlook'u kullanarak, kılık değiştirip kendini bir mesaj gibi gösteriyor
ve kendi kendini e-postalıyor.
Melissa' nın bulaşmış olduğu bir Word belgesini açtığınızda, virüs
Word' ün temel şablonu olan NORMAL.DOT' a bulaşıyor. Word sizin bütün kişisel
ayarlarınızı ve temel makrolarınızı bu şablon dosyada tutar. Dolayısıya,
kendini NORMAL.DOT'a kopyalayan Melissa, yarattığınız bütün yeni belgelere
de kendiliğinden bulaşıyor.
Registry' de değişiklik
Melissa' nın Registry' e düştüğü bir kayıt da var.
HKEY_Current_User/Software /Microsoft/Office/Melissa anahtarında, "... by
Kwyjibo" diye bir değer görürseniz, bilin ki sisteminize Melissa uğramış.
Melissa her şeyden önce sisteminizdeki MS Word'ün sürümünü kontrol
ediyor. Word 97 ve Word 2000'de farklı tavır gösteriyor çünkü. Word 95 ve
daha önceki sürümleri ise etkilemiyor.
Sisteminizde
Word 97 varsa...
Word 97'de Melissa'nın bulaştığı bir belgeyi açtığınızda şunlar
oluyor: Tools (Araçlar) menüsündeki Macro (Makro) komutu kullanılamaz hale
geliyor. Dolayısıyla, herhangi bir belgedeki veya bir şablondaki makroları
denetleme özelliğini kaybediyorsunuz.
Melissa, kimi Word 97 ayarlarını da değiştirerek yayılmayı kolaylaştırıyor.
Özellikle Macro virus protection (Makro virüs koruması), "Prompt to save
normal template" (Normal şablonunu kaydetmeden önce sor) ve "Confirm
conversion at open" (Açılışta dönüşümleri onayla) seçeneklerini
devreden çıkarıyor.
Sisteminizde
Word 2000 varsa...
Microsoft'un son şeklini almasını beklediğimiz yeni kelime işlemcisindeyse,
Melissa biraz daha farklı davranıyor:
Tols|Macro menüsündeki Security komutuna erişimi engelliyor. Böylece, bir
yere kadar da olsa, makro virüslerini engelleyebilen bu özellikten yoksun kalıyorsunuz.
Aynı zamanda, Word' ün makro virüs güvenlik düzeyini de minimuma düşürerek
makrolara karşı korunma düzeyini sıfırlıyor.
Sisteminizde MS Outlook' un tam sürümü (Outlook Express değil) kurulu ise
Melissa, adres defterinden 50 adet e-posta adresini seçip bulaştığı bir
Word belgesini de ekleyerek bu adreslere mesaj gönderiyor. Mesajı alanlar,
sizin gönderdiğinizi sanıyorlar, çünkü Melissa, başlık satırında sizin
adınızı kullanabiliyor.
Melissa' nın
sizin adınıza gönderdiği tipik bir mesajın özellikleri şöyle:
FROM: <e-posta adınız ve adresiniz>
TO: <Outlook' ta kayıtlı adreslerden 50' si>
SUBJECT: Important Message From <Melissa' nın Word' ün ayarlarından ele geçirdiği
adınız>
BODY: Here is that document you asked for ... don't show anyone else ;-) (İşte
istediğin belge... Kimseye gösterme)
ATTACHMENT: <Elbette ki Melissa' lı bir dosya>
Melissa, bir sisteme yerleştiği anda bu postalama süreci için hazırlıklarını
yapmaya başlıyor. Çoğu kişi, Outlook' ta tek bir adres defteri kullanıyor.
Ama eğer birden fazla adres defteri varsa, Melissa her bir defterden 50 adres
derliyor.
Bart Simpson
esprisi
Melissa' lı bir belge, çalıştırıldığı saatin dakikasıyla ayın gününün
uyduğu bir zamanda, belgeye ünlü çizgi film karakteri Bart Simpson' dan alıntı
bir repliği ekleyiveriyor. Örneğin herhangi bir ayın 29' unda, diyelim saat
12:29' da Melissa' nın bulaştığı bir belgeyi açtınız. Virüs, tipik bir
Bart Simpson repliğini belgeye ekleyiveriyor. (Merak edenler için, replik şöyle:
"Twenty-two points, plus triple-word-score, plus fifty points for using all
my letters. Game's over. I'm outta here.")
Bir önceki sayfada anlattığımız koşullara uyan bir e-posta mesajı alırsanız,
hemen bu mesajı silip, gönderen adresindeki kişiye sisteminde Melissa olduğunu
bildirin.
Bunun yanı sıra, Melissa' dan korunma yöntemleri, aşağı yukarı hemen bütün
makro virüslerine karşı kullanılan yöntemlerle aynı:
· Her şeyden önce, Office' le beraber gelen makro koruma özelliklerinin açık
olduğundan emin olun.
· Word 97: Tools | Options | General | Macro virus protection (Araçlar | Seçenekler
| Genel | Makro virüs koruması) seçeneğine gelip, kutuyu işaretleyin.
· Word 2000: Tools | Macro | Security seçeneklerine ulaşıp Security Level'
ı medium veya high olarak işaretleyin.
Bu önlemler, asla tam bir koruma sağladığınızı göstermiyor. Bu anlattıklarımız,
en fazla makro içeren bir belgeyle karşılaştığınızda yazılımın sizi
uyarmasını sağlar. Ama bu makronun bir virüs olup olmadığı hakkında
bilgi veremez. Makronun virüs olmadığından kesinlikle emin olana kadar,
"disable macros" (makroları devreden çıkar) kutusu işaretli olmalı.
Bu birincil güvenlik önlemlerinin ardından, ilk yapacağınız şey, anti-virüs
yazılımınızın virüs tanım dosyalarını güncellemek olmalı.
Melissa' yı sistemden atmanın tek ve en etkili yolu, anti virüs yazılımınızı
güncellemek. Eski virüs tanım dosyalarına güvenirseniz, beklemediğiniz
kadar çok hasarla karşılaşabilirsiniz.
Melissa' ya karşı
ilk anda önlem alan popüler anti virüs yazılımların güncelleme dosyalarını
şu adreslerden bulabilirsiniz:
F-PROT (Frisk Software)
ftp://ftp.complex.is/pub/macrdef2.zip
Mcafee VirusScan (Network Associates)
http://knowledge.nai.com/vsc/
Norton Anti-Virus (Symantec)
http://www.symantec.com/techsupp/mailissa.html ya da yazılımın live update özelliğini
kullanın.
TrendMicro
http://www.antivirus.com/vinfo/security /sa032699.htm
Bu arada, TrendMicro'nun
http://housecall.antivirus.com/explorer.html adresinde, online virüs taraması
yapan bedava bir servisi de var.
Sonuç:
· Her şeyden önce: Panik olmayın! Melissa baş ağrıtan bir virüs ama,
dosyalarınızı veya sabit sürücünüzü mahvetmiyor.
· Sabit sürücünüzde virüsün bulaştığı tüm belgeleri temizleyin ya da
silin. Bu işi yapmanın en sağlam yolu, güncellenmiş bir anti-virüs yazılımı
kullanmak elbette. Programın, bütün sürücülerinizi (yalnızca C:'yi değil
tüm sürücülerinizi) aramasını sağlayın. Sonra da, eğer bir iletişim ağı
üzerindeyseniz ve başkalarıyla paylaştığınız dosyalar, klasörler varsa,
bunları da tarayın.
· Üçüncü aşamada, e-posta programınızda virüsün bulaştığı bütün
belgeleri silin. Unutmayın, yalnızca "attachment"ı olan yani ilişiğinde
bir dosya taşıyan mesajlarda (iletilerde) Melissa bulunabilir. Bu bilgi, arama
alanını daraltmanıza yardımcı olacak. Melissa'nın özelliklerine uyan bir
mesajla karşılaşırsanız, silin gitsin. Eğer, ilişikteki dosya
(attachment) çok önemliyse, sabit sürücünüzde başka bir yere kaydedip,
sadece bu dosyayı virüs taramasından geçirin.
İkinci işlem ise, Melissa' nın Word' de yaptığı değişiklikleri düzeltmek.
Bunun için Melissa' nın değişikliklerini birer birer geri almalısınız.
Bunun için Word 97'de:
· Tools | Options | General | Confirm Conversion at Open (Araçlar | Seçenekler
| Genel | Açılışta dönüşümleri onayla) özelliği işaretli olmalı.
· Tools | Options | General | Macro virus protection (Araçlar | Seçenekler |
Genel | Makro virüs koruması) özelliği işaretli olmalı.
· Tools | Options | Save | Prompt to save Normal template (Araçlar | Seçenekler
| Kaydetme | Normal şablonu kaydetmeden önce sor) özelliği işaretli olmalı.
Word 2000' de ise, macro security level'ın medium ya da high olarak ayarlanması
gerekiyor.