Fukiyama Virüsü Nedir?

Burak ŞEKERCİOĞLU    Bilgisayar Virüsleri, SPAM     Fukiyama Virüsü, Hoax

İlk kez 01.04.2011 tarihinde açıklaması yapılan FUKIYAMA virüs mesajı aslında bir HOAX dır.

HOAX: insanların zaafiyetlerini kullanarak internet camiasında kontrolsüzce yayılan istenmeyen postalardır (SPAM). Temel amaçları insanların birbirlerine gönderdikleri FORWARD mesajlar ile mail adreslerini toplamak, içerdiği resim vs. ekli dosyalar varsa bunlar aracılığı ile virüs yayılımı sağlamaktır.

HOAX mesajlara örnek vermek gerekirse;

• “Lütfen insanlık namına bu mesajı mümkün olduğunca çok kişiye yollayın ve acilde yatan küçük bir kızın hayatını kurtarın…” (Kim bu küçük kız?)
• “Microsoft uyarıyor Windows’unuzda virüs tespit edildi, hemen sulfnbk.exe dosyasini silin.” (Sakın silmeyin!)
• “Bu e-posta’yı 1000 kişiye gönderirseniz Disneyland’dan bedava bir tatil kazanacaksınız.” (Acaba Disneyland’ın haberi var mı?)
• “MSN paralı olacakmış hesabınızın aktif olarak kullandığınızı kanıtlamak için bu maili 18 kişiye yollayın, ekrandaki yeşil adam mavi olacak…”
• “Bu mektubu 10 dakika içinde yollamazsanız başınıza kötü şeyler gelir ya da yüzünüzde sivilceler çıkar…”

…
Kafanız biraz karışıyor, şaşırıyorsunuz.
Ancak e-postayı yollamanın faydalı olacağını düşünerek adres defterinizdeki tüm alıcılara yönlendiriyorsunuz. Yalnız tam burada büyük bir hata yapıyorsunuz, çünkü bu şekilde hoax’ların yayılıp ünlenmesine farkında olmadan katkıda bulunuyorsunuz.

FUKIYAMA Virüsü açıklamalarında yer alan ifadeleri ilk kez okuyan bir kullanıcı eğer deneyimli değilse hemen yazıda belirtilenleri yapmaya başlıyor. İşte o açıklamalar

[box type=”warning”]” Bu gün itibari ile güvenlik sitelerinden aldığım bilgiye göre çok önemli bir virüs FUKIYAMA ismi ile internet ortamında hızla yayılmaya başlamış bulunuyor.

Daha önceki ÇERNOBİL virüsü gibi anakart yazılımları ile disk partition yapılarını bozacağı konusunda kod yapısında bilgiler bulunan bu virüs, daha önceki varyantlardan farklı olarak aynı anda 4 farklı kodlama ile karşımıza çıkıyor. Bunun sebebi olarak da FUKIYAMA santralindeki 4 ana reaktörden esinlenildiği söylemler arasında yer alıyor.

Peki bu virüsten nasıl kurtulabiliriz;

virüsün temel yayılım stratejisinde .COM .ORG .NET alan adlarına saldırı ve ardından worm kodunu site içersine yaymak ardından da sunucuya bağlanan her türlü makinanın default şifre düzenini kullanarak sistem dosya yapısına ulaşarak her ayın 13. gününde aktiflenmek yatıyor.

Peki nasıl kurtulabilirim;
öncelikle her ayın 12. günü sistem zamanını 2 gün ileri alarak (sunucular dahil) virüsün tetiklenmesini önleyebilirsiniz. Bu yöntem bir nebze doğru olsa da bazı özel sistemlerde bunu yapmak sıkıntı doğurabilir
O zaman size tavsiyem komut satırınıza geçerek siyah ekran üzerinde aşağıdaki komutu girerek sisteminizi patch yapmanızdır.

net user administrator !!#890aBY^FukiYama

komutu sayesinde FUKIYAMA ve benzer varyantların uzaktan sisteminize girişini kesmiş olursunuz.”[/box]

Peki ama bu açıklamalara uyan kullanıcı ne yapıyor? Çok basit windows oturumlarından ADMINISTRATOR kullanıcısının şifresini komut satırı aracılığı ile değiştiriyor.

Ya sonra? Eğer aktif kullanıcısını sistem kurulumu sırasında ADMINISTRATOR olarak tanımladıysa (büyük hata) sistemi açılışta ona şifre soruyor. Fakat aktif kullanıcısı farklı isimde ve administrator yetkisine sahipse o zaman sistemi açılabiliyor.

Haydi kötü senaryo üzerinden gidelim ve açılmayan sistemlerin açılabileceği şifreyi verelim.

!!#890aBY^FukiYama (Büyük küçük harf duyarlıdır)

açılmayan sistemleri yukarıdaki şifre ile açabilirsiniz. Sisteminiz açıldığında ise yine komut satırına geçerek

NET USER administrator “”

komutu ile administrator kullanıcınızın şifresini iptal edebilirsiniz.

Ama bu gerçek anlamda iyi bir şey değildir. Çünkü, bir çok virüs bu şifresiz oturumlar aracılığı ile sistemde yayılım gösterir.