Dikkat! MSN Messenger virüs yayıyor! Bilgisayarlara hangi yolla bulaÅŸtığı henüz bilinmeyen "W32.Serflog.A" adlı virüs, MSN Messenger kullanıcıları arasında hızla yayılıyor. Yeni aktif olmaya baÅŸlayan ve kimliÄŸi ve etkileri bilinmeyen bir virüs, MSN Messenger adlı sohbet programındaki açıkları kullanarak, yayılmaya baÅŸladı. Sistem klasörlerine sızıyor MSN Messenger listesindeki kiÅŸilerden gelen transfer aslında dosya deÄŸil, bir Ä°nternet linki. ÇoÄŸunlukla gelen link ve dosyalar “pif” ve “scr” uzantılı oluyor. MSN üzerinden yayılan bu virüs için antivirüs firmaları saat 14:00 itibariyle güncel virüs imza dosyalarını dağıtmaya baÅŸladılar. Daha bu virüsten etkilenmemiÅŸ olanların antivirüs yazılımlarını güncellemeleri en önemli tedbir olacaktır. Yeni virüs tanım dosyalarında bu virüs, Serflog.A, Kelvir.B, Fatso.A vb. isimlerle tespit ediliyot. Gelen dosya deÄŸil link Bu virüs, MSN Messenger üzerinden kontakt listenizde yer alan kiÅŸilerden bir dosya veya Ä°nternet sayfası link'i olarak geliyor. Kullanıcı bu linke tıkladığında virüs dosyası hemen aktif olmuyor, fakat gelen dosya çalıştırıldığında aktif oluyor. BulaÅŸtığı anda o bilgisayardaki MSN kayıtlarında yer alan herkese söz konusu link'i gönderiyor. Bu durum tespit edildiÄŸinde ilk yapılacak iÅŸlem bilgisayarın Ä°nternet baÄŸlantısını kesmek olmalıdır. Böylelikle baÅŸka birine virüsün yayılması engellenmiÅŸ olur. Adım adım temizleme rehberi E-Güvenlik Danışmanı Ömer KurtulmuÅŸ’ta aldığımız bilgiye göre, antivirüs yazılımları güncellenmeden virüs bulaÅŸan PC’lerde artık otomatik güncelleme özelliÄŸi çalışmayacağından, virüsün elle silinmesi gerekiyor. EÄŸer Ä°nternet’ten bir temizleme programı indirilip kullanılacaksa, MSN messenger programının çalışmadığına emin olunmalı. Elle temizlemede izlenecek yöntemler ise ÅŸunlar: 1. Bilgisayarınızı restart edip güvenli kipte açın (Açılış anında tuÅŸuna basarak güvenli kipi seçebilirsiniz.)
2. BaÅŸlat menüsünden “çalıştır” (run) sekmesini tıklayıp açılan pencereye “regedit” yazarak enter’a basın.
3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmiş yeni kayıtları silin:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun Yukarıdaki kayıtlar içinde “serpe”, “avnort”, “ltwob” gibi tanımlar var ise sisteminiz virüsten etkilenmiÅŸ ve her açılışta kendisini tekrar çalıştırıyor demektir. Bu tanımları silin. 4. “Bilgisayarım”ı açtıktan sonra “araçlar”dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki “gizli dosyaları göster” seçeneÄŸini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçeneÄŸindeki iÅŸareti kaldırın. Böylelikle virüs'ün sistem içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz. 5. AÅŸağıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin. C:windowssystem32�ormatsys.exe C:windowssystem32serbw.exe C:windowsmsmbw.exe C:Crazy frog gets killed by train!.pif C:Annoying crazy frog getting killed.pif C:See my lesbian friends.pif C:LOL that ur pic!.pif C:My new photo!.pif C:Me on holiday!.pif C:The Cat And The Fan piccy.pif C:How a Blonde Eats a Banana...pif C:Mona Lisa Wants Her Smile Back.pif C:Topless in Mini Skirt! lol.pif C:Fat Elvis! lol.pif C:Jennifer Lopez.scr C:lspt.exe C:Documents and SettingsLocal SettingsApplication DataMicrosoftCD Burningautorun.exe C:British National Party.jpg C:Crazy-Frog.Html C:Message to n00b LARISSA.txt 6. C:WindowsSystem32Driversetc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini silin. Örnek içerik: 64.233.167.104 www.symantec.com 64.233.167.104 www.sophos.com 64.233.167.104 www.mcafee.com 64.233.167.104 www.viruslist.com 64.233.167.104 www.f-secure.com 64.233.167.104 www.avp.com 64.233.167.104 www.kaspersky.com Bu vb. antivirüs üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız yeni güncellemeleri indirebilir hale gelecektir. Yukarıdaki iÅŸlemlerden sonra bilgisayarınızı yeniden baÅŸlatıp antivirüs yazılımını Ä°nternet’e baÄŸlanarak güncelleyin ve gözden kaçmış kalıntılar olabileceÄŸini düşünerek bilgisayarınızı virüs taramasından geçirin. "W32.Serflog.A" adlı virüs hakkında ayrıntılı bilgi için; http://securityresponse.symantec.com/avcenter/venc/data/w32.serflog.a.html | 
