SUSKUN
02-02-2006, 12:51 AM
Birçok arkadaşımız anında mesajlaşma (instant messaging) için Windows veya MSN Messenger, AOL, Yahoo veya ICQ gibi yazılımları çok sık olarak kullanmaktadır. Bu tip mesajlaşma yazılımları kişiler arasında çok pratik ve hızlı bir şekilde bir iletişim kurulması için çok faydalı olmak ile birlikte, beraberinde çok ciddi güvenlik riskleri de taşımaktadırlar.
Anında mesajlaşma yazılımları haberleşme sırasında TCP ve/veya UDP protokollerinin kontrol edilemez ve rastgele bir şekilde değişim gösteren kanallarını (port) kullanırlar. Ve kullanılan bu kanallar iki yönlü olarak iletişime açıktırlar. Hem bu servisi veren internet üzerindeki sunucular ile hemde sizinle bağlantı yapmaya çalışan kişiler arasında bu kanallar bu tür yazılımlar kullanıldığı sürece iki taraflı erişime açık tutulurlar. Kullanılan mesajlaşma yazılımlarının bu kanalları açmakla birlikte, etkin olarak güvenlik sağlayamadığı her geçen gün internet üzerinde yeralan güvenlik duyurularında yeralmaktadır. Bu yazılımlarının kullanıldığı bilgisayarlarda güvenlik için "firewall" kullanılsa dahi, bu yazılımların bu kanallar üzerinden bilgisayara erişim için yollar açtığı ve arka kapılar (backdoor) oluşturduğu biliniyor. Zaten kullanılan "firewall" ile her ne kadar etkin güvenlik sağlamak için, sadece bu tip yazılımların kullandığı kanalları açmaya çalışsanız bile, her seferinde rastgele ve birçok kanalı açmak zorunda kalmanız iyice bıktırıcı ve bir süre sonrada güvenlik açısından tamamen yetersiz kalıyor. Son dönemlerde, yeni nesil peer-to-peer zararlı kodların ve netsky v.b. gibi yazılımların bu tür açıkları kullanarak bilgisayarlara bulaştığı rapor edilmektedir.
Hatta bilgisayarında bu tür yazılımlar kullanmayan kişilerin ya da bu tür bir yazılımı kullandıktan sonra "uninstall" eden kişilerin bilgisayarlarında bile arka planda bu tür yazılımların -ki özellikle windows messenger"in- çalıştığı gözlenmektedir. Şirketlerde de bu tür bir yazılım kullanımı yasaklanmış veya kurulu olmasa bile, kurulum sırasındaki yanlış seçimlerden ötürü, windows messenger servisi veya "msmsgs.exe" programının arka planda çalıştığı gözlenebilmektedir.
Özellikle, microsoft messenger kullanma ihtiyacı olmayan veya bunu bu tür güvenlik risklerinden ötürü "uninstall" etmek isteyen kişilerin dikkat etmesi gereken hususlar şunlardır;
- Yazılımın öncelikle; "add or remove programs" ve "add/remove windows component" kısmından "windows messenger" seçeneği kaldırılarak uninstall edilmesi gerekir.
- "Start > Settings > Control Panel > Administrative Tools > Services" kısmında görülen servislerden "Messenger" servisinin "Startup Type" kısmının "Disable" edilmesi gerekir.
- Outlook kullanıcılarınında; "Tools > Options > Other" ekranındaki "Person Names" altındaki "Enable the Person Names Smart Tag" seçeneğini kaldırmaları gerekir.
Bu işlemler sonucunda bile, CTRL+ALT+DEL ile ulaştığınız "Windows Task Manager" 'da "Processes" altında "msmsgs.exe" 'nin çalışmakta olduğunu görebilirsiniz. Hatta, bu işlemi "End Process" ile durdursanız bile, belli bir süre sonra tekrar çalışmaya başladığını ve yaklaşık 5-7MB bellek harcadığını görebilirsiniz. Ve hatta, durdurup, hemen arkasından "C:\Program Files\Messenger" dizinini silmeye çalıştığınızda da bunun mümkün olmadığını da görebilirsiniz.
İşte, windows messenger'in bu kadar inatla arka planda çalışması, zararlı kod yazıcılarınında işine gelmektedir!!! Başlangıç seviyesinde veya bu konuda bilgisi yetersiz kişilerin yönettiği bu tip bilgisayarlar onlar için iyi bir av olmaktadır. Yinelemek isterim ki, yeni nesil birçok zararlı kod (virüs, worm, trojan v.b.) bu tip hoş [Only Registered Users Can See Links] açıkları kullanmak peşindedir. Bu kadar inatçı ve yapışkan [Only Registered Users Can See Links] bir servis ve programın zararlı kod yazıcıları tarafından daha sıklıkla kullanılacağı ve ileride daha büyük bir tehdit olacağı üzerine, internette ciddi güvenlik siteleri sürekli uyarılar vermektedirler. Unutmayın ki, bugün henüz bu tür anında mesajlaşma yazılımlarının neden olduğu güvenlik risklerini engelleyen, onları tamamen kullanımdan kaldırmaktan başka, kesin bir çözüm yoktur !!!
Windows messenger için yukarda sayılanları yapmamıza rağmen tamamen kaldıramıyorsak ve hâlâ "task manager" 'da görüyorsak ne yapacağız?
Bunun için; "Start > Run > cmd veya command" ile DOS ort***** geçilir. "CD \" komutu ile kök dizine geçilir. Ve komut satırına;
RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove
yazılarak, "Enter" 'a basılır. Ekrana gelecek ilk mesaja "Yes" ile onay verildikten sonra, "Windows Messenger" ile ilgili disk üzerindeki dosyaların ve registry'deki kayıtların silme işlemi otomatik olarak başlar. İşlem sona erdiğinde bilgisayar kapatılıp yeniden açılır. İlk açılış ile birlikte windows messenger ile ilgili kişisel ayarların silinmesi opersayonu başlar ve burda gelen soruya da "Yes" ile onay vermek gerekiyor.
- Son olarak, "C:\program files\messenger" dizinini de (dizini silmeden önce, içinde hiç bir dosya kalmadığını görmeniz lazım) tamamen silindikten sonra işlem tamamdır.
Ancak yinede bir kere daha bilgisayarınızı kapatıp açmalasınız. Artık, olası bir güvenlik açığından kurtuldunuz [Only Registered Users Can See Links]
Yukarda "Windows Messenger" 'dan nasıl kurtulacağınızı anlattım, ama sanmayın ki, bunun dışında kalan AOL, Yahoo ve ICQ yazılımları güvenilir olduğu için onlardan bahsetmedim. Aynı riskler ve tamamen onlar içinde geçerli. Sadece "Windows Messenger" çok yaygın olduğu için onu ele aldım. Güvenlik için bence bugün doğru olan, şimdilik bu tip yazılımlardan uzak durmak...
Anında mesajlaşma yazılımları haberleşme sırasında TCP ve/veya UDP protokollerinin kontrol edilemez ve rastgele bir şekilde değişim gösteren kanallarını (port) kullanırlar. Ve kullanılan bu kanallar iki yönlü olarak iletişime açıktırlar. Hem bu servisi veren internet üzerindeki sunucular ile hemde sizinle bağlantı yapmaya çalışan kişiler arasında bu kanallar bu tür yazılımlar kullanıldığı sürece iki taraflı erişime açık tutulurlar. Kullanılan mesajlaşma yazılımlarının bu kanalları açmakla birlikte, etkin olarak güvenlik sağlayamadığı her geçen gün internet üzerinde yeralan güvenlik duyurularında yeralmaktadır. Bu yazılımlarının kullanıldığı bilgisayarlarda güvenlik için "firewall" kullanılsa dahi, bu yazılımların bu kanallar üzerinden bilgisayara erişim için yollar açtığı ve arka kapılar (backdoor) oluşturduğu biliniyor. Zaten kullanılan "firewall" ile her ne kadar etkin güvenlik sağlamak için, sadece bu tip yazılımların kullandığı kanalları açmaya çalışsanız bile, her seferinde rastgele ve birçok kanalı açmak zorunda kalmanız iyice bıktırıcı ve bir süre sonrada güvenlik açısından tamamen yetersiz kalıyor. Son dönemlerde, yeni nesil peer-to-peer zararlı kodların ve netsky v.b. gibi yazılımların bu tür açıkları kullanarak bilgisayarlara bulaştığı rapor edilmektedir.
Hatta bilgisayarında bu tür yazılımlar kullanmayan kişilerin ya da bu tür bir yazılımı kullandıktan sonra "uninstall" eden kişilerin bilgisayarlarında bile arka planda bu tür yazılımların -ki özellikle windows messenger"in- çalıştığı gözlenmektedir. Şirketlerde de bu tür bir yazılım kullanımı yasaklanmış veya kurulu olmasa bile, kurulum sırasındaki yanlış seçimlerden ötürü, windows messenger servisi veya "msmsgs.exe" programının arka planda çalıştığı gözlenebilmektedir.
Özellikle, microsoft messenger kullanma ihtiyacı olmayan veya bunu bu tür güvenlik risklerinden ötürü "uninstall" etmek isteyen kişilerin dikkat etmesi gereken hususlar şunlardır;
- Yazılımın öncelikle; "add or remove programs" ve "add/remove windows component" kısmından "windows messenger" seçeneği kaldırılarak uninstall edilmesi gerekir.
- "Start > Settings > Control Panel > Administrative Tools > Services" kısmında görülen servislerden "Messenger" servisinin "Startup Type" kısmının "Disable" edilmesi gerekir.
- Outlook kullanıcılarınında; "Tools > Options > Other" ekranındaki "Person Names" altındaki "Enable the Person Names Smart Tag" seçeneğini kaldırmaları gerekir.
Bu işlemler sonucunda bile, CTRL+ALT+DEL ile ulaştığınız "Windows Task Manager" 'da "Processes" altında "msmsgs.exe" 'nin çalışmakta olduğunu görebilirsiniz. Hatta, bu işlemi "End Process" ile durdursanız bile, belli bir süre sonra tekrar çalışmaya başladığını ve yaklaşık 5-7MB bellek harcadığını görebilirsiniz. Ve hatta, durdurup, hemen arkasından "C:\Program Files\Messenger" dizinini silmeye çalıştığınızda da bunun mümkün olmadığını da görebilirsiniz.
İşte, windows messenger'in bu kadar inatla arka planda çalışması, zararlı kod yazıcılarınında işine gelmektedir!!! Başlangıç seviyesinde veya bu konuda bilgisi yetersiz kişilerin yönettiği bu tip bilgisayarlar onlar için iyi bir av olmaktadır. Yinelemek isterim ki, yeni nesil birçok zararlı kod (virüs, worm, trojan v.b.) bu tip hoş [Only Registered Users Can See Links] açıkları kullanmak peşindedir. Bu kadar inatçı ve yapışkan [Only Registered Users Can See Links] bir servis ve programın zararlı kod yazıcıları tarafından daha sıklıkla kullanılacağı ve ileride daha büyük bir tehdit olacağı üzerine, internette ciddi güvenlik siteleri sürekli uyarılar vermektedirler. Unutmayın ki, bugün henüz bu tür anında mesajlaşma yazılımlarının neden olduğu güvenlik risklerini engelleyen, onları tamamen kullanımdan kaldırmaktan başka, kesin bir çözüm yoktur !!!
Windows messenger için yukarda sayılanları yapmamıza rağmen tamamen kaldıramıyorsak ve hâlâ "task manager" 'da görüyorsak ne yapacağız?
Bunun için; "Start > Run > cmd veya command" ile DOS ort***** geçilir. "CD \" komutu ile kök dizine geçilir. Ve komut satırına;
RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove
yazılarak, "Enter" 'a basılır. Ekrana gelecek ilk mesaja "Yes" ile onay verildikten sonra, "Windows Messenger" ile ilgili disk üzerindeki dosyaların ve registry'deki kayıtların silme işlemi otomatik olarak başlar. İşlem sona erdiğinde bilgisayar kapatılıp yeniden açılır. İlk açılış ile birlikte windows messenger ile ilgili kişisel ayarların silinmesi opersayonu başlar ve burda gelen soruya da "Yes" ile onay vermek gerekiyor.
- Son olarak, "C:\program files\messenger" dizinini de (dizini silmeden önce, içinde hiç bir dosya kalmadığını görmeniz lazım) tamamen silindikten sonra işlem tamamdır.
Ancak yinede bir kere daha bilgisayarınızı kapatıp açmalasınız. Artık, olası bir güvenlik açığından kurtuldunuz [Only Registered Users Can See Links]
Yukarda "Windows Messenger" 'dan nasıl kurtulacağınızı anlattım, ama sanmayın ki, bunun dışında kalan AOL, Yahoo ve ICQ yazılımları güvenilir olduğu için onlardan bahsetmedim. Aynı riskler ve tamamen onlar içinde geçerli. Sadece "Windows Messenger" çok yaygın olduğu için onu ele aldım. Güvenlik için bence bugün doğru olan, şimdilik bu tip yazılımlardan uzak durmak...