Virüsleri Tanıyalım

Tehlikelerden korunmanın ilk şartı hangi tehlikelere mazur kalabileceğimizi bilmek ve düşmanı tanımaktır. Bilgisayarımızı ele geçirmeye çalışanlar ve özel bilgilerimize el uzatanların ekmeğine yağ sürmemek için bilgisayar ve tehlikeleri konusunda da bilinçlenmeliyiz.


Trojan

Truva Atı programları zararlı code’lar içeren karşı bilgisayarı tamamen ele geçirmeye ve kişilerin kişisel bilgilerini çalma amacıyla yapılmış programlardır. Örnek olarak proagent ve Prorat türkiyenin gururu olan ünlü yazılım kurbanın account bilgisini çalmaktan tutun zarar verici olarak format dahi atılabilir, Trojan programları delphi ile yazılmıştır ve sistemde değişiklik yaparlar. WIN.INI & SYSTEM.INI, registry ve startup gruplarda değişiklikler yaparak sistemin her açılışında kendini çalıştırmaya olanak sağlarlar, bellekte ( EMS ) 35-55 KB arası yer işgal ederler, TSR kalıcı bellekte virüs benzeri özellikler taşıyabilirler

Bukalemun

Truva atlarının yakın akrabaları olan bukalemunlar, diğer alışılagelmiş, güvenilir programlar gibi davranmakla beraber, gerçek birtakım hile ve aldatmalar içerirler. Uygun bir şekilde programlandığında bukalemunlar, yasalarla belirlenmiş yazılımların simulasyonu olan demonstrasyon programları gibidirler örnek olarak KAZZA, GETRIGHT ( download programı ), IMESH vs. bu tür programları kurarken kimse yasal sözleşmesi okumaz NEXT denir, sözleşme kabul edildiği anda tüm maddeleri kabul etmiş oluyorsunuz.

Bir bukalemun, şifreleri için giriş iletilerini taklit edecek şekilde dâhiyane bir biçimde programlanır. Bukalemun, sisteme giren bütün kullanıcıların adlarını ve şifrelerini gizli dosyaya kaydeder ve daha sonra sistemin bakım için geçici bir süre kapatılacağına ilişkin bir mesaj verir. Daha sonra bukalemunun yaratıcısı, kendi özel şifresi ile sisteme girer ve kaydedilen kullanıcı isimlerin ve şifrelerini alır.

Virüs

Bilgisayara yerleşen, kendini bir dosya ya da programa ekleyebilen ve bu noktadan hızlı bir şekilde çoğalan küçük programcıklardır, aslında bunlara özellikle BUG'lu ( hata kodu ) içeren yazılımda denilebilir, virüs'ler çoğunlukla ASSEMBLY dilinde yazılırlar, bunun iki sebebi vardır:

1. Assembly hala (virüs ) yazmada güçlü bir dil olması
2. Virüslerin dikkat çekmeyecek boyutta yazılmasına imkân vermesi ( 3-4Kb )

Virüsler çoğunlukla dosyaların uzantılarını değiştirirler, saldırdıkları %90 exe,com ve diğer olarak bat, scr, pıf, resim dosyaları vs. yani aktif olan dosya türlerini tercih ederler, genelde bu virüslerin çeşitleri vardır.

Yazılım Bombaları ( Software Bombs )

Şimdiye değin üretilmesi en kolay ve popüler olarak görülen Yazılım bombaları yere çarpar çarpmaz patlar. Bu durumda ne bir uyarı ne de önceden bir belirti söz konusudur. Bu minimuma indirgenmiş reklamdır. Herhangi bir saklanma veya gizlenme ve doğal olarak kolonileşme yoktur. Yazılım bombaları adlarına yakışır bir şekilde çarpma anında patlar ve bütün verileri yok ederler.

Saatli Bombalar ( Time Bombs )

Saatli bombalar, nümerik veya zamana bağlı çevresel değişkenlerin aldıkları duruma göre koşulsal olarak, zararlı bilgisayar komutlarını yerine getiren programlardır. Genelde belirli bir tarihte ( 1 Nisan'da veya ayın 13'ünün Cuma olduğu günlerde ) veya günün belirli bir saatinde (örneğin tam gece
yarısı ) patlayacak şekilde programlanabilirler.

Tavşanlar ( Rabbits )

Bilgisayar virüslerinin kuzeni olan tavşanlar, adlarına yakışır bir şekilde çok hızlı ürerler. Bellekte veya diskte yeteri kadar alan tükeninceye kadar kolonileşirler. Bir koloni yaratıldıktan sonra, bu bir yavru koloni üretir ve yavru koloni yeterince gelişince yeni bir koloni daha doğurur ve bu döngü süregider. Burada amaç, özellikle çok kullanıcılı sistemlerin, iletişim ağ ortamlarında ana sistem bilgi işleme gücünü yitirinceye kadar sistemin kaynaklarını kurutmaktır. Tavşanlar ve virüsler arasındaki en belirgin fark, tavşanların kullanıcı veri kütüklerinin sonuna eklenmemeleri, asalak özelliklere sahip olmamaları ve kendi kendilerine yetebilmeleridir,

Solucanlar ( Worms )

Çok yaygın olarak virüslerle karıştırılan solucanlar bir iletişim ağındaki bilgisayar sistemlerinde herhangi bir donanıma veya yazılıma zarar verme zorunluluğu olmaksızın bilgisayardan bilgisayara dolaşan programlardır. Yalnızca gerektiğinde bu gezilerini sürdürebilmek için ürerler. Solucanlar,
girdikleri iletişim ağı içinde çok gizli bir şeklide gezinirler ve bu arada bilgi toplayarak (muhtemelen şifreler veya dokümanlar) gizemli mesajlar bırakırlar. Çoğu zaman iletişim ağındaki çalışan sistem operatörlerine gözükmemek için geride bıraktıkları her artığı silerler.

Boot Virüsü

Disk'in boot sektörüne (ana boot kaydına) bulaşan virüs çeşididir. Bazı avantajları vardır en önemlisi, çalıştığında dizin listesinde görüntülenmezler. Daha da ötesi, bir güçlü yazılım programı yardımı
olmaksızın kolaylıkla silinemez, kopyalanamaz, adları değiştirilemez. Boot sektöre bulaşanlar bellekte kalıcıdır ve her zaman aktiftirler.

Komut İşlemcisi Bulaşanları

Command Processor Infectors Gizli (hidden) işletim sistemi dosyaları IO.SYS ve MSDOS.SYS olarak
adlandırılmıştır. COMMAND.COM komutları geri planda çalışırken, normal disk ulaşımlarının ardına gizlenme fırsatını çoğu zaman kötüye kullanırlar.

Genel Amaçlı Bulaşanlar

( General Purpose Infectors ) Bilgisayar virüsleri krallığının "her eve lazım" tipindeki en popüler elemanları Genel Amaçlı Bulaşanlardır (GPI ). Genel Amaçlı Bulaşanlar herhangi bir hedefe yönelik olarak tasarlanmamışlardır ve genellikle düşük düzeydeki sistem işletim dosyalarına bulaşmazlar. Ancak gene de merkezi komut işlemcilerine bulaşmaları kaçınılmazdır.

Çok Amaçlı Bulaşanlar

( Multipurpose Infectors ) pratikte gerçektirler ve şimdiye kadar tartışılmış olan üç virüs tipinin de en güçlü özelliklerini birleştirmek için tasarlanmışlardır.

Çok Amaçlı Bulaşanlar temel olarak boot sektörünü, komut işlemcisini veya her ikisini de enfekte ederler. Oradan, gerçekte genel amaçlı bulaşanlar olan virüs parazitlerin yayarlar. İki veya daha fazla bulaşıcı tekniğe sahip olan Çok Amaçlı Bulaşanlar, daha uzun yaşamayı başarırlar ve kendilerini
yeniden üretme konusunda, tek boyutlu bulaşıcı özelliğe sahip virüslerden daha ustadırlar.

Bellekte Kalıcı Bulaşanlar Mbr - Tsr Virüsleri

( Memory Resident Infectors ) Boot sektörü ve komut işlemcisi bulaşanları Bellekte Kalıcı Bulaşanlar
(Memory Resident Infectors-MBR-I) olarak tanımlanabilirler, çünkü her iki virüs tipi de bellekte yüklü kalır ve uygun koşullarda bilgisayarın belleğinde aktif hale gelirler. TSR (Terminate-and-Stay Resident, Yok et ve yerleş) onlar yükleme sırasında belleğe yerleşir ve bütün oturum boyunca aktif kalırlar.

Bilgisayar virüslerinin çoğunluğunun çalıştırılabilir dosyalardan denetimi ele geçirmek için kullandıkları beş popüler yöntem vardır:

Ekleme (Appending)

Araya sokma (Insertion)

Yeniden yönlendirme (Redirection)

Yer değiştirme (Replacement)

Virüs kabuğu (The viral shell)



Ekleme (Appending)

Çalıştırılabilir program dosyalarının sonlarına virüse ilişkin kod ekleyen virüsler ekleyerek bulaştırma yöntemini kullanırlar. Hedef çalıştırılabilir (.EXE) programlar değiştirilebilirler, böylece bu programlar çalıştırıldığı zaman, programın denetimi program sonuna eklenen virüs kodlarına geçer.

Enfeksiyondan önce program
PROGRAM.EXE Dosya Uzunluğu= 10240 kb

Enfeksiyondan sonra program

PROGRAM.EXE+VİRÜS KODU Dosya Uzunluğu=10240 kb + 55 kb virüs kodunun uzunluğu

Araya Sokma ( Insertion )

Kendi yazılım kodlarını, doğrudan doğruya kullanılmamış olan kodların ve çalıştırılabilir programların veri bölümlerinin arasına yerleştiren bilgisayar virüsleri, hedefledikleri dosyaları denetlemek için araya sokma yöntemini kullanırlar. Bir önceki yöntemde olduğu gibi, araya sokma yöntemini kullanan virüsler de hedef dosyalarda bazı değişikliklere neden olurlar. Yöntemlerdeki farklılık, virüs kodunun sona eklenmesi yerine, hedeflenen çalıştırılabilir dosyanın içerisine yerleştirilmesidir. Araya Sokma Yöntemini Kullanan Bir Virüs Enfeksiyondan önce program

PROGRAM. EXE
Dosya Uzunluğu=10240 bayt

Enfeksiyondan sonra program
PROG(VİRÜS KODU)RAM.EXE
Dosya Uzunluğu=10295 bayt

Yeniden Yönlendirme ( Reduction )

Virüsü, disk bölümünün bozuk olarak işaretlenmiş sektörler veya gizli dosyalarda gizlenirler. Ekleme veya araya sokma yöntemlerini kullanan "usta" virüsler, çalıştırılabilir. ( .EXE ) dosyalar arasına küçük virüs işçilileri yerleştirirler. Bu virüs işçileri hedeflenen program çalıştırıldığında ustalarına çağrılar (çalıştırma istekleri) yayınlayarak program akışını yeniden yönlendirirler. Usta (belki daha çok virüs işçisi yayarak) işçilerini yönetir ve daha sonra denetimi gerçek programa bırakırlar. Virüs işçileri teoride birkaç düzine bayt küçüklüğünde veya bu uzunluktan daha kısa olduklarından, sınırlı sayıdaki kullanılmayan program alanları içerisine gizlenmeleri çok kolaydır.

Yer Değiştirme ( Replacement )

Şimdiye kadar virüs yazılımcıları tarafından kullanılan en ağır ve en hassas bulaştırma yöntemi, hedeflenen ( COM.EXE ) dosyaların yer değiştirilmesidir. Yer değiştirme yöntemini kullanan virüsler gerçekte çalıştırılabilir dosyaları enfekte etmez, ya da dosya boyutunda bir oynama yapmaz daha ziyade yerleştikleri sistemi enfekte ederler. Bu anlamda hedef, dosyaların üzerine yazılır.

Öncelikli olarak ANA VİRÜS sisteme YEM atar ve kendini birkaç dosyaya kopyasını bulaştırır ancak bu bulaştırma işlemi kesinlikle asıl kendisi değildir amaç burada gezici askerler yaratmaktır pasifize virüslerin görevi sistemi sürekli denetleyerek asıl virüs için bir tehlike olup olmadığını kontrol etmektir herhangi bir anti virüs tehlikesinde gezici virüsler verilen emri direk asıl ana virüse rapor halinde sunarlar ana virüs ise kendini bulaştığı dosyadan silerek YER DEĞİŞTİRİR ve bu sürekli rutin halde devam eder ta ki verilen görevini yerine getirene kadar

Yer Değiştirme Yöntemini Kullanan Virüs Tarafından

Bulaştırılmış Bir Program
Enfeksiyondan önce program

PROGRAM.EXE

Dosya Uzunluğu=10240 bayt

Enfeksiyondan sonra program
Dosya Uzunluğu=10240 bayt

Tal