- Katılım
- 9 Şub 2007
- Mesajlar
- 765
- Puanları
- 206
Virüslere Geçit Yok!(*)
Dikkat! Uzun bir sessizlikten sonra virüsler tekrar azıttı. Neyse ki anti-virüs programları güncel sürümlerinde yeni virüsleri yakın takip altına alıyor. Yeni çıkan virüsleri, trojan ve wormları tanıyın, virüslere geçit vermeyin!
Birkaç zamandır virüslerden yana pek şikayetimiz yoktu. Hani neredeyse virüs yazanlar kış uykusuna yatmış ve bizi rahat bırakmışlardı. Hatta bazılarımız virüs tarama programlarının zaferini ilan etmeye hazırlanıyordu. Tıpkı korku filmlerindeki gibi sessizliğin ardından vahşi bir kükreme duyuldu. Önce Win.CIH ortalığı duman etti, ardından bir sürü yeni virüsün adı duyuldu.
Sizin bilginiz ve rızanız olmadan bilgisayarınızın çalışma şeklini değiştirerek, uygulamalarınıza ve dosyalarınıza zarar veren programlara virüs deniliyor. Bilgisayar kullanıcılarının çoğu virüs yazanları bir yakalasam bacaklarını kırmadan bırakmam diye yakınıyorlar. Bu biraz zor ama hiç olmazsa virüsleri tesirsiz hale getirmek mümkün. En iyi virüs ölü virüstür.
Önce hep birlikte virüslerin neye benzediğini öğrenelim, worm ve trojan'lar hakkında da bilgi sahibi olalım, son aylarda ortalığı kasıp kavuran virüsleri daha yakından tanıyalım ve hepsinin birden canına okuyalım. Virüslere Ölüm!
Virüsleri bir kez daha tanımlayalım. Bir bilgisayar virüsü, çalışabilir dosyalarınızdan birine 'kaynak yaparak' yapışan ve sistematik olarak dosyadan dosyaya bulaşan program kodu parçasıdır. Virüsler kendiliğinden ortaya çıkmaz, birileri tarafından yazılırlar ve belli bir amaca yönelik olarak çalışırlar. Genellikle iki amaca yönelik olarak çalışırlar:
Sizin müdahaleniz olmadan, hatta bilginiz olmadan kendini yeni yeni dosyalara yazar, çoğalır. Buna üreme ya da yayılma denilebilir.
Virüsü yazan bilgisayar teröristinin planladığı şekilde semptom veya hasarı oluşturmak için çalışmalarına başlar. Burada semptom, hasar ve terörist sözcüklerini abartma sanatı yapmak için kullandığımız sanılmasın sakın. Virüsün verebileceği hasar diskinizin tamamen silinmesi, programlarınızın çökmesi, beklenmedik bir anda çakılması, bilgisayarınızda yazılım namına bir şey kalmaması ve hatta en son Win.CIH örneğinde de görüldüğü gibi donanım bileşenlerinizin zarar görmesi olabilir.
Virüslerin de kanser gibi iyi huylu ve habis olanları var. Orası virüsü yazanın paşa gönlüne kalmış. İsterse "ha ha ben buradaydım" diye bir imza atar ve sağı solu fazla kurcalamaz, isterse bilgisayarınızın canına okur, ortalığı darma duman eder.
Bilgisayarınıza gerçek anlamda bir zarar vermek üzere tasarlanmamış olan virüslere iyi huylu virüs denir. Önceden belirlenmiş bir gün ve saate kadar saklanıp tam o anda ortaya çıkarak "böö" yapan virüsler çoğunlukla bu türden. Epey panik yaratıyorlar.
Habis virüs ise bilgisayara zarar vermeye yönelik olarak çalışıyor, ve bulaşıcı hastalık gibi dosyadan dosyaya yayılıyor. Bu virüslerin çoğu kötü niyetli programcılar tarafından zarar vermek amacıyla yazılıyorlar ama bazıları da iyi niyetli ve beceriksiz programcılar tarafından kazara yazılıyorlar. Bazı buglar aynı zamanda teknik olarak bir virüs sayılabilecek kadar zararlı faaliyetler yapabiliyorlar. Bir virüs tarafından enfekte olmuş program aniden kapanabilir ya da belgelere yanlış bilgi yazabilir. Veya virüs bilgisayarınızın sistem bölgesindeki dizin bilgilerini değiştirebilir. Bu durumda bazı dosyalarınızı bulamaz ve bazı programları çalıştıramazsınız.
VİRÜSLERİN ŞAKASI YOK!
Çağımızdaki özgür bilgi akışı ve paylaşımı üzerindeki en ciddi tehdidin virüsler olduğunu söylemek abartı sayılmaz. Virüslerin yaygınlaşması sayesinde veri güvenliği mekanizmaları da hayli gelişti. Ama güvenlik önlemleri almadığınız takdirde ölümcül riskler aldığınızı unutmamanız lazım. Bir taraftan panik yaparak ortalığı birbirine katanların, diğer taraftan eğlence olsun diye sahte virüs alarmı vererek yalancı çobanlık yapanların yarattığı bulanık durum kafanızı karıştırmasın. Virüsler var, ve sisteminize bir girerlerse hiç şakaları yok. Amerikalılar, bilgisayar suçlarını araştırmak ve önlemek için bir kamu kurumu bile oluşturmuşlar, kaybettirdiği zaman hariç olmak üzere, her yıl yaklaşık 550 milyon dolarlık zarar veren bir bela ile uğraşmak için değer. Bunun yanında yazılım şirketleri bir araya gelerek tedbirleri görüşüyorlar. Büyük şirketler de ağlarındaki muhtemel virüs tehditleriyle başa çıkabilmek için birimler oluşturuyor ve politika saptıyorlar. İster polis bilgisayarı isterse banka bilgisayarı olsun virüslere bağışıklığı olan ve kendisine virüs işlemeyen bir bilgisayar yok. Bir uzay mekiğini harekete geçiren programın virüs kaptığını hayal edebiliyor musunuz? Ya da hava limanlarındaki hava trafik kontrol bilgisayarlarının virüs yüzünden yanlış bilgi gönderdiğinde neler olabileceğini düşünebiliyor musunuz? Daha yakın bir örnek verelim: Çalıştığınız şirkette maaşlar ödenmeden bir gün önce muhasebecinin bilgisayarlarındaki veriler silinirse ortalık birbirine girmez mi? Bunlar hayal ürünü değil, virüsler böyle şeyleri gözlerini bile kırpmadan hunharca yapıyorlar, yeter ki siz bilgisayarınızı savunmasız bırakın.
VİRÜS ÇEŞİTLERİ
Virüslerin bir başka programa yapışarak yayılma yöntemini izlediğinden sözetmiştik. Bir virüs Word ya da Excel gibi her gün kullandığınız programlara yerleşerek de çoğalabilir, disketlerin boot sektörüne kendini yazarak da. Virüsü kapmış dosya çalıştırıldığında veya bilgisayar virüslü disketten açıldığında virüs icraatına başlar. Genellikle yaptığı ilk iş gidip belleğe yerleşmek ve enfekte etmek için orada sinsi sinsi kurban beklemek olur. Bir sonraki çalışan program ya da takılan bir sonraki disket virüsün hedefi olur. Çoğu virüs belli bir tarihe gelindiğinde ya da virüslü program belli sayıda çalıştırıldığında üremenin dışında bir faaliyete daha başlar. Bu, ekrana bir mesaj ya da resim çıkarmak gibi masum yaramazlık sayılabilecek bir faaliyet de olabilir, Ekran ayarlarınızı değiştirerek ya da sistem performansını yavaşlatarak orta seviye zarar veren bir faaliyet de olabilir, sistem çökmelerine, veri kaybına ve dosyaların hasar görmesine yol açan insafsız bir faaliyet de olabilir.
DOSYAYA BULAŞAN VİRÜSLER
Bu virüsler .COM ve .EXE uzantılı dosyaların kaynak koduna kendilerinin de bir kopyasını eklerler. Bazı durumlarda .SYS, .DRV, .BIN, .OVL ve .OVY uzantılı dosyalara da bulaşırlar. Bazen bellekteki virüs bulaşmak için dosyanın açılmasını beklemek zorunda kalmaz, sadece açıldığı zaman örneğin DOS'ta DIR çekildiği zaman hepsine bulaşır. Erişebildiği dizindeki tüm dosyalara doğrudan bulaşabilen virüsler de bulunuyor. Dosyaya bulaşan virüslerin çoğu EXE dosyanın başlangıç kodunu alır ve dosya içinde başka bir yere yazar. Dosya çalıştırıldığında önce virüs harekete geçer, başlangıç kodunu çalıştırır ve sanki her şey yolunda gidiyormuş gibi görünür. Bazıları .exe uzantılı dosya ile aynı isimde ama soyadı .com olan bir dosya yaratarak içine kendi kodunu kopyalar. DOS tabanlı işletim sistemleri önce .com uzantılı dosyaya bakacağı için farkında olmadan virüsü çalıştırmış olursunuz.
SEKTÖRÜ VİRÜSLERİ
İster sabit diskte ister diskette olsun A, C, D, E olarak bildiğimiz mantıksal bölümlerinin her birinin bir boot sektörü vardır. Bu disk ya da disketten bilgisayar açılamıyorsa da durum değişmez, illa boot edilen bir disk olması şart değil. Boot sektöründe diskin formatı ve depolanmış verilerin bilgileriyle DOS'un sistem dosyalarını yükleyen boot programı bulunur. Meşhur "Non-system Disk or Disk Error" mesajını bu program, sistem dosyalarını bulamadığı zaman gönderir. Bir boot sektör virüsü sistem dosyalarını bozduğunda da bu mesajı alırsınız. 1996 yılına kadar en yaygın virüs tipi bunlardı. Boot disketinden belleğe geçer ve yazma koruması olmayan her türlü diskete eriştiği anda bulaşır.
MASTER BOOT RECORD VİRÜSLERİ
Sabit disklerin ilk fiziksel sektörlerinde (Side Ø, Track Ø, Sector 1) diskin Master Boot Record'u ve Partition Tablosu vardır. Master Boot Record'un içindeki Master Boot programı partition tablosundaki değerleri okur ve boot edilebilir partition'ın başlangıç yerini öğrenir. Sisteme o adrese git ve bulduğun ilk program kodunu çalıştır komutunu gönderir. Bu virüsler de tıpkı boot sektör virüslerinde olduğu gibi bulaşırlar. Virüslü bir disketten makineyi açarken virüslü boot sektör programı okunur ve çalıştırılır, virüs belleğe yerleşir ve sabit diskin MBR'ını (Master Boot Record) bozar. Her disk ve disketin bir boot sektörü olduğuna göre sistem disketi olmayan veri disketlerinden de bulaşma ihtimali vardır.
MULTİ-PARTITE VİRÜSLER
Multi-partite virüsler yukarıda sözedilen iki tür virüsün kombinasyonudur. Bu tür virüslere daha az rastlanıyor ama rastlanma oranı da giderek artıyor. Hem MBR, hem boot sektörü ve çalıştırılabilir dosyaları bozarak yayılma şanslarını artırıyorlar.
MAKRO VİRÜSLERİ
Son zamanlarda en çok rastlanan virüs tipi bu. Adından da anlaşılacağı gibi bu tür virüsler Microsoft Word ve Excel gibi popüler uygulama programlarının makro dilleri kullanılarak yazılıyorlar. Makro'lar veri dosyalarında kaydedildiği için virüslü bir belge açıldığında virüsün makro kodu çalışmaya başlayarak ne yapacaksa yapıyor. İlk olarak 1995 yılında görülen bu virüs türü Microsoft Word'ün şablon belgelerini bozuyordu. Bir yıl içinde tarihin en yaygın ve başarılı virüs türü haline geldi. Bu başarıda en büyük pay Word'un çok yaygın kullanılan bir uygulama olmasında ve insanların Internet üzerinden birbirlerine bol miktarda Word belgesi göndermesinde gizli. Makro virüslerinden ilkinin adı WM.Concept idi.
Kendisi pek zararlı olmayan bu virüs bir makro ile de virüs yapılabileceğini ispatlaması açısından önemli sayılmalı. WM.Concept virüsünün kaynak kodu gizli değildi, bu yüzden yeni makro virüsü yazmak isteyenler alıp üzerinde küçük değişiklikler yaparak tekrar ortalığa saldılar. Birkaç ay içinde yüzlerce makro virüsü tespit edildi ve kayıtlara geçirildi.
GİZLENME YÖNTEMLERİ
Virüsler kendilerini gizlemek için çeşitli teknikler kullanırlar. Ne kadar uzun süre yakalanmadan sistemde kalabilirlerse o kadar çok dosyayı bozar ve yayılırlar. Bu yüzden uzun süre yakalanmayan virüsleri yazanlar kendilerini başarılı virüs yazarı sayar. Virüs tarayan yazılımlardan gizlenmek en virüslerin en sık başvurduğu yöntem Polymorphism'dir. Bir virüs tarama programı çalışırken virüsün imzası denilen bir belirli byte dizisi arar. Virüsü buradan tanır. Virüs, zarar verici fonksiyonlarını değiştirmeden bu byte dizisi üzerinde küçük değişiklikler yaparak tanınmaz hale gelebilir. Kendini tanınmaz hale getirmeye çalışmanın yanında bazı virüsler verdikleri zararı da gizlemeye çalışırlar.
Örneğin boot sektörünü okumaya yönelik bir talep geldiğinde hemen bir başka yerde sakladığı orijinal boot sektörü çıkarıp onu gösteren boot sektörü virüsleri vardır. Ya da dosyaların byte cinsinden uzunluğuna bakarak virüslenmiş olup olmadığını anlayan virüs tarama programlarına o dosyanın eski uzunluğunu vererek kandırabilen dosya virüsleri vardır.
NASIL YAYILIR?
Virüslerin yayılma biçimi ve hızı konusunda epey batıl inanç var. Zip'lenmiş dosyalarda asla virüs olamayacağı, Internet'e bağlanınca virüs kapılacağı gibi yanlış inanışlar var.
Boot sektör virüsleri disketlerden yayılır, PC'nizin içinde virüslü disketi bırakıp, bir sonraki açma teşebbüsünüzde "non-system disk" mesajını alıp "ay pardon, içinde disketi unutmuşum" diyerek disketi çıkarıp herhangi bir tuşa basarak boot etmeye devam edersiniz. Bu pek de az rastlanır bir durum değildir. Böyle bir durumda artık PC'niz gelen yazma korumasız her disketin boot sektörüne virüs bulaştıran bir canavar haline geldi, geçmiş olsun. Birkaç yıl öncesine kadar virüslerin temel yayılma biçimleri buydu. Bir diskete sadece erişmek boot sektör virüsü almak anlamına gelmez, PC'nin o disketten açılmaya çalışılması lazım, boot eder ya da edemez o ayrı mesele ama her halükarda virüsü bulaştırır. PC'yi disketten açmamak ve içinde disket unutup kazara ondan boot ettirmemek gerek.
.EXE ve .COM uzantılı virüslü dosyalar bir bilgisayardan başka bir bilgisayara taşındığı an henüz virüs faaliyetine başlayamaz. Başlayabilmesi için virüslü dosyanın çalıştırılması gerekir.
Makro virüsleri ise virüslü Excel ya da Word belgesi açıldığında harekete geçerler ve uygulamanın erişebildiği diğer belgelere de bulaşırlar. Virüslü Word ve Excel dosyaları çoğunlukla e-mail'e iliştirilmiş olarak geldikleri için de e-mail'in adı kötüye çıktı. E-mail ile ASCII ya da belki biraz daha karmaşık bir formatta ama en nihayetinde sadece veri alırsınız. E-mail okumak virüs bulaştırmaz. Ama ilişikteki .exe, .doc ve .xls uzantılı dosyaları virüs kontrolünden geçirmeden açmak tehlikeli.
Internet'teki tanınmış download siteleri dağıttıkları dosyalar için virüs kontrolü yapıyorlar. Bu yüzden dosya download ediyorum derken virüs download etmenizin ihtimali çok yüksek değil. Ama yine de tedbirli olmakta fayda var. CD'lerde de virüs olabilir. Saygın dergiler verdikleri CD'leri virüs kontrolünden geçiriyorlar. Doğu Avrupa'da yapılmış kopya oyun veya erotik CD'leri kontrolden geçirmeden sisteminize kuruyorsanız hayli büyük bir risk alıyorsunuz demektir.
Eğer kendi bilgisayarınızı virüslerden koruyabiliyorsanız, virüslere karşı savaşta önemli bir katkıda bulunuyorsunuz denilebilir. Çünkü yapılan araştırmalara göre dünyadaki PC'lerden üçte biri bile güncel bir virüs tarama programıyla sürekli koruma altında tutulabilirse bir süre sonra virüsler yok denecek kadar azalacaklar yeni virüsler de fazla yayılamadan bir yerlerde yakalanıp yok edilecekler. Bu yüzden henüz kurmadınızsa PC'nize anti-virüs yazılımlarından birini kurmanızda sayısız fayda var. Bu yazılımın Windows'ta sanal aygıt sürücüsü (VxD) biçiminde çalışarak sürekli gözetim yapanlardan olması güvenlik açısından daha iyi. Eğer BIOS yonganız destekliyorsa disket sürücüden boot etmeyi ilk olarak denemesini önleyip öncelikle sabit diskten boot etmesini sağlayarak ekstra bir tedbir daha alabilirsiniz.
HER HAŞERE VİRÜS DEĞİLDİR
Virüs olarak bilinen ama teknik anlamda virüs sayılamayacak olan çok sayıda program da var. Bunların bir kısmı bambaşka amaçlar için tasarlanmış numarası yaparak sızan ama sonuçta farklı ve istenmeyen işler yapan programlar. Sızma tarzından ilham alınarak bunlara Trojan adı verilmiş. Mitolojideki ünlü Truva atı efsanesini bilirsiniz. Kocaman tahta bir at kaleden içeri alınır, ama içinden düşman askerleri çıkarak kaleyi ele geçirirler. Truva atı programlar da çok tehlikelidir, sabit diskinizi formatlamak, dosyaları silmek ya da çökertmek gibi son derece yıkıcı işler yapabilirler. Yine virüs olmayan ama yaygın bir endişe uyandıran "hoax"larla ilgili bilgi sahibi olmakta da yarar var. Virüs korkusu yüzünden özellikle e-mail yoluyla birbirini uyarmak ve bilgilendirmek için başlayan zincir giderek neredeyse virüsün kendisi kadar zarar verebiliyor. Bazen tamamen asılsız, bazen sizin kullandığınız işletim sistemine zarar vermeyen virüsler hakkında da boş yere endişelenmemek için anti-virüs yazılım şirketlerinin Web sitelerine bağlanarak yaygın hoax'ların neler olduğuna bir göz atmak hiç fena olmaz.
Kısa Bir Sözlük
Bilgisayar Virüsü - İlk kez Fred Cohen tarafından 1984 yılında kullanılmış bir terim. Bilgisayar virüsü başka bir programa yapışan küçük bir programdır, kendisini kopyalayarak diğer yazılımlara saldırır.
Worm - Worm çoğu zaman başlıbaşına bir programdır, bellekteki ve diskteki eriştiği bölgelerin verilerini bozar. İçine gömülüp saklanacağı bir evsahibi programa ihtiyaç duymaması ile virüslerden ayrılır.
Trojan horse - Truva atı. Masum görünüşlü bir programın farklı şeyler de yapması. Bazen gerçekten masum programların bug'ları da aynı etkiyi yapabilir. Çoğunlukla kendilerini kopyalayarak çoğalmazlar.
Zaman ayarlı bomba - Mantıksal bomba da denilir, belli bir olay gerçekleştikten sonra örneğin ayın 13'ü Cuma gününe denk gelmişse zarar verici faaliyetine başlar.
Boot sektör virüsü - Disklerin partition tablosunda veya boot sektöründe saklanan ve sistem çalıştırıldığında faaliyete geçen virüs. En yaygın olanları arasında Pakistani Brain virüsü ile Stoned/Marijuana virüsü sayılabilir.
Uygulama programı virüsü - En bulaşıcı olan virüsler bunlardır. Çoğunlukla .com ve .exe uzantılı olan her türlü çalışabilir dosyaya bulaşırlar. En yaygın olanı Jerusalem virüsüdür.
Gizlenen virüsler - Dosya büyüklüğündeki artışı ya da tarih ve zaman bilgilerini gizleyerek yakalanmalarını güçleştirmeye çalışırlar.
Dark Avenger Mutation Engine - Genellikle virüs yazanların kullandığı bir polimorfik kriptolama programı. Virüs bu programla kriptolanınca anti-virüs programlarına kolay yakalanmıyor.
Makro virüsleri - Word ya da Excel dosyalarına bir makro gibi gömülerek yaşayan virüs. Dosya açıldığında uygulamanın standart makrolarından birinin yerine yerleşiyor ve gelen her belgeye bulaşıyor.
Kaynak: http://www.geocities.com/mamoste/virus.htm
Dikkat! Uzun bir sessizlikten sonra virüsler tekrar azıttı. Neyse ki anti-virüs programları güncel sürümlerinde yeni virüsleri yakın takip altına alıyor. Yeni çıkan virüsleri, trojan ve wormları tanıyın, virüslere geçit vermeyin!
Birkaç zamandır virüslerden yana pek şikayetimiz yoktu. Hani neredeyse virüs yazanlar kış uykusuna yatmış ve bizi rahat bırakmışlardı. Hatta bazılarımız virüs tarama programlarının zaferini ilan etmeye hazırlanıyordu. Tıpkı korku filmlerindeki gibi sessizliğin ardından vahşi bir kükreme duyuldu. Önce Win.CIH ortalığı duman etti, ardından bir sürü yeni virüsün adı duyuldu.
Sizin bilginiz ve rızanız olmadan bilgisayarınızın çalışma şeklini değiştirerek, uygulamalarınıza ve dosyalarınıza zarar veren programlara virüs deniliyor. Bilgisayar kullanıcılarının çoğu virüs yazanları bir yakalasam bacaklarını kırmadan bırakmam diye yakınıyorlar. Bu biraz zor ama hiç olmazsa virüsleri tesirsiz hale getirmek mümkün. En iyi virüs ölü virüstür.
Önce hep birlikte virüslerin neye benzediğini öğrenelim, worm ve trojan'lar hakkında da bilgi sahibi olalım, son aylarda ortalığı kasıp kavuran virüsleri daha yakından tanıyalım ve hepsinin birden canına okuyalım. Virüslere Ölüm!
Virüsleri bir kez daha tanımlayalım. Bir bilgisayar virüsü, çalışabilir dosyalarınızdan birine 'kaynak yaparak' yapışan ve sistematik olarak dosyadan dosyaya bulaşan program kodu parçasıdır. Virüsler kendiliğinden ortaya çıkmaz, birileri tarafından yazılırlar ve belli bir amaca yönelik olarak çalışırlar. Genellikle iki amaca yönelik olarak çalışırlar:
Sizin müdahaleniz olmadan, hatta bilginiz olmadan kendini yeni yeni dosyalara yazar, çoğalır. Buna üreme ya da yayılma denilebilir.
Virüsü yazan bilgisayar teröristinin planladığı şekilde semptom veya hasarı oluşturmak için çalışmalarına başlar. Burada semptom, hasar ve terörist sözcüklerini abartma sanatı yapmak için kullandığımız sanılmasın sakın. Virüsün verebileceği hasar diskinizin tamamen silinmesi, programlarınızın çökmesi, beklenmedik bir anda çakılması, bilgisayarınızda yazılım namına bir şey kalmaması ve hatta en son Win.CIH örneğinde de görüldüğü gibi donanım bileşenlerinizin zarar görmesi olabilir.
Virüslerin de kanser gibi iyi huylu ve habis olanları var. Orası virüsü yazanın paşa gönlüne kalmış. İsterse "ha ha ben buradaydım" diye bir imza atar ve sağı solu fazla kurcalamaz, isterse bilgisayarınızın canına okur, ortalığı darma duman eder.
Bilgisayarınıza gerçek anlamda bir zarar vermek üzere tasarlanmamış olan virüslere iyi huylu virüs denir. Önceden belirlenmiş bir gün ve saate kadar saklanıp tam o anda ortaya çıkarak "böö" yapan virüsler çoğunlukla bu türden. Epey panik yaratıyorlar.
Habis virüs ise bilgisayara zarar vermeye yönelik olarak çalışıyor, ve bulaşıcı hastalık gibi dosyadan dosyaya yayılıyor. Bu virüslerin çoğu kötü niyetli programcılar tarafından zarar vermek amacıyla yazılıyorlar ama bazıları da iyi niyetli ve beceriksiz programcılar tarafından kazara yazılıyorlar. Bazı buglar aynı zamanda teknik olarak bir virüs sayılabilecek kadar zararlı faaliyetler yapabiliyorlar. Bir virüs tarafından enfekte olmuş program aniden kapanabilir ya da belgelere yanlış bilgi yazabilir. Veya virüs bilgisayarınızın sistem bölgesindeki dizin bilgilerini değiştirebilir. Bu durumda bazı dosyalarınızı bulamaz ve bazı programları çalıştıramazsınız.
VİRÜSLERİN ŞAKASI YOK!
Çağımızdaki özgür bilgi akışı ve paylaşımı üzerindeki en ciddi tehdidin virüsler olduğunu söylemek abartı sayılmaz. Virüslerin yaygınlaşması sayesinde veri güvenliği mekanizmaları da hayli gelişti. Ama güvenlik önlemleri almadığınız takdirde ölümcül riskler aldığınızı unutmamanız lazım. Bir taraftan panik yaparak ortalığı birbirine katanların, diğer taraftan eğlence olsun diye sahte virüs alarmı vererek yalancı çobanlık yapanların yarattığı bulanık durum kafanızı karıştırmasın. Virüsler var, ve sisteminize bir girerlerse hiç şakaları yok. Amerikalılar, bilgisayar suçlarını araştırmak ve önlemek için bir kamu kurumu bile oluşturmuşlar, kaybettirdiği zaman hariç olmak üzere, her yıl yaklaşık 550 milyon dolarlık zarar veren bir bela ile uğraşmak için değer. Bunun yanında yazılım şirketleri bir araya gelerek tedbirleri görüşüyorlar. Büyük şirketler de ağlarındaki muhtemel virüs tehditleriyle başa çıkabilmek için birimler oluşturuyor ve politika saptıyorlar. İster polis bilgisayarı isterse banka bilgisayarı olsun virüslere bağışıklığı olan ve kendisine virüs işlemeyen bir bilgisayar yok. Bir uzay mekiğini harekete geçiren programın virüs kaptığını hayal edebiliyor musunuz? Ya da hava limanlarındaki hava trafik kontrol bilgisayarlarının virüs yüzünden yanlış bilgi gönderdiğinde neler olabileceğini düşünebiliyor musunuz? Daha yakın bir örnek verelim: Çalıştığınız şirkette maaşlar ödenmeden bir gün önce muhasebecinin bilgisayarlarındaki veriler silinirse ortalık birbirine girmez mi? Bunlar hayal ürünü değil, virüsler böyle şeyleri gözlerini bile kırpmadan hunharca yapıyorlar, yeter ki siz bilgisayarınızı savunmasız bırakın.
VİRÜS ÇEŞİTLERİ
Virüslerin bir başka programa yapışarak yayılma yöntemini izlediğinden sözetmiştik. Bir virüs Word ya da Excel gibi her gün kullandığınız programlara yerleşerek de çoğalabilir, disketlerin boot sektörüne kendini yazarak da. Virüsü kapmış dosya çalıştırıldığında veya bilgisayar virüslü disketten açıldığında virüs icraatına başlar. Genellikle yaptığı ilk iş gidip belleğe yerleşmek ve enfekte etmek için orada sinsi sinsi kurban beklemek olur. Bir sonraki çalışan program ya da takılan bir sonraki disket virüsün hedefi olur. Çoğu virüs belli bir tarihe gelindiğinde ya da virüslü program belli sayıda çalıştırıldığında üremenin dışında bir faaliyete daha başlar. Bu, ekrana bir mesaj ya da resim çıkarmak gibi masum yaramazlık sayılabilecek bir faaliyet de olabilir, Ekran ayarlarınızı değiştirerek ya da sistem performansını yavaşlatarak orta seviye zarar veren bir faaliyet de olabilir, sistem çökmelerine, veri kaybına ve dosyaların hasar görmesine yol açan insafsız bir faaliyet de olabilir.
DOSYAYA BULAŞAN VİRÜSLER
Bu virüsler .COM ve .EXE uzantılı dosyaların kaynak koduna kendilerinin de bir kopyasını eklerler. Bazı durumlarda .SYS, .DRV, .BIN, .OVL ve .OVY uzantılı dosyalara da bulaşırlar. Bazen bellekteki virüs bulaşmak için dosyanın açılmasını beklemek zorunda kalmaz, sadece açıldığı zaman örneğin DOS'ta DIR çekildiği zaman hepsine bulaşır. Erişebildiği dizindeki tüm dosyalara doğrudan bulaşabilen virüsler de bulunuyor. Dosyaya bulaşan virüslerin çoğu EXE dosyanın başlangıç kodunu alır ve dosya içinde başka bir yere yazar. Dosya çalıştırıldığında önce virüs harekete geçer, başlangıç kodunu çalıştırır ve sanki her şey yolunda gidiyormuş gibi görünür. Bazıları .exe uzantılı dosya ile aynı isimde ama soyadı .com olan bir dosya yaratarak içine kendi kodunu kopyalar. DOS tabanlı işletim sistemleri önce .com uzantılı dosyaya bakacağı için farkında olmadan virüsü çalıştırmış olursunuz.
SEKTÖRÜ VİRÜSLERİ
İster sabit diskte ister diskette olsun A, C, D, E olarak bildiğimiz mantıksal bölümlerinin her birinin bir boot sektörü vardır. Bu disk ya da disketten bilgisayar açılamıyorsa da durum değişmez, illa boot edilen bir disk olması şart değil. Boot sektöründe diskin formatı ve depolanmış verilerin bilgileriyle DOS'un sistem dosyalarını yükleyen boot programı bulunur. Meşhur "Non-system Disk or Disk Error" mesajını bu program, sistem dosyalarını bulamadığı zaman gönderir. Bir boot sektör virüsü sistem dosyalarını bozduğunda da bu mesajı alırsınız. 1996 yılına kadar en yaygın virüs tipi bunlardı. Boot disketinden belleğe geçer ve yazma koruması olmayan her türlü diskete eriştiği anda bulaşır.
MASTER BOOT RECORD VİRÜSLERİ
Sabit disklerin ilk fiziksel sektörlerinde (Side Ø, Track Ø, Sector 1) diskin Master Boot Record'u ve Partition Tablosu vardır. Master Boot Record'un içindeki Master Boot programı partition tablosundaki değerleri okur ve boot edilebilir partition'ın başlangıç yerini öğrenir. Sisteme o adrese git ve bulduğun ilk program kodunu çalıştır komutunu gönderir. Bu virüsler de tıpkı boot sektör virüslerinde olduğu gibi bulaşırlar. Virüslü bir disketten makineyi açarken virüslü boot sektör programı okunur ve çalıştırılır, virüs belleğe yerleşir ve sabit diskin MBR'ını (Master Boot Record) bozar. Her disk ve disketin bir boot sektörü olduğuna göre sistem disketi olmayan veri disketlerinden de bulaşma ihtimali vardır.
MULTİ-PARTITE VİRÜSLER
Multi-partite virüsler yukarıda sözedilen iki tür virüsün kombinasyonudur. Bu tür virüslere daha az rastlanıyor ama rastlanma oranı da giderek artıyor. Hem MBR, hem boot sektörü ve çalıştırılabilir dosyaları bozarak yayılma şanslarını artırıyorlar.
MAKRO VİRÜSLERİ
Son zamanlarda en çok rastlanan virüs tipi bu. Adından da anlaşılacağı gibi bu tür virüsler Microsoft Word ve Excel gibi popüler uygulama programlarının makro dilleri kullanılarak yazılıyorlar. Makro'lar veri dosyalarında kaydedildiği için virüslü bir belge açıldığında virüsün makro kodu çalışmaya başlayarak ne yapacaksa yapıyor. İlk olarak 1995 yılında görülen bu virüs türü Microsoft Word'ün şablon belgelerini bozuyordu. Bir yıl içinde tarihin en yaygın ve başarılı virüs türü haline geldi. Bu başarıda en büyük pay Word'un çok yaygın kullanılan bir uygulama olmasında ve insanların Internet üzerinden birbirlerine bol miktarda Word belgesi göndermesinde gizli. Makro virüslerinden ilkinin adı WM.Concept idi.
Kendisi pek zararlı olmayan bu virüs bir makro ile de virüs yapılabileceğini ispatlaması açısından önemli sayılmalı. WM.Concept virüsünün kaynak kodu gizli değildi, bu yüzden yeni makro virüsü yazmak isteyenler alıp üzerinde küçük değişiklikler yaparak tekrar ortalığa saldılar. Birkaç ay içinde yüzlerce makro virüsü tespit edildi ve kayıtlara geçirildi.
GİZLENME YÖNTEMLERİ
Virüsler kendilerini gizlemek için çeşitli teknikler kullanırlar. Ne kadar uzun süre yakalanmadan sistemde kalabilirlerse o kadar çok dosyayı bozar ve yayılırlar. Bu yüzden uzun süre yakalanmayan virüsleri yazanlar kendilerini başarılı virüs yazarı sayar. Virüs tarayan yazılımlardan gizlenmek en virüslerin en sık başvurduğu yöntem Polymorphism'dir. Bir virüs tarama programı çalışırken virüsün imzası denilen bir belirli byte dizisi arar. Virüsü buradan tanır. Virüs, zarar verici fonksiyonlarını değiştirmeden bu byte dizisi üzerinde küçük değişiklikler yaparak tanınmaz hale gelebilir. Kendini tanınmaz hale getirmeye çalışmanın yanında bazı virüsler verdikleri zararı da gizlemeye çalışırlar.
Örneğin boot sektörünü okumaya yönelik bir talep geldiğinde hemen bir başka yerde sakladığı orijinal boot sektörü çıkarıp onu gösteren boot sektörü virüsleri vardır. Ya da dosyaların byte cinsinden uzunluğuna bakarak virüslenmiş olup olmadığını anlayan virüs tarama programlarına o dosyanın eski uzunluğunu vererek kandırabilen dosya virüsleri vardır.
NASIL YAYILIR?
Virüslerin yayılma biçimi ve hızı konusunda epey batıl inanç var. Zip'lenmiş dosyalarda asla virüs olamayacağı, Internet'e bağlanınca virüs kapılacağı gibi yanlış inanışlar var.
Boot sektör virüsleri disketlerden yayılır, PC'nizin içinde virüslü disketi bırakıp, bir sonraki açma teşebbüsünüzde "non-system disk" mesajını alıp "ay pardon, içinde disketi unutmuşum" diyerek disketi çıkarıp herhangi bir tuşa basarak boot etmeye devam edersiniz. Bu pek de az rastlanır bir durum değildir. Böyle bir durumda artık PC'niz gelen yazma korumasız her disketin boot sektörüne virüs bulaştıran bir canavar haline geldi, geçmiş olsun. Birkaç yıl öncesine kadar virüslerin temel yayılma biçimleri buydu. Bir diskete sadece erişmek boot sektör virüsü almak anlamına gelmez, PC'nin o disketten açılmaya çalışılması lazım, boot eder ya da edemez o ayrı mesele ama her halükarda virüsü bulaştırır. PC'yi disketten açmamak ve içinde disket unutup kazara ondan boot ettirmemek gerek.
.EXE ve .COM uzantılı virüslü dosyalar bir bilgisayardan başka bir bilgisayara taşındığı an henüz virüs faaliyetine başlayamaz. Başlayabilmesi için virüslü dosyanın çalıştırılması gerekir.
Makro virüsleri ise virüslü Excel ya da Word belgesi açıldığında harekete geçerler ve uygulamanın erişebildiği diğer belgelere de bulaşırlar. Virüslü Word ve Excel dosyaları çoğunlukla e-mail'e iliştirilmiş olarak geldikleri için de e-mail'in adı kötüye çıktı. E-mail ile ASCII ya da belki biraz daha karmaşık bir formatta ama en nihayetinde sadece veri alırsınız. E-mail okumak virüs bulaştırmaz. Ama ilişikteki .exe, .doc ve .xls uzantılı dosyaları virüs kontrolünden geçirmeden açmak tehlikeli.
Internet'teki tanınmış download siteleri dağıttıkları dosyalar için virüs kontrolü yapıyorlar. Bu yüzden dosya download ediyorum derken virüs download etmenizin ihtimali çok yüksek değil. Ama yine de tedbirli olmakta fayda var. CD'lerde de virüs olabilir. Saygın dergiler verdikleri CD'leri virüs kontrolünden geçiriyorlar. Doğu Avrupa'da yapılmış kopya oyun veya erotik CD'leri kontrolden geçirmeden sisteminize kuruyorsanız hayli büyük bir risk alıyorsunuz demektir.
Eğer kendi bilgisayarınızı virüslerden koruyabiliyorsanız, virüslere karşı savaşta önemli bir katkıda bulunuyorsunuz denilebilir. Çünkü yapılan araştırmalara göre dünyadaki PC'lerden üçte biri bile güncel bir virüs tarama programıyla sürekli koruma altında tutulabilirse bir süre sonra virüsler yok denecek kadar azalacaklar yeni virüsler de fazla yayılamadan bir yerlerde yakalanıp yok edilecekler. Bu yüzden henüz kurmadınızsa PC'nize anti-virüs yazılımlarından birini kurmanızda sayısız fayda var. Bu yazılımın Windows'ta sanal aygıt sürücüsü (VxD) biçiminde çalışarak sürekli gözetim yapanlardan olması güvenlik açısından daha iyi. Eğer BIOS yonganız destekliyorsa disket sürücüden boot etmeyi ilk olarak denemesini önleyip öncelikle sabit diskten boot etmesini sağlayarak ekstra bir tedbir daha alabilirsiniz.
HER HAŞERE VİRÜS DEĞİLDİR
Virüs olarak bilinen ama teknik anlamda virüs sayılamayacak olan çok sayıda program da var. Bunların bir kısmı bambaşka amaçlar için tasarlanmış numarası yaparak sızan ama sonuçta farklı ve istenmeyen işler yapan programlar. Sızma tarzından ilham alınarak bunlara Trojan adı verilmiş. Mitolojideki ünlü Truva atı efsanesini bilirsiniz. Kocaman tahta bir at kaleden içeri alınır, ama içinden düşman askerleri çıkarak kaleyi ele geçirirler. Truva atı programlar da çok tehlikelidir, sabit diskinizi formatlamak, dosyaları silmek ya da çökertmek gibi son derece yıkıcı işler yapabilirler. Yine virüs olmayan ama yaygın bir endişe uyandıran "hoax"larla ilgili bilgi sahibi olmakta da yarar var. Virüs korkusu yüzünden özellikle e-mail yoluyla birbirini uyarmak ve bilgilendirmek için başlayan zincir giderek neredeyse virüsün kendisi kadar zarar verebiliyor. Bazen tamamen asılsız, bazen sizin kullandığınız işletim sistemine zarar vermeyen virüsler hakkında da boş yere endişelenmemek için anti-virüs yazılım şirketlerinin Web sitelerine bağlanarak yaygın hoax'ların neler olduğuna bir göz atmak hiç fena olmaz.
Kısa Bir Sözlük
Bilgisayar Virüsü - İlk kez Fred Cohen tarafından 1984 yılında kullanılmış bir terim. Bilgisayar virüsü başka bir programa yapışan küçük bir programdır, kendisini kopyalayarak diğer yazılımlara saldırır.
Worm - Worm çoğu zaman başlıbaşına bir programdır, bellekteki ve diskteki eriştiği bölgelerin verilerini bozar. İçine gömülüp saklanacağı bir evsahibi programa ihtiyaç duymaması ile virüslerden ayrılır.
Trojan horse - Truva atı. Masum görünüşlü bir programın farklı şeyler de yapması. Bazen gerçekten masum programların bug'ları da aynı etkiyi yapabilir. Çoğunlukla kendilerini kopyalayarak çoğalmazlar.
Zaman ayarlı bomba - Mantıksal bomba da denilir, belli bir olay gerçekleştikten sonra örneğin ayın 13'ü Cuma gününe denk gelmişse zarar verici faaliyetine başlar.
Boot sektör virüsü - Disklerin partition tablosunda veya boot sektöründe saklanan ve sistem çalıştırıldığında faaliyete geçen virüs. En yaygın olanları arasında Pakistani Brain virüsü ile Stoned/Marijuana virüsü sayılabilir.
Uygulama programı virüsü - En bulaşıcı olan virüsler bunlardır. Çoğunlukla .com ve .exe uzantılı olan her türlü çalışabilir dosyaya bulaşırlar. En yaygın olanı Jerusalem virüsüdür.
Gizlenen virüsler - Dosya büyüklüğündeki artışı ya da tarih ve zaman bilgilerini gizleyerek yakalanmalarını güçleştirmeye çalışırlar.
Dark Avenger Mutation Engine - Genellikle virüs yazanların kullandığı bir polimorfik kriptolama programı. Virüs bu programla kriptolanınca anti-virüs programlarına kolay yakalanmıyor.
Makro virüsleri - Word ya da Excel dosyalarına bir makro gibi gömülerek yaşayan virüs. Dosya açıldığında uygulamanın standart makrolarından birinin yerine yerleşiyor ve gelen her belgeye bulaşıyor.
Kaynak: http://www.geocities.com/mamoste/virus.htm