Bilgisayarýnýzýn, sizin isteðiniz ve bilginiz dýþýnda zararlý bir iþlem yapmasýný saðlayan program parçacýðýna virüs denilmektedir.
Ýlk virüs, bir firmanýn yaptýðý programýn disketle çoðaltýlmasý sýrasýnda telif haklarýnýn deðiþtirilmesini saðlýyordu (1986 - Brain). Bundan sonra baþlýca
- Chernobyl (CIH) (1998),
- Melissa (1999),
- Navidad (2000),
- Nimda/Sircam/CodeRed (2001)
gibi virüsler bilgisayar dünyasýnda aktif halde görülmüþtür.
Ocak 2002 tarihinde alýnan verilere göre 70.000 adet aktif virüs vardýr. Çeþitler arasýnda en büyük oran macro (26.1%) ve truva atý (trojan - 26.1% ) virüslerinde bulunmakla birlikte, bulaþma oraný açýsýndan bakýldýðýnda sistem tarafýndan çalýþtýrýlabilir dosyalarla bulaþan virüsler (79%) açýk farkla önde yer almakta ve her ay bulunan virüs sayýsý sürekli artmaktadýr.
Günümüze virüsler yayýlma yolu olarak genelde Windows iþletim sistemlerinde otomatik olarak çalýþtýrýlabilen dosya eklentilerini seçiyorlar.
Yazýlan her virüs tehlikeli deðildir. Bir virüsün etkin halde olduðunu anlamak için bir çok anti-virüs yazýlýmý sitesini gezip, bu sitelerin notlama sitemine göre yorum yapmak gerekmektedir. Bu siteler arasýnda:
yer almaktadýr.
Virüslerin Bulaþma Yöntemleri:
Geçmiþten bu güne en yaygýn þekilde virüs bulaþma yöntemleri sýrasý ile:
- Disket, CD
- E-posta
- Að paylaþýmý
- Internet'ten indirilen programlar
olarak görünmektedir. Bunlar içinde günümüzde en yaygýn olan, e-posta ve Internet'ten indirilen dosyalar üzerinden bulaþma yöntemleri üstünde biraz daha durmakta yarar var:
1. E-posta ile Virüs Bulaþmasý
E-posta ile virüs bulaþmasý, e-postalarýn çalýþtýrýlabilir eklentileri sayesinde olur. Virüsün aktif hale gelmesi için eklentileri açmamak her zaman bir koruma saðlamamaktadýr. Bazý e-posta okuyucu programlar belli formattaki eklentileri otomatik olarak çalýþtýrmaktadýr. Bu sayede virüs kullanýcýdan habersiz bilgisayara girip programýn gereði olan iþlemleri yapabilmektedir (örnek: Outlook / Outlook Express - Bubbleboy). Gerekli iþletim sistemi güncellemeleri (Windows iþletim sistemi içinhttp://windowsupdate.microsoft.com/ adresinden yararlanabilirsiniz) yapýldýktan sonra virüs bu tür açýklardan yararlanýp kullanýcýdan habersiz bulaþma þansýný yitirmektedir. Bu habersiz bulaþma yapýsý aslýnda e-posta ile virüs bulaþma konusunun sadece ufak bir bölümüdür. Esas kýsmý kullanýcýnýn sistem tarafýndan çalýþtýrýlabilir dosyalarý (.bat, .exe, .scr, .pif, vb) e-posta ile almasý ve onu bilgisayarýna çekmeden ya da çekerek çalýþtýrmasý ile sisteme virüs bulaþtýrmasýdýr. Bu þekilde, kullanýcýnýn bireysel hatasýndan kaynaklanarak sisteme virüs bulaþmasý daha sýklýkla karþýlaþýlan bir durumdur.
2. WWW'den Virüs Bulaþmasý
WWW'den virüs bulaþmasý Internetten indirilen dosyalarla olmaktadýr. Bu konuyu da yine kullanýcýnýn bilinçli olarak indirdiði dosyalar ve kullandýðý web-tarayýcýsýnýn (Internet Explorer, Netscape) otomatik olarak indirdiði dosyalar ile virüs bulaþmasý diye ikiye ayýrabiliriz.
Birinci durumda kullanýcý bilinçli olarak Internetten bir dosyayý bilgisayarýna çeker ve o dosya içeriðinde virüs varsa çalýþtýrdýðýnda sisteme virüs bulaþýr. Bunu engellemenin yolu kullanýcýlarýn bilinçlenmesidir.
Ýkinci durum ise biraz daha karmaþýk. Bu kýsmý da ikiye ayýrmak gerekmektedir:
kullanarak görüntülenen www sayfalarýndan virüsün bulaþmasý.
a) Java Script:
Java apletler sayesinde www sayfalarý etkileþimli hale gelmiþtir (ufak animasyonlar, vb). Günümüzde tüm web tarayýcýlarý Java'yý desteklemektedir. Burada yaþanan sorun, bahsedilen apletlerin güvenilir olmayan sitelerden de indirilebilmesinden kaynaklanmaktadýr. Bunun için "sandbox" adýnda bir teknoloji ile güvenlik önlemi alýnmýþtýr. Sandbox tarafýndan çalýþtýrýlan aplet bilgisayardaki dosyalarý ne okuyabiliyor ne de yazabiliyor. Buraya kadar anlatýlanlar bu sistemin güvenli olduðu izlenimini veriyor. Ama sorun sandbox teknolojisinin karmaþýk yapýsýndan dolayý meydana gelmektedir. Bazen gözden kaçýrýlmýþ bir açýk sayesinde virüsler bilgisayarda kod çalýþtýrabiliyor. Örnek olarak bir çok gizli pencere açýp sistemin kaynaklarýný tüketebiliyor.
b) ActiveX:
Windows apletleridir. "web" sayfalarýndaki animasyonlarý vb. göstermek için kullanýlan bir yapýdýr. Bilgisayara ".dll" (Dynamic Link Library) uzantýsýnda dosyalar indirirler. Bu dosyalarýn sistemde her türlü yetkiye sahip olmasý, virüse en kolay ve en güçlü þekilde sisteme hakim olma þansý tanýmaktadýr. MS Internet Explorer'ýn çok sayýda güvenlik güncellemesi bu nedenle yazýlmýþtýr. Yapýdaki güvenlik sistemi "Authenticode system and Code Signing"olarak adlandýrýlmaktadýr. Web sayfalarýndan DLL indirirken güvenli olarak tanýmlanmýþ olmasý esasýna dayanýyor. Ancak kullanýlan www tarayýcýsýnýn ayarlarý en güvensiz seviyedeyse otomatik olarak sitedeki ".dll" uzantýlý dosyayý bilgisayara indirir. Bu dosya "command.com" dahil bir çok komutu çalýþtýrma yetkisine sahiptir. Tedbir olarak "MS Internet Explorer" ayarlarýndaki güvenlik seviyesinin en azýndan "Medium" olarak ayarlanmasý gerekmektedir.
Internet Solucanlarý:
Diðer yollarýn yanýnda iþletim sistemlerinin ve çalýþan servislerin güvenlik açýklarýný kullanarak "kendiliðinden" bulaþan virüslerdir ( CodeRed, Nimda).
Bu virüsler aþaðýda yer alan sonuçlara yol açabilir:
- Web sunucu program zarar görebilir. (Örnek: ISS)
- Diskte kayýtlý bilgiler silinebilir.
- Web sayfasý içeriðini deðiþtirebilir.
- Gereksiz að trafiði yaratabilir.
- E-posta, tftp, port tarama.
- Backdoor / Trojan yerleþtirebilir.
En önemli örnekleri arasýnda milyonlarca dolarlýk zarara neden olan Nimda ve Melissa yer almaktadýr.
Bu virüslerden Nimda'yý (W32/Nimda@MM) biraz daha ayrýntýlý inceleyelim:
- 2001 yýlý Ekim ayýnda ortaya çýkmýþtýr.
- IIS (Internet Information Server) web sunucularýna 2001 Aðustosda bulunan bir açýktan yararlanarak bulaþmaktadýr.
- "Outlook Express" e-posta istemcisinin güvenlik açýðýndan yararlanarak e-posta eklentisinin isteminiz dýþý çalýþmasý ile bulaþmaktadýr.
- "Internet Explorer"ýn virüslü web sayfasýndan readme.eml dosyasýný indirmesi ve çalýþtýrmasý ile bulaþmaktadýr.
Görüldüðü gibi internet solucanlarý bir çok programýn açýklarýndan faydalanarak kendiliðinden bulaþmaktadýr.
Truva Atlarý (Trojan)
Kendi kendine yayýlmayan, arka planda çalýþan program parçacýklarýdýr. E-posta ile gelen çalýþtýrýlabilir eklentiler ya da ICQ vb. programlar yoluyla, çalýþtýrýlabilir dosya alýþveriþi ile bulaþmaktadýrlar.(Back Orifice, Sub Seven). Program çalýþmaya baþladýktan sonra bilgisayara uzaktan eriþimle kötü niyetli bir kiþi istediði programý yüklemek, baþka bilgisayarlara saldýrmak gibi haklara sahip olabilmektedir.
Virüs Çeþitleri
1. HOAX
Virüs olmadýðý halde sisteminizdeki bir dosyanýn virüs olduðu bilgisini içeren ve silmeniz gerektiðini söyleyen yanýltýcý mesajlardýr (Sulfnbk HOAX, Taliban HOAX).
2. BIOS & CMOS Setting Virus
Bilgisayarýn açýlmasýný veya açýlýþ ünitesinin (disket, CD, HDD) sýrasý gibi BIOS ayarlarýný etkileyen virüslerdir (Troj/KillCMOS, W95/CIH-10xx).
3. Visual Basic Script (VBS) Virus & Worm
Visual Basic dilinde yazýlmýþ ufak kodlardýr. Bir web sayfasýna veya e-postanýn içine gömülmüþ olabilirler. Kullandýðýnýz tarayýcý / e-posta okuyucu programýn güvenlik açýklarýndan yararlanarak bilgisayara bulaþýrlar (VBS/Numgame)
4. Windows Ýþletim Sisteminin Özelliklerine Baðlý Virüsler
a. Win32 Virus & Worm
Windows iþletim sistemlerinde çalýþtýrabilir virüslerdir. Kullanýlan programýn güvenlik açýklarýndan yararlanýrlar (Web sunucu veya tarayýcý). Örnek olarak W32/Magister, W32/Nimda verilebilir.
b. W95/98/ME Virus
Sadece Windows 95/98/ME iþletim sistemlerini etkileyen virüslerdir. BIOS'u deðiþtirebilir ya da sistemi çalýþmaz hale getirebilirler (CIH/10-xx, W95/Babylonia)
c. WinNT/2K/XP Virus
Windows NT/2000/XP iþletim sistemlerinin ya da bu iþletim sistemlerinde kullanýlan diðer programlarýn güvenlik açýklarýndan yararlanarak bulaþýrlar. Dosya sisteminin özelliklerine baðýmlý olduklarýndan sadece NTFS kullanan sistemlerde etkindirler (W2K/Stream, WNT/RemExp).
5. Macro Virus
Makro programlarýdýr. Microsoft Office uygulamalarýnda kullanýlan belgelerin içerisine gömülü olan makrolardýr. Program veya komut çalýþtýrma yetkisi olduðundan çok zaralý olabilirler. Ýsimlendirme olarak
- Wm: Windows Macro virüsü
- w97m:--> MS Word Macro virüsü
- pp97m: MS PowerPoint Macro virüsü
- xm97m: MS Excel Macro virüsü
geliþtirilmiþtir ( örnek: Wm/Nuclear).
Yeni Internet Araçlarýnda Virüsler
Cep telefonu, Palm, PDA (Personal Digital Assistant) gibi PC dýþýndaki Internet ulaþým araçlarýnda da artýk virüs korkusu baþ göstermektedir. 2000 yýlýnýn baþýnda VBS/Timo, Palm/Liberty isimli iki virüs PDA'leri etkilemiþtir. Bu araçlar arasýnda cep telefonlarý en az tehlikeye sahip olsalar da kullanacaklarý e-posta okuma programlarý nedeniyle sorun yaþayabileceklerdir.
Gelecekte bu araçlarý virüsten koruma yöntemleri arasýnda, virüs tarama programlarý en etkili yöntem olarak görünmektedir.
Virüsler Nereye Ne Yazar?
Ýlk açýlýþta çalýþmak için genellikle "Windows Registry" (kayýt) ayarlarýný deðiþtiriler. Bu bilgilere müdahale ederken iki defa düþünmek gerektiðini unutmamalýsýnýz. Start | Run | regedit yazýp "Enter" uþuna basýlýnca aþaðýdaki ekran açýlýr.
Burada, aþaðýdaki konumlara kendi program adlarýný yazarak açýlýþta baþlamalarýný saðlamaktadýrlar.
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\Windows\ CurrentVersion\
- RunServices
- RunServicesOnce
- Run
- RunOnce
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\
Virüslerden Korunma
- Bir antivirüs programý kurun ve güncel tutun. Güncellemesi yapýlmamýþ bir antivirüs programý yeni virüslere karþý etkisiz kalmaktadýr.
- Ýþletim sisteminizi güncel tutun. Windows iþletim sistemlerinin güncelleþtirmeleri için aþaðýdaki linkten yararlanabilirsiniz.
http://windowsupdate.microsoft.com
- MS Outlook ya da Outlook Express yerine Netscape Messenger, Webmail, Pine gibi programlarý kullanýn.
- Gerekmedikçe dosya paylaþýmý yapmayýn. Paylaþtýrmanýz þart ise þifreli ve "salt okunur" paylaþým kullanýn.
- Sunucu (server) nitelikli iþletim sistemleri kurmayýn.Web sunucusu olarak güncellenmemiþ IIS kullanmayýn.
- "Microsoft Security Bulletin" takibini aþaðýdaki adresten yapýn:
http://www.microsoft.com/security
- Boot iþleminin kesinlikle sabit diskten olmasýna özen gösterin.
- Çok önemli bilgilerinizin yedeðini alýn.
- Ofis programlarýnda bilmediðiniz makrolarý çalýþtýrmayýn.
- Alternatif Ofis programlarý kullanýn (örneðin OpenOffice):
ftp://ftp.metu.edu.tr/pub/mirrors/openoffice/
- E-posta ile gelen çalýþtýrýlabilir dosyalarý sadece e-postayý gönderen kiþinin gönderdiðinden emin olduðunuz durumlarda çalýþtýrýn.
Virüslerin Tespiti
Antivirüs programlarý bilgisayara kurulduktan sonra aktif þekilde düzenli güncellemeleri yapýldýðý sürece en etkili virüs tespiti yöntemidir. Ancak günümüzde daha farklý yaklaþýmlar da olduðu için onlardan da bahsedilmelidir. Ardýndan antivirüs programlarýnýn yapýsýndan ve çalýþma prensiplerinden bahsedilecektir.
- Online Tarayýcýlar:
"Online tarayýcýlar" antivirüs programýna bütçe ayýrmak istemeyen ve sürekli olmasa da bilgisayarýnda tarama yapmak istiyen kullanýcýlar için antivirüs programlarý yazan þirketlerin sunduðu bir hizmettir. Bilgisayardaki tüm dosyalarý uzaktan tarayan bir yapýsý vardýr. "Bilgisayardan bilgi alýyor mu?" konusunda sorular olsada, sonuçlarý baþarýlý sayýlmaktadýr.
Aþaðýdaki baðlantýlar izlenerek online virüs taramasý yaptýrýlabilir:
- Antivirüs Programlarýnýn Yapýlarý
- Scanners:
Virüsleri izlerine göre arayýp bulurlar ve imha ederler. Güncelleme gerektiren bu tarama sistemi kullanýcý açýsýndan en rahat ve kullanýþlý olanýdýr.
- Checksummers:
Standart iþletim sistemi dosyalarýnýn boyut deðiþikliklerini virüs olarak yorumlarlar. Sistem dosyalarýnda yapýlacak deðiþiklikleri iyi bilen bir kullanýcý için faydalý bir yapýdýr.
- Heuristics:
Virüslerin karakteristik yapýsý bu programlarda genel hatlarýyla tanýmlanýr. Ancak son nesil virüsler burada kullanýlan mantýklarý çözerek yazýldýðýndan bazen yetersiz kalmaktadýr.
- Antivirüs Programý Çalýþma Yöntemi
Virüs örüntüsü (virus pattern) virüsü tanýmlayan kýsa "binary" koddur. Antivirüs programlarý bilgisayardaki tüm dosyalarda tarayýcýsý yardýmýyla virüs örüntüsünü arar. Virüsü bulduðunda; karþýlaþýlan durum için veritabanýnda tanýmlanmýþ olan iþlemleri yapar. Bu nedenle güncellenmiþ bir antivirüs programý yeni çýkan virüslere karþý kullanýcýnýn elindeki tek savunmadýr.
Kaynakça:
Ýbrahim Çalýþýr
|