Bilgisayar Virüsü ve Çeşitleri

Egitim Dökümanları


Bilgisayar virüsleri, aslinda “çalıştığında bilgisayarınıza değişik şekillerde zarar verebilen” bilgisayar programlarıdır. Eğer bu programlar (ya da virüs kodları) herhangi bir şekilde çalıştırılırsa, programlanma şekline göre bilgisayarınıza zarar vermeye başlar. Ayrıca, tüm virüs kodları (bilinen adıyla virüsler) bir sistemde aktif hale geçirildikten sonra çoğalma (bilgisayarınızdaki diğer dosyalara yayılma, ağ üzerinden diğer bilgisayarlara bulaşma vb gibi) özelliğine sahiptir.


Bilgisayar virüslerinin popüler bulaşma yollarından birisi “virüs kapmış bilgisayar programları” dır. Bu durumda, virüs kodu bir bilgisayar programına (söz gelimi, sık kullandığınız bir kelime işlemci ya da beğenerek oynadığınız bir oyun programı) virüsü yazan (ya da yayan) kişi tarafından eklenir. Böylece, virüslü bu programları çalıştıran kullanıcıların bilgisayarları “potansiyel olarak” virüs kapabilirler. Özellikle internet üzerinde dosya arşivlerinin ne kadar sık kullanıldığını düşünürsek tehlikenin boyutlerını daha da iyi anlayabiliriz.

Virüslenmiş program çalıştırıldığında bilgisayar virüs kodu da, genellikle, bilgisayarınızın hafızasına yerleşir ve potansiyel olarak zararlarına başlar. Bazı virüsler, sabit diskinizin ya da disketlerinizin “boot sector” denilen ve bilgisayar her açıldığında ilk bakılan yer olan kısmına yerleşir. Bu durumda, bilgisayarınız her açıldığında “virüslenmiş” olarak açılır. Benzer şekilde, kendini önemli sistem dosyalarının (MSDOS ve windows için COMMAND.COM gibi) peşine kopyalayan virüsler de vardır.

Genellikle her virüsün bir adı vardır (Cansu, Stoned, Michaelangelo, Brain, Einstein vb gibi).

Bilgisayar virüslerini, genel olarak 2 grupta toplamak mümkün:

  • Dosyalara bulaşan virüsler

  • Bilgisayarın sistem alanlarına bulaşan virüsler

İlk gruba girenler, genellikle, kullanıcının çalıştırdığı programlara (söz gelimi, dos için .EXE ve .COM) bulaşır. Bazen, başka tür sistem dosyalarına da (.OVL, .DLL, .SYS gibi) bulaşabilirler. Programların virüslenmesi iki yolla olur: Ya virüs kodu bilgisayarın hafızasına yerleşmiştir ve her program çalıştırılışta o programa bulaşır; ya da hafızaya yerleşmeden sadece “virüslü program her çalıştırılışında” etkisini gösterebilir. Ancak, virüslerin çoğu kendini bilgisayarın hafızasına yükler.

İkinci gruba giren virüsler ise, bilgisayarın ilk açıldığında kontrol ettiği özel sistem alanlarına (boot sector) ve özel sistem dosyalarına (command.com gibi) yerleşirler.

Bazı virüsler ise her iki şekilde de zarar verebilir.

Bazı virüsler, virüs arama programları tarafından saptanmamak için bazı “gizlenme” teknikleri kullanırlar (Stealth Virüsleri). Bazı tür virüsler ise, çalıştırıldığında kendine benzer başka virüsler üretir (Polymorphic virüsler). (Bu tip virüslein ilk örneklerinden olan Dark Avanger ve Cascade bilgisayar sistemlerine ciddi zararlar vermişlerdir).

Bir virüs Word ya da Excel gibi her gün kullandığınız programlara yerleşerek de çoğalabilir, disketlerin boot sektörüne kendini yazarak da. Virüsü kapmış dosya çalıştırıldığında veya bilgisayar virüslü disketten açıldığında virüs icraatına başlar. Genellikle yaptığı ilk iş gidip belleğe yerleşmek ve enfekte etmek için orada sinsi sinsi kurban beklemek olur. Bir sonraki çalışan program ya da takılan bir sonraki disket virüsün hedefi olur. Çoğu virüs belli bir tarihe gelindiğinde ya da virüslü program belli sayıda çalıştırıldığında üremenin dışında bir faaliyete daha başlar. Bu, ekrana bir mesaj ya da resim çıkarmak gibi masum yaramazlık sayılabilecek bir faaliyet de olabilir, ekran ayarlarınızı değiştirerek ya da sistem performansını yavaşlatarak orta seviye zarar veren bir faaliyet de olabilir, sistem çökmelerine, veri kaybına ve dosyaların hasar görmesine yol açan insafsız bir faaliyet de olabilir.

DOSYAYA BULAŞAN VİRÜSLER

Bu virüsler .COM ve .EXE uzantılı dosyaların kaynak koduna kendilerinin de bir kopyasını eklerler. Bazı durumlarda .SYS, .DRV, .BIN, .OVL ve .OVY uzantılı dosyalara da bulaşırlar. Bazen bellekteki virüs bulaşmak için dosyanın açılmasını beklemek zorunda kalmaz, sadece açıldığı zaman örneğin DOS’ta DIR çekildiği zaman hepsine bulaşır. Erişebildiği dizindeki tüm dosyalara doğrudan bulaşabilen virüsler de bulunuyor. Dosyaya bulaşan virüslerin çoğu EXE dosyanın başlangıç kodunu alır ve dosya içinde başka bir yere yazar. Dosya çalıştırıldığında önce virüs harekete geçer, başlangıç kodunu çalıştırır ve sanki her şey yolunda gidiyormuş gibi görünür. Bazıları .exe uzantılı dosya ile aynı isimde ama soyadı .com olan bir dosya yaratarak içine kendi kodunu kopyalar. DOS tabanlı işletim sistemleri önce .com uzantılı dosyaya bakacağı için farkında olmadan virüsü çalıştırmış olursunuz.

BOOT SEKTÖRÜ VİRÜSLERİ

İster sabit diskte ister diskette olsun A, C, D, E olarak bildiğimiz mantıksal bölümlerinin her birinin bir boot sektörü vardır. Bu disk ya da disketten bilgisayar açılamıyorsa da durum değişmez, illa boot edilen bir disk olması şart değil. Boot sektöründe diskin formatı ve depolanmış verilerin bilgileriyle DOS’un sistem dosyalarını yükleyen boot programı bulunur. Meşhur “Non-system Disk or Disk Error” mesajını bu program, sistem dosyalarını bulamadığı zaman gönderir. Bir boot sektör virüsü sistem dosyalarını bozduğunda da bu mesajı alırsınız. 1996 yılına kadar en yaygın virüs tipi bunlardı. Boot disketinden belleğe geçer ve yazma koruması olmayan her türlü diskete eriştiği anda bulaşır.

MASTER BOOT RECORD VİRÜSLERİ

Sabit disklerin ilk fiziksel sektörlerinde (Side Ø, Track Ø, Sector 1) diskin Master Boot Record’u ve Partition Tablosu vardır. Master Boot Record’un içindeki Master Boot programı partition tablosundaki değerleri okur ve boot edilebilir partition’ın başlangıç yerini öğrenir. Sisteme o adrese git ve bulduğun ilk program kodunu çalıştır komutunu gönderir. Bu virüsler de tıpkı boot sektör virüslerinde olduğu gibi bulaşırlar. Virüslü bir disketten makineyi açarken virüslü boot sektör programı okunur ve çalıştırılır, virüs belleğe yerleşir ve sabit diskin MBR’ını (Master Boot Record) bozar. Her disk ve disketin bir boot sektörü olduğuna göre sistem disketi olmayan veri disketlerinden de bulaşma ihtimali vardır.

MULTİ-PARTITE VİRÜSLER

Multi-partite virüsler yukarıda sözedilen iki tür virüsün kombinasyonudur. Bu tür virüslere daha az rastlanıyor ama rastlanma oranı da giderek artıyor. Hem MBR, hem boot sektörü ve çalıştırılabilir dosyaları bozarak yayılma şanslarını artırıyorlar.

MAKRO VİRÜSLERİ

Son zamanlarda en çok rastlanan virüs tipi bu. Adından da anlaşılacağı gibi bu tür virüsler Microsoft Word ve Excel gibi popüler uygulama programlarının makro dilleri kullanılarak yazılıyorlar. Makro’lar veri dosyalarında kaydedildiği için virüslü bir belge açıldığında virüsün makro kodu çalışmaya başlayarak ne yapacaksa yapıyor. İlk olarak 1995 yılında görülen bu virüs türü Microsoft Word’ün şablon belgelerini bozuyordu. Bir yıl içinde tarihin en yaygın ve başarılı virüs türü haline geldi. Bu başarıda en büyük pay Word’un çok yaygın kullanılan bir uygulama olmasında ve insanların Internet üzerinden birbirlerine bol miktarda Word belgesi göndermesinde gizli. Makro virüslerinden ilkinin adı WM.Concept idi.

I LOVE YOU
Artık bilinen bir gerçek var ki, bir virüsün popüler olabilmesi için verdiği zarardan çok, yayılma hızı ön planda yeralıyor. Çokda ayrıcalıklı bir koda sahip olmayan bu virüs Aşk kelimesi sayesinde umulandan daha hızlı yayılmıştır. Tabiki kendini yaymak için kullandağı programların açıklarınıda unutmamak gerek.

Gazetelerden okuduğumuz kadarıyla şu sıralar Iloveyou virüsünü yazan 23 yaşındaki kişinin gerçekten kodu yazan kişi olmadığı tartışması sürmekte, kimilerine göre böyle bir kodu üretmek 23 yaşındaki bir insan için imkansızmış. Diğer bir tartışma konusu ise kodu yazan kişinin bile bu denli büyük bir zarara yol açacağını tahmin etmemiş olmasıymış. (Dünyada bu kadar saf insan olduğunu hesaba katmamış olabilir)

Aslında zarara uğrayanlar şahıslar değil firmalar, burdan şu sonuç çıkıyor, bilgisayar başındaki kullanıcıların bilinçsiz ve vurdum duymaz olmaları. Bunun en güzel örneği ise Japonya. Virüs dünya basınında birinci haber konusu olduğunda, Japonlar resmi tatil yapıyorlardı, ama ne oldu işbaşı yaptıkları gün bildikleri halde gelen mesajı açtılar ve dosyayıda tereddüt etmeden çalıştırdılar. Virüsün çalıştırıldığı bilgisayar aslında internete o an açık değilse söylenenin aksine o denli büyük zararlar vermediği.

Virüsün en fazla yapabildiği e-mail aracılıyla kendini baska insanlara göndermek. Mp3 ve Jpg dosyalarını silmek. Eğer internet açık ise mIRC üstünden kendini başkalarına göndermek ve kendi sitesine bağlanıp WIN-BUGSFIX.exe adlı asıl iş bitirici dosyayı indirmek.
Çözümleri:

Yetenekten yoksun, ancak bu tip işlere özenen bazı kişilerde aynı virüsün Subject kısımını değiştirerek aynı virüsü başkalarını göndermeye devam ediyorlar, eğer aşağıdaki başlıklarda bir mesaj alırsanız dikkat edin.

SUBJECT : ILOVEYOU
SUBJECT : Susitikim shi vakara kavos puodukui…
SUBJECT : fwd: Joke
SUBJECT : same as A
SUBJECT : Mothers Day Order Confirmation
SUBJECT : Dangerous Virus Warning
SUBJECT : Virus ALERT!!!
SUBJECT : same as A
SUBJECT : Important! Read carefully!!
SUBJECT : How to protect yourself from the IL0VEY0U bug!
SUBJECT : I Cant Believe This!!!
SUBJECT : Thank You For Flying With Arab Airlines

Gelelim virüs’den kurtulma yollarına, eğer bu tip mesajlar alırsanız hiç terettüd etmeden inbox’ınızdan hatta delete item’dan bu mesajı silmeniz (unutmayın gelen mesajı açmadan ve eklenmiş olan dosyayı çalıştırmadığınız sürece virüs size zarar veremez).
Eğer merakınız ağır basmış ve mesajı açıp dosyayı çalıştırmışsanız bedava programlar bölümünden temin edebilieceğiniz antiIloveyou programını çekip sisteminizi temizlemeniz gerekmetedir.

Win9x.CIH

Sizlere virüsler özellikle Win9x.CIH virüsü hakkında bilgi vermek istiyorum.

  Bu virüs son günlerde pek çoğumuzun başını ağrıtıyor.Virüs, bulaştığı programlarda herhangi bir boy uzamasına sebep olmadığından detaylı bir inceleme yapmadan virüsü tespit edebilmek zor.Win9x.CIH virüsünün 1-2 bugı var.Bu buglardan faydalanarak sisteminizde bu virüsü kolayca tespit edebilirsiniz. Aklıma ilk gelen şu; Mesela CD sürücünüzden bir dosyayı sabit diskinize kopyalamak isterseniz, dosya hatalı kopyalanıyor, kopyalama işlemi sonucunda dosyanın çalışmadığını görüyorsunuz.

Şu virüsün özelliklerine bir bakalım

Bulaştığı Dosyalar

32 bit Portable Executable

Virüs bulaştıktan sonra dosyadaki boy uzaması

0 byte

Çalıştığı işletim sistemleri

Windows 9x (NT’de çalışmıyor)

Varyant sayısı

3

  Virüs yukarıda da belirttiğim Win9x.CIH virüsü NT sistemlerinde çalışmaz, kodu NT altında çalışacak şekilde değildir.Win9x.CIH virüsününün bilinen 3 varyantı da yakın tarihlerde yazılmıştır ve yaklaşık olarak 1000 byte civarındadır. Bütün varyantlar, şifrelenmiş bir metin içerir.Aşağıdaki tabloda bunları görebilirsiniz.

Uzunluk

Metin

Tetiklenme tarihi

1003

CCIH 1.2 TTIT

26 Nisan

1010

CCIH 1.3 TTIT

26 Haziran

1019

CCIH 1.4 TATUNG

Her ayın 26.cı günü

  Win9x.CIH, yukarıdaki tabloda görebileceğiniz tarihlerde aktifleşir.Virüs aktifleştiğinde, hard-disk üzerindeki verilerin üzerine yazmaya başlar.Bunun yanısıra virüs sistemdeki FlashBIOS çipini resetlemeye çalışır. Virüs, FlashBIOS’a ulaşmak için direkt erişim portlarını, diske erişebilmek içinse VxD direkt disk erişimini (IOS_SendCommand) kullanır. Günümüzdeki makinalarda FlashBIOS olduğunu düşünürsek olayın ciddiyeti ortaya çıkar. FlashBIOS çiplerinin kontrol edilmesi, board üzerindeki jumperlar tarafından disable/enable edilebilse de, genelde bu ayar enabled şeklindedir.Yani virüs aktifleştiğinde rahatça FlashBIOS çipinizi uçurabilir, FlashBIOS çipinin uçması demek aynı zamanda makinanın da uçması demek.Bilgisayarın boot edilmesi için BIOS programı gereklidir.Virüs te BIOS programını uçurduğu için sistemi açmak mümkün olmaz..(Burayı anladınız sanırım)

  Şimdi virüslerle ilgilenenlerin bu virüsle ilgili merak ettiklerini düşündüğüm ‘nasıl oluyor da virüsün bulaştığı programın boyu uzamıyor’ konusuna bakalım.

  Bunun için öncelikle PE tipi programların yapıları hakkında az çok bilgi sahibi olmak gerek. PE header Windows 95/98/NT sistemlerinde kullanılıyor. Bu tip dosyaların 003Ch ofsetlerinde PE header’ın EXE dosya içindeki konumu yer alır.Buradaki ofset adresine bakarsak burada PE karakterlerini görürüz.Buradan itibaren PE header yer alır. PE header yapı itibarıyle pek çok boşluklu alanlar içerebilir ki hemen hemen bütün PE tipi programlarda görüleceği üzere PE headerın hemen ardında epeyce bir bölüm boştur.Win9x.CIH, kodunu bu gibi kodu için yeterli boş olanlara yazar. Bunun sonucunda virüslü programlarda herhangi bir boy uzaması olmaz.

  Win9x.CIH virüsünün bulaştığı bir programı, temiz bir makinada çalıştırdığınızda, virüslü program Int 03’ü çağırır ve DR0 (Debug register0) yazmacına bakar. DR0 yazmacında sıfırdan farklı bir değer varsa virüs daha önce hafızaya yüklendirğini anlar ve kontrolü ana programa bırakır.Eğer DR0 yazmacında sıfır değeri gelmiş ise virüs Int 03’ü Interrupt Kesilme tablosuna direkt müdahele ederek kontrol altına alır. Int 03 genelde debuggerların breakpoint noktalarında program çalışmasına ara vermek için kullandıkları bir kesilmedir. Virüs bu sayede kodunun disassembly edilmesini engellemeye çalışır, bu aynı zamanda virüs kodunun CPU Supervisor seviyesinde çalıştırılmasını sağlar.

 Virüslerden korunmak için iyi bir anti-virüs programını bilgisayarınızda bulundurun. En iyi virüs programı olan Avp anti-virüs programını programlar bölümünde yer almaktadır. Bu programla tam bir koruma sağlayabilirsiniz.

Win9x.CIH virüsü gerçekten çok tehlikeli bir virüs.27 Nisan/Haziran veya bir 27sinin sabahı kalktığınızda saçınızı başınızı yolmamak için bu virüsü ciddiye alın derim.

Çernobil Virüsünün Bilgisayara Etkisi ve çözüm yolları

Teknolojinin her dakika geliştiği günümüz de ,art niyetli ve bilgisayar sistemlerini çok iyi şekilde tanıyan bir takım şahıslar dijital katliam olarak nitelendirilebilecek ÇERNOBİL (CHERNOBYL / WINCIH) virüsünü yaratmıştır.

Daha önce bu tür bir virüs ile bilgisayar dünyası hiç karşılaşmamıştır.Bu virüs daha önceki yıllarda yazılan milyonlarca bilgisayar virüslerinden farklı olarak yeni teknoloji anakartlarda ki FLASH BIOS dediğimiz elektronik eleman içindeki bilgiyi sıfırlamakta , yani silmektedir.Öncelikle her türlü makinada Harddisk dediğimiz ,bilgilerinizi kaydettiğiniz aygıtı silmektedir.Bunun sonucunda tüm bilgileriniz silinmektedir.
Not : Virüs sadece Windows 95 veya Windows 98 işletim sistemini kullanan bilisayarlara zarar vermektedir.NT işletim sistemine zarar verememektedir.

 

I LOVE YOU
Artık bilinen bir gerçek var ki, bir virüsün popüler olabilmesi için verdiği zarardan çok, yayılma hızı ön planda yeralıyor. Çokda ayrıcalıklı bir koda sahip olmayan bu virüs Aşk kelimesi sayesinde umulandan daha hızlı yayılmıştır. Tabiki kendini yaymak için kullandağı programların açıklarınıda unutmamak gerek.

Gazetelerden okuduğumuz kadarıyla şu sıralar Iloveyou virüsünü yazan 23 yaşındaki kişinin gerçekten kodu yazan kişi olmadığı tartışması sürmekte, kimilerine göre böyle bir kodu üretmek 23 yaşındaki bir insan için imkansızmış. Diğer bir tartışma konusu ise kodu yazan kişinin bile bu denli büyük bir zarara yol açacağını tahmin etmemiş olmasıymış. (Dünyada bu kadar saf insan olduğunu hesaba katmamış olabilir)

Aslında zarara uğrayanlar şahıslar değil firmalar, burdan şu sonuç çıkıyor, bilgisayar başındaki kullanıcıların bilinçsiz ve vurdum duymaz olmaları. Bunun en güzel örneği ise Japonya. Virüs dünya basınında birinci haber konusu olduğunda, Japonlar resmi tatil yapıyorlardı, ama ne oldu işbaşı yaptıkları gün bildikleri halde gelen mesajı açtılar ve dosyayıda tereddüt etmeden çalıştırdılar. Virüsün çalıştırıldığı bilgisayar aslında internete o an açık değilse söylenenin aksine o denli büyük zararlar vermediği.

Virüsün en fazla yapabildiği e-mail aracılıyla kendini baska insanlara göndermek. Mp3 ve Jpg dosyalarını silmek. Eğer internet açık ise mIRC üstünden kendini başkalarına göndermek ve kendi sitesine bağlanıp WIN-BUGSFIX.exe adlı asıl iş bitirici dosyayı indirmek.
Çözümleri:

Yetenekten yoksun, ancak bu tip işlere özenen bazı kişilerde aynı virüsün Subject kısımını değiştirerek aynı virüsü başkalarını göndermeye devam ediyorlar, eğer aşağıdaki başlıklarda bir mesaj alırsanız dikkat edin.

SUBJECT : ILOVEYOU
SUBJECT : Susitikim shi vakara kavos puodukui…
SUBJECT : fwd: Joke
SUBJECT : same as A
SUBJECT : Mothers Day Order Confirmation
SUBJECT : Dangerous Virus Warning
SUBJECT : Virus ALERT!!!
SUBJECT : same as A
SUBJECT : Important! Read carefully!!
SUBJECT : How to protect yourself from the IL0VEY0U bug!
SUBJECT : I Cant Believe This!!!
SUBJECT : Thank You For Flying With Arab Airlines

Gelelim virüs’den kurtulma yollarına, eğer bu tip mesajlar alırsanız hiç terettüd etmeden inbox’ınızdan hatta delete item’dan bu mesajı silmeniz (unutmayın gelen mesajı açmadan ve eklenmiş olan dosyayı çalıştırmadığınız sürece virüs size zarar veremez).
Eğer merakınız ağır basmış ve mesajı açıp dosyayı çalıştırmışsanız bedava programlar bölümünden temin edebilieceğiniz antiIloveyou programını çekip sisteminizi temizlemeniz gerekmetedir

Kendisi pek zararlı olmayan bu virüs bir makro ile de virüs yapılabileceğini ispatlaması açısından önemli sayılmalı. WM.Concept virüsünün kaynak kodu gizli değildi, bu yüzden yeni makro virüsü yazmak isteyenler alıp üzerinde küçük değişiklikler yaparak tekrar ortalığa saldılar. Birkaç ay içinde yüzlerce makro virüsü tespit edildi ve kayıtlara geçirildi

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.