VIRUS:
Bilgisayarınızın, sizin
isteğiniz ve bilginiz dışında zararlı bir işlem
yapmasını sağlayan program parçacığına virüs
denilmektedir.
İlk virüs, bir firmanın
yaptığı programın disketle çoğaltılması
sırasında telif haklarının değiştirilmesini
sağlıyordu (1986 - Brain). Bundan sonra başlıca
- Chernobyl
(CIH) (1998),
- Melissa
(1999),
- Navidad
(2000),
- Nimda/Sircam/CodeRed
(2001)
gibi virüsler bilgisayar dünyasında aktif halde görülmüştür.
Ocak 2002 tarihinde alınan verilere göre 70.000 adet aktif virüs vardır. Çeşitler arasında en büyük oran macro (26.1%) ve truva atı (trojan - 26.1% ) virüslerinde bulunmakla birlikte, bulaşma oranı açısından bakıldığında sistem tarafından çalıştırılabilir dosyalarla bulaşan virüsler (79%) açık farkla önde yer almakta ve her ay bulunan virüs sayısı sürekli artmaktadır..
Günümüzde virüsler yayılma yolu olarak genelde Windows
işletim sistemlerinde otomatik olarak çalıştırılabilen
dosya eklentilerini seçiyorlar.
Yazılan her virüs tehlikeli
değildir. Bir virüsün etkin halde olduğunu anlamak için bir çok
anti-virüs yazılımı sitesini gezip, bu sitelerin notlama
sitemine göre yorum yapmak gerekmektedir. Bu siteler arasında:
- McAfee à http://vil.nai.com
- Northonà http://www.symantec.com
- Trend comà http://www.antivirus.com/vinfo/
- Sophosà http://www.sophos.com/
yer almaktadır.
Virüslerin Bulaşma
Yöntemleri:
Geçmişten bu güne en yaygın şekilde
virüs bulaşma yöntemleri sırası ile:
- Disket, CD
- E-posta
- Ağ
paylaşımı
- Internetten
indirilen programlar
olarak görünmektedir. Bunlar içinde günümüzde en yaygın olan, e-posta
ve Internetten indirilen dosyalar üzerinden bulaşma yöntemleri üstünde
biraz daha durmakta yarar var:
E-posta
ile Virüs Bulaşması
E-posta ile virüs bulaşması,
e-postaların çalıştırılabilir eklentileri sayesinde
olur. Virüsün aktif hale gelmesi için eklentileri açmamak her zaman bir koruma
sağlamamaktadır. Bazı e-posta okuyucu programlar belli
formattaki eklentileri otomatik olarak çalıştırmaktadır. Bu
sayede virüs kullanıcıdan habersiz bilgisayara girip programın
gereği olan işlemleri yapabilmektedir (örnek: Outlook /
Outlook Express Bubbleboy). Gerekli işletim sistemi güncellemeleri
(Windows işletim sistemi için http://windowsupdate.microsoft.com/
adresinden yararlanabilirsiniz) yapıldıktan sonra virüs bu tür
açıklardan yararlanıp kullanıcıdan habersiz bulaşma
şansını yitirmektedir. Bu habersiz bulaşma yapısı
aslında e-posta ile virüs bulaşma konusunun sadece ufak bir
bölümüdür. Esas kısmı kullanıcının sistem
tarafından çalıştırılabilir dosyaları (.bat,
.exe, .scr, .pif, vb) e-posta ile alması ve onu bilgisayarına
çekmeden ya da çekerek çalıştırması ile sisteme virüs
bulaştırmasıdır. Bu şekilde,
kullanıcının bireysel hatasından kaynaklanarak sisteme
virüs bulaşması daha sıklıkla
karşılaşılan bir durumdur.
2.
WWWden
Virüs Bulaşması
WWWden virüs bulaşması Internetten
indirilen dosyalarla olmaktadır. Bu konuyu da yine
kullanıcının bilinçli olarak indirdiği dosyalar ve
kullandığı web-tarayıcısının (Internet
Explorer, Netscape) otomatik olarak indirdiği dosyalar ile virüs
bulaşması diye ikiye ayırabiliriz.
Birinci durumda kullanıcı
bilinçli olarak Internetten bir dosyayı bilgisayarına çeker ve o
dosya içeriğinde virüs varsa çalıştırdığında
sisteme virüs bulaşır. Bunu engellemenin yolu kullanıcıların
bilinçlenmesidir.
İkinci durum ise biraz daha
karmaşık. Bu kısmı da ikiye ayırmak gerekmektedir:
1.
Java-Script
2.
ActiveX
kullanarak görüntülenen www sayfalarından virüsün bulaşması.
a.
Java Script:
Java apletler sayesinde www sayfaları
etkileşimli hale gelmiştir (ufak animasyonlar, vb). Günümüzde tüm web
tarayıcıları Javayı desteklemektedir. Burada yaşanan
sorun, bahsedilen apletlerin güvenilir olmayan sitelerden de
indirilebilmesinden kaynaklanmaktadır. Bunun için sandbox adında
bir teknoloji ile güvenlik önlemi alınmıştır. Sandbox
tarafından çalıştırılan aplet bilgisayardaki
dosyaları ne okuyabiliyor ne de yazabiliyor. Buraya kadar
anlatılanlar bu sistemin güvenli olduğu izlenimini veriyor. Ama sorun
sandbox teknolojisinin karmaşık yapısından dolayı
meydana gelmektedir. Bazen gözden kaçırılmış bir açık
sayesinde virüsler bilgisayarda kod çalıştırabiliyor. Örnek
olarak bir çok gizli pencere açıp sistemin kaynaklarını
tüketebiliyor.
b.
ActiveX:
Windows apletleridir. web sayfalarındaki animasyonları vb.
göstermek için kullanılan bir yapıdır. Bilgisayara .dll (Dynamic
Link Library) uzantısında dosyalar indirirler. Bu dosyaların
sistemde her türlü yetkiye sahip olması, virüse en kolay ve en güçlü
şekilde sisteme hakim olma şansı tanımaktadır. MS
Internet Explorerın çok sayıda güvenlik güncellemesi bu nedenle
yazılmıştır. Yapıdaki güvenlik sistemi Authenticode
system and Code Signingolarak
adlandırılmaktadır. Web sayfalarından DLL indirirken
güvenli olarak tanımlanmış olması esasına
dayanıyor. Ancak kullanılan www tarayıcısının
ayarları en güvensiz seviyedeyse otomatik olarak sitedeki .dll
uzantılı dosyayı bilgisayara indirir. Bu dosya command.com
dahil bir çok komutu çalıştırma yetkisine sahiptir. Tedbir
olarak MS Internet Explorer ayarlarındaki güvenlik seviyesinin en azından
Medium olarak ayarlanması gerekmektedir.
Internet Solucanları:
Diğer yolların yanında işletim sistemlerinin ve çalışan servislerin güvenlik açıklarını kullanarak kendiliğinden bulaşan virüslerdir ( CodeRed, Nimda).
- Web sunucu
program zarar görebilir. (Örnek: ISS)
- Diskte
kayıtlı bilgiler silinebilir.
- Web
sayfası içeriğini değiştirebilir.
- Gereksiz
ağ trafiği yaratabilir.
- E-posta, tftp, port tarama.
- Backdoor / Trojan yerleştirebilir.
En önemli örnekleri arasında milyonlarca
dolarlık zarara neden olan Nimda ve Melissa yer almaktadır.
Bu virüslerden Nimdayı (W32/Nimda@MM) biraz daha ayrıntılı inceleyelim:
- 2001
yılı Ekim ayında ortaya çıkmıştır.
- IIS
(Internet Information Server) web sunucularına 2001 Ağustosda
bulunan bir açıktan yararlanarak bulaşmaktadır.
- Outlook
Express e-posta istemcisinin güvenlik açığından
yararlanarak e-posta eklentisinin isteminiz dışı
çalışması ile bulaşmaktadır.
- Internet
Explorerın virüslü web sayfasından readme.eml
dosyasını indirmesi ve çalıştırması ile
bulaşmaktadır.
Görüldüğü gibi internet solucanları bir
çok programın açıklarından faydalanarak kendiliğinden
bulaşmaktadır.
Truva Atları (Trojan)
Kendi kendine yayılmayan, arka planda
çalışan program parçacıklarıdır. E-posta ile gelen
çalıştırılabilir eklentiler ya da ICQ vb. programlar
yoluyla, çalıştırılabilir dosya alışverişi
ile bulaşmaktadırlar.(Back Orifice, Sub Seven). Program
çalışmaya başladıktan sonra bilgisayara uzaktan erişimle
kötü niyetli bir kişi istediği programı yüklemek, başka
bilgisayarlara saldırmak gibi haklara sahip olabilmektedir.
Virüs Çeşitleri
Virüs olmadığı halde sisteminizdeki bir dosyanın virüs
olduğu bilgisini içeren ve silmeniz gerektiğini söyleyen
yanıltıcı mesajlardır (Sulfnbk HOAX, Taliban HOAX).
Bilgisayarın açılmasını veya açılış
ünitesinin (disket, CD, HDD) sırası gibi BIOS ayarlarını
etkileyen virüslerdir (Troj/KillCMOS, W95/CIH-10xx).
3.
Visual Basic
Script (VBS) Virus & Worm
Visual Basic dilinde yazılmış ufak kodlardır. Bir web
sayfasına veya e-postanın içine gömülmüş olabilirler.
Kullandığınız tarayıcı / e-posta okuyucu
programın güvenlik açıklarından yararlanarak bilgisayara
bulaşırlar (VBS/Numgame)
Windows İşletim Sisteminin Özelliklerine Bağlı Virüsler
Windows işletim sistemlerinde
çalıştırabilir virüslerdir. Kullanılan programın
güvenlik açıklarından yararlanırlar (Web sunucu veya
tarayıcı). Örnek olarak W32/Magister, W32/Nimda verilebilir.
Sadece Windows 95/98/ME işletim
sistemlerini etkileyen virüslerdir. BIOSu değiştirebilir ya da
sistemi çalışmaz hale getirebilirler (CIH/10-xx, W95/Babylonia)
Windows NT/2000/XP işletim
sistemlerinin ya da bu işletim sistemlerinde kullanılan diğer
programların güvenlik açıklarından yararlanarak
bulaşırlar. Dosya sisteminin özelliklerine bağımlı
olduklarından sadece NTFS kullanan sistemlerde etkindirler (W2K/Stream,
WNT/RemExp).
Makro programlarıdır. Microsoft Office uygulamalarında
kullanılan belgelerin içerisine gömülü olan makrolardır. Program veya
komut çalıştırma yetkisi olduğundan çok zaralı
olabilirler. İsimlendirme olarak
- Wm:
Windows Macro virüsü
- w97m:-->
MS Word Macro virüsü
- pp97m: MS
PowerPoint Macro virüsü
- xm97m: MS
Excel Macro virüsü
geliştirilmiştir ( örnek: Wm/Nuclear).
Yeni Internet
Araçlarında Virüsler
Cep telefonu, Palm, PDA (Personal Digital Assistant) gibi PC dışındaki Internet ulaşım araçlarında da artık virüs korkusu baş göstermektedir. 2000 yılının başında VBS/Timo, Palm/Liberty isimli iki virüs PDAleri etkilemiştir. Bu araçlar arasında cep telefonları en az tehlikeye sahip olsalar da kullanacakları e-posta okuma programları nedeniyle sorun yaşayabileceklerdir.
Gelecekte bu araçları virüsten koruma
yöntemleri arasında, virüs tarama programları en etkili yöntem olarak
görünmektedir.
Virüsler Nereye Ne Yazar?
İlk açılışta
çalışmak için genellikle Windows Registry (kayıt)
ayarlarını değiştiriler. Bu bilgilere müdahale ederken iki
defa düşünmek gerektiğini unutmamalısınız. Start | Run
| regedit yazıp Enter uşuna
basılınca aşağıdaki ekran açılır.
Burada, aşağıdaki konumlara kendi
program adlarını yazarak açılışta
başlamalarını sağlamaktadırlar.
- HKEY_LOCAL_MACHINE\
Software\ Microsoft\Windows\ CurrentVersion\
· RunServices
· RunServicesOnce
· Run
· RunOnce
- HKEY_CURRENT_USER\
Software\ Microsoft\ Windows\ CurrentVersion\
· Run
· RunOnce
RunServices
Virüslerden Korunma
- Bir
antivirüs programı kurun ve güncel tutun. Güncellemesi
yapılmamış bir antivirüs programı yeni virüslere
karşı etkisiz kalmaktadır.
- İşletim
sisteminizi güncel tutun. Windows işletim sistemlerinin
güncelleştirmeleri için aşağıdaki linkten
yararlanabilirsiniz.
http://windowsupdate.microsoft.com
- MS Outlook
ya da Outlook Express yerine Netscape Messenger, Webmail, Pine gibi
programları kullanın.
- Gerekmedikçe
dosya paylaşımı yapmayın.
Paylaştırmanız şart ise şifreli ve salt okunur
paylaşım kullanın.
- Sunucu (server) nitelikli işletim sistemleri kurmayın.
- Web sunucusu olarak güncellenmemiş IIS kullanmayın.
- Microsoft Security Bulletin takibini aşağıdaki adresten yapın: http://www.microsoft.com/security
- Boot işleminin kesinlikle sabit diskten olmasına özen gösterin.
- Çok önemli bilgilerinizin yedeğini alın.
- Ofis
programlarında bilmediğiniz makroları
çalıştırmayın.
- Alternatif Ofis programları
kullanın (örneğin OpenOffice): ftp://ftp.metu.edu.tr/pub/mirrors/openoffice/
- E-posta ile gelen çalıştırılabilir dosyaları sadece e-postayı gönderen kişinin gönderdiğinden emin olduğunuz durumlarda çalıştırın.
Virüslerin Tespiti
Antivirüs programları bilgisayara
kurulduktan sonra aktif şekilde düzenli güncellemeleri
yapıldığı sürece en etkili virüs tespiti yöntemidir. Ancak
günümüzde daha farklı yaklaşımlar da olduğu için onlardan
da bahsedilmelidir. Ardından antivirüs programlarının
yapısından ve çalışma prensiplerinden bahsedilecektir.
·
Online
Tarayıcılar:
Online tarayıcılar antivirüs
programına bütçe ayırmak istemeyen ve sürekli olmasa da
bilgisayarında tarama yapmak istiyen kullanıcılar için antivirüs
programları yazan şirketlerin sunduğu bir hizmettir.
Bilgisayardaki tüm dosyaları uzaktan tarayan bir yapısı
vardır. Bilgisayardan bilgi alıyor mu? konusunda sorular olsada,
sonuçları başarılı sayılmaktadır.
Aşağıdaki
bağlantılar izlenerek online virüs taraması
yaptırılabilir:
·
http/www.symantec.com/avcenter
--> Check for Security Risk
-->Scan for virus
http://www.mcafee.com --> VirusScan Online
·
Antivirüs
Programlarının Yapıları
o
Scanners:
Virüsleri izlerine göre arayıp bulurlar ve imha ederler. Güncelleme gerektiren bu tarama sistemi kullanıcı açısından en rahat ve kullanışlı olanıdır.
o
Checksummers:
Standart işletim sistemi dosyalarının
boyut değişikliklerini virüs olarak yorumlarlar. Sistem
dosyalarında yapılacak değişiklikleri iyi bilen bir
kullanıcı için faydalı bir yapıdır.
o
Heuristics:
Virüslerin karakteristik yapısı bu
programlarda genel hatlarıyla tanımlanır. Ancak son nesil virüsler
burada kullanılan mantıkları çözerek
yazıldığından bazen yetersiz kalmaktadır.
·
Antivirüs
Programı Çalışma Yöntemi
Virüs örüntüsü (virus pattern) virüsü
tanımlayan kısa binary koddur. Antivirüs programları
bilgisayardaki tüm dosyalarda tarayıcısı yardımıyla
virüs örüntüsünü arar. Virüsü bulduğunda; karşılaşılan
durum için veritabanında tanımlanmış olan işlemleri
yapar. Bu nedenle güncellenmiş bir antivirüs programı yeni çıkan
virüslere karşı kullanıcının elindeki tek
savunmadır.
Kaynakça:
İbrahim
ÇALIŞIR