Edit�r'den
GPG
IEEE 802.11a
Linux
MBSA
ODT�-B�DB web sitesi
Serbest Yaz�l�m
Tez-Dan��man Prog.
Vir�sler
CISN Ar�iv
Anket
Geribildirim


Computing & Information Services Newsletter
Virsler
     
 

Bilgisayarnzn, sizin isteiniz ve bilginiz dnda zararl bir ilem yapmasn salayan program paracna virs denilmektedir.

lk virs, bir firmann yapt programn disketle oaltlmas srasnda telif haklarnn deitirilmesini salyordu (1986 - Brain). Bundan sonra balca

  • Chernobyl (CIH) (1998),
  • Melissa (1999),
  • Navidad (2000),
  • Nimda/Sircam/CodeRed (2001)

gibi virsler bilgisayar dnyasnda aktif halde grlmtr.

Ocak 2002 tarihinde alnan verilere gre 70.000 adet aktif virs vardr. eitler arasnda en byk oran macro (26.1%) ve truva at (trojan - 26.1% ) virslerinde bulunmakla birlikte, bulama oran asndan bakldnda sistem tarafndan altrlabilir dosyalarla bulaan virsler (79%) ak farkla nde yer almakta ve her ay bulunan virs says srekli artmaktadr.

Gnmze virsler yaylma yolu olarak genelde Windows iletim sistemlerinde otomatik olarak altrlabilen dosya eklentilerini seiyorlar.

Yazlan her virs tehlikeli deildir. Bir virsn etkin halde olduunu anlamak iin bir ok anti-virs yazlm sitesini gezip, bu sitelerin notlama sitemine gre yorum yapmak gerekmektedir. Bu siteler arasnda:

yer almaktadr.

Virslerin Bulama Yntemleri:

Gemiten bu gne en yaygn ekilde virs bulama yntemleri sras ile:

  • Disket, CD
  • E-posta
  • A paylam
  • Internet'ten indirilen programlar

olarak grnmektedir. Bunlar iinde gnmzde en yaygn olan, e-posta ve Internet'ten indirilen dosyalar zerinden bulama yntemleri stnde biraz daha durmakta yarar var:

1. E-posta ile Virs Bulamas

E-posta ile virs bulamas, e-postalarn altrlabilir eklentileri sayesinde olur. Virsn aktif hale gelmesi iin eklentileri amamak her zaman bir koruma salamamaktadr. Baz e-posta okuyucu programlar belli formattaki eklentileri otomatik olarak altrmaktadr. Bu sayede virs kullancdan habersiz bilgisayara girip programn gerei olan ilemleri yapabilmektedir (rnek: Outlook / Outlook Express - Bubbleboy). Gerekli iletim sistemi gncellemeleri (Windows iletim sistemi iinhttp://windowsupdate.microsoft.com/ adresinden yararlanabilirsiniz) yapldktan sonra virs bu tr aklardan yararlanp kullancdan habersiz bulama ansn yitirmektedir. Bu habersiz bulama yaps aslnda e-posta ile virs bulama konusunun sadece ufak bir blmdr. Esas ksm kullancnn sistem tarafndan altrlabilir dosyalar (.bat, .exe, .scr, .pif, vb) e-posta ile almas ve onu bilgisayarna ekmeden ya da ekerek altrmas ile sisteme virs bulatrmasdr. Bu ekilde, kullancnn bireysel hatasndan kaynaklanarak sisteme virs bulamas daha sklkla karlalan bir durumdur.

2. WWW'den Virs Bulamas

WWW'den virs bulamas Internetten indirilen dosyalarla olmaktadr. Bu konuyu da yine kullancnn bilinli olarak indirdii dosyalar ve kulland web-taraycsnn (Internet Explorer, Netscape) otomatik olarak indirdii dosyalar ile virs bulamas diye ikiye ayrabiliriz.

Birinci durumda kullanc bilinli olarak Internetten bir dosyay bilgisayarna eker ve o dosya ieriinde virs varsa altrdnda sisteme virs bular. Bunu engellemenin yolu kullanclarn bilinlenmesidir.

kinci durum ise biraz daha karmak. Bu ksm da ikiye ayrmak gerekmektedir:

  • Java-Script
  • ActiveX

kullanarak grntlenen www sayfalarndan virsn bulamas.

a) Java Script:

Java apletler sayesinde www sayfalar etkileimli hale gelmitir (ufak animasyonlar, vb). Gnmzde tm web tarayclar Java'y desteklemektedir. Burada yaanan sorun, bahsedilen apletlerin gvenilir olmayan sitelerden de indirilebilmesinden kaynaklanmaktadr. Bunun iin "sandbox" adnda bir teknoloji ile gvenlik nlemi alnmtr. Sandbox tarafndan altrlan aplet bilgisayardaki dosyalar ne okuyabiliyor ne de yazabiliyor. Buraya kadar anlatlanlar bu sistemin gvenli olduu izlenimini veriyor. Ama sorun sandbox teknolojisinin karmak yapsndan dolay meydana gelmektedir. Bazen gzden karlm bir ak sayesinde virsler bilgisayarda kod altrabiliyor. rnek olarak bir ok gizli pencere ap sistemin kaynaklarn tketebiliyor.

b) ActiveX:

Windows apletleridir. "web" sayfalarndaki animasyonlar vb. gstermek iin kullanlan bir yapdr. Bilgisayara ".dll" (Dynamic Link Library) uzantsnda dosyalar indirirler. Bu dosyalarn sistemde her trl yetkiye sahip olmas, virse en kolay ve en gl ekilde sisteme hakim olma ans tanmaktadr. MS Internet Explorer'n ok sayda gvenlik gncellemesi bu nedenle yazlmtr. Yapdaki gvenlik sistemi "Authenticode system and Code Signing"olarak adlandrlmaktadr. Web sayfalarndan DLL indirirken gvenli olarak tanmlanm olmas esasna dayanyor. Ancak kullanlan www taraycsnn ayarlar en gvensiz seviyedeyse otomatik olarak sitedeki ".dll" uzantl dosyay bilgisayara indirir. Bu dosya "command.com" dahil bir ok komutu altrma yetkisine sahiptir. Tedbir olarak "MS Internet Explorer" ayarlarndaki gvenlik seviyesinin en azndan "Medium" olarak ayarlanmas gerekmektedir.

Internet Solucanlar:

Dier yollarn yannda iletim sistemlerinin ve alan servislerin gvenlik aklarn kullanarak "kendiliinden" bulaan virslerdir ( CodeRed, Nimda).

Bu virsler aada yer alan sonulara yol aabilir:

  • Web sunucu program zarar grebilir. (rnek: ISS)
  • Diskte kaytl bilgiler silinebilir.
  • Web sayfas ieriini deitirebilir.
  • Gereksiz a trafii yaratabilir.
    • E-posta, tftp, port tarama.
  • Backdoor / Trojan yerletirebilir.

En nemli rnekleri arasnda milyonlarca dolarlk zarara neden olan Nimda ve Melissa yer almaktadr.

Bu virslerden Nimda'y (W32/Nimda@MM) biraz daha ayrntl inceleyelim:

  • 2001 yl Ekim aynda ortaya kmtr.
  • IIS (Internet Information Server) web sunucularna 2001 Austosda bulunan bir aktan yararlanarak bulamaktadr.
  • "Outlook Express" e-posta istemcisinin gvenlik andan yararlanarak e-posta eklentisinin isteminiz d almas ile bulamaktadr.
  • "Internet Explorer"n virsl web sayfasndan readme.eml dosyasn indirmesi ve altrmas ile bulamaktadr.

Grld gibi internet solucanlar bir ok programn aklarndan faydalanarak kendiliinden bulamaktadr.

Truva Atlar (Trojan)

Kendi kendine yaylmayan, arka planda alan program paracklardr. E-posta ile gelen altrlabilir eklentiler ya da ICQ vb. programlar yoluyla, altrlabilir dosya alverii ile bulamaktadrlar.(Back Orifice, Sub Seven). Program almaya baladktan sonra bilgisayara uzaktan eriimle kt niyetli bir kii istedii program yklemek, baka bilgisayarlara saldrmak gibi haklara sahip olabilmektedir.

Virs eitleri

1. HOAX

Virs olmad halde sisteminizdeki bir dosyann virs olduu bilgisini ieren ve silmeniz gerektiini syleyen yanltc mesajlardr (Sulfnbk HOAX, Taliban HOAX).

2. BIOS & CMOS Setting Virus

Bilgisayarn almasn veya al nitesinin (disket, CD, HDD) sras gibi BIOS ayarlarn etkileyen virslerdir (Troj/KillCMOS, W95/CIH-10xx).

3. Visual Basic Script (VBS) Virus & Worm

Visual Basic dilinde yazlm ufak kodlardr. Bir web sayfasna veya e-postann iine gmlm olabilirler. Kullandnz tarayc / e-posta okuyucu programn gvenlik aklarndan yararlanarak bilgisayara bularlar (VBS/Numgame)

4. Windows letim Sisteminin zelliklerine Bal Virsler

a. Win32 Virus & Worm

Windows iletim sistemlerinde altrabilir virslerdir. Kullanlan programn gvenlik aklarndan yararlanrlar (Web sunucu veya tarayc). rnek olarak W32/Magister, W32/Nimda verilebilir.

b. W95/98/ME Virus

Sadece Windows 95/98/ME iletim sistemlerini etkileyen virslerdir. BIOS'u deitirebilir ya da sistemi almaz hale getirebilirler (CIH/10-xx, W95/Babylonia)

c. WinNT/2K/XP Virus

Windows NT/2000/XP iletim sistemlerinin ya da bu iletim sistemlerinde kullanlan dier programlarn gvenlik aklarndan yararlanarak bularlar. Dosya sisteminin zelliklerine baml olduklarndan sadece NTFS kullanan sistemlerde etkindirler (W2K/Stream, WNT/RemExp).

5. Macro Virus

Makro programlardr. Microsoft Office uygulamalarnda kullanlan belgelerin ierisine gml olan makrolardr. Program veya komut altrma yetkisi olduundan ok zaral olabilirler. simlendirme olarak

  • Wm: Windows Macro virs
  • w97m:--> MS Word Macro virs
  • pp97m: MS PowerPoint Macro virs
  • xm97m: MS Excel Macro virs

gelitirilmitir ( rnek: Wm/Nuclear).

Yeni Internet Aralarnda Virsler

Cep telefonu, Palm, PDA (Personal Digital Assistant) gibi PC dndaki Internet ulam aralarnda da artk virs korkusu ba gstermektedir. 2000 ylnn banda VBS/Timo, Palm/Liberty isimli iki virs PDA'leri etkilemitir. Bu aralar arasnda cep telefonlar en az tehlikeye sahip olsalar da kullanacaklar e-posta okuma programlar nedeniyle sorun yaayabileceklerdir.

Gelecekte bu aralar virsten koruma yntemleri arasnda, virs tarama programlar en etkili yntem olarak grnmektedir.

Virsler Nereye Ne Yazar?

lk alta almak iin genellikle "Windows Registry" (kayt) ayarlarn deitiriler. Bu bilgilere mdahale ederken iki defa dnmek gerektiini unutmamalsnz. Start | Run | regedit yazp "Enter" uuna baslnca aadaki ekran alr.

Burada, aadaki konumlara kendi program adlarn yazarak alta balamalarn salamaktadrlar.

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\Windows\ CurrentVersion\
    • RunServices
    • RunServicesOnce
    • Run
    • RunOnce
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\
    • Run
    • RunOnce
    • RunServices

Virslerden Korunma

  • Bir antivirs program kurun ve gncel tutun. Gncellemesi yaplmam bir antivirs program yeni virslere kar etkisiz kalmaktadr.
  • letim sisteminizi gncel tutun. Windows iletim sistemlerinin gncelletirmeleri iin aadaki linkten yararlanabilirsiniz.
    http://windowsupdate.microsoft.com
  • MS Outlook ya da Outlook Express yerine Netscape Messenger, Webmail, Pine gibi programlar kullann.
  • Gerekmedike dosya paylam yapmayn. Paylatrmanz art ise ifreli ve "salt okunur" paylam kullann.
  • Sunucu (server) nitelikli iletim sistemleri kurmayn.Web sunucusu olarak gncellenmemi IIS kullanmayn.
  • "Microsoft Security Bulletin" takibini aadaki adresten yapn:
    http://www.microsoft.com/security
  • Boot ileminin kesinlikle sabit diskten olmasna zen gsterin.
  • ok nemli bilgilerinizin yedeini aln.
  • Ofis programlarnda bilmediiniz makrolar altrmayn.
  • Alternatif Ofis programlar kullann (rnein OpenOffice):
    ftp://ftp.metu.edu.tr/pub/mirrors/openoffice/
  • E-posta ile gelen altrlabilir dosyalar sadece e-postay gnderen kiinin gnderdiinden emin olduunuz durumlarda altrn.

Virslerin Tespiti

Antivirs programlar bilgisayara kurulduktan sonra aktif ekilde dzenli gncellemeleri yapld srece en etkili virs tespiti yntemidir. Ancak gnmzde daha farkl yaklamlar da olduu iin onlardan da bahsedilmelidir. Ardndan antivirs programlarnn yapsndan ve alma prensiplerinden bahsedilecektir.

  • Online Tarayclar:

    "Online tarayclar" antivirs programna bte ayrmak istemeyen ve srekli olmasa da bilgisayarnda tarama yapmak istiyen kullanclar iin antivirs programlar yazan irketlerin sunduu bir hizmettir. Bilgisayardaki tm dosyalar uzaktan tarayan bir yaps vardr. "Bilgisayardan bilgi alyor mu?" konusunda sorular olsada, sonular baarl saylmaktadr.

    Aadaki balantlar izlenerek online virs taramas yaptrlabilir:


  • Antivirs Programlarnn Yaplar

    • Scanners:
      Virsleri izlerine gre arayp bulurlar ve imha ederler. Gncelleme gerektiren bu tarama sistemi kullanc asndan en rahat ve kullanl olandr.
    • Checksummers:
      Standart iletim sistemi dosyalarnn boyut deiikliklerini virs olarak yorumlarlar. Sistem dosyalarnda yaplacak deiiklikleri iyi bilen bir kullanc iin faydal bir yapdr.
    • Heuristics:
      Virslerin karakteristik yaps bu programlarda genel hatlaryla tanmlanr. Ancak son nesil virsler burada kullanlan mantklar zerek yazldndan bazen yetersiz kalmaktadr.

  • Antivirs Program alma Yntemi

    Virs rnts (virus pattern) virs tanmlayan ksa "binary" koddur. Antivirs programlar bilgisayardaki tm dosyalarda taraycs yardmyla virs rntsn arar. Virs bulduunda; karlalan durum iin veritabannda tanmlanm olan ilemleri yapar. Bu nedenle gncellenmi bir antivirs program yeni kan virslere kar kullancnn elindeki tek savunmadr.

Kaynaka:

brahim alr

 
     
  - BAA DN -  
2002 METU CC
Design: CC - INFO