Editör'den
 GPG
 IEEE 802.11a
 Linux
 MBSA
 ODTÜ-BİDB web sitesi
 Serbest Yazılım
 Tez-Danışman Prog.
 Virüsler
 CISN Arşiv
 Anket
 Geribildirim


Computing & Information Services Newsletter
Virüsler
     
 

Bilgisayarınızın, sizin isteğiniz ve bilginiz dışında zararlı bir işlem yapmasını sağlayan program parçacığına virüs denilmektedir.

İlk virüs, bir firmanın yaptığı programın disketle çoğaltılması sırasında telif haklarının değiştirilmesini sağlıyordu (1986 - Brain). Bundan sonra başlıca

  • Chernobyl (CIH) (1998),
  • Melissa (1999),
  • Navidad (2000),
  • Nimda/Sircam/CodeRed (2001)

gibi virüsler bilgisayar dünyasında aktif halde görülmüştür.

Ocak 2002 tarihinde alınan verilere göre 70.000 adet aktif virüs vardır. Çeşitler arasında en büyük oran macro (26.1%) ve truva atı (trojan - 26.1% ) virüslerinde bulunmakla birlikte, bulaşma oranı açısından bakıldığında sistem tarafından çalıştırılabilir dosyalarla bulaşan virüsler (79%) açık farkla önde yer almakta ve her ay bulunan virüs sayısı sürekli artmaktadır.

Günümüze virüsler yayılma yolu olarak genelde Windows işletim sistemlerinde otomatik olarak çalıştırılabilen dosya eklentilerini seçiyorlar.

Yazılan her virüs tehlikeli değildir. Bir virüsün etkin halde olduğunu anlamak için bir çok anti-virüs yazılımı sitesini gezip, bu sitelerin notlama sitemine göre yorum yapmak gerekmektedir. Bu siteler arasında:

yer almaktadır.

Virüslerin Bulaşma Yöntemleri:

Geçmişten bu güne en yaygın şekilde virüs bulaşma yöntemleri sırası ile:

  • Disket, CD
  • E-posta
  • Ağ paylaşımı
  • Internet'ten indirilen programlar

olarak görünmektedir. Bunlar içinde günümüzde en yaygın olan, e-posta ve Internet'ten indirilen dosyalar üzerinden bulaşma yöntemleri üstünde biraz daha durmakta yarar var:

1. E-posta ile Virüs Bulaşması

E-posta ile virüs bulaşması, e-postaların çalıştırılabilir eklentileri sayesinde olur. Virüsün aktif hale gelmesi için eklentileri açmamak her zaman bir koruma sağlamamaktadır. Bazı e-posta okuyucu programlar belli formattaki eklentileri otomatik olarak çalıştırmaktadır. Bu sayede virüs kullanıcıdan habersiz bilgisayara girip programın gereği olan işlemleri yapabilmektedir (örnek: Outlook / Outlook Express - Bubbleboy). Gerekli işletim sistemi güncellemeleri (Windows işletim sistemi içinhttp://windowsupdate.microsoft.com/ adresinden yararlanabilirsiniz) yapıldıktan sonra virüs bu tür açıklardan yararlanıp kullanıcıdan habersiz bulaşma şansını yitirmektedir. Bu habersiz bulaşma yapısı aslında e-posta ile virüs bulaşma konusunun sadece ufak bir bölümüdür. Esas kısmı kullanıcının sistem tarafından çalıştırılabilir dosyaları (.bat, .exe, .scr, .pif, vb) e-posta ile alması ve onu bilgisayarına çekmeden ya da çekerek çalıştırması ile sisteme virüs bulaştırmasıdır. Bu şekilde, kullanıcının bireysel hatasından kaynaklanarak sisteme virüs bulaşması daha sıklıkla karşılaşılan bir durumdur.

2. WWW'den Virüs Bulaşması

WWW'den virüs bulaşması Internetten indirilen dosyalarla olmaktadır. Bu konuyu da yine kullanıcının bilinçli olarak indirdiği dosyalar ve kullandığı web-tarayıcısının (Internet Explorer, Netscape) otomatik olarak indirdiği dosyalar ile virüs bulaşması diye ikiye ayırabiliriz.

Birinci durumda kullanıcı bilinçli olarak Internetten bir dosyayı bilgisayarına çeker ve o dosya içeriğinde virüs varsa çalıştırdığında sisteme virüs bulaşır. Bunu engellemenin yolu kullanıcıların bilinçlenmesidir.

İkinci durum ise biraz daha karmaşık. Bu kısmı da ikiye ayırmak gerekmektedir:

  • Java-Script
  • ActiveX

kullanarak görüntülenen www sayfalarından virüsün bulaşması.

a) Java Script:

Java apletler sayesinde www sayfaları etkileşimli hale gelmiştir (ufak animasyonlar, vb). Günümüzde tüm web tarayıcıları Java'yı desteklemektedir. Burada yaşanan sorun, bahsedilen apletlerin güvenilir olmayan sitelerden de indirilebilmesinden kaynaklanmaktadır. Bunun için "sandbox" adında bir teknoloji ile güvenlik önlemi alınmıştır. Sandbox tarafından çalıştırılan aplet bilgisayardaki dosyaları ne okuyabiliyor ne de yazabiliyor. Buraya kadar anlatılanlar bu sistemin güvenli olduğu izlenimini veriyor. Ama sorun sandbox teknolojisinin karmaşık yapısından dolayı meydana gelmektedir. Bazen gözden kaçırılmış bir açık sayesinde virüsler bilgisayarda kod çalıştırabiliyor. Örnek olarak bir çok gizli pencere açıp sistemin kaynaklarını tüketebiliyor.

b) ActiveX:

Windows apletleridir. "web" sayfalarındaki animasyonları vb. göstermek için kullanılan bir yapıdır. Bilgisayara ".dll" (Dynamic Link Library) uzantısında dosyalar indirirler. Bu dosyaların sistemde her türlü yetkiye sahip olması, virüse en kolay ve en güçlü şekilde sisteme hakim olma şansı tanımaktadır. MS Internet Explorer'ın çok sayıda güvenlik güncellemesi bu nedenle yazılmıştır. Yapıdaki güvenlik sistemi "Authenticode system and Code Signing"olarak adlandırılmaktadır. Web sayfalarından DLL indirirken güvenli olarak tanımlanmış olması esasına dayanıyor. Ancak kullanılan www tarayıcısının ayarları en güvensiz seviyedeyse otomatik olarak sitedeki ".dll" uzantılı dosyayı bilgisayara indirir. Bu dosya "command.com" dahil bir çok komutu çalıştırma yetkisine sahiptir. Tedbir olarak "MS Internet Explorer" ayarlarındaki güvenlik seviyesinin en azından "Medium" olarak ayarlanması gerekmektedir.

Internet Solucanları:

Diğer yolların yanında işletim sistemlerinin ve çalışan servislerin güvenlik açıklarını kullanarak "kendiliğinden" bulaşan virüslerdir ( CodeRed, Nimda).

Bu virüsler aşağıda yer alan sonuçlara yol açabilir:

  • Web sunucu program zarar görebilir. (Örnek: ISS)
  • Diskte kayıtlı bilgiler silinebilir.
  • Web sayfası içeriğini değiştirebilir.
  • Gereksiz ağ trafiği yaratabilir.
    • E-posta, tftp, port tarama.
  • Backdoor / Trojan yerleştirebilir.

En önemli örnekleri arasında milyonlarca dolarlık zarara neden olan Nimda ve Melissa yer almaktadır.

Bu virüslerden Nimda'yı (W32/Nimda@MM) biraz daha ayrıntılı inceleyelim:

  • 2001 yılı Ekim ayında ortaya çıkmıştır.
  • IIS (Internet Information Server) web sunucularına 2001 Ağustosda bulunan bir açıktan yararlanarak bulaşmaktadır.
  • "Outlook Express" e-posta istemcisinin güvenlik açığından yararlanarak e-posta eklentisinin isteminiz dışı çalışması ile bulaşmaktadır.
  • "Internet Explorer"ın virüslü web sayfasından readme.eml dosyasını indirmesi ve çalıştırması ile bulaşmaktadır.

Görüldüğü gibi internet solucanları bir çok programın açıklarından faydalanarak kendiliğinden bulaşmaktadır.

Truva Atları (Trojan)

Kendi kendine yayılmayan, arka planda çalışan program parçacıklarıdır. E-posta ile gelen çalıştırılabilir eklentiler ya da ICQ vb. programlar yoluyla, çalıştırılabilir dosya alışverişi ile bulaşmaktadırlar.(Back Orifice, Sub Seven). Program çalışmaya başladıktan sonra bilgisayara uzaktan erişimle kötü niyetli bir kişi istediği programı yüklemek, başka bilgisayarlara saldırmak gibi haklara sahip olabilmektedir.

Virüs Çeşitleri

1. HOAX

Virüs olmadığı halde sisteminizdeki bir dosyanın virüs olduğu bilgisini içeren ve silmeniz gerektiğini söyleyen yanıltıcı mesajlardır (Sulfnbk HOAX, Taliban HOAX).

2. BIOS & CMOS Setting Virus

Bilgisayarın açılmasını veya açılış ünitesinin (disket, CD, HDD) sırası gibi BIOS ayarlarını etkileyen virüslerdir (Troj/KillCMOS, W95/CIH-10xx).

3. Visual Basic Script (VBS) Virus & Worm

Visual Basic dilinde yazılmış ufak kodlardır. Bir web sayfasına veya e-postanın içine gömülmüş olabilirler. Kullandığınız tarayıcı / e-posta okuyucu programın güvenlik açıklarından yararlanarak bilgisayara bulaşırlar (VBS/Numgame)

4. Windows İşletim Sisteminin Özelliklerine Bağlı Virüsler

a. Win32 Virus & Worm

Windows işletim sistemlerinde çalıştırabilir virüslerdir. Kullanılan programın güvenlik açıklarından yararlanırlar (Web sunucu veya tarayıcı). Örnek olarak W32/Magister, W32/Nimda verilebilir.

b. W95/98/ME Virus

Sadece Windows 95/98/ME işletim sistemlerini etkileyen virüslerdir. BIOS'u değiştirebilir ya da sistemi çalışmaz hale getirebilirler (CIH/10-xx, W95/Babylonia)

c. WinNT/2K/XP Virus

Windows NT/2000/XP işletim sistemlerinin ya da bu işletim sistemlerinde kullanılan diğer programların güvenlik açıklarından yararlanarak bulaşırlar. Dosya sisteminin özelliklerine bağımlı olduklarından sadece NTFS kullanan sistemlerde etkindirler (W2K/Stream, WNT/RemExp).

5. Macro Virus

Makro programlarıdır. Microsoft Office uygulamalarında kullanılan belgelerin içerisine gömülü olan makrolardır. Program veya komut çalıştırma yetkisi olduğundan çok zaralı olabilirler. İsimlendirme olarak

  • Wm: Windows Macro virüsü
  • w97m:--> MS Word Macro virüsü
  • pp97m: MS PowerPoint Macro virüsü
  • xm97m: MS Excel Macro virüsü

geliştirilmiştir ( örnek: Wm/Nuclear).

Yeni Internet Araçlarında Virüsler

Cep telefonu, Palm, PDA (Personal Digital Assistant) gibi PC dışındaki Internet ulaşım araçlarında da artık virüs korkusu baş göstermektedir. 2000 yılının başında VBS/Timo, Palm/Liberty isimli iki virüs PDA'leri etkilemiştir. Bu araçlar arasında cep telefonları en az tehlikeye sahip olsalar da kullanacakları e-posta okuma programları nedeniyle sorun yaşayabileceklerdir.

Gelecekte bu araçları virüsten koruma yöntemleri arasında, virüs tarama programları en etkili yöntem olarak görünmektedir.

Virüsler Nereye Ne Yazar?

İlk açılışta çalışmak için genellikle "Windows Registry" (kayıt) ayarlarını değiştiriler. Bu bilgilere müdahale ederken iki defa düşünmek gerektiğini unutmamalısınız. Start | Run | regedit yazıp "Enter" uşuna basılınca aşağıdaki ekran açılır.

Burada, aşağıdaki konumlara kendi program adlarını yazarak açılışta başlamalarını sağlamaktadırlar.

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\Windows\ CurrentVersion\
    • RunServices
    • RunServicesOnce
    • Run
    • RunOnce
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\
    • Run
    • RunOnce
    • RunServices

Virüslerden Korunma

  • Bir antivirüs programı kurun ve güncel tutun. Güncellemesi yapılmamış bir antivirüs programı yeni virüslere karşı etkisiz kalmaktadır.
  • İşletim sisteminizi güncel tutun. Windows işletim sistemlerinin güncelleştirmeleri için aşağıdaki linkten yararlanabilirsiniz.
    http://windowsupdate.microsoft.com
  • MS Outlook ya da Outlook Express yerine Netscape Messenger, Webmail, Pine gibi programları kullanın.
  • Gerekmedikçe dosya paylaşımı yapmayın. Paylaştırmanız şart ise şifreli ve "salt okunur" paylaşım kullanın.
  • Sunucu (server) nitelikli işletim sistemleri kurmayın.Web sunucusu olarak güncellenmemiş IIS kullanmayın.
  • "Microsoft Security Bulletin" takibini aşağıdaki adresten yapın:
    http://www.microsoft.com/security
  • Boot işleminin kesinlikle sabit diskten olmasına özen gösterin.
  • Çok önemli bilgilerinizin yedeğini alın.
  • Ofis programlarında bilmediğiniz makroları çalıştırmayın.
  • Alternatif Ofis programları kullanın (örneğin OpenOffice):
    ftp://ftp.metu.edu.tr/pub/mirrors/openoffice/
  • E-posta ile gelen çalıştırılabilir dosyaları sadece e-postayı gönderen kişinin gönderdiğinden emin olduğunuz durumlarda çalıştırın.

Virüslerin Tespiti

Antivirüs programları bilgisayara kurulduktan sonra aktif şekilde düzenli güncellemeleri yapıldığı sürece en etkili virüs tespiti yöntemidir. Ancak günümüzde daha farklı yaklaşımlar da olduğu için onlardan da bahsedilmelidir. Ardından antivirüs programlarının yapısından ve çalışma prensiplerinden bahsedilecektir.

  • Online Tarayıcılar:

    "Online tarayıcılar" antivirüs programına bütçe ayırmak istemeyen ve sürekli olmasa da bilgisayarında tarama yapmak istiyen kullanıcılar için antivirüs programları yazan şirketlerin sunduğu bir hizmettir. Bilgisayardaki tüm dosyaları uzaktan tarayan bir yapısı vardır. "Bilgisayardan bilgi alıyor mu?" konusunda sorular olsada, sonuçları başarılı sayılmaktadır.

    Aşağıdaki bağlantılar izlenerek online virüs taraması yaptırılabilir:


  • Antivirüs Programlarının Yapıları

    • Scanners:
      Virüsleri izlerine göre arayıp bulurlar ve imha ederler. Güncelleme gerektiren bu tarama sistemi kullanıcı açısından en rahat ve kullanışlı olanıdır.
    • Checksummers:
      Standart işletim sistemi dosyalarının boyut değişikliklerini virüs olarak yorumlarlar. Sistem dosyalarında yapılacak değişiklikleri iyi bilen bir kullanıcı için faydalı bir yapıdır.
    • Heuristics:
      Virüslerin karakteristik yapısı bu programlarda genel hatlarıyla tanımlanır. Ancak son nesil virüsler burada kullanılan mantıkları çözerek yazıldığından bazen yetersiz kalmaktadır.

  • Antivirüs Programı Çalışma Yöntemi

    Virüs örüntüsü (virus pattern) virüsü tanımlayan kısa "binary" koddur. Antivirüs programları bilgisayardaki tüm dosyalarda tarayıcısı yardımıyla virüs örüntüsünü arar. Virüsü bulduğunda; karşılaşılan durum için veritabanında tanımlanmış olan işlemleri yapar. Bu nedenle güncellenmiş bir antivirüs programı yeni çıkan virüslere karşı kullanıcının elindeki tek savunmadır.

Kaynakça:

İbrahim Çalışır

 
     
  - BAŞA DÖN -  
© 2002 METU CC
Design: CC - INFO