bilgisayar virüsleri

advertisement
BİLGİSAYAR VİRÜSLERİ
Virüs nedir?
• Bilgisayar virüsü, kullanıcının izni ya da bilgisi
olmadan bilgisayarın çalışma şeklini değiştiren ve
kendini diğer dosyaların içerisinde gizlemeye
çalışan bir tür bilgisayar programıdır.
• Bir virüs aşağıda belirtilen iki görevi gerçekleştirir:
1- Kendini çoğaltmalı
2- Kendini çalıştırmalı
• Virüs , zararlı yazılımların tüm değişik çeşitlerini
ifade eden genel bir terim olarak kullanılmaktadır.
Bilgisayar virüslerinin etkileri
Bazı virüsler uygulamalara zarar vermek, dosyaları silmek ve
sabit diski yeniden formatlamak gibi çeşitli şekillerde bilgisayara
zarar vermek amacıyla programlanmışlardır. Bazıları zarar
vermektense, sadece sistem içinde çoğalmayı ve metin, resim
ya da video mesajları göstererek fark edilmeyi tercih ederler. Bu
zararsızmış gibi gözüken virüsler kullanıcı için problem olabilir.
Bilgisayar hafızasını işgal ederek makineyi yavaşlatabilir,
sistemin kararsız davranmasına hatta çökmesine neden
olabilirler. Ek olarak birçok virüs, hata (bug) kaynağıdır ve bu
hatalar sistem çökmelerine ve veri kaybına neden olabilir.
Biyolojik virüslerin aksine bilgisayar virüsleri kendi başlarına
evrimleşemezler. Bilgisayar virüsleri ne kendiliğinden var
olabilirler ne de yazılımlardaki hatalardan (bug) türeyebilirler.
Programcılar ya da virüs yapma yazılımı kullanan kişiler
tarafından üretilirler. Bilgisayar virüsleri sadece programlandığı
etkinlikleri gerçekleştirebilirler.
Neden bilgisayar virüsleri yapılır ?
Virüs yazıcılarının zararlıyı üretme ve yayma nedenleri çok
çeşitli olabilmektedir. Virüsler araştırma projeleri amaçlı, şaka
amaçlı, belirli şirketlerin ürünlerine saldırmak amaçlı, politik
mesaj vermek amaçlı veya kimlik hırsızlığı, casus yazılım ve
saklı virüs ile haraç kesme gibi yöntemlerle finansal kazanç
sağlamak amaçlı yazılabilmektedir. Bazı virüs yazıcılar
ürettiklerini sanat eseri olarak görmekte ve virüs yazmayı bir
tür hobi olarak tanımlamaktadır. Ek olarak birçok virüs yazıcısı,
virüslerin sistemler üzerinde tahrip edici etkiler
göstermesinden yana değildir. Çoğu yazıcı saldırdıkları işletim
sistemini bir zihin egzersizi ya da çözülmeyi bekleyen bir
mantık sorusu olarak görmekte ve antivirüs yazılımlarına karşı
oynanan kedi fare kovalamacasının kendilerini cezbettiğini
belirtmekteler..
Neden bilgisayar virüsleri yapılır ?
Bazı virüsler iyi virüsler olarak addedilir. Bulaştıkları
programları güvenlik açısından geliştirilmeye zorlar ya da
diğer virüsleri silerler. Bu tür virüsler çok nadirdir ve
sistem kaynaklarını kullanır, bulaştıkları sistemlere
yanlışlıkla zarar verebilir ve bazen diğer zararlı kodların
bulaşması ile virüs taşıyıcı hale gelebilirler.
Zayıf yazılmış iyi bir virüs, yanlışlıkla zarar veren forma
dönüşebilir. Örneğin iyi bir virüs hedef dosyasını yanlış
tanımlayabilir ve masum bir sistem dosyasını yanlışlıkla
silebilir. Ek olarak, normalde bilgisayar kullanıcısının izni
olmadan işleyebilir.
Birçok hukuk sahasında herhangi bir bilgisayar zararlısını
yazmak suç sayılmaktadır.
Çoğalma stratejileri
Bir virüsün kendini çoğaltabilmesi için virüsün yürütülmeye ve
hafızaya yazılmaya izinli olması gerekir. Bundan ötürü birçok
virüs kendilerini geçerli programların çalıştırılabilir dosyalarına
tuttururlar. Eğer bir kullanıcı virüs bulaşmış programı
başlatmaya kalkarsa, ilk olarak virüsün kodu çalıştırılır.
Virüsler çoğalma stratejilerine göre iki çeşide ayrılırlar:
1-yerleşik virüsler
2-yerleşik olmayan virüsler
Yerleşik olmayan virüsler hemen tutunacakları başka konaklar
ararlar, bu hedeflere bulaşır ve nihayetinde bulaştıkları
programa kontrolü bırakırlar. Yerleşik virüsler çalışmaya
başladıklarında konak aramazlar. Bunun yerine yürütümle
birlikte kendilerini hafızaya yükler ve kontrolü konak programa
bırakırlar. Bu virüsler arka planda etkin kalarak, virüs bulaşmış
program dosyalarına erişen her programın dosyalarına ya da
işletim sisteminin kendisine bulaşırlar.
Yerleşik olmayan virüsler
Yerleşik olmayan virüslerin keşfedici modül ile çoğaltıcı modülden oluştukları
düşünülebilir. Keşfedici modül virüsün bulaşması için kullanılacak yeni dosyalar
aramakla görevlidir. Keşfedici modülün karşılaştığı her yürütülebilir dosyaya
çoğaltıcı modül çağrılarak virüs bulaştırılır.
Basit virüsler için çoğaltıcı modülün görevleri şunlardır:
1. Yeni bir dosya aç
2. Dosyaya önceden virüs bulaştırılıp bulaştırılmadığını kontrol et; eğer
bulaştırılmış ise keşfedici modüle geri dön.
3. Virüs kodunu yürütülebilir dosyaya tuttur.
4. Yürütülebilir dosyanın başlangıç noktasını kaydet.
5. Yürütülebilir dosyanın başlangıç noktasını yeni eklenen virüs kodunun
başlatma alanına yönlendir.
6. Eski başlatma alanını virüs yürütülür yürütülmez o alana yayılacak şekilde
virüse kaydet.
7. Yürütülebilir dosyadaki değişiklikleri kaydet.
8. Virüs bulaşmış dosyayı kaydet.
9. Virüs bulaştıracak yeni dosyalar bulmak için keşfedici modüle geri dön.
Yerleşik Virüsler
Yerleşik virüsler yerleşik olmayan virüslerdeki örneğine benzer
bir çoğaltıcı modül içerirler. Ancak yerleşik virüslerde çoğaltıcı
modülü çağıran keşfedici modül bulunmamaktadır. Onun yerine,
virüs yürütüldüğü vakit çoğaltıcı modül hafızaya yüklenir ve
böylece işletim sistemi belirli tip bir görevi her seferinde
uygularken çoğaltıcı modülün de çalışması sağlanır. Örneğin
işletim sistemi bir dosyayı her seferinde çalıştırırken çoğaltıcı
modül çağrılabilir. Bu durumda virüs bilgisayarda çalışmakta olan
tüm uygun programlara bulaşabilir.
Yerleşik virüsler, bazen hızlı bulaşıcılar ve yavaş bulaşıcılar olmak
üzere alt kategorileri ayrılabilirler. Hızlı bulaşıcılar olabildiğince
çok dosyaya etki etmeye çalışırlar. Örneğin, hızlı bulaşıcı ulaştığı
her potansiyel konak dosyasına virüs bulaştırabilir. Bu durum
antivirüs programları için özel bir problem oluşturmaktadır,
çünkü virüs tarayıcısı sistem genelinde tarama yaptığında
sistemdeki tüm potansiyel konak dosyalarına erişecektir.
Yerleşik Virüsler
Eğer virüs tarayıcısı sistem hafızasında virüsün bulunduğunu tespit
edemez ise virüs, virüs tarayıcısını arkadan takip ederek tarama
için erişilen tüm dosyalara bulaşacaktır. Hızlı bulaşıcılar, sisteme
yüksek hızda yayılmalarına bel bağlarlar. Bu metotun sakıncası
virüsün birçok dosyaya bulaşması ve kendisinin tespitini bir
anlamda kolaylaştırmasıdır. Çünkü sistem hafızasını işgal eden
virüsler giderek makineyi yavaşlatacak ve şüphe uyandıran
eylemler gerçekleştirerek antivirüs yazılımları tarafından fark
edileceklerdir. Yavaş bulaşıcılar ise konak dosyalarına nadiren etki
edecek şekilde tasarlanmışlardır. Örneğin, bazı yavaş bulaşıcılar
sadece kendilerini kopyaladıklarında dosyalara tutunurlar. Yavaş
bulaşıcılar aktivitelerini sınırlayarak tespit edilmemeye çalışırlar.
Bilgisayarı fark edilebilir şekilde yavaşlatmazlar ve bu şekilde
şüphe uyandıran davranışları tespit eden antivirüs yazılımlarına
fark edilmemeye çalışırlar. Yavaş bulaştıkları için ile tüm sisteme
yayılmaları genellikle mümkün değildir.
VİRÜS ÇEŞİTLERİ
1-Dosya virüsleri
2-Önyükleme sektörü virüsleri
3-Makro virüsler
4-Ağ virüsleri
5-Yazılım bombaları
6-Betik dili virüsleri
7-Sentineller
1-Dosya virüsleri
Dosya virüsleri, asalak olarak da bilinen ve kendilerini yürütülebilir
dosyalara (sürücü ya da sıkıştırılmış dosyalara) tutturan ve konak
program çalıştırıldığında etkinleşen kod parçacıklarıdır.
Etkinleştikten sonra, virüs kendini diğer program dosyalarına
tutturarak yayılabilir ve programlandığı şekilde kötü niyetli faaliyet
gösterebilir. Birçok dosya virüsü kendilerini sistem hafızasına
yükleyip sürücüdeki diğer programları araştırarak yayılır. Bulduğu
programların kodlarını virüsü içerecek ve gelecek sefer program
çalıştığında virüsü de etkinleştirecek şekilde değiştirir. Virüs tüm
sisteme ya da bulaştığı programı ortak kullanan sistemlerin tüm
alanlarına yayılana dek defalarca bunu yapar. Yayılmalarının yanı
sıra bu virüsler hemen ya da bir tetikleyici vasıtasıyla etkinleşen
tahrip edici bir tür bileşeni bünyelerinde barındırırlar. Tetikleyici
özel bir tarih, virüsün belirli bir kopyalama sayısına ulaşması ya da
önemsiz herhangi bir şey olabilir. Randex, Meve ve MrKlunky
dosya virüslerine verilebilecek birkaç örnektir.
2-Önyükleme(boot) sektörü virüsleri
Önyükleme sektörü (Master boot record) sabit
diske ait tüm bilgilerin saklandığı ve bir program
vasıtası ile işletim sisteminin başlatılmasını
sağlayan yerdir. Virüs, her açılışta hafızaya
yüklenmeyi garantilemek amacıyla kodlarını
önyükleme sektörüne yerleştirir. Yaygın
olmamalarının diğer bir sebebi ise işletim
sistemlerinin artık önyükleme sektörlerini
koruma altına almasıdır. Polyboot.B ve AntiEXE
önyükleme virüslerine örnektirler. (Cernobil
virüsü)
3-Makro virüsler
Makro virüsler, makrolar içeren çeşitli program ya da
uygulamalarca oluşturulmuş dosyalara bulaşan virüslerdir.
Microsoft Office programınca üretilen Word belgeleri, Excel
elektronik çizelgeleri, PowerPoint sunumları, Access
veritabanları, Corel Draw uygulamalarınca oluşturulmuş
dosyalar vs. etkilenen dosya tipleri arasındadır. Makro
virüsler işletim sisteminin değil ait olduğu uygulamanın
dilinde yazıldığından platform bağımsızdırlar ve uygulamayı
çalıştırabilen tüm işletim sistemleri (Windows, Mac vb.)
arasında da yayılabilirler. Uygulamalardaki makro dillerinin
sürekli artan kabiliyetleri ve ağlar üzerinde yayılma
olasılıkları bu türden virüsleri büyük tehdit haline
getirmektedir. Relax, Melissa.A ve Bablas makro virüs
örnekleridir. Çoğalma bakımından worm(solucan)lara
benzerler ama işlev yönünden farklılık gösterirler.
4-Ağ virüsleri
Ağ virüsleri, yerel ağlarda ve internet üzerinde hızla
yayılmak konusunda çok beceriklidirler. Genelde
paylaşılan kaynaklar, paylaşılan sürücüler ya da
klasörler üzerinden yayılırlar. Bir kez yeni bir sisteme
bulaştıklarında, ağ üzerindeki potansiyel hedefleri
araştırarak saldırıya açık sistemleri belirlemeye
çalışırlar. Savunmasız sistemi bulduklarında ağ
virüsü sisteme bulaşır ve benzer şekilde tüm ağa
yayılmaya çalışırlar. Nimda ve SQLSlammer ağ
virüslerindendir.
5-Yazılım bombaları
• Yazılım bombaları, gerekli şartlar oluşana dek atıl
durumda kalan ve özel bir kodu işleyen yazılımlardır.
Şartların olgunlaşması kullanıcıya mesajlar göstermek
ya da dosyaları silmek gibi belirli fonksiyonları
tetikleyecektir. Yazılım bombaları bağımsız
programların içerisinde barınabildikleri gibi virüs ya da
solucanların parçaları da olabilirler. Belirli sayıdaki
konağı etkiledikten sonra etkinleşen yazılım bombaları
örnek olarak verilebilir. Saatli bombalar, yazılım
bombalarının alt kümeleri olup belirli tarih ya da
zamanda etkinleşecek şekilde programlanmışlardır.
Saatli bombalara ünlü Friday the 13th virüsü örnek
verilebilir.
6-Betik (script) dili virüsleri
Bir script virüsü çoğalabilmek için betik açıklarını kullanan
virüslerdir. Yayılabilmek için web uygulamaları ve web
tarayıcılarına ihtiyaç duyar. Betik desteği olan ve zararsız
gibi görünen HTML, Windows yardım (help) dosyaları,
toplu işlem dosyaları ve Windows INF dosyaları, bu tür
virüslerin yerleştiği dosyalar olarak karşımıza çıkabilir.
Betik (script)dili virüsleri, VB (Visual Basic), JavaScript, BAT
(toplu işlem dosyası), PHP gibi betik dilleri kullanılarak
yazılan virüslerdir. Bu virüsler ya diğer Windows veya
Linux komut ve hizmet dosyalarına bulaşır ya da çok
bileşenli virüslerin bir parçası olarak çalışırlar.
7-Sentineller
Sentineller oldukça gelişkin virüs tipi olup
yaratıcısına, bulaştığı bilgisayarları uzaktan kullanma
yetkisi verir. Sentineller bot, zombi ya da köle adı
verilen bilgisayarların oluşturduğu ve Hizmeti
engelleme saldırısı gibi kötü niyetli amaçlarda
kullanılacak geniş ağlar yaratmada kullanılırlar.
Virüslerin, makinenize bulaşma ya da makinenizde
etkin halde olmadan saklanma yolları pek çoktur.
Ancak etkin olsun ya da olmasın virüslerin başıboş
bırakılması çok tehlikelidir ve acil şekilde sorun
halledilmelidir.
Truva Atları
Truva atları ilgi çekici görünen ama aslında aldatmaya yönelik
zararlı dosyalardır. Sistemde var olan dosyalara kod
eklemektense ekran koruyucu yüklemek, epostalarda resim
göstermek gibi bir işle iştigal oldukları izlenimi uyandırırlar.
Ancak, aslında arka planda dosya silmek gibi zararlı etkinlikler
gerçekleştirmektedirler. Truva atları bilgisayar korsanlarının
bilgisayarınızdaki kişisel ve gizli bilgilerinize ulaşmalarına
imkân tanıyan gizli kapılar da yaratırlar.
Truva atları aslında sanılanın aksine virüs değillerdir çünkü
kendilerini çoğaltamazlar. Bir Truva atının yayılması için saklı
bulunduğu eposta eklentisinin açılması ya da Truva atını içerir
dosyanın internet üzerinden bilgisayara indirilip yürütülmesi
gerekir.
Hizmeti engelleme saldırısı Truva atları
Hizmeti engelleme saldırısı (Denial of service
attacks) Truva atlarının dayandığı temel düşünce
kurbanın bilgisayarındaki İnternet trafiğini bir web
sitesine ulaşmasını veya dosya indirmesini
engelleyecek şekilde arttırmaktır. Hizmeti
Engelleme Saldırısı Truva atlarının bir başka
versiyonu mail-bombası Truva atlarıdır ki ana
amaçları mümkün olabildiğince çok makineye
bulaşmak ve belirli eposta adreslerine aynı anda
filtrelenmeleri mümkün olmayan çeşitli nesneler ve
içerikler ile saldırmaktır.
FTP Truva Atları
Bu tür Truva atları en basit ve artık modası geçmiş Truva atlarıdır.
Yaptıkları tek şey FTP transferleri için kullanılan 21. portu açmak
ve herkesin bilgisayarınıza bağlanabilmesine imkân tanımaktır. Bu
türün yeni versiyonları sadece saldırganın sisteminize ulaşmasını
sağlayan parola korumalı yapıdadırlar. Aslına bakarsanız Trojan'ın
modası geçmiş virüs olmasına karşılık halen kullanımı yaygındır. Bu
tür virüsler sizin sisteminize girmeleriyle kalmaz gerekli bilgilerinizi
çalabilirler, kredi kartı numaralarını ve buna benzer birçok şey
yapabilirler. Günümüz teknolojisi bunu engelleyecek birçok
program üretmiştir.
Yazılım Tespit Engelleyiciler
Bu Truva atları makinenizi koruyan popüler antivirüs ve firewall
yazılımlarının çalışmalarını engelleyerek saldırganın sisteminize
erişimine olanak tanır. Yukarıda belirtilen Truva atı tiplerinden
birini ya da birkaçını birden içerecek yapıda olabilir.
Solucanlar
Bilgisayar solucanları çoğalan, bağımsız şekilde çalışabilen
ve ağ bağlantıları üzerinde hareket edebilen
programlardır. Virüs ve solucanlar arasındaki temel fark
çoğalma ve yayılma yöntemleridir. Bir virüs çalışmak için
konak ya da önyükleme sektörü dosyalarına ihtiyaç
duyarken, makineler arası yayılım için gene taşıyıcı
dosyalara gereksinim duyar. Oysa solucanlar kendi
başlarına bağımsız şekilde çalışabilir ve bir taşıyıcı dosyaya
ihtiyaç duymadan ağ bağlantıları üzerinde yayılabilirler.
Solucanların yarattığı güvenlik tehditleri bir virüsünkine
eşittir. Solucanlar sisteminizdeki dosyaları tahrip etmek,
makinenizi büyük ölçüde yavaşlatmak ve bazı gerekli
programların çökmesine neden olmak gibi bütün olası
zararları yaratabilme yeteneğindedirler. MS-Blaster ve
Sasser solucanları en tanınmış solucanlara örnektirler.
Casus yazılımlar
Casus yazılımlar, reklam destekli yazılımları nitelemekte kullanılan
diğer bir terimdir. Paylaşılan yazılımları üreten yazarlar, program
içerisinde reklam yayınlatarak ürünü kullanıcıya satmadan da para
kazanabilirler. Piyasadaki birçok büyük media şirketi yazarlara
reklam bantlarını yazılımlarına yerleştirmelerini önerir ve reklam
bantları sayesinde satılan her ürün için belirli bir oranda komisyon
vermeyi vaat eder. Eğer kullanıcı yazılımdaki reklam bantlarını can
sıkıcı buluyorsa, lisans ücretini ödediği takdirde banttan
kurtulmanın imkânına erişir. Bu bantları üreten reklam şirketleri,
ek olarak internet bağlantınızı sürekli kullanarak internet
kullanımınıza ait istatistiki bilgileri sizin bilginiz dahilinde olmadan
reklam verenlere gönderen bazı izleme programlarını sisteminize
yüklerler. Yazılımlara ait gizlilik politikalarında hassas ve tanımlayıcı
verilerin sisteminizden toplanmadığı ve kimliğinizin belli
olmayacağı belirtilse de kişisel bilgisayarınızı bir sunucu gibi
çalışarak size ait bilgileri ve internet kullanımınıza ait
alışkanlıklarınızı 3. kişi ya da kurumlara göndermektedir.
Casus yazılımlar
Casus yazılımlar ayrıca bilgisayarınızı yavaşlatmakla,
işlemci gücünün bir kısmını kullanmakla, uygunsuz
zamanlarda sinir bozucu pop-up pencereleri ekrana
getirmekle ve ana sayfanızı değiştirmek gibi İnternet
tarayıcısı ayarlarınızı değiştirmekle ünlüdürler. Ek
olarak yasal olmayan bu tür yazılımlar büyük bir
güvenlik tehdidi oluşturmakta ve sisteminizden
temizlenmelerinin hayli güç olması virüsler kadar
baş belası olabileceklerini açıkça göstermektedir.
Download