Harun Hökelek

 

Bilgisayar Virüslerinin Tarihçesi Ve Çeşitleri

Diğer öğrenciler zararlı olması muhtemel bilgisayar programları hakkında yazılı ödevler hazırlarken, Fred Cohen çalışan bir virüs örneği geliştirdi.

BİLGİSAYAR VİRÜSLERİNİN TARİHÇESİ VE ÇEŞİTLERİ




Virüs nedir ?


Bilgisayar virüsü, kullanıcının izni ya da bilgisi dahilindeolmadan bilgisayarın çalışma şeklini değiştiren ve kendini diğeramlarındosyaları içerisinde gizlemeye çalışan aslında bir tür bilgisayar programıdır.
Terim genelde kötücül yazılım (malware)dedilen geniş bir alanı ifade etmek için kullanılsa da, gerçek birvirüs aşağıda belirtilen iki görevi gerçekleştirmek durumundadır.
  • Kendini çoğaltmalı
  • Kendini çalıştırmalı (yürütmeli)

İLK VİRÜSÜN HİKAYESİ
Diğer öğrenciler zararlı olması muhtemel bilgisayar programlarıhakkında yazılı ödevler hazırlarken, Fred Cohen çalışan bir virüsörneği geliştiren ilk kişi oldu.

Cohen, hazırladığı ödevde bilgisayar virüsünü "diğer programlarakendisinin bir versiyonunu bulaştıran bilgisayar programı" olaraktanımlamıştı.

Öğrenci, hazırladığı virüsü, Vax adlı mini-bilgisayarı geliştirmek içinyazılan bir grafik programına ekledi. VD adlı grafik programının içinegizlenen virüsün, kullanıcıların bilgisayardaki hareketleriylecihazdaki diğer programlara bulaşmasını gözlemleyen Cohen, virüsünbütün sisteme bulaşma sürecini takip etti. Testleri sürdüren Cohen,virüsün sistemdeki herhangi bir parçaya, bir saatten az bir süredeulaştığını, en kısa sürenin de beş dakika olduğunu gördü.

Doktora öğrencisi, 10 Kasım 1983'te düzenlenen bir güvenlikkonferansında deneyin sonuçlarını sundu. Bilgisayar virüsünün ilkmodelinin yarattığı şaşkınlığın ardından bu tür başka deneyleryapılması yasaklandı ancak Cohen, diğer bilgisayar sistemlerinietkileyebilecek benzer virüs modelleri geliştirdi. "Virüsler bilgisayarşebekelerinde de tıpkı bilgisayarda olduğu gibi yayılıyor. Bu davirüslerin mevcut şebekeler için bir tehdit olduğunu gösteriyor" diyenCohen'in sözleri bugün gerçekleşen bir kehanet olarak karşımıza çıkıyor.




Sınıflandırma
Virüs tipleri birçok alt bölümde incelenebilir. Ana sınıflama bölümleri şunlardır:
Dosya virüsleri 
Dosya virüsleri,asalak ya da yürütülebilir virüsler olarak da bilinen ve kendileriniyürütülebilir dosyalara (sürücü ya da sıkıştırılmış dosyalara) tutturanve konak program çalıştırıldığında etkinleşen kodparçaçıklarıdır. Etkinleştikten sonra , virüs kendini diğer programdosyalarına tutturarak yayılabilir ve programlandığı şekilde kötüniyetli faaliyet gösterebilir. Birçok dosya virüsü kendilerini sistemhafızasına yükleyip sürücüdeki diğer programları araştırarak yayılır.Bulduğu programların kodlarını virüsü içerecek ve gelecek sefer programçalıştığında virüsü de etkinleştirecek şekilde değiştirir. Virüs tümsisteme ya da bulaştığı programı ortak kullanan sistemlerin tümalanlarına yayılana dek defalarca bunu yapar. Yayılmalarının yanı sırabu virüsler hemen ya da bir tetikleyici vasıtasıyla etkinleşen tahripedici bir tür bileşeni bünyelerinde barındırırlar. Tetikleyici özel birtarih , virüsün belirli bir kopyalama sayısına ulaşması ya da önemsizherhangi bir şey olabilir. Randex, Meve and MrKlunky dosya virüslerineverilebilecek birkaç örnektir.
Önyükleme sektörü virüsleri 
Önyükleme sektörü sabit diske ait tüm bilgilerin saklandığı ve birprogram vasıtası ile işletim sisteminin başlatılmasını sağlayan yerdir.Virüs , her açılışta hafızaya yüklenmeyi garantilemek amacıylakodlarını önyükleme sektörüne yerleştirir. Bu , belki de , günümüzdesayıca azalmalarının da nedeni olmuştur. Programların disketler ile bir bilgisayardan diğerine taşındığı dönemlerde önyükleme virüsleri büyük bir hızla yayılıyordu .Ancak CD-ROMdevrinin başlamasıyla , CD-ROM içerisindeki bilgilerin değiştilemez vekod eklenemez olmasından ötürü, bu tür virüslerin yayılımı durdu.Önyükleme virüsleri hala var olsa da yeni çağ zararlı yazılımlarınanispeten çok nadirler. Yaygın olmamalarının diğer bir sebebi iseişletim sistemlerinin artık önyükleme sektörlerini koruma altınaalmasıdır. Polyboot.B ve AntiEXE önyükleme virüslerine örnektirler.
Çok parçalı virüsler 
Çok parçalı virüslerönyükleme sektörü ve dosya virüslerinin birleşimidir. Bu virüslerCD/DVD ya da disket gibi virüsle enfekte olmuş ortamlar ile gelir vehafızaya yerleşirler. Akabinde sabit diskin önyükleme sektörünetaşınırlar. Sektörden de sabit diskteki yürütülebilir dosyalara (.exe)bulaşır ve tüm sistem boyunca yayılırlar. Günümüzde çokparçalı virüslerpek bulunmamakta, fakat en parlak çağlarında, farklı bulaşmatekniklerini birleştirmelerinin sağladığı kabiliyetler büyükproblemlere neden olmaktaydı. En bilinen çok parçalı virüs Ywinz'dir.
Makro virüsler 
Makro virüsler,makrolar içeren çeşitli program ya da uygulamalarca yaratılmışdosyalara bulaşan virüslerdir. Microsoft Office programınca yaratılan Word belgeleri, Excel elektronik çizelgeleri, PowerPoint sunumları, Access veritabanları, Corel Draw, AmiProuygulamalarınca yaratılmış dosyalar vs. etkilenen dosya tipleriarasındadır. Makro virüsler işletim sisteminin değil ait olduğuuygulamanın dilinde yazıldığından platform bağımsızdırlar ve uygulamayıçalıştırabilen tüm işletim sistemleri (Windows, Mac vb.) arasında da yayılabilirler. Uygulamalardaki makrodillerinin süreki artan kabiliyetleri ve ağlar üzerinde yayılmaolasılıkları bu türden virüsleri büyük tehdit haline getirmektedir. İlkmakro virüsü Microsoft Word için yazılmış ve 1995 Ağustos'unda tespitedilmişti.Bugun binlerce makro virüsü bulunmakta. Relax, Melissa.A veBablas makro virüs örnekleridir.Çoğalma bakımından worm(solucan)larabenzerler ama işlev yönünden farklılık gösterirler.
Ağ virüsleri 
Ağ virüsleri, yerel ağlarda ve hatta İnternetüzerinde hızla yayılmak konusunda çok beceriklidir. Genelde paylaşılankaynaklar, paylaşılan sürücüler ya da klasörler üzerinden yayılırlar.Bir kez yeni bir sisteme bulaştıklarında, ağ üzerindeki potansiyelhedefleri araştırarak saldırıya açık sistemleri belirlemeye çalışırlar.Savunmasız sistemi bulduklarında ağ virüsü sisteme bulaşır ve benzerşekilde tüm ağa yayılmaya çalışırlar. Nimda ve SQLSlammer kötü namsalmış ağ virüslerindendir.
Eşlik virüsleri 
Eşlik virüsleri, konak dosyalarına tutunmuş değillerdir ancak MS-DOS'usuistimal edebilirler. Bir eşlik virüsü geçerli .EXE (uygulama )dosyalarına ait isimleri kullanan genelde .COM nadiren .EXD uzantılıyeni dosyalar yaratmaktadır. Eğer kullanıcı belirli bir programıçalıştırmak için komut konsoluna sadece programın ismini yazıp .EXEuzantısını yazmayı unutursa DOS, ismi ve uzantıları aynı olandosyalardan uzantısı sözlükte önde görünen dosyanın çalıştırılmakistendiğini varsayıp virüsü yürütecektir. Örneğin kullanıcı dosya adı.COM (virüs dosyası) ve dosya adı.EXE (yürütme dosyası) adlı iki dosyaya sahip olsun ve komut satırına sadece dosya adıyazmış bulunsun. Uzantılar incelendiğinde sonuç olarak dosya adı.comyani virüs dosyası yürütülecektir. Virüs yayılacak ve atanmış diğergörevleri yaptıktan sonra kendisiyle aynı isime sahip .exe dosyasınıçalıştıracaktır. Böylece kullanıcı büyük ihtimalle virüsün ayırdınavaramayacaktır. Bazı eşlik virüslerinin Windows 95 altında ve Windows NT'deki DOS öykünücüleri üzerinde çalışabildiği bilinmektedir. Yol eşlik virüslerigeçerli sistem dosyaları ile aynı ada sahip dosyalar oluşturur ve dizinyolu içinde bulunan eski virüsleri yenileri ile değiştirir. Bu virüslerMS-DOS komut istemini kullanmayan Windows XP'nin kullanıma sunulması ile giderek seyrekleşmişlerdir.
Yazılım bombaları 
Yazılım bombaları,gerekli şartlar oluşana dek atıl durumda kalan ve özel bir kodu işleyenyazılımlardır. Şartların olgunlaşması kullanıcıya mesajlar göstermek yada dosyaları silmek gibi belirli fonksiyonları tetikleyecektir. Yazılımbombaları bağımsız programların içerisinde barınabildikleri gibi virüsya da solucanların parçaları da olabilirler. Belirli sayıdaki konağıetkiledikten sonra etkinleşen yazılım bombaları örnek olarakverilebilir. Saatli bombalar,yazılım bombalarının alt kümeleri olup belirli tarih ya da zamandaetkinleşecek şekilde programlanmışlardır. Saatli bombalara ünlü Fridaythe 13th virüsü örnek verilebilir.
Cross-site scripting virüsleri 
Bir cross-site scripting virüsü (XSSV) çoğalabilmek için cross-site betik açıklarını kullanan virüslerdir. Bir XSSV yayılabilmek için web uygulamaları ve web tarayıcılarına ihtiyaç duyduğundan simbiyoztip virüstür. Aslında xss bir virüs değil, sistem açığıdır. Php tabanlısitelerde görülür.id= değişkeninden sonra kullanılan zararlı kod ileaçık çağrılır. Açık bulunursa site adminine açıklı link yollanması ilecookieleri çalınabilir. Bu açık hotmailde de vardır bu yüzden mailgüvenliği açısından gelen her adres açılmamalıdır
Sentineller
Sentinelleroldukça gelişkin virüs tipi olup yaracısına bulaştığı bilgisayarlarıuzaktan kullanma yetkisi verir. Sentineller bot , zombi ya da köle adıverilen bilgisayarların oluşturduğu ve Hizmeti engelleme saldırısı gibi kötü niyetli amaçlarda kullanılacak geniş ağlar yaratmada kullanılırlar.
Virüslerin, makinenize bulaşma ya da makinenizde etkin halde olmadansaklanma yolları pek çoktur. Ancak etkin olsun ya da olmasın virüslerinbaşıboş bırakılması çok tehlikelidir ve ivedi şekilde sorunhalledilmelidir.
Diğer zararlı yazılımlar 
Geçmişte bir bilgisayarı zor durumda bırakabilecek tek yöntemzararlı taşıyan disketleri bilgisayara yerleştirmekti. Yeni teknolojiçağının başlamasıyla, artık, neredeyse her bilgisayar dünyanın gerikalanına bağlanmış durumda. Dolayısıyla zararlı bulaşmalarının kaynakyerlerini ve zamanlarını kesin olarak tespit etmek gün geçtikçezorlaşıyor. Bunlar yetmezmiş gibi bilgisayar çağında yeni tür zararlıyazılımlar türemiş durumda. Günümüzde virüs terimi, bir bilgisayarızararlı yazılımlarca saldırıya maruz bırakacak tüm değişik yöntemleribelirtmekte kullanılan genel bir terim halini almıştır. Açıklanan virüstiplerinin dışında günümüzde yenice karşılaştığımız problemlerbulunmakta.
Truva Atları 
Truva atlarıilgi çekici görünen ama aslında aldatmaya yönelik zararlı dosyalardır.Sistemde var olan dosyalara kod eklemektense ekran koruyucu yüklemek,epostalarda resim göstermek gibi bir işle iştigal oldukları izlenimiuyandırırlar. Ancak, aslında arka planda dosya silmek gibi zararlıetkinlikler gerçekleştirmektedirler. Truva atları bilgisayarkorsanlarının bilgisayarınızdaki kişisel ve gizli bilgilerinizeulaşmalarına imkân tanıyan gizli kapılar da yaratırlar.
Truva atlarıaslında sanılanın aksine virüs değillerdir çünkü kendileriniçoğaltamazlar. Bir Truva atının yayılması için saklı bulunduğu epostaeklentisinin açılması ya da Truva atını içerir dosyanın internet üzerinden bilgisayara indirilip yürütülmesi gerekir.
Hizmeti engelleme saldırısı Truva atları 
Hizmeti engelleme saldırısı(Denial of service attacks) Truva atlarının dayandığı temel düşüncekurbanın bilgisayarındaki İnternet trafiğini bir web sitesineulaşmasını veya dosya indirmesini engelleyecek şekilde arttırmaktır.Hizmeti Engelleme Saldırısı Truva atlarının bir başka versiyonumail-bombası Truva atlarıdır ki ana amaçları mümkün olabildiğince çokmakineye bulaşmak ve belirli eposta adreslerine aynı andafiltrelenmeleri münkün olmayan çeşitli nesneler ve içerikler ilesaldırmaktır.
ha
FTP Truva Atları 
Bu tür Truva atları en basit ve artık modası geçmiş Truva atlarıdır. Yaptıkları tek şey FTPtransferleri için kullanılan 21. portu açmak ve herkesinbilgisayarınıza bağlanabilmesine imkân tanımaktır. Bu türün yeniversiyonları sadece saldırganın sisteminize ulaşmasını sağlayan parolakorumalı yapıdadırlar. Aslına bakarsanız Trojan'ın modası geçmiş virüsolmasına karşılık halen kullanımı yaygındır.Bu tür virüsler sizinsisteminize girmeleriyle kalmaz gerekli bilgileriniziçalabilirler,kredi kartı numaralarını ve buna benzer bir çok şeyyapabilirler. Günümüz teknolojisi bunu engelleyecek bir çok programüretmiştir.
Yazılım Tespit Engelleyiciler
Bu Truva atları makinenizi koruyan popüler antivirüs ve firewallyazılımlarının çalışmalarını engelleyerek saldırganın sisteminizeerişimine olanak tanır. Yukarıda belirtilen Truva atı tiplerindenbirini ya da birkaçını birden içerecek yapıda olabilir.
Solucanlar 
Bilgisayar solucanlarıçoğalan, bağımsız şekilde çalışabilen ve ağ bağlantıları üzerindehareket edebilen programlardır. Virüs ve solucanlar arasındaki temelfark çoğalma ve yayılma yöntemleridir. Bir virüs çalışmak için konak yada önyükleme sektörüdosyalarına ihtiyaç duyarken, makineler arası yayılım için genetaşıyıcı dosyalara gereksinim duyar. Oysa solucanlar kendi başlarınabağımsız şekilde çalışabilir ve bir taşıyıcı dosyaya ihtiyaç duymadanağ bağlantıları üzerinde yayılabilirler. Solucanların yarattığıgüvenlik tehditleri bir virüsünküne eşittir. Solucanlar sisteminizdekielzem dosyaları tahrip etmek, makinenizi büyük ölçüde yavaşlatmak vebazı gerekli programların çökmesine neden olmak gibi bütün olasızararları yaratabilme yeteneğindedirler. MS-Blaster ve Sassersolucanları en tanınış solucanlara örnektirler.
Casus yazılımlar 
Casus yazılımlar,reklam destekli yazılımları nitelemekte kullanılan diğer bir terimdir.Paylaşılan yazılımları üreten yazarlar, program içerisinde reklamyayınlatarak ürünü kulanıcıya satmadan da para kazanabilirler.Piyasadaki birçok büyük media şirketi yazarlara reklam bantlarınıyazılımlarına yerleştirmelerini önerir ve reklam bantları sayesindesatılan her ürün için belirli bir oranda komisyon vermeyi vaat eder.Eğer kullanıcı yazılımdaki reklam bantlarını can sıkıcı buluyorsa,lisans ücretini ödediği takdirde banttan kurtulmanın imkânına erişir.Bu bantları üreten reklam şirketleri, ek olarak internet bağlantınızısürekli kullanarak internet kullanımınıza ait istatistiki bilgilerisizin bilginiz dahilinde olmadan reklam verenlere gönderen bazı izlemeprogramlarını sisteminize yüklerler. Yazılımlara ait gizlilikpolitikalarında hassas ve tanımlayıcı verilerin sisteminizdentoplanmadığı ve kimliğinizin belli olmayacağı belirtilse de kişisel bilgisayarınızıbir sunucu gibi çalışarak size ait bilgileri ve internet kullanımınızaait alışkanlıklarınızı 3. kişi ya da kurumlara göndermektedir.
Casus yazılımlar ayrıca bilgisayarınızı yavaşlatmakla, işlemcigücünün bir kısmını kullanmakla, uygunsuz zamanlarda sinir bozucupop-up pencereleri ekrana getirmekle ve anasayfanızı değiştirmek gibiİnternet tarayıcısı ayarlarınızı değiştirmekle ünlüdürler. Ek olarakyasal olmayan bu tür yazılımlar büyük bir güvenlik tehditi oluşturmaktave sisteminizden temizlenmelerinin hayli güç olması virüsler kadar başbelası olabileceklerini açıkça göstermektedir.
Bilgisayar virüslerinin etkileri 
Bazı virüsler uygulamalara zarar vermek, dosyaları silmek ve sabitdiski yeniden formatlamak gibi çeşitli şekillerde bilgisayara zararvermek amacıyla programlanmışlardır. Bazıları zarar vermektense, sadecesistem içinde çoğalmayı ve metin, resim ya da video mesajlarıgöstererek fark edilmeyi tercih ederler. Bu zararsızmış gibi gözükenvirusler kulanıcı için problem yaratabilir. Bilgisayar hafızasını işgalederek makineyi yavaşlatabilir, sistemin kararsız davranmasına hattaçökmesine neden olabilirler. Ek olarak birçok virüs, hata (bug)kaynağıdır ve bu hatalar sistem çökmelerine ve veri kaybına nedenolabilir.
Virüs teriminin kullanımı 
Bilgisayar virüsü terimi, biyolojik muadilinden türetilmiş oluponunla aynı mantıkta kulanılmaktadır. Tam olarak doğru olmasa da virüsterimi genelde Truva atı ve solucanda dahil olmak üzere tüm zararlı çeşitlerini ifade edecek şekildekullanılmaktadır. Günümüzde en tanınmış antivirüs yazılım paketleri tümsaldırı çeşitlerini savunabilecek yapıdadır. Bazı teknolojitopluluklarında virüs terimi , küçümsemek maksadıyla, zararlıyazıcılarını da belirtecek şekilde kullanılır.
Virus terimi ilk olarak 1984'te Fred Cohen tarafından hazırlanan Experiments with Computer Virusesadlı tez çalışmasında kullanılmış ve terimin Len Adleman ile birliktetüretildiği belirtilmiştir. Ancak daha 1972'lerde David Gerrold'e ait When H.A.R.L.I.E Was One adlı bir bilim-kurgu romanında, biyolojik virüslergibi çalışan VIRUS adlı hayali bir bilgisayar programdan bahsedilmiş.Gene bilgisayar virüsü terimi, Chris Claremont'in yazdığı ve 1982yılında basılmış Uncanny X-Men adlı çizgi romanda geçmiş.Dolayısıyla Cohen'in virüs tanımlaması akademik olarak ilk kezkullanılsa da terim çok önceden türetilmişti.

Neden bilgisayar virüsleri yapılır ? 


Biyolojik virüslerin aksine bilgisayar virüsleri kendi başlarınaevrimleşemezler. Bilgisayar virüsleri ne kendiliğinden var olabilirlerne de yazılımlardaki hatalardan (bug) türeyebilirler. Programcılar yada virüs yapma yazılımı kullanan kişiler tarafından üretilirler.Bilgisayar virüsleri ancak programlandığı etkinlikleri gerçekleştirmeyemuktedirdir.
Virüs yazıcılarının zararlıyı üretme ve yayma amacı çok çeşitlinedenlere dayandırılabilir. Virüsler araştırma projeleri amaçlı , şakaamaçlı , belirli şirketlerin ürünlerine saldırmak amaçlı, politikmesajları yaymak amaçlı veya kimlik hırsızlığı, casus yazılım ve saklıvirüs ile haraç kesme gibi yöntemlerle finansal kazanç sağlamak amaçlıyazılabilmektedir. Bazı virüs yazıcılar ürettiklerini sanat yapıtıolarak görmekte ve virüs yazmayı bir tür yapıcı hobi olaraktanımlamaktalar. Ek olarak birçok virüs yazıcısı, virüslerin sistemlerüzerinde tahrip edici etkiler göstermesinden yana değildir. Çoğu yazıcısaldırdıkları işletim sistemini bir zihin egzersizi ya da çözülenmeyibekleyen bir mantık sorusu olarak görmekte ve antivirüs yazılımlarınakarşı oynanan kedi fare kovalamacasının kendilerini cezbettiğinibelirtmekteler. Bazı virüsler iyi virüsler olarak addedilir.Bulaştıkları programları güvenlik açısından geliştirilmeye zorlar ya dadiğer virüsleri silerler. Bu tür virüsler çok nadirdir ve sistemkaynaklarını kullanır, bulaştıkları sistemlere yanlışlıkla zararverebilir ve bazen diğer zararlı kodların bulaşması ile virus taşıyıcıhale gelebilirler.
Zayıf yazılmış bir iyi virüs gene yanlışlıkla zarar veren formadönüşebilir. Örneğin iyi bir virüs hedef dosyasını yanlıştanımlayabilir ve masum bir sistem dosyasını yanlışlıkla silebilir. Ekolarak, normalde bilgisayar kullanıcısının izni olmadan işlemektedir.Kendini sürekli çoğaltan kodlar ek problemlere de neden olduklarındaniyi niyetli bir virusun , kendisini çoğaltmayan ve problemihalledebilecek geçerli bir programa kıyasla sorunu ne dereceçözebileceği kuşku uyandırmaktadır. Kısaca virüs yazarları aleminingenelini belirtecek bir nitelemenin çıkarımı zordur.
Birçok hukuk sahasında herhangi bir bilgisayar zararlısını yazmak suç sayılmaktadır.

Çoğalım stratejileri 

Bir virüsün kendini çoğaltabilmesi için virüsün yürütülmeye vehafızaya yazılmaya izinli olması gerekir. Bundan ötürü birçok virüskendilerini geçerli programların yürütülebilir dosyalarına tuttururlar.Eğer bir kullanıcı virüs bulaşmış programı başlatmaya kalkarsa, ilkolarak virüsün kodu çalıştırılır. Virüsler yürütüldüklerindegösterdikleri davranışlara göre iki çeşide ayrılırlar. Yerleşik olmayanvirüsler hemen tutunacakları başka konaklar ararlar, bu hedeflerebulaşır ve nihayetinde bulaştıkları programa kontrolü bırakırlar.Yerleşik virüsler yürütülmeye başladıklarında konak aramazlar. Bununyerine yürütümle birlikte kendilerini hafızaya yükler ve kontrolü konakprograma bırakırlar. Bu virüsler arka planda etkin kalarak, virüsbulaşmış program dosyalarına erişen her programın dosyalarına ya daişletim sisteminin kendisine bulaşırlar.
Yerleşik olmayan virüsler 
Yerleşik olmayan virüslerin keşfedici modül ile çoğaltıcı modüldenoluştukları düşünülebilir. Keşfedici modül virüsün bulaşması içinkullanılacak yeni dosyalar aramakla yükümlüdür. Keşfedici modülünkarşılaştığı her yürütülebilir dosyaya çoğaltıcı modül çağrılmaksuretiyle virüs bulaştırılır.
Basit virüsler için çoğaltıcının görevleri şunlardır:
  • 1. Yeni bir dosya aç
  • 2. Dosyaya önceden virüs bulaştırılıp bulaştırılmadığını kontrol et (eğer bulaştırlımış ise keşfedici modüle geri dön)
  • 3. Virüs kodunu yürütülebilir dosyaya tuttur.
  • 4. Yürütülebilir dosyanın başlangıç noktasını kaydet.
  • 5. Yürütülebilir dosyanın başlangıç noktasını yeni eklenen virus kodunun başlatma alanına yönlendir.
  • 6. Eski başlatma alanını virüs yürütülür yürütülmez o alana yayılacak şekilde virüse kaydet.
  • 7. Yürütülebilir dosyadaki değişiklikleri kaydet.
  • 8. Virüs bulaşmış dosyayı kaydet.
  • 9. Çoğaltıcı modülün virüs bulaştıracaği dosyalar bulabilmesi için keşfedici modüle geri dön .
Yerleşik virüsler 
Yerleşik virüsler yerleşik olmayan virüslerdeki örneğine benzer birçoğaltıcı modül içerirler. Ancak yerleşik virüslerde çoğaltıcı modülüçağıran keşfedici modül bulunmamaktadır. Onun yerine, virüs yürütüldüğüvakit çoğaltıcı modül hafızaya yüklenir ve böylece işletim sistemibelirli tip bir görevi her seferinde uygularken çoğaltıcı modülün deyürütülmesi sağlanır. Örneğin işletim sistemi bir dosyayı her seferindeyürütürken çoğaltıcı modül çağrılabilir. Bu durumda virüs bilgisayardayürütülmekte olan tüm uygun programlara bulaşabilir.
Yerleşik virüsler, bazen hızlı bulaşıcılar ve yavaş bulaşıcılarolmak üzere alt kategorileri ayrılabilirler. Hızlı bulaşıcılarolabildiğince çok dosyayı infekte etmeye çalışırlar. Örneğin, hızlıbulaşıcı ulaşılan her potansiyel konak dosyasına virüs bulaştırabilir.Bu durum antivirüs programları için özel bir problem oluşturmaktadır,çünkü virüs tarayıcısı sistem genelinde tarama yaptığında sistemdekitüm potansiyel konak dosyalarına erişecektir. Eğer virüs tarayıcısısistem hafızasında virüsün bulunduğunu tespit edemez ise virüs, virüstarayıcısını arkadan takip ederek tarama için erişilen tüm dosyalarabulaşacaktır . Hızlı bulaşıcılar, sisteme yüksek hızda yayılmalarınabel bağlarlar. Bu metodun sakıncası virüsün birçok dosyaya bulaşması vekendisinin tespitini bir anlamda kolaylaştırmasıdır. Çünkü sistemhafızasını işgal eden virüsler giderek makineyi yavaşlatacak ve şüpheuyandıran eylemler gerçekleştirerek antiviruüs yazılımları tarafındanfark edileleceklerdir. Yavaş bulaşıcılar ise konak dosyalarını nadireninfekte edecek şekilde tasarlanmışlardır. Örneğin, bazı yavaşbulaşıcılar sadece kendilerini kopyaladıklarında dosyalara tutunurlar.Yavaş bulaşıcılar aktivitelerini sınırlayarak tespit edilmektensakınmaya çalışırlar. Bilgisayarı fark edilebilir şekildeyavaşlatmaları olası değildir ve şüphe uyandıran davranışları tespiteden antivirüs yazılımlarınıtetiklememek için ellerinden geleni ardlarına koymazlar. Yavaş bulaşmaile tüm sisteme yayılma yaklaşımı bu tür viruslerin amaçlarınaulaşmalarına imkân vermemiştir.
Şekil değiştirmeler 
Birçok antivirüs yazılımı, sıradan programların dosyalarını virüsimzalarını kontrol ederek taramakta ve muhtemel virüsleri bulmayaçalışmaktadır. Bir virüs imzası belirli tip virüsü ya da virüs ailesinibelirten özel bytenumunesidir. Eğer virüs tarayıcısı incelenen dosyalar içinde böyle birnumune ile karşılaşır ise kulanıcıyı virüs hakkında bilgilendirir.Kullanıcı bu durumda dosyayı silebilir ya da virüsten arındırabilir.Bazı virüsler, virüs imzaları ile tespit edilmeyi güçleştirecek ya daimkânsız hale getirecek teknikler kullanır. Bu türden virüsler herbulaşım esnasında kodlarını değiştirmektedir.Dolayısıyla her konakvirüsün farklı bir versiyonunu bünyesinde bulundurmaktadır.
Basit şekil değiştirmeler
Geçmişte virüsler kendilerini basit şekillerdedeğiştirebiliyorlardı. Örneğin virüsler, kaynak kodlarında yer alan vegörevleri benzer altprogram ünitelerini değiş tokuş etmekteydi. 2+2yapısındaki bir virüs takas sonunda 1+3 forumuna dönerken işlevindeherhangi bir değişiklik olmuyordu. Günümüzde bu durum gelişmiş virüstarayıcılar için bir problem oluşturmuyor.
Değişken anahtarlar ile şifreleme 
Daha gelişmiş bir yöntem ise virüsü basit şifreleme yöntemleri ilesaklamaktı. Bu durumda virüs, ufak bir şifre çözücü modül ile virüskodunun şifrelenmiş bir kopyasından oluşmaktaydı. Her dosyabulaşmasında virüs faklı bir anahtar ile şifreleniyor olsa da virüsünsürekli sabit kalacak tek bölümü, virüsün son bölümüne iliştirilençözücü modül olacaktır. Bu durumda virüs tarayıcı virüs imzalarınıkullanarak virüsü tespit edemeyecektir, ama sabit olan çözücü bölümtespit edilerek virüsü dolaylı yollar ile bulmanın imkânı vardır.
Genel olarak virüslerin uyguladıkları çözücü teknikleri basitti ve büyük çoğunlukla her byte'ıana virüs dosyasında saklanan rastgele hale getirilmiş anahtar ve Xortakısı ile birleştirmek suretiyle elde ediliyordu. Şifreleme ve çözmedüzenlerinin aynı olmasından ötürü Xor uygulmalarının kullanılmasıvirüse ek avantaj sağlıyordu.
Çokşekilli Kod
Çokşekilli kodlar, tarayıcılara yönelik ciddi tehdit arz eden ilkteknikti. Şifrelenmiş virüslere benzer şekilde çokşekilli virüsler dedosyalara şifrelenmiş kopyaları ile bulaşmakta idi. Bununla birlikteşifre çözücü modül de her dosya bulaşmasında değişmekteydi. Dolayısıylaiyi yazılmış çokşekilli bir virüs her bulaşmada sabit kalacak hiçbirparçaya sahip değildi ve bu da virüs imzalarını kullanarak virüsütespit etmeyi imkânsız hale getiriyordu. Antivirüs yazılımları virüsü, öykünücü(emulator) vasıtasıyla çözerek ya da şifrelenmiş virüs gövdesininistatistiki model analizini yaparak tespit edebiliyorlardı. Çokşekillikoda sahip olabilmek için virüs, şifrelenmiş gövdesi içerisindeçokşekilli motora (değiştirme motoru ya da değişim motoru) sahipolmalıdır.
Bazı virüsler çokşekilli kodları virüsün değişim hızını arttırmaktakullanmaktalar. Örneğin bir virüs zaman içinde yavaş biçimde değişimgösterecek şekilde programlanabilir ya da başka virüs kopyalarıbulaşmış dosyalara tutunmaktan kendini alıkoyabilir. Bu türden yavaşçokşekilli viruslerin üstünlüğü, antivirüs uzmanlarının bu türdenvirüslere ait temsil numulerini elde etmekte zorlanmalarıdır. Çünkübelirli bir zaman sürecinde olta dosyalarına sadece benzer ya da aynıtip virüs versiyonları bulaşacaktır. Bu durum açıkça gösteriyor ki butürden viruslerin virüs tarayıcıları ile tespiti güvenilir değildir vesonuç olarak virüsün bazı örneklerinin tespit edilmekten kaçabildiğiaçıkça belli olmaktadır.
Başkalaşım kodu 
Öykünücüler(emulatorler) vasıtasıyla tespit edilmekten kurtulabilmek için her yeniyürütülebilir dosyaya bulaşmadan önce kendilerini tamamiyle yenidenyazan virüslerdir. Başkalaşım geçirebilmeleri için bu viruslerinbaşkalaşım motoru kullanmaları gerekir. Bir başkalaşım motoru geneldeçok büyüktür ve karmaşıktır . Örneğin W32/Simile 14000 satır çevirici dili içerir ve %90'ı başkalaşım motoruna aittir.
Açıklar ve karşı önlemler 
İşletim sisteminin virüs saldırılarına karşı açıkları
Biyolojik virüsler ile bilgisayar virüslerinin birçok yönden benzeştikleri bilindiktir. Bir topluluk içerisinde genetikçeşitlilik ne kadar fazla ise, herhangi bir hastalık virüsünün o canlıtopluluğunu yok etmesi o derece zorlaşmaktadır. Aynı şekilde bir ağüzerindeki yazılım sistemlerinin çeşitliliği, virüslerin tahripediciciliğini sınırlamaktadır.
Microsoft'un masaüstü işletim sistemleri ve ofis yazılım paketleripazarında üstünlük sağladığı 1990'larda bu durum özel bir ilgi yarattı.Microsoft yazılımları kullanıcıları (özellikle Microsoft Outlook ve Internet Explorergibi ağ yazılımları kullanıcıları) virüslerin yayılımı karşısındasavunmasızdırlar. Microsoft yazılımları, şirketin masaüstü işletimsistemlerindeki nicelik olarak üstünlüğünden ötürü birçok virüsyazıcısının hedefidir ve virüs yazıcılar tarafından suistimal edilenbirçok hata (bug) ve açıkları bünyelerinde bulundurduklarından sık sıkeleştiri almaktadırlar. Gömülü (entegre) yazılımlar , dosyasistemlerine erişim imkânı tanıyan betik dillerini içerir uygulamalar (örneğin VBScript ve ağ oluşturma uygulamaları ) da saldırıya açıktır.
Her ne kadar Windows virüs yazıcılar için en gözde işletim sistemiolsa da bazı virüsler diğer platformlarda da gözlenmektedir. Üçüncüparti yazılımları yürüten herhangi bir işletim sisteminde teorik olarakvirüsler çalışabilir. Bazı işletim sistemleri diğerlerine nispeten dahaaz güvenlidir. Unix temelli işletim sistemleri (ve Windows NTtemelli platformalar) kullanıcıların yürütülebilir uygulamaları sadecekendilerine ait sınırlandırılmış alanda çalıştırmalarına izin verirler.
2006 yılı olarak Unix tabanlı işletim sistemlerinden biri olan Mac OS X'i hedef alan açık suistimali (exploit) oldukça azdır. Bilinen güvenlik açıkları ise solucanların ve truva atlarının suistimal ettikleri açık sınıflandırmalarına dahil edilmektedirler. Apple'in Mac OS Classicolarak bilinen eski işletim sistemlerine yönelik virüslerin sayısı,bilgi kaynaklarına göre değişiklik arz etmekte. Apple sadece 4 ,bağımsız kaynaklar ise 63 kadar virüsün işletim sisteminebulaşabileceğini belirtmekte. Kesin olarak söylenebilir ki Unix tabanlıolmasından ötürü Mac Os işletim sistemlerinin güvenlik açıklarındansuistimal edilmeleri diğer işletim sistemlerine nispeten daha güçtür . Macintoshbilgisayarların sayıca az olmasından ötürü Mac virüsleri sadece birkısım bilgisayarı etkileyebilir ki bu durum virüs yazıcılarını pekcezbetmemektedir. Virüslerden etkilenme nitelikleri ,çoğu kez Apple ve Microsoft arasındaki karşılaştırmaların temelini oluşturmaktdır.
Windows ve Unix benzer betik yeteneklerine sahiptir, ancak Unixnormal kullanıcıların işletim sistemi ortamına erişimini engelleyerekolası değiştirmelerin önüne geçerken , Windows bunu yapmaz. 1997'deBliss olarak bilinen Linux'a yönelik virüs ortaya çıktığında, öndegelen antivirüs şirketleri Unix benzeri işletim sistemlerinin (Linux da Unix tabanlıdır) Windows gibi virüslerin esareti altına girebileceği öngörüsünde bulundu Bliss, Unix sistemlere yönelik tipik bir virustür. Bliss, kullanıcının kendisiniçalıştırması ile aktif hale gelir ve sadece kullanıcının erişimhaklarının olduğu alanları (ya da programları) enfekte eder. Windowskullanıcılarının aksine birçok Unix kullanıcısı, program yüklemek veyazılım ayarlarını yapmak gibi durumlar haricinde yönetici hesabıylaoturum açmazlar , dolayısıyla kullanıcı virüsü çalıştırsa bile virüsişletim sistemi dosyalarına bulaşamayacağı için sisteme zarar veremez .Bliss virüsü hiçbir zaman çok yaygınlaşmadı ve daha çok araştırmamerakı aracı olarak kaldı. Daha sonra kaynak kodu , yaratıcısıtarafından araştırmacıların nasıl çalıştığını inceleyebilmeleri adına Usenete postalandı.
Yazılım geliştirmenin rolü 
Yazılımlar sistem kaynaklarının izinsiz kullanımını engelleyecekgüvenlik özellikleri ile tasarlandıklarından , birçok virüs sistem yada uygulamalardaki yazılım hatalarını (bug) suistimal ederekyayılırlar. Yazılımlarda çok sayıda hata (bug) yaratan yazılımgeliştirme stratejilerinde diretmek, aynı zamanda birçok potansiyelsuistimalin de temel kaynağı olacaktır.
Microsoftve patentli yazılım üreten şirketlerin tercih ettikleri kapalı kaynakyazılım geliştirme süreci birçokları tarafından güvenlik zafiyetinintemel kaynağı olarak görülür. Açık kaynak yazılımlar (GNUDerneği Yazılımları vb.) kullanıcıların uygulama kodlarını incelemesineolanak tanır ve güvenlik problemlerini çözmek için sadece tek birkuruma bağlı kalınmak zorunluluğunu ortadan kaldırır.
Diğer taraftan bazıları açık kaynak yazılım geliştirmenin, virüsyazıcılarının kullanabilecekleri potansiyel güvenlik problemleriniaçığa çıkardığını ve dolayısıyla suistimallerin görülme sıklığınınartacağını iddia etmekte. Bu kişiler ,ayrıca, Microsoftgibi popüler kapalı kaynak yazılımların çok fazla kullanıcısıolmasından ötürü süistimal edildiklerini ve yazılımın çokçakullanılması nedeniyle suistimal etkisinin geniş alanlara yayılmasınındoğal karşılanması gerektiğini iddia etmekteler.
Antivirüs yazılımları ve diğer önleyici tedbirler 
Antivirüs yazılımlarının virüsleri tespit etmekte kullandığı ikimetod bulunmaktadır. İlki ve en yaygın kullanılanı, virüs imzatanımlarını kullanmaktır. Bu yöntemin mahzuru , kullanıcının virüs imzalistelerinin sadece tespit edilmiş virüslere ait imzaları içermesindenötürü yeni türeyen tehditlere karşı savunmasız kalmasıdır. İkincimethod ise virüslerin genel davranışlarına odaklanarak tespitigerçekleştiren buluşsal algoritmaları kullanmaktır. Bu method sayesindeantivirüs şirketlerinin henüz tespit edemedikleri virüslerinsisteminizde var olduklarını bulabilirsiniz.
Birçok kullanıcı virüslere ait yürütülebilir dosyalar bilgisayaraindirilmesi durumunda tespiti gerçekleştirecek ve dosyaları sistemdentemizleyebilecek antivirüs programları kullanmaktadır. Antivirüs yazılımları bilgisayar hafızasını (RAM ve önyükleme sektörleri),sabit ya da çıkarılabilir sürücülerin (sabit diskler ve disketler)dosyalarını inceleyerek ve virüs imzaları veritabanı ilekarşılaştırarak çalışırlar. Bazı antivirüs yazılımları aynı usul iledosyalar açılırken hatta eposta alıp gönderirken taramayapabilmektedir. Bu uygulamaya on access tarama denilmektedir.Antivirüs yazılımı, konak programların virüsleri yayma zaafiyetlerini(açıklarını) düzeltmezler. Bunu gerçekleştirecek birkaç adım atıldıancak bu türden antivirüs çözümlerini benimsemek konak yazılımlarıngarantilerini geçersiz kılabilmektedir. Dolayısıyla kullanıcılar sıksık güncelleme yaparak yazılımlara ait güvenlik açıklarını yamamalıdır.
Kişi, ek olarak önemli verilerin ve hatta işletim sisteminin düzenliyedeklerini alarak virüslerin neden olacakları muhtemel zararlarıengelleyebilir. Yedeklerin sisteme sabit bağlanmamış, sadece okunabilirya da erişim engelli (faklı dosya sistemleri ile formatlanmış)ortamlarda saklanması ise çok önemlidir. Bu yol ile , eğer virüsnedeniyle veri kaybı yaşanırsa en son alınmış yedek kullanılarak zarartelafi edilir. Aynı şekilde bir çalışan disk(livecd) işletim sistemi, asıl işletim sistemi kullanılamaz halegeldiğinde bilgisayarı açmak için kullanılabilir. Bir başka yöntem isefarklı işletim sistemlerine ait yedekleri farklı dosya sistemleriüzerinde saklamak. Bir virüsün tüm dosya sistemlerini etkilemesi pekmümkün değildir. Bu nedenle alınan veri yedeklerinin farklı tipte dosyasistemlerine aktarılması uygundur. Örneğin Linux , NTFSbölümlerine yazabilmek için özel yazılım kullanmak durumundadır,dolayısyla kişi bu türde yazılımı kurmaz ve yedeğin aktarılacağı NTFSbölümünü yaratmak amacıyla MS Windows kurulumu gerçekleştirir ise , Linux yedeği virüslerinden korunmuş olacaktır. Benzer şekilde, MS Windows Ext3dosya sistemini okuyamaz ve dolayısıyla Linux kurulumu ile eldeedilecek bir Ext3 bölümüne yedeklerin aktarılması yedeği tehditlerdenuzak kılacaktır.
Toparlama yöntemleri
Bir bilgisayar, virüsün zararlı etkileri altındaysa , işletimsistemini yeniden kurmadan bilgisayarı kullanmaya devam etmek güvenliolmayacaktır. Bununla birlikte, bir bilgisayar virüs kaptığında tercihedilebilecek birçok toparlama seçeneği bulunmaktadır. Uygun olanuygulama virüs tipinin ciddiyetine bağlı olarak seçilir.
Virüs temizleme 
1. yöntem: Windows Xp üzerindeki bir olasılık, önemli kayıt vesistem dosyalarını önceden kaydı yapılmış bir denetim noktasına geridöndürecek sistem geri yükleme aracını kulanmaktır.
2. yöntem: AntiVirüs ve AntiSpyware'ler ile silmektir.

kaynaklar : vikipedi , msxlabs

KATEGORİLER

BİZİ TAKİP EDİN

BLOG YAZILARI

CHIP-TVTüm Videolar