Notu Gizle
SORU'NU SOR cevabını size iletelim. Soru sormak için TIKLAYINIZ.

Virüsler

Konusu 'GÜVENLİK' forumundadır ve sahasan tarafından 12 Eylül 2009 başlatılmıştır.

  1. sahasan

    sahasan © ◄ كُن فَيَكُونُ ► Forum Administrator

    Mesajlar:
    13.118
    Beğenileri:
    4.065
    Ödül Puanları:
    9.820
    Virüs Nasıl Çalışır?

    Virüsün nasıl çalıştığını anlamak ona karşı savunma yapmada ilk adımdır.

    Bugünlerde bir bilgisayar satın aldıysanız muhtemelen bir antivirüs paketi ile gelecek. Bu virüslerin nasıl tehlikeli bir şekilde yayıldığının ve bilgisayar endüstrisinin bu konuya nasıl ciddi bir şekilde baktığının bir kanıtı. Basit olarak virüsler bilgi çağının bir parçası olmuşlardır artık.

    Dışarda değişik kategorilerde binlerce virüs var, ama hepsinide tek bir cümlede tanımlayabiliriz. Temelde kendini diğer sistemlere ve dosyalara bulaştırmak için yazılmış ve bunun için farklı yolları kullanan küçük program parçacıkları.

    Virüsler kasıtlı olarak tasarlanırlar. Kazara ortaya çıkmazlar. Virüsleri programcılar yazar ve dikkat çekmeden yayılmaları için çeşitli yollar araştırırlar. Antivirüs yazılımları geliştikce virüs yazarlarıda bunu aşmak için yeni yöntemler üretirler. Birçok virüs yazarına göre bu bir karşılıklı duellodur; diğerleri için ise sadece bir eğlence.

    Virüsler yaptıkları zararlar nedeni ile kötü bir üne sahiptir ama bazıları gerçekte zararsızdır. Evet bazıları gerçekten çok büyük zararlara yol açarken kimileride zararsızdır hatta kullanıcıya hiç gözükmezler bile. Ama temelde virüs olarak düşünmek için kendini çoğaltması yeterli, diğer özellikleri ise ekstra.

    Bazı virüsler ise tam olarak zarar vermeselerde yerel diskinizi, hafızanızı doldurabilir ya da CPU kaynaklarını tüketir. Böylelikle bilgisayarınızın hızını azaltır ve performansınızı düşürür. Antivirüs yazılımlarıda diskinizde yer kaplar ve CPU kaynağı tüketir; bu nedenle bir çok kullanıcı antivirüs programlarının virüslerden daha çok kaynak tükettiğini savunur ve antivirüs yazılımı kullanmazlar.

    Virüsler ve Virüs Benzeri Programlar

    Virüsün yukarıda yaptığımız tanımı çok belirleyici olmuştur. Bu tanımlamanın sadece bir kısmına uyan başka tür programlarda var. Virüslerin ortak tarafları; kullanıcının haberi olmadan çalışmak ve geri planda virüs yazarı tarafından ne yapması isteniyorsa onu yapmak. Bunun içinde solucanlar ve truva atlarıda dahil. Tüm bu programlar kötü niyetli yazılım sınıfındadır.

    Solucan kendini çoğaltır ama başka dosyalara/programlara bulaşmaz. Yayılmak için genellikle ağ bağlantısını kullanır. Ağ bağlantısının olmadığı yerlerde de solucan olabilir; kendini yerel diskte farklı yerlere sürekli kopyalan çeşitlerde var.

    Truva Atı terimi ise eski bir Yunan efsanesinden geliyor: hediye olarak verilen tahta bir atın içinden askerler çıkıyor. Bilgisayar dünyasındaki yöntemde aynısı. Zararsız görünen bir programın içine saklanan başka bir kod. Program çalışır ve truva atıda arka planda gizli işler yapar. Truva atları kendilerini çoğaltmazlar.

    Damlalıklar antivirüs yazılımlarından sakınmak için geliştirilmişlerdir. Genellikle şifreleme yöntemi kullanırlar ve böylece antivirüs yazılımları farketmez. Temel fonksiyonları virüsleri taşıyıp sisteme kurmalarıdır. Belli bir süre sistemde beklerler sonrada içindeki virüsü sisteme yerleştirir.

    Bomba ise belli bir olay olduğunda harekete geçer. Bazıları tarihe bağlıdır ve genellikle bilgisayarın tarihini kullanır. Örneğin bir bomba .DOC dosyalarını silmek için yazılmış olabilir. Bazıları ise örneğin 25 kez aktif olduktan sonra işlevini gerçekleştirmeye başlayabilir.

    Bazı virüsler ise yukarıda anlatılan yöntemlerin birden fazlasını kullanabilir. Örneğin yayılmak için solucan mantığını kullanırken sisteme yerleşmek için damlalık mantığını kullanabilir.



    Bir Virüs Nasıl Çalışır?

    Virüsler birçok şekilde çalışırlar, temel yöntemleri şöyledir:

    Genellikle programlara/dosyalara (.COM, .EXE, boot sector, etc.) kendilerini eklerler. Eskiden virüsler sadece taşınabilir medya (floppy disk, CD etc.) ile yayılabiliyordu. Ama artık ağdan indirilen dosyalar (internet'de dahil), örneğin: bedava yazılımlar, oyunlar, ekran koruyucuları etc., ve e-mail eklentileri ile yayılabiliyorlar.

    Dikkatinizi çekerim, e-mail mesajları virüs değildir. Virüs bir programdır ve aktif olması için çalışması gerekir. Ama Microsoft Outlook programındaki güvenlik açığı nedeni ile mesajın içerisindeki tehlikeli kodlar otomatik çalışıyor ve virüs aktif oluyor. Microsoft bu güvenlik açığı için Patch çıkardı. Virüsler e-mail eklentilerinin içinde gelirler ve siz çalıştırmadığınız sürece aktif olamazlar. Kullanıcılar çoğunlukla dikkat etmeden bu eklentileri çift tıklayarak çalıştırıyor. Kullanıcılar için en iyi uygulanacak yol e-mail eklentileriyle gelen çalıştırılabilir dosyaları (.exe .com .vbs .js etc.) ve makro içerebilecek dosyaları (.doc .xls etc.) açmamaktır. Ses dosyaları, grafik dosyaları ve benzerleri tehlikesizdir.

    Virüs hayatına sizin bilgisayarınızda başlar. Başka bir programın/dosyanın içinde gizlenmiştir ve onunla birlikte çalışmaya başlar. Virüslü bir dosya çalıştırıldığında önce virüs kodları çalışır ve arkasındanda programın kendi orjinal kodları çalışır. Artık bu noktada sisteminiz virüslenmiş olur. Virüs birkez aktif olduktan sonra yazarının komutlarını yerine getirmeye başlar.


    Virüs Çeşitleri

    Virüs yazarları sisteminize bulaşabilmek için türlü yollar geliştirirler. Ama temeli hep aynı kalmıştır: Boot sector, dosya/program, ve macro virüsler. Farklı isimlerde ve başka alt kategorilerde tanımlansalarda temel düşünce aynıdır.

    Boot sector virüsleri diskinizin özel bir bölümüne yerleşir, bu bölüm bilgisayarınızı açtığınızda ilk okunan yerdir. Gerçek boot sector virüsleri DOS boot sector kısmını etkilerler, ama bunun bir alt kategorisinde yer alan MBR virüsleri ise Master Boot Sector kısmına bulaşır. Bu her iki bölümde bilgisayarın açılmasıyla sistemin hafızasına yerleşir ve virüs aktif olur. Bu tip bir virüsden kurtulmanın ilk yolu herzaman elinizde temiz bir açma disketi bulundurmaktır.

    Dosya/program virüsleri en sık görülen çeşitdir ve kendilerini dosyalara/programlara eklerler. Bu tip virüsler genelde hafızada hazır beklerler ve başka bir programın çalıştırılmasıyla ona da bulaşırlar. Böylece bilgisayar kullanıldıkca yayılırlar.

    Macro virüsleri yeni türlerden. Birçok uygulama, kullanıcının rutin işlerini kısa zamanda yapabilmesi için macro denilen bir çeşit programlama dili desteği ile gelmektedir. Macro virüsler bu özellikten faydalanıyorlar. Örnek olarak Microsoft Word ve Exel. Macro virüsleri dokümalarda bulunur ve virüslü doküman açıldığında çalışmaya başlar.

    Bazı virüs türleri ise bu kategorilerin birden fazlasına girebilir. Örneğin boot sector virüsü olmasına rağmen yayılmak için dosyalarıda kullanabilir.

    Şu ana kadar bilinen tüm virüsleri ve yaptıklarını görmek için Virüs Ansiklopedisine bakabilirsiniz.




    Yeni Nesil Virüsler

    Yıllar geçtikçe virüs tarzı bilgisayar saldırılarının özelliği değişti, buna paralel olarak antivirüs korunma yöntemleride gelişti. Bir çok şirket, zararlı kodların sistemlerine girerek bilgilerine zarar vermesini ve bilgisayarlarının başka sistemlere saldırı amaçlı kullanılmasını engelleyen tarayıcılar ve benzeri programlar geliştirdi. Bilgisayar saldırılarının hemen hemen hepsi hacker Web sitelerinden indirilen saldırı ve virüs araçları kullanılarak yapılıyor. Zamanla oyunun kuralı değişti, bilgisayar güvenlik zayıflıklarının farklı bir tarafı kullanıldı. Bu yeni saldırı formu daha tehlikeli. Sadece Web sitesi gezintisinden başka birşey yapmasanızda tehlike altındasınız.

    2001 Saldırıları

    Virüs ve benzeri zararlı yazılımlar ilk defa çıktığında sadece diskler aracılığı ile yayılabiliyorlardı. Daha sonra yayılma yöntemine download eklendi. Son saldırı ve yayılma yöntemi ise e-mail eklentileri ve Microsoft Word dokümanlarındaki makrolar.Çok az bilgili kullanıcılar bile e-mail eklentilerini açmadan tanıyabilir ve Word kelime işlemcisinde makro seçeneğini kapatabilirler. En yeni tehlike ise zararlı kod bulunan Web sitesinin ziyaret edilmesiyle bu kodun arka planda çalışması. 2001'e hoşgeldiniz.

    Bir çeşit karmaşık solucan olan Davinia'ya bakalım. Kaspersky Lab'a (Kaspersky Lab: Antivirus software) göre bu solucan Microsoft Outlook güvenlik zayıflıklarını kullanarak saldırı yöntemlerine yenilik katmıştır.
    Firmanın Davinia hakkında söyledikleri:

    "Davinia popüler olan MS Outlook email programı ile yayılıyor. Solucan kullanıcının sistemine girmek için çok karmaşık bir yöntem kullanıyor. Bu işlem iki parçadan oluşuyor: Birincisi, e-mail kullanıcıya ulaşıyor ve kullanıcı mail mesajını okuduğu anda bir script çalışarak Internet Explorer açıyor ve saldırganın Web sitesine bağlanıyor. İkinci bir script ise hacker'ın Web sitesindeki bir Microsoft Word dokümanını açıyor, bu dokümanda bulunan makro ise Word'un makro uyarı opsiyonunu kapatıyor. Böylece kullanıcı açtığı dokümanlarda makro varsa haberi olmuyor. Virüs bunu yapabilmek için Mayıs 2000 tarihinde keşfedilen Office 2000'de bulunan bir zayıflığı kullanıyor.

    Bunu takiben, virüs MS Outlook adres defterindeki herkese kendini yolluyor. Böylece solucanın bir parçası Web sitesindeyken kullanıcılara sadece bu Web sitesinin adresi yollanmış oluyor."

    Sonuç olarak program yerel diskinizdeki tüm dosyaları bozuyor.

    Son kullanıcıların iki şey yapması gerekiyor. Kullandığınız yazılımlarınızın güvenlik açıklarını hemen kapatın. İkincisi ise antivirüs yazılımı kullanın ve güncellemeyi ihmal etmeyin.

    Dikkat ederseniz bu yeni saldırı yöntemi Web sayfalarından script çalıştırılması ile meydana geliyor. Microsoft tarafından Internet Explorer seviyesinde çözülmesi gereken bir tehlike.

    Ben Teklif Vermedim

    Diğer bir zararlı kod örneği E-bayla. Virüs avcısı Doug Muth (http://www.claws-and-paws.com/virus/index.shtml) tarafından "hiç bir kategoriye girmiyor" şeklinde tanımlanıyor:

    "eBay gibi açıkarttırma sitelerinde açıkarttırmayı yöneten kişi pazarlanan ürünün tanımlama bölümüne javascript kodları koyabilir ve açıkarttırmaya katılanların kullanıcı isimleri ve şifreleri bu yolla öğrenilebilir. Bu yöntem kullanılarak saldırgan sizin adınıza açıkarttırma seanslarına katılıp ürünlere yüksek fiyat teklifinde bulunabilir, bu durumda ürüne en yüksek fiyatı verdiğiniz için onu satın alma sorumluluğunda olursunuz. Konu hakkında ayrıntılı bilgi için http://www.because-we-can.com/ebayla. Neyazık ki eBay bu sorunu çözmek için beklediğimiz girişimlerde bulunmadı."
    Davinia ve bazı eski virüs kodları haricinde son bir yılda büyük bir kitleyi etkileyen virüs olayına rastlamadık. Şanslıyız ki, zararlı kod içeren Web siteleri tanımlanabilir ve kapatılabilir. Hala dikkatli olma zamanı. En azından yılda bir kez büyük bir olay yaşıyoruz. Melissa virüsü gelir, arkasından bir yıl sonra ILoveYou virüsü gelir. Bu gidişatın duracağına dair hiç bir belirti yok, virüs yazarları ve saldırganlar sürekli yeni yöntemler için çalışıyor. Haberlerden haberdar olun.
     
    Sponsorlu bağlantılar
Daha önce açılmış benzer konular:
Yüklüyor...

Sayfayı Paylaş