Bilgisayar Virüsü Nedir ? En İyi Antivirüs Hangisidir ?

Bilgisiyar Virüsü nedir  ?

Bilgisayar virüsü, kullanıcının izni ya da bilgisi dahilinde olmadan bilgisayarın çalışma şeklini değiştiren ve kendini diğer dosyaların içerisinde gizlemeye çalışan aslında bir tür bilgisayar programıdır.




Virus Çeşitleri Nelerdir ?

Dosyalara Bulaşan Virüsler
Genellikle COM, EXE uzantılı dosyaların kaynak koduna kendilerinin bir kopyasını eklerler. SYS, DRV, BIN, OVL, OVY uzantılı dosyalara bulaşan virüsler de vardır. Bazı virüsler dosyaların açılmasını beklemeden de çoğalabilir. Örneğin DOS'da DIR çekildiğinde diğer dosyalara bulaşan virüsler de vardır.

Dosyalara bulaşan virüslerin büyük bir kısmı, EXE dosyanın başlangıç kodunu alarak başka bir yere yazar. Dosya çalıştırıldığında önce virüs harekete geçer, başlangıç kodunu çalıştırır. Her şey yolunda gidiyormuş görünür. Bazıları da COM uzantılı ikinci bir dosya yaratarak içine kendi kodunu kopyalar. DOS tabanlı işletim sistemleri önce COM uzantılı dosyaya bakacağından farkında olmadan virüsü çalıştırır.

Önyükleme Sektörü Virüsleri
Önyükleme sektörü sabit diske ait tüm bilgilerin saklandığı ve bir program vasıtası ile işletim sisteminin başlatılmasını sağlayan yerdir. Virüs , her açılışta hafızaya yüklenmeyi garantilemek amacıyla kodlarını önyükleme sektörüne yerleştirir. Bu , belki de , günümüzde sayıca azalmalarının da nedeni olmuştur. Programların disketler ile bir bilgisayardan diğerine taşındığı dönemlerde önyükleme virüsleri büyük bir hızla yayılıyordu. Ancak CD-ROM devrinin başlamasıyla , CD-ROM içerisindeki bilgilerin değiştilemez ve kod eklenemez olmasından ötürü, bu tür virüslerin yayılımı durdu. Önyükleme virüsleri hala var olsa da yeni çağ zararlı yazılımlarına nispeten çok nadirler. Yaygın olmamalarının diğer bir sebebi ise işletim sistemlerinin artık önyükleme sektörlerini koruma altına almasıdır. Polyboot.B ve AntiEXE önyükleme virüslerine örnektirler.

Çok Parçalı Virüsler
Çok parçalı virüsler önyükleme sektörü ve dosya virüslerinin birleşimidir. Bu virüsler CD/DVD ya da disket gibi virüsle enfekte olmuş ortamlar ile gelir ve hafızaya yerleşirler. Akabinde sabit diskin önyükleme sektörüne taşınırlar. Sektörden de sabit diskteki yürütülebilir dosyalara (.exe) bulaşır ve tüm sistem boyunca yayılırlar. Günümüzde çokparçalı virüsler pek bulunmamakta, fakat en parlak çağlarında, farklı bulaşma birleştirmelerinin sağladığı kabiliyetler büyük problemlere neden olmaktaydı. En bilinen çok parçalı virüs Ywinz'dir.

Ağ Virüsleri
Ağ virüsleri, yerel ağlarda ve hatta İnternet üzerinde hızla yayılmak konusunda çok beceriklidir. Genelde paylaşılan kaynaklar, paylaşılan sürücüler ya da klasörler üzerinden yayılırlar. Bir kez yeni bir sisteme bulaştıklarında, ağ üzerindeki potansiyel hedefleri araştırarak saldırıya açık sistemleri belirlemeye çalışırlar. Savunmasız sistemi bulduklarında ağ virüsü sisteme bulaşır ve benzer şekilde tüm ağa yayılmaya çalışırlar. Nimda ve SQLSlammer kötü nam salmış ağ virüslerindendir.

Eşlik Virüsleri
Eşlik virüsleri, konak dosyalarına tutunmuş değillerdir ancak MS-DOS'u suistimal edebilirler. Bir eşlik virüsü geçerli .EXE (uygulama ) dosyalarına ait isimleri kullanan genelde .COM nadiren .EXD uzantılı yeni dosyalar yaratmaktadır. Eğer kullanıcı belirli bir programı çalıştırmak için komut konsoluna sadece programın ismini yazıp .EXE uzantısını yazmayı unutursa DOS, ismi ve uzantıları aynı olan dosyalardan uzantısı sözlükte önde görünen dosyanın çalıştırılmak istendiğini varsayıp virüsü yürütecektir. Örneğin kullanıcı dosya adı.COM (virüs dosyası) ve dosya adı.EXE (yürütme dosyası) adlı iki dosyaya sahip olsun ve komut satırına sadece dosya adı yazmış bulunsun. Uzantılar incelendiğinde sonuç olarak dosya adı.com yani virüs dosyası yürütülecektir. Virüs yayılacak ve atanmış diğer görevleri yaptıktan sonra kendisiyle aynı isime sahip .exe dosyasını çalıştıracaktır. Böylece kullanıcı büyük ihtimalle virüsün ayırdına varamayacaktır. Bazı eşlik virüslerinin Windows 95 altında ve Windows NT'deki DOS öykünücüleri üzerinde çalışabildiği bilinmektedir. Yol eşlik virüsleri geçerli sistem dosyaları ile aynı ada sahip dosyalar oluşturur ve dizin yolu içinde bulunan eski virüsleri yenileri ile değiştirir. Bu virüsler MS-DOS komut istemini kullanmayan Windows XP'nin kullanıma sunulması ile giderek seyrekleşmişlerdir.

Yazılım Bombaları
Yazılım bombaları, gerekli şartlar oluşana dek atıl durumda kalan ve özel bir kodu işleyen yazılımlardır. Şartların olgunlaşması kullanıcıya mesajlar göstermek ya da dosyaları silmek gibi belirli fonksiyonları tetikleyecektir. Yazılım bombaları bağımsız programların içerisinde barınabildikleri gibi virüs ya da solucanların parçaları da olabilirler. Belirli sayıdaki konağı etkiledikten sonra etkinleşen yazılım bombaları örnek olarak verilebilir. Saatli bombalar, yazılım bombalarının alt kümeleri olup belirli tarih ya da zamanda etkinleşecek şekilde programlanmışlardır. Saatli bombalara ünlü Friday the 13th virüsü örnek verilebilir.

Cross-site Scripting Virüsleri
Bir cross-site scripting virüsü (XSSV) çoğalabilmek için cross-site betik açıklarını kullanan virüslerdir. Bir XSSV yayılabilmek için web uygulamaları ve web tarayıcılarına ihtiyaç duyduğundan simbiyoz tip virüstür. Aslında xss bir virüs değil, sistem açığıdır. Php tabanlı sitelerde görülür.id= değişkeninden sonra kullanılan zararlı kod ile açık çağrılır. Açık bulunursa site adminine açıklı link yollanması ile cookieleri çalınabilir. Bu açık hotmailde de vardır bu yüzden mail güvenliği açısından gelen her adres açılmamalıdır.

Sentineller
Sentineller oldukça gelişkin virüs tipi olup yaracısına bulaştığı bilgisayarları uzaktan kullanma yetkisi verir. Sentineller bot , zombi ya da köle adı verilen bilgisayarların oluşturduğu ve Hizmeti engelleme saldırısı gibi kötü niyetli amaçlarda kullanılacak geniş ağlar yaratmada kullanılırlar.
Virüslerin, makinenize bulaşma ya da makinenizde etkin halde olmadan saklanma yolları pek çoktur. Ancak etkin olsun ya da olmasın virüslerin başıboş bırakılması çok tehlikelidir ve ivedi şekilde sorun halledilmelidir


Virüslerin imzası neye benzer?
Popüler virüslerin imzalarını taramak, en temel ilke olarak bugün de varlığını koruyor. Pc Virüsü Nasıl Bir Şeydir?



Karakter Dizesi : En basit yöntem, şekli veritabanında depolanan şablonla tamamen örtüşmesi gereken durağan bir imzayı aramak. Bu, Win32/CIH virüsünün koduna, yazarının eklediği “CIH v1.2
TTIT” karakter dizesi gibi bir şey olabilir (resme bakınız). Bu imzadan yola çıkarak, tüm virüslü programlar saptanabilir.

Jokerler : Karakter dizesindeki “v1.2” muhtemelen bir sürüm numarası olduğuna ve başka sürümlerin de yayılma olasılığı bulunduğuna göre, bu kısım göz ardı edilebilir. Bu durumda, tarayıcının “CIH v?.? TTIT” karakterlerini araması gerekecek ve soru işaretleri joker görevi görecek; yani yerine herhangi bir karakter gelebilecek. Ama “v1.2a” gibi bir sürüm numarası bu şablona uymayacaktır. O yüzden joker karakter olarak soru işareti yerine, birden çok karakterin yerini tutabilen bir yıldız kullanılabilir: “CIH v* TTIT” dizesi, sürüm numarası yerine ne yazılırsa yazılsın işe yarayacaktır. Karakter dizesinin çok uzun olmaması için de minimum ya da maksimum karakter sınırı konabilir.

Özellikler : Ancak bu sefer virüs tarayıcı, şu an okuduğunuz makalenin bulunduğu dosyayı bile, imzayı içerdiği için yakalayacaktır. Böylesi yanlış alarmlardan kaçınmak ve arama hızını artırmak için üreticiler saptamak istedikleri virüslere ilişkin daha çok bilgiyi imza veritabanlarına koyuyorlar. Buna dosya türü örnek gösterilebilir. Çünkü CIH virüsü sadece Windows’a uygun çalıştırılabilir EXE dosyalarına bulaşır. Yine kapsamı daraltmak için dosyanın belirli bir bölümü (örneğin dosya başı, özel bir konum ya da son 1024 byte) taranabilir.

Sağlama Değeri : Örnekteki imzalar aslında son derece kısa, çünkü kullanıcılar genelde metin içeren karakter dizelerini değil de, 32 ila 128 byte uzunluğundaki, değiştirilmesi daha zor olan virüs kodlarını kullanıyorlar. Kimi zaman bellekten tasarruf etmek için, gerçek imzalar yerine CRC32 gibi sağlama değerlerinden faydalanılıyor. Normalde başlangıç noktası, dosya boyutu ve örneğin dosya başlangıcından 128 byte sonrasının sağlama değeri “FD CC 34 6F” gibi bir değer, 32 ya da 128 değil, sadece 12 byte yer tutuyor. Bununla birlikte, karakter dizesindeki tek bir byte bile değişse, sağlama değeri anlamını yitiriyor. Diğer yandan, imza ararken bu kadar kesin davranmaya gerek yok; kodun birkaç biti değişse bile virüs bulunabiliyor.

Virüsler Neler Yapar?
Sirefef, P2P protokolü ile kendi güncellemelerini ve diğer zararlı yazılımları indirip sisteme yüklüyor. İndirilen dosyalar ise oluşturulan gizli bir klasörde saklanıyor. İndirilen bileşenler:
Kullanıcının internette yaptığı arama sonuçlarını değiştirerek kullanıcının farklı sitelere yönlendirilmesini sağlar.
Sistemlerden sahte tıklamalar yaparak, zararlı yazılımı yöneten kişinin tıklama başı reklamdan haksız gelir elde etmesine sebep olur.
Etkilenen bilgisayarda Bitcoin (pek çok internet sitesi tarafından ödeme aracı olarak kullanılan bir sayısal para birimi) madenciliği yapar. Erişebildiği Bitcoin'leri başka hesaplara aktarır.
Sirefef ayrıca bulaştığı bilgisyarlar hakkında zararlı yazılımı yöneten kişiye bilgi gönderir. Bu bilgiler sayesinde saldırganlar pek çok amaçla kullanmak için yönetebileceği virüslü bir ağa sahip olur.

Daha fazla bilgi için : https://tr.wikipedia.org/wiki/Bilgisayar_vir%C3%BCs%C3%BC





En İyi Antivirüs Hangisi ? Hangi Antivirüs Programını Kullanmalıyım ?


Antivirüs programlarının çalışma mantığını anlarsak şu mit olmuş sorunun cevabıda ortaya çıkacaktır

"En iyi antivürüs hangisi ?"

Günümüzün virüs tarayıcıları son derece karmaşık sistemler,  Bulaşmaların ve casusların önünü almak için farklı teknolojilerden yararlanıyorlar.








Sonuç mu?

Bütün antivirüsleri teste tutmuş biri olarak özetle cevap şu :
Şuan için bilmediği virüsü sistemden silen bir antivirüs programı yok. Virüs - antivirüs , kilit -maymuncuk arasındaki olaya benzer. Yani virüs bir sistemi kilitliyorsa antivirüste açmaya çalışıyor. Mantıkta gayet basit maymuncuk tanıdığı kilitleri açıyor , tanımadıklarını açamıyor.
Yeni çıkan virüsü hiçbir antivirüs tanımaz, zaten tanısa o virüsü yazan daha yaymadan kendi pc si bunu engeller. Kısacası antivirüslerde en iyi kavramı yoktur. Sadece datalarında o virüse karşı panzeyir varmı yokmu o önemlidir. Belli başlı antivirüs firmalarıda zaten bulduları virüsün panzeyirini güncelleme ile hemen işleme geçirirler ki bu da birinin bulması demek hepsinin en fazla 24 saatte datasına bu çözümü eklemesi anlamına gelir.
sizin yapmanız gereken güncellemeri hemen yüklemek ve bilmediğiniz uygulamalardan sandbox ikinci hdd gibi yöntemlerle uzak durmak. Yoksa bütün antivirüsleri aynı pc kursanız sonuç değişmeyecektir.

Sonuçta profesyonel antivirüslerin hepsi şuan aynı

Norton Antivirüs
Kaspersky Antivirüs
Esed NOD32 Antivirüs
Avira Antivirüs
Trend Micro Antivirüs
McAfee Antivirüs
AVG Antivirüs
Panda Antivirüs
Avast Antivirüs
BitDefender Antivirüs
MSE Antivirüs
Diğer

Nezamaki antivirüsler tanımadığı virüs trojen vs. işleme girmeden yok ederse işte o zaman en iyi hangisi kavramı ortaya çıkacaktır.

Sizin yapmanız gerekenler ise işletim sisteminizi ve antivirüs programınızı sürekli güncel tutmak ve sanal dünya da zarar görmemek için daha çok okumak ve araştırma yapmak olacaktır.


What is Computer Virus? Which is the Best Antivirus?

2 yorum:

  1. http://www.virusresearch.org/

    YanıtlaSil
  2. https://www.comparitech.com/blog/information-security/internet-computer-security-guide/

    YanıtlaSil