Pc Virüsü Nasıl Bir Şeydir?

Bilgisayar Virüsü Nedir ?



Bilgisayar virüsü, kullanıcının izni ya da bilgisi dahilinde olmadan bilgisayarın çalışma şeklini değiştiren ve kendini diğer dosyaların içerisinde gizlemeye çalışan aslında bir tür bilgisayar programıdır.
Virus Çeşitleri
Dosyalara Bulaşan Virüsler
Genellikle COM, EXE uzantılı dosyaların kaynak koduna kendilerinin bir kopyasını eklerler. SYS, DRV, BIN, OVL, OVY uzantılı dosyalara bulaşan virüsler de vardır. Bazı virüsler dosyaların açılmasını beklemeden de çoğalabilir. Örneğin DOS'da DIR çekildiğinde diğer dosyalara bulaşan virüsler de vardır.

Dosyalara bulaşan virüslerin büyük bir kısmı, EXE dosyanın başlangıç kodunu alarak başka bir yere yazar. Dosya çalıştırıldığında önce virüs harekete geçer, başlangıç kodunu çalıştırır. Her şey yolunda gidiyormuş görünür. Bazıları da COM uzantılı ikinci bir dosya yaratarak içine kendi kodunu kopyalar. DOS tabanlı işletim sistemleri önce COM uzantılı dosyaya bakacağından farkında olmadan virüsü çalıştırır.
Önyükleme Sektörü Virüsleri
Önyükleme sektörü sabit diske ait tüm bilgilerin saklandığı ve bir program vasıtası ile işletim sisteminin başlatılmasını sağlayan yerdir. Virüs , her açılışta hafızaya yüklenmeyi garantilemek amacıyla kodlarını önyükleme sektörüne yerleştirir. Bu , belki de , günümüzde sayıca azalmalarının da nedeni olmuştur. Programların disketler ile bir bilgisayardan diğerine taşındığı dönemlerde önyükleme virüsleri büyük bir hızla yayılıyordu. Ancak CD-ROM devrinin başlamasıyla , CD-ROM içerisindeki bilgilerin değiştilemez ve kod eklenemez olmasından ötürü, bu tür virüslerin yayılımı durdu. Önyükleme virüsleri hala var olsa da yeni çağ zararlı yazılımlarına nispeten çok nadirler. Yaygın olmamalarının diğer bir sebebi ise işletim sistemlerinin artık önyükleme sektörlerini koruma altına almasıdır. Polyboot.B ve AntiEXE önyükleme virüslerine örnektirler.
Çok parçalı virüsler
Çok parçalı virüsler önyükleme sektörü ve dosya virüslerinin birleşimidir. Bu virüsler CD/DVD ya da disket gibi virüsle enfekte olmuş ortamlar ile gelir ve hafızaya yerleşirler. Akabinde sabit diskin önyükleme sektörüne taşınırlar. Sektörden de sabit diskteki yürütülebilir dosyalara (.exe) bulaşır ve tüm sistem boyunca yayılırlar. Günümüzde çokparçalı virüsler pek bulunmamakta, fakat en parlak çağlarında, farklı bulaşma birleştirmelerinin sağladığı kabiliyetler büyük problemlere neden olmaktaydı. En bilinen çok parçalı virüs Ywinz'dir.
Ağ virüsleri
Ağ virüsleri, yerel ağlarda ve hatta İnternet üzerinde hızla yayılmak konusunda çok beceriklidir. Genelde paylaşılan kaynaklar, paylaşılan sürücüler ya da klasörler üzerinden yayılırlar. Bir kez yeni bir sisteme bulaştıklarında, ağ üzerindeki potansiyel hedefleri araştırarak saldırıya açık sistemleri belirlemeye çalışırlar. Savunmasız sistemi bulduklarında ağ virüsü sisteme bulaşır ve benzer şekilde tüm ağa yayılmaya çalışırlar. Nimda ve SQLSlammer kötü nam salmış ağ virüslerindendir.
Eşlik Virüsleri

Eşlik virüsleri, konak dosyalarına tutunmuş değillerdir ancak MS-DOS'u suistimal edebilirler. Bir eşlik virüsü geçerli .EXE (uygulama ) dosyalarına ait isimleri kullanan genelde .COM nadiren .EXD uzantılı yeni dosyalar yaratmaktadır. Eğer kullanıcı belirli bir programı çalıştırmak için komut konsoluna sadece programın ismini yazıp .EXE uzantısını yazmayı unutursa DOS, ismi ve uzantıları aynı olan dosyalardan uzantısı sözlükte önde görünen dosyanın çalıştırılmak istendiğini varsayıp virüsü yürütecektir. Örneğin kullanıcı dosya adı.COM (virüs dosyası) ve dosya adı.EXE (yürütme dosyası) adlı iki dosyaya sahip olsun ve komut satırına sadece dosya adı yazmış bulunsun. Uzantılar incelendiğinde sonuç olarak dosya adı.com yani virüs dosyası yürütülecektir. Virüs yayılacak ve atanmış diğer görevleri yaptıktan sonra kendisiyle aynı isime sahip .exe dosyasını çalıştıracaktır. Böylece kullanıcı büyük ihtimalle virüsün ayırdına varamayacaktır. Bazı eşlik virüslerinin Windows 95 altında ve Windows NT'deki DOS öykünücüleri üzerinde çalışabildiği bilinmektedir. Yol eşlik virüsleri geçerli sistem dosyaları ile aynı ada sahip dosyalar oluşturur ve dizin yolu içinde bulunan eski virüsleri yenileri ile değiştirir. Bu virüsler MS-DOS komut istemini kullanmayan Windows XP'nin kullanıma sunulması ile giderek seyrekleşmişlerdir.

Yazılım bombaları
Yazılım bombaları, gerekli şartlar oluşana dek atıl durumda kalan ve özel bir kodu işleyen yazılımlardır. Şartların olgunlaşması kullanıcıya mesajlar göstermek ya da dosyaları silmek gibi belirli fonksiyonları tetikleyecektir. Yazılım bombaları bağımsız programların içerisinde barınabildikleri gibi virüs ya da solucanların parçaları da olabilirler. Belirli sayıdaki konağı etkiledikten sonra etkinleşen yazılım bombaları örnek olarak verilebilir. Saatli bombalar, yazılım bombalarının alt kümeleri olup belirli tarih ya da zamanda etkinleşecek şekilde programlanmışlardır. Saatli bombalara ünlü Friday the 13th virüsü örnek verilebilir.
Cross-site Scripting Virüsleri
Bir cross-site scripting virüsü (XSSV) çoğalabilmek için cross-site betik açıklarını kullanan virüslerdir. Bir XSSV yayılabilmek için web uygulamaları ve web tarayıcılarına ihtiyaç duyduğundan simbiyoz tip virüstür. Aslında xss bir virüs değil, sistem açığıdır. Php tabanlı sitelerde görülür.id= değişkeninden sonra kullanılan zararlı kod ile açık çağrılır. Açık bulunursa site adminine açıklı link yollanması ile cookieleri çalınabilir. Bu açık hotmailde de vardır bu yüzden mail güvenliği açısından gelen her adres açılmamalıdır
Sentineller
Sentineller oldukça gelişkin virüs tipi olup yaracısına bulaştığı bilgisayarları uzaktan kullanma yetkisi verir. Sentineller bot , zombi ya da köle adı verilen bilgisayarların oluşturduğu ve Hizmeti engelleme saldırısı gibi kötü niyetli amaçlarda kullanılacak geniş ağlar yaratmada kullanılırlar.
Virüslerin, makinenize bulaşma ya da makinenizde etkin halde olmadan saklanma yolları pek çoktur. Ancak etkin olsun ya da olmasın virüslerin başıboş bırakılması çok tehlikelidir ve ivedi şekilde sorun halledilmelidir
Virüslerin imzası neye benzer?
Popüler virüslerin imzalarını taramak, en temel ilke olarak bugün de varlığını koruyor.


Karakter Dizesi : En basit yöntem, şekli veritabanında depolanan şablonla tamamen örtüşmesi gereken durağan bir imzayı aramak. Bu, Win32/CIH virüsünün koduna, yazarının eklediği “CIH v1.2
TTIT” karakter dizesi gibi bir şey olabilir (resme bakınız). Bu imzadan yola çıkarak, tüm virüslü programlar saptanabilir.
Jokerler : Karakter dizesindeki “v1.2” muhtemelen bir sürüm numarası olduğuna ve başka sürümlerin de yayılma olasılığı bulunduğuna göre, bu kısım göz ardı edilebilir. Bu durumda, tarayıcının “CIH v?.? TTIT” karakterlerini araması gerekecek ve soru işaretleri joker görevi görecek; yani yerine herhangi bir karakter gelebilecek. Ama “v1.2a” gibi bir sürüm numarası bu şablona uymayacaktır. O yüzden joker karakter olarak soru işareti yerine, birden çok karakterin yerini tutabilen bir yıldız kullanılabilir: “CIH v* TTIT” dizesi, sürüm numarası yerine ne yazılırsa yazılsın işe yarayacaktır. Karakter dizesinin çok uzun olmaması için de minimum ya da maksimum karakter sınırı konabilir.
Özellikler : Ancak bu sefer virüs tarayıcı, şu an okuduğunuz makalenin bulunduğu dosyayı bile, imzayı içerdiği için yakalayacaktır. Böylesi yanlış alarmlardan kaçınmak ve arama hızını artırmak için
üreticiler saptamak istedikleri virüslere ilişkin daha çok bilgiyi imza veritabanlarına koyuyorlar. Buna dosya
türü örnek gösterilebilir. Çünkü CIH virüsü sadece Windows’a uygun çalıştırılabilir EXE dosyalarına bulaşır. Yine kapsamı daraltmak için dosyanın belirli bir bölümü (örneğin dosya başı, özel bir konum ya da
son 1024 byte) taranabilir.
Sağlama Değeri : Örnekteki imzalar aslında son derece kısa, çünkü kullanıcılar genelde metin içeren karakter dizelerini değil de, 32 ila 128 byte uzunluğundaki, değiştirilmesi daha zor olan virüs kodlarını
kullanıyorlar. Kimi zaman bellekten tasarruf etmek için, gerçek imzalar yerine CRC32 gibi sağlama değerlerinden faydalanılıyor. Normalde başlangıç noktası, dosya boyutu ve örneğin dosya başlangıcından 128 byte sonrasının sağlama değeri “FD CC 34 6F” gibi bir değer, 32 ya da 128 değil, sadece 12 byte
yer tutuyor. Bununla birlikte, karakter dizesindeki tek bir byte bile değişse, sağlama değeri anlamını yitiriyor. Diğer yandan, imza ararken bu kadar kesin davranmaya gerek yok; kodun birkaç biti değişse bile virüs bulunabiliyor.
Virüsler Neler Yapar?
Sirefef, P2P protokolü ile kendi güncellemelerini ve diğer zararlı yazılımları indirip sisteme yüklüyor. İndirilen dosyalar ise oluşturulan gizli bir klasörde saklanıyor. İndirilen bileşenler:
Kullanıcının internette yaptığı arama sonuçlarını değiştirerek kullanıcının farklı sitelere yönlendirilmesini sağlar.
Sistemlerden sahte tıklamalar yaparak, zararlı yazılımı yöneten kişinin tıklama başı reklamdan haksız gelir elde etmesine sebep olur.
Etkilenen bilgisayarda Bitcoin (pek çok internet sitesi tarafından ödeme aracı olarak kullanılan bir sayısal para birimi) madenciliği yapar. Erişebildiği Bitcoin'leri başka hesaplara aktarır.
Sirefef ayrıca bulaştığı bilgisyarlar hakkında zararlı yazılımı yöneten kişiye bilgi gönderir. Bu bilgiler sayesinde saldırganlar pek çok amaçla kullanmak için yönetebileceği virüslü bir ağa sahip olur.
Daha fazla bilgi için : http://tr.wikipedia.org/wiki/Bilgisayar_vir%C3%BCs%C3%BC

0 yorum: