Ders Notları

BİLGİSAYAR VİRÜSLERİ

Virüs Nedir?Bilgisayar virüsü, kullanıcının izni ya da bilgisi olmadan bilgisayarın çalışma şeklini değiştiren ve kendini diğer dosyaların içerisinde gizlemeye çalışan bir tür bilgisayar programıdır.Bir virüs aşağıda belirtilen iki görevi gerçekleştirir:1- Kendini çoğaltmalı2- Kendini çalıştırmalıVirüs , zararlı yazılımların tüm değişik çeşitlerini ifade eden genel bir terim olarak kullanılmaktadır.Bilgisayar virüslerinin etkileriBazı virüsler uygulamalara zarar vermek, dosyaları silmek ve sabit diski yeniden formatlamak gibi çeşitli şekillerde bilgisayara zarar vermek amacıyla programlanmışlardır. Bazıları zarar vermektense, sadece sistem içinde çoğalmayı ve metin, resim ya da video mesajları göstererek fark edilmeyi tercih ederler. Bu zararsızmış gibi gözüken virüsler kullanıcı için problem olabilir. Bilgisayar hafızasını işgal ederek makineyi yavaşlatabilir, sistemin kararsız davranmasına hatta çökmesine neden olabilirler. Ek olarak birçok virüs, hata (bug) kaynağıdır ve bu hatalar sistem çökmelerine ve veri kaybına neden olabilir.Biyolojik virüslerin aksine bilgisayar virüsleri kendi başlarına evrimleşmezler. Bilgisayar virüsleri ne kendiliğinden var olabilirler ne de yazılımlardaki hatalardan (bug) türeyebilirler. Programcılar ya da virüs yapma yazılımı kullanan kişiler tarafından üretilirler. Bilgisayar virüsleri sadece programlandığı etkinlikleri gerçekleştirebilirler.Neden bilgisayar virüsleri yapılır ?Virüs yazıcılarının zararlıyı üretme ve yayma nedenleri çok çeşitli olabilmektedir. Virüsler araştırma projeleri amaçlı, şaka amaçlı, belirli şirketlerin ürünlerine saldırmak amaçlı, politik mesaj vermek amaçlı veya kimlik hırsızlığı, casus yazılım ve saklı virüs ile haraç kesme gibi yöntemlerle finansal kazanç sağlamak amaçlı yazılabilmektedir. Bazı virüs yazıcılar ürettiklerini sanat eseri olarak görmekte ve virüs yazmayı bir tür hobi olarak tanımlamaktadır. Ek olarak birçok virüs yazıcısı, virüslerin sistemler üzerinde tahrip edici etkiler göstermesinden yana değildir. Çoğu yazıcı saldırdıkları işletim sistemini bir zihin egzersizi ya da çözülmeyi bekleyen bir mantık sorusu olarak görmekte ve antivirüs yazılımlarına karşı oynanan kedi fare kovalamacasının kendilerini cezbettiğini belirtmekteler..Bazı virüsler iyi virüsler olarak addedilir. Bulaştıkları programları güvenlik açısından geliştirilmeye zorlar ya da diğer virüsleri silerler. Bu tür virüsler çok nadirdir ve sistem kaynaklarını kullanır, bulaştıkları sistemlere yanlışlıkla zarar verebilir ve bazen diğer zararlı kodların bulaşması ile virüs taşıyıcı hale gelebilirler.Zayıf yazılmış iyi bir virüs, yanlışlıkla zarar veren forma dönüşebilir. Örneğin iyi bir virüs hedef dosyasını yanlış tanımlayabilir ve masum bir sistem dosyasını yanlışlıkla silebilir. Ek olarak, normalde bilgisayar kullanıcısının izni olmadan işleyebilir.Birçok hukuk sahasında herhangi bir bilgisayar zararlısını yazmak suç sayılmaktadır.Çoğalma stratejileriBir virüsün kendini çoğaltabilmesi için virüsün yürütülmeye ve hafızaya yazılmaya izinli olması gerekir. Bundan ötürü birçok virüs kendilerini geçerli programların çalıştırılabilir dosyalarına tuttururlar. Eğer bir kullanıcı virüs bulaşmış programı başlatmaya kalkarsa, ilk olarak virüsün kodu çalıştırılır. Virüsler çoğalma stratejilerine göre iki çeşide ayrılırlar:1-yerleşik virüsler2-yerleşik olmayan virüslerYerleşik olmayan virüsler hemen tutunacakları başka konaklar ararlar, bu hedeflere bulaşır ve nihayetinde bulaştıkları programa kontrolü bırakırlar. Yerleşik virüsler çalışmaya başladıklarında konak aramazlar. Bunun yerine yürütümle birlikte kendilerini hafızaya yükler ve kontrolü konak programa bırakırlar. Bu virüsler arka planda etkin kalarak, virüs bulaşmış program dosyalarına erişen her programın dosyalarına ya da işletim sisteminin kendisine bulaşırlar.Yerleşik olmayan virüslerYerleşik olmayan virüslerin keşfedici modül ile çoğaltıcı modülden oluştukları düşünülebilir. Keşfedici modül virüsün bulaşması için kullanılacak yeni dosyalar aramakla görevlidir. Keşfedici modülün karşılaştığı her yürütülebilir dosyaya çoğaltıcı modül çağrılarak virüs bulaştırılır.Basit virüsler için çoğaltıcı modülün görevleri şunlardır:1. Yeni bir dosya aç2. Dosyaya önceden virüs bulaştırılıp bulaştırılmadığını kontrol et; eğer bulaştırılmış ise keşfedici modüle geri dön.3. Virüs kodunu yürütülebilir dosyaya tuttur.4. Yürütülebilir dosyanın başlangıç noktasını kaydet.5. Yürütülebilir dosyanın başlangıç noktasını yeni eklenen virüs kodunun başlatma alanına yönlendir.6. Eski başlatma alanını virüs yürütülür yürütülmez o alana yayılacak şekilde virüse kaydet.7. Yürütülebilir dosyadaki değişiklikleri kaydet.8. Virüs bulaşmış dosyayı kaydet.9. Virüs bulaştıracak yeni dosyalar bulmak için keşfedici modüle geri dön.Yerleşik VirüslerYerleşik virüsler yerleşik olmayan virüslerdeki örneğine benzer bir çoğaltıcı modül içerirler. Ancak yerleşik virüslerde çoğaltıcı modülü çağıran keşfedici modül bulunmamaktadır. Onun yerine, virüs yürütüldüğü vakit çoğaltıcı modül hafızaya yüklenir ve böylece işletim sistemi belirli tip bir görevi her seferinde uygularken çoğaltıcı modülün de çalışması sağlanır. Örneğin işletim sistemi bir dosyayı her seferinde çalıştırırken çoğaltıcı modül çağrılabilir. Bu durumda virüs bilgisayarda çalışmakta olan tüm uygun programlara bulaşabilir.Yerleşik virüsler, bazen hızlı bulaşıcılar ve yavaş bulaşıcılar olmak üzere alt kategorileri ayrılabilirler. Hızlı bulaşıcılar olabildiğince çok dosyaya etki etmeye çalışırlar. Örneğin, hızlı bulaşıcı ulaştığı her potansiyel konak dosyasına virüs bulaştırabilir. Bu durum antivirüs programları için özel bir problem oluşturmaktadır, çünkü virüs tarayıcısı sistem genelinde tarama yaptığında sistemdeki tüm potansiyel konak dosyalarına erişecektirEğer virüs tarayıcısı sistem hafızasında virüsün bulunduğunu tespit edemez ise virüs, virüs tarayıcısını arkadan takip ederek tarama için erişilen tüm dosyalara bulaşacaktır. Hızlı bulaşıcılar, sisteme yüksek hızda yayılmalarına bel bağlarlar. Bu metotun sakıncası virüsün birçok dosyaya bulaşması ve kendisinin tespitini bir anlamda kolaylaştırmasıdır. Çünkü sistem hafızasını işgal eden virüsler giderek makineyi yavaşlatacak ve şüphe uyandıran eylemler gerçekleştirerek antivirüs yazılımları tarafından fark edileceklerdir. Yavaş bulaşıcılar ise konak dosyalarına nadiren etki edecek şekilde tasarlanmışlardır. Örneğin, bazı yavaş bulaşıcılar sadece kendilerini kopyaladıklarında dosyalara tutunurlar. Yavaş bulaşıcılar aktivitelerini sınırlayarak tespit edilmemeye çalışırlar. Bilgisayarı fark edilebilir şekilde yavaşlatmazlar ve bu şekilde şüphe uyandıran davranışları tespit eden antivirüs yazılımlarına fark edilmemeye çalışırlar. Yavaş bulaştıkları için ile tüm sisteme yayılmaları genellikle mümkün değildir.VİRÜS ÇEŞİTLERİ1-Dosya virüsleri2-Önyükleme sektörü virüsleri3-Makro virüsler4-Ağ virüsleri5-Yazılım bombaları6-Betik dili virüsleri7-Sentineller1-Dosya virüsleriDosya virüsleri, asalak olarak da bilinen ve kendilerini yürütülebilir dosyalara (sürücü ya da sıkıştırılmış dosyalara) tutturan ve konak program çalıştırıldığında etkinleşen kod parçacıklarıdır. Etkinleştikten sonra, virüs kendini diğer program dosyalarına tutturarak yayılabilir ve programlandığı şekilde kötü niyetli faaliyet gösterebilir. Birçok dosya virüsü kendilerini sistem hafızasına yükleyip sürücüdeki diğer programları araştırarak yayılır. Bulduğu programların kodlarını virüsü içerecek ve gelecek sefer program çalıştığında virüsü de etkinleştirecek şekilde değiştirir. Virüs tüm sisteme ya da bulaştığı programı ortak kullanan sistemlerin tüm alanlarına yayılana dek defalarca bunu yapar. Yayılmalarının yanı sıra bu virüsler hemen ya da bir tetikleyici vasıtasıyla etkinleşen tahrip edici bir tür bileşeni bünyelerinde barındırırlar. Tetikleyici özel bir tarih, virüsün belirli bir kopyalama sayısına ulaşması ya da önemsiz herhangi bir şey olabilir. Randex, Meve ve MrKlunky dosya virüslerine verilebilecek birkaç örnektir.2-Önyükleme(boot) sektörü virüsleriÖnyükleme sektörü (Master boot record) sabit diske ait tüm bilgilerin saklandığı ve bir program vasıtası ile işletim sisteminin başlatılmasını sağlayan yerdir. Virüs, her açılışta hafızaya yüklenmeyi garantilemek amacıyla kodlarını önyükleme sektörüne yerleştirir. Yaygın olmamalarının diğer bir sebebi ise işletim sistemlerinin artık önyükleme sektörlerini koruma altına almasıdır. Polyboot.B ve AntiEXE önyükleme virüslerine örnektirler. (Cernobil virüsü)3-Makro virüslerMakro virüsler, makrolar içeren çeşitli program ya da uygulamalarca oluşturulmuş dosyalara bulaşan virüslerdir. Microsoft Office programınca üretilen Word belgeleri, Excel elektronik çizelgeleri, PowerPoint sunumları, Access veritabanları, Corel Draw uygulamalarınca oluşturulmuş dosyalar vs. etkilenen dosya tipleri arasındadır. Makro virüsler işletim sisteminin değil ait olduğu uygulamanın dilinde yazıldığından platform bağımsızdırlar ve uygulamayı çalıştırabilen tüm işletim sistemleri (Windows, Mac vb.) arasında da yayılabilirler. Uygulamalardaki makro dillerinin sürekli artan kabiliyetleri ve ağlar üzerinde yayılma olasılıkları bu türden virüsleri büyük tehdit haline getirmektedir. Relax, Melissa.A ve Bablas makro virüs örnekleridir. Çoğalma bakımından worm(solucan)lara benzerler ama işlev yönünden farklılık gösterirler.4-Ağ virüsleriAğ virüsleri, yerel ağlarda ve internet üzerinde hızla yayılmak konusunda çok beceriklidirler. Genelde paylaşılan kaynaklar, paylaşılan sürücüler ya da klasörler üzerinden yayılırlar. Bir kez yeni bir sisteme bulaştıklarında, ağ üzerindeki potansiyel hedefleri araştırarak saldırıya açık sistemleri belirlemeye çalışırlar. Savunmasız sistemi bulduklarında ağ virüsü sisteme bulaşır ve benzer şekilde tüm ağa yayılmaya çalışırlar. Nimda ve SQLSlammer ağ virüslerindendir.5-Yazılım bombaları•Yazılım bombaları, gerekli şartlar oluşana dek atıl durumda kalan ve özel bir kodu işleyen yazılımlardır. Şartların olgunlaşması kullanıcıya mesajlar göstermek ya da dosyaları silmek gibi belirli fonksiyonları tetikleyecektir. Yazılım bombaları bağımsız programların içerisinde barınabildikleri gibi virüs ya da solucanların parçaları da olabilirler. Belirli sayıdaki konağı etkiledikten sonra etkinleşen yazılım bombaları örnek olarak verilebilir. Saatli bombalar, yazılım bombalarının alt kümeleri olup belirli tarih ya da zamanda etkinleşecek şekilde programlanmışlardır. Saatli bombalara ünlü Friday the 13th virüsü örnek verilebilir.6-Betik (script) dili virüsleriBir script virüsü çoğalabilmek için betik açıklarını kullanan virüslerdir. Yayılabilmek için web uygulamaları ve web tarayıcılarına ihtiyaç duyar. Betik desteği olan ve zararsız gibi görünen HTML, Windows yardım (help) dosyaları, toplu işlem dosyaları ve Windows INF dosyaları, bu tür virüslerin yerleştiği dosyalar olarak karşımıza çıkabilir. Betik (script)dili virüsleri, VB (Visual Basic), JavaScript, BAT (toplu işlem dosyası), PHP gibi betik dilleri kullanılarak yazılan virüslerdir. Bu virüsler ya diğer Windows veya Linux komut ve hizmet dosyalarına bulaşır ya da çok bileşenli virüslerin bir parçası olarak çalışırlar.7-SentinellerSentineller oldukça gelişkin virüs tipi olup yaratıcısına, bulaştığı bilgisayarları uzaktan kullanma yetkisi verir. Sentineller bot, zombi ya da köle adı verilen bilgisayarların oluşturduğu ve Hizmeti engelleme saldırısı gibi kötü niyetli amaçlarda kullanılacak geniş ağlar yaratmada kullanılırlar.Virüslerin, makinenize bulaşma ya da makinenizde etkin halde olmadan saklanma yolları pek çoktur. Ancak etkin olsun ya da olmasın virüslerin başıboş bırakılması çok tehlikelidir ve acil şekilde sorun halledilmelidir.Truva AtlarıTruva atları ilgi çekici görünen ama aslında aldatmaya yönelik zararlı dosyalardır. Sistemde var olan dosyalara kod eklemektense ekran koruyucu yüklemek, epostalarda resim göstermek gibi bir işle iştigal oldukları izlenimi uyandırırlar. Ancak, aslında arka planda dosya silmek gibi zararlı etkinlikler gerçekleştirmektedirler. Truva atları bilgisayar korsanlarının bilgisayarınızdaki kişisel ve gizli bilgilerinize ulaşmalarına imkân tanıyan gizli kapılar da yaratırlar.Truva atları aslında sanılanın aksine virüs değillerdir çünkü kendilerini çoğaltamazlar. Bir Truva atının yayılması için saklı bulunduğu eposta eklentisinin açılması ya da Truva atını içerir dosyanın internet üzerinden bilgisayara indirilip yürütülmesi gerekir.Hizmeti engelleme saldırısı Truva atlarıHizmeti engelleme saldırısı (Denial of service attacks) Truva atlarının dayandığı temel düşünce kurbanın bilgisayarındaki İnternet trafiğini bir web sitesine ulaşmasını veya dosya indirmesini engelleyecek şekilde arttırmaktır. Hizmeti Engelleme Saldırısı Truva atlarının bir başka versiyonu mail-bombası Truva atlarıdır ki ana amaçları mümkün olabildiğince çok makineye bulaşmak ve belirli eposta adreslerine aynı anda filtrelenmeleri mümkün olmayan çeşitli nesneler ve içerikler ile saldırmaktır.FTP Truva AtlarıBu tür Truva atları en basit ve artık modası geçmiş Truva atlarıdır. Yaptıkları tek şey FTP transferleri için kullanılan 21. portu açmak ve herkesin bilgisayarınıza bağlanabilmesine imkân tanımaktır. Bu türün yeni versiyonları sadece saldırganın sisteminize ulaşmasını sağlayan parola korumalı yapıdadırlar. Aslına bakarsanız Trojan'ın modası geçmiş virüs olmasına karşılık halen kullanımı yaygındır. Bu tür virüsler sizin sisteminize girmeleriyle kalmaz gerekli bilgilerinizi çalabilirler, kredi kartı numaralarını ve buna benzer birçok şey yapabilirler. Günümüz teknolojisi bunu engelleyecek birçok program üretmiştir.Yazılım Tespit EngelleyicilerBu Truva atları makinenizi koruyan popüler antivirüs ve firewall yazılımlarının çalışmalarını engelleyerek saldırganın sisteminize erişimine olanak tanır. Yukarıda belirtilen Truva atı tiplerinden birini ya da birkaçını birden içerecek yapıda olabilir.SolucanlarBilgisayar solucanları çoğalan, bağımsız şekilde çalışabilen ve ağ bağlantıları üzerinde hareket edebilen programlardır. Virüs ve solucanlar arasındaki temel fark çoğalma ve yayılma yöntemleridir. Bir virüs çalışmak için konak ya da önyükleme sektörü dosyalarına ihtiyaç duyarken, makineler arası yayılım için gene taşıyıcı dosyalara gereksinim duyar. Oysa solucanlar kendi başlarına bağımsız şekilde çalışabilir ve bir taşıyıcı dosyaya ihtiyaç duymadan ağ bağlantıları üzerinde yayılabilirler. Solucanların yarattığı güvenlik tehditleri bir virüsünkine eşittir. Solucanlar sisteminizdeki dosyaları tahrip etmek, makinenizi büyük ölçüde yavaşlatmak ve bazı gerekli programların çökmesine neden olmak gibi bütün olası zararları yaratabilme yeteneğindedirler. MS-Blaster ve Sasser solucanları en tanınmış solucanlara örnektirler.Casus yazılımlarCasus yazılımlar, reklam destekli yazılımları nitelemekte kullanılan diğer bir terimdir. Paylaşılan yazılımları üreten yazarlar, program içerisinde reklam yayınlatarak ürünü kullanıcıya satmadan da para kazanabilirler. Piyasadaki birçok büyük media şirketi yazarlara reklam bantlarını yazılımlarına yerleştirmelerini önerir ve reklam bantları sayesinde satılan her ürün için belirli bir oranda komisyon vermeyi vaat eder. Eğer kullanıcı yazılımdaki reklam bantlarını can sıkıcı buluyorsa, lisans ücretini ödediği takdirde banttan kurtulmanın imkânına erişir. Bu bantları üreten reklam şirketleri, ek olarak internet bağlantınızı sürekli kullanarak internet kullanımınıza ait istatistiki bilgileri sizin bilginiz dahilinde olmadan reklam verenlere gönderen bazı izleme programlarını sisteminize yüklerler. Yazılımlara ait gizlilik politikalarında hassas ve tanımlayıcı verilerin sisteminizden toplanmadığı ve kimliğinizin belli olmayacağı belirtilse de kişisel bilgisayarınızı bir sunucu gibi çalışarak size ait bilgileri ve internet kullanımınıza ait alışkanlıklarınızı 3. kişi ya da kurumlara göndermektedir.Casus yazılımlar ayrıca bilgisayarınızı yavaşlatmakla, işlemci gücünün bir kısmını kullanmakla, uygunsuz zamanlarda sinir bozucu pop-up pencereleri ekrana getirmekle ve ana sayfanızı değiştirmek gibi İnternet tarayıcısı ayarlarınızı değiştirmekle ünlüdürler. Ek olarak yasal olmayan bu tür yazılımlar büyük bir güvenlik tehdidi oluşturmakta ve sisteminizden temizlenmelerinin hayli güç olması virüsler kadar baş belası olabileceklerini açıkça göstermektedir.