1 Bilgisayarda Yazılım Kavramı

1.5. Bilgisayar Virüsleri ve Korunma

İşletilebilir kodlardan oluşmuş başka programlara eklenerek veya kayıt ortamları içerisinde özel bölümlere yazılarak saklanan, kod veya imzalarını başka program veya kayıt ortamlarına kullanıcının isteği dışında taşıyarak çoğalan, programlandıkları amaca göre işlev gören ve zarar verici etkileri bulunan programlara virüs denir.

Bilgisayar virüslerinin tümü gerçekte birer programdırlar. Yazılış amaçları tamamen bilgisayar üzerinde çalışan programların çalışmalarını etkilemek, maddi zararların yanı sıra iş gücü kaybına yol açmaktır. Bilgisayar virüsleri donanım üzerindeki hiçbir parçaya hasar veremezler ancak yazılımları veya verileri etkileyerek donanımı işlemez hale getirebilirler. Hal böyle olunca yazılımsız bir donanım hiçbir işe yaramaz hale gelir.

Bilgisayar çağı olarak adlandırılan günümüz bilgisayar teknolojisi ile beraber bilgisayar virüsleri ile de anılır oldu. Özellikle İnternet’in yaygınlaşmaya başlaması hedef büyümesine ve yayılımın, çeşitliliğin artmasına neden oldu. Öylesine ki virüsler bilgisayar kullanıcılarının korkulu rüyası haline gelirken anti virüs programları üzerine oldukça etkili bir pazarın doğmasını da beraberinde getirdi.

İlk bilgisayar virüsünün görüldüğü 1986 ile 1990 yılları arasında bilinen virüs yazılımlarının sayısı yaklaşık olarak 90 civarında iken özellikle 1994 yılından itibaren bu sayı korkunç bir hızla arttı. Sadece 1998-1999 yılları arasında bilinen türler arasına yaklaşık olarak 20 bin virüs eklendi. Bugün ortalama olarak her gün bu virüsler en az 5-10 virüs programı veya türevi eklenmektedir.

Virüs programını yazanlar çok değişik amaçlarla güdebilmektedir. En yaygın olan virüs türleri daha çok kendisini kanıtlamak isteyen genç programcıların ürettikleri türler ve bu türlerin türevleridir. En tehlikeli virüs türleri ise daha çok propaganda amacı güden, büyük kuruluşlara zarar verme amaçlı, maddi çıkarlar elde etmeye yönelik virüs yazılımlarıdır.

Virüsler genelde programlayan kişinin içine yerleştiği bir imza (signature) veya program içerisinde geçen tanınabilir koddan hareketle isimlendirilir. Yazılış amaçları, etkileri veya davranış şekilleri, yayılma biçimleri ve enfekte oluş biçimlerine göre sınıflandırılırlar. Bu imza, mesaj veya eklenti büyüklüklerine göre isimlendirilirler. Melisa, Chernobil (Cih), IloveYou, İstanbulCC, Yobo.4918 bu isimlere bir örnektir.

İşletilebilir program dosyalarına (EXE ve COM) veya işletilebilir program dosyalarının başvuru programlarına, kütüphanelere, sanal aygıt sürücülerine, kısaca işletilebilir programlarla ilişkili her tür dosyaya eklenmek suretiyle çoğalan virüs türüdür. Virüs kodu içeren program çalıştırılmadığı sürece aktif hale geçmezler. Virüslü program çalıştırıldığında ilk olarak virüs kodu devreye girerek kendini ram üzerinde kendisine ayırdığı bölgeye yerleştirerek gizlenir ve diğer programların çalıştırılmasını bekler. Bir diğer program çalıştırıldığında bu programın dosyasına kendi kodlarını yazarak yayılır.yine bu tür virüslerin bazıları enfekte olmak için diğer programların çalışmasını beklemez.

Bir kısım dosya virüsleri ise bulaştıkları dosyanın erişim niteliğini değiştirerek kullanıcının erişmesi veya silmesine engel olmaya çalışırlar. Uğur Mumcu virüsü buna en güzel örnektir. Bu virüs bulaştığı dosyayı salt okur dosya yapar, siz bu özelliği değiştirseniz bile tekrar eski haline gelir.

Virüs Başlangıç Kodu PROGRAM VİRÜS KODU

Bir dosya virüsü Dosyanın ilk kısmına dosyanın sonundaki asıl virüs koduna erişmek için bir sıçrama komutu ekler. Dosya çalıştığında bu koda sıçrama yapılarak kod çalıştırılır. Kod bitiminde ise asıl programın ilk komutunun başlangıcına sıçrama yapılarak asıl program çalıştırılır.

Bir diskin veya harddiskin ön yükleme (Master Boot) bölümüne yazılan virüslerdir. Bu tür virüsler en hızlı yayılan virüslerdir. Çünkü diske erişildiği anda ilk olarak bu bölüm okunduğundan virüs aktif hale geçer (tetiklenir) ve belleğe yerleşerek erişilen diğer sürücüler üzerindeki boot bölümlerine de kendini kopyalar. Disk veya disketin boot bölümünde açılış programlarının bulunup bulunmaması bu virüsün yazılması için gerekli değildir. Genellikle işletim sisteminin yüklenmesini engeller veya açılışı tamamen etkileyecek şekilde hasar verebilirler.

Bazı örnekler ile etki ve davranışları hakkında bilginizi geliştirmeye çalışalım:

ASBV (b) : 13h ve 9h kesmelerini kontrol ederek disket erişimini denetler, diskete erişildiği anda disket üzerindeki sektörleri silerek disketteki kayıtların tümünün silinmesini sağlar,

Brain (Pakistani, Ashar) : Bulaştığı diskin Volüm adını ©Brain yada ©ashar olarak değiştirir.

Bugs.1436(b) : Haziran ayının 2. ve 14. günü bulaştığı sistemin açılışı sırasında ekrana “Un regalito para el JUAN XXII y el CHICHE Viegas” mesajını yazar ve sistemi kilitler.

LaoDoung : Diske her 128. erişimde bir ses çıkartır.

c-) Makro Virüsleri

Günümüzün en yaygın ve en hızlı yayılan virüs türüdür. Özellikle Windows işletim sistemi ile birlikte pek çok visual basic kütüphanesinin kullanılması visual basic scriptlerinden oluşan makroların pek çok sistemde rahatlıkla çalışmasını sağlamıştır. Özellikle Microsoft Word ve Excel uygulamalarına bulaşarak amaçlarına uygun işlevleri gerçekleştiren bu virüsler en sıkça rastlanılanlardır.

Makro virüslerin bir diğer türü ise daha çok bilgisayar içerisinde kendini saklayarak diğer bilgisayarlar ile ağ üzeriden iletişim kurma ve görevi olan bilgileri transfer etmektir.Bu tip makro virüslerine Back Door (Arka Kapı) virüsleri de denmektedir.

d-) Truva Atları (Eylem veya Zaman ayarlı virüsler)

Belli bir tarihe veya bir eyleme ayarlanmış virüs türleridir. Genellikle kullanıcılara cazip gelebilecek, tereddüt etmeden kullanabilecekleri programlarla birlikte yayılırlar.Genel amaçların dışında çoğu kez programların kopyasını kullanan kullanıcılara ceza vermek isteyen programcıların marifeti olarak da ortaya çıkabilirler. Bu tip uygulamalara çok nadirde olsa rastlanmaktadır.

Truva atı olarak adlandırılmış olmalarının en büyük nedeni; tarihteki truva atı tuzağında olduğu gibi kullanıcıyı, sistemi tuzağa düşürmesidir. Chernobil (CIH) bu tür virüse en güzel örnektir.

W95.CIH (Çernobil) : 26 Nisan tarihi geldiğinde tetiklenir. İlk yazarı Tayvanlı Chen Ing Hau olduğundan onun adının baş harfleri ile adlandırılmıştır. Kodlarının Hacker sitelerinde dağıtıldığı için pek çok türevi ortaya çıkmıştır. Özellikle 26 Nisan ve 26 Haziran tarihlerinde etkin olan türleri Flash Bios içeriğini sildiği için sistemi çalışmaz hale getirmektedir. Bios değiştirerek yada bütün ana kartı değiştirerek sistem tekrar çalışır hale getirilebildiğinden verdiği zarar oldukça etkili olmuştur.

Truva atları sadece zaman ayarlı değildir. Klavyeden gelecek bir tuş kombinasyonu (Örneğin Ctrl+shift+end gibi veya ctrl+Q gibi).klavyeden yazılacak belli bir string (Örneğin; Target,Virus,W harfi gibi) bu virüsleri aktif hale getirebilir.

e-) Polymorphic Virüsler:

Bu tür yapay zeka sayılabilecek teknikle kendini sürekli yenileyerek tanınma ve tespit edilmesini zorlaştırmayı hedefler. Her enfekte oluş aşamasında içerdiği imza yada etki kodunun bir parçasını rastgele olarak değiştirir.

Adolf(1) : Com dosyalarına bulaşır. Bulaştığı dosyaların tarih bilgisini değiştirir.İmzası “Adolph Hitler” olduğundan bu isim verilmiştir.

Digital.3547 : 3547 bayt eklenti büyüklüğüne sahip EXE ve COM dosyalarına bulaşır. Mayıs ayının 28’inde diskin ilk 20 silindirine ve Master Boot kaydı üzerine yazılır. Ekranda “DIGI POWER” mesajı ile birlikte müzik çalarak kendini belli eder.

Yayılmak için bir çok virüs türünün kullandığı yöntemleri ve teknikleri birleştirerek kullanan virüs türüdür. Örneğin MBR üzerine hem de dosyalara ekleyerek yayılabilirler.

AntiCad(b) : Doğrudan AutoCad programını hedef alır. AUTOCAD.EXE çalıştırıldığı anda yada Ctrl+Alt+Del tuşlarına basıldığında aktif hale geçerek disket üzerindeki kayıtlara yada doğrudan disk üzerindeki kayıtlara yazılır, veya cmos bilgilerini değiştirir.

g-) Stealth (Gizlenmiş) Virüsler :

Yapı olarak Polimorphics’ler ile karıştırılmamalıdır. Çünkü bunlar kodlarını veya tekniklerini değiştirme yeteneğine sahip değildirler. Sadece anti-virüs programlarından saklanmak için bilinen yöntemlerden farklı biçimler kullanmaya yönelirler. Teknik olarak virüs yazılımcıları ile anti-virüs yazılımcıları arasındaki taktik savaşının ürünü olarak da görülebilirler. Bu virüsler daha çok MSDOS işletim sisteminde etkili idiler.

Aslında tam anlamıyla virüs tanıma uymazlar. Faka etkileri yönüyle virüs grubuna girerler. Bunlar diğer virüslerin aksine dosya halinde saklanan programcıklardır. Zarasız görünen bu programların bulaşıcı ve yayılmacı özelliği yoktur. Sadece bulundukları ortamda sakin ve uslu oturup vazifelerini yaparlar. Öyle diğerleri gibi her şeye saldırıp, her çorbaya limon olmazlar. Trojonlar başlıca:

• 
  Belirlenmiş dosyaları silebilirler.
  
• 
  Bilgi veya dosyaları ağ veya modem ile başka bir yere transfer edebilirler.
  
• 
  Dosyalarda değişiklik yapabilirler.
  
• 
  Başka virüs programlarını bulundukları sisteme transfer edebilirler.
  
• 
  Port açarak karşı taraftaki asıl program ile bulunduğu sisteme giriş yapılmasını kolaylaştırırlar.
  

Diğer tüm virüs türlerinden farklı olarak dosyadan dosyaya kodlarını ekleyerek yayılmak yerine daha çok internet, İntranet veya yerel ağ ortamlarında sistemden sisteme geçerek yayılır. Kendisini sistem üzerinde açık bıraktığı bir porttan yada e-maile ekleyerek e-posta yoluyla başka bir sisteme transfer ederek yayılabilirler. Bu virüsün en büyük yardımcısı network protokolleri ve bu protokolleri kullanan işletim sistemlerinin güvenlik açıklarıdır. Worm virüslerin ilk hedefi mümkün olduğunca fazla sisteme enfekte olmaktır. Öncelikle ilk yerleştiği sistemde kendini saklar. Sistemin her açılışında belleğe yüklenecek şekilde kendisini sistem açılış uygulamaları arasına gizlice yerleştirir. Daha sonra bir başka sisteme sıçrayabilmek için ağ (network) kaynaklarını kontrol etmeye başlar. Kendisine ayırabileceği bir port bulduktan sonra iletişim protokolünü kullanarak karşı sistem içerisine kendisini kopyalar.

Worm virüslerinin yayılma yollarından en popüler olanı e-mail eklentisi olarak yayılmadır. Kendisini e-mail’e attach ederek adrese gönderir. Kullanıcı bu eklentiyi açtığı anda sisteme girişi başarmış olur.

26 Mart 1999 tarihinde Melisa virüsü ortay çıktığında bu e-mail eklentili virüslerin etkileri ve güncelliği iyice anlaşılmış oldu. Bu virüsü yine oldukça tahripkar ve zararlı olabilme özellikleriyle VBS.Freelink izledi.

Kendileri virüs değildir ancak beraberlerinde trojan yada worm türünde virüsleri taşıyarak sisteme yerleşmesini sağlarlar. Genellikle “çok yararlı”, “bedava kolaylıklar” sloganlarına kanarak internetten download ettiğiniz yamalar yada uygulamalar bu türde bir dosya olma olasılığına sahip olabilir.

Mümkün olduğunca çok virüsü tanıyabilen, başarıyla temizleyebilen, sık aralıklarla güncelleştirilebilen bir antivirüs programına sahip olmalısınız. Bu program belleğe yerleşerek her an virüs saldırılarına karşı sisteminizi koruyabilmeli ve sizi uyarabilmelidir. Günümüzde antivirüs yazılımları oldukça ucuz sayılabilecek fiyatlarla satın alınabilmektedir. En pahalı program bile (tek kullanıcı lisansı ile) 50*60$ civarındadır. Yazılım firmalarının çoğu 15-20$ gibi fiyatlarla programın yıllık yenileme imkanını sağlamaktadır.Norton Antivirüs, AntiViral Toolkit Pro, F-prot, McAfee Virüscan, Panda Platinium, PC-Cillin 2000, F-Secure popüler antivirüs yazılımlarının başında gelir. Bunlar dışında sadece tek virüs arayıp temizlemeye yarayan küçük yazılımlarda mevcuttur. Bunlar genellikle bedava olarak internet üzerinden temin edilebilmektedir. Yine bu programlara en iyi örneği Norton firmasınca yazılan KILL_CIH oluşturur.

Antivirüs programları devletlerin güvenlik örgütleri gibidir. Her ülkenin polisi en iyi kendi ülkesindeki suçluların eşgalini bilir (tespit edilenleri). Başka ülkeden gelen suçluları tanımamaları doğaldır. Bu da her antivirüs programının her virüsü tanıyamayacağı anlamına gelir. Bu nedenle en fazla tanıyabileni satın almak en doğru seçim olacaktır.Internet üzerinde kısıtlı kullanım haklarıyla birlikte veya shareware olarak bir çok program çekerek virüslerinizden kurtulmanın yolunu bulabilirsiniz.

Kimden ve ne amaçla geldiğini bilmediğiniz e-maillere eklenmiş olan dosyaları iyi bir tarama yapmadan açmayınız, hatta hiç açmayınız.

İyi bir kontrolden geçirmeden bilgisayarınıza başka bilgisayarlarda kullanılmış olan disketleri veya başka bilgisayarlardan alınmış program, veri ve benzeri programlar içeren cd leri takmayınız. Unutmayın bir boot sektör virüsünün bulaşması için sadece sürücüyü aktif hale getirmeniz (erişmeniz) yeterlidir.

Sisteminizi sık aralıklarla antivirüs programları ile taramadan geçiriniz. Bu işlemi değişik programlarla, özellikle “Tüm dosyaların taranması” seçeneği ile yapmanız faydalı olacaktır. Sisteminizde kurulu antivirüs programınızın Görev zamanlayıcı eklentisi varsa bunu kullanınız eğer yoksa kendiniz bir görev tanımlaması yaparak bu tarama işleminin siz unutsanız bile kendiliğinden yapılmasını sağlayınız.

Sistem dosyalarının, belgelerinizin verilerinizin sık aralıklarla yedeklerini alınız. Otomatik kurtarma disketleri oluşturarak önlem alınız. Elinize uygun yazılım mevcutsa partition tablonuzun bir yedeğini çıkartınız.

Her an tetikte olunuz, virüsler konusundaki gelişmeleri yakından takip etmeye çalışınız, bilginizi arttırmanız; önlemini almanızı kolaylaştıracak, en önemli silahınız olacaktır.

1.6.Bilgisayar Teknolojisinin Temel Kavramları Test Soruları

II. Windows

III. Frontpage

IV. Excel

• 
  Virüsler, internet, disket ve CD-ROM'lar aracılığıyla bulaşabilirler.
  
• 
  Virüslerden korunmanın en iyi yolu bilgisayara yüklenecek dosyaların güncellenmiş virüs temizleme programı ile tarayarak kullanmaktır.
  
• 
  Virüsler bir başka programa yapışarak yayılmaktadır.
  
• 
  Belli tarihlerde çalışıp ekrana resim, mesaj çıkması, bilgisayar sisteminin yavaşlaması ve kilitlenmesi ile dosyaların ve sistemin hasar görmesi bilgisayara virüs bulaştığının belirtisidir.
  

• 
  "F1" tuşu yardım tuşudur.
  
• 
  Bilgisayarı daha hızlı çalıştırmak için "Ctrl" tuşu basılı tutulur.
  
• 
  Bir ekranın görüntüsünü belleğe almak için "Print Screen" tuşuna basılır.
  
• 
  "Num Lock" tuşu etkin durumdayken sayı tuş takımında sayı yazımı mümkündür.
  

• 
  1 Bit 0 ve 1 sayılarından oluşur.
  
• 
  1 Byte 1024 bittir.
  
• 
  1024 Kilobyte 1 Megabyte'tır.
  
• 
  1024 Gigabayt 1 Terabyte'tır.