# Virüsler

 

Bu makalede virüs çesitleri ve korunma yollarindan bahsedecegim umarim faydali olur.

Kendimizi (Pc mizi) koruyabilmemiz için güvenligimizi tehtit eden unsurlari belirlememiz gerekmektedir.

Bunlar ;

 

Zararli yazilim türleri:

Virüsler:

1-      Dosya Virüsleri

2-      Boot Sector Virüsleri

3-      Çok Parçali Virüsleri

4-       Çok Biçimli Virüsleri

5-      Makro Virüsler

6-      Betik Virüsler

Solucan (Worm):

1-      Ag Solucanlari

2-      E-posta Solucanlari

Truva Ati (Trojan Horse)

Casus Yazilimlar

1-Arka Kapi (Backdoor)

2-Keylogger

3-Rootkit

BOTNET

 

 

Virüs belirtileri

• "Aygit Yöneticisi" çalismaz

• Sanal bellek düsük oldugunu belirten uyarilar çikar

• uygulama ve dosyalarinin boyutunu sürekli degisir

• sabit disk kendini biçimlendirir

• kelime islem belgelerin uzantilari degistirilir.

• Programlariniz daha önceye göre açilmasi çok daha uzun sürer veya hiç açilmaz

 

 

Virüsler:

Kisaca ; baska bir programin sonuna kendi kodunu ekleyen ya da o programi silerek üzerine kendi kodunu kopyalayan, yani bir anlamda kendisini o programla degistiren bir program ya da çalistirilabilir bir program/kod parçasidir.

Dosya Virüsleri

Adinda anlasilacagi gibi bu virüsler bulastiklari sistemde kendileri .exe ve .com dosyalarinin içinde saklanirlar. Daha sonrada diger dosyalara bulasirlar. Bir dosyaniz normalden büyükse süphelenmenizde fayda vardir.

Görev yöneticisine baktiginizda [ Ctrl+Alt+Delete] Islemler kisminda önbellegi kullanma kapasitesi büyükse süphehelenebilirsiniz. Ancak her büyük olan virüstür diye bir kural yoktur.

 

Dosya virüsleri çogunlukla COM, EXE, SYS olmak üzere OVL, OVR, DOC, XLS, DXF gibi degisik tipte kütüklere bulasabilirler.

 

 

Program virüsleri

 

Program virüsleri, DOS’un çalistirilabilir dosya uzantilari olan COM ve EXE türü programlar basta olmak üzere SYS, OVL, DLL gibi degisik sürücü ve kütüphane dosyalarini kendilerine kurban olarak seçip bu dosyalara bulasabilirler. Dosya virüsleri bellekte sürekli kalmayan nonTSR ve bellekte yerlesik duran TSR olarak 2 tipte yazilirlar.

 

Boot Sector Virüsleri

 

Kopya Edici
 Boot Sektör virüsleri bildiginiz gibi yaygin virüs çesitlerinden biridir. Aslinda bu tip virüsler keiidi aralarinda ikive avrilirlar.
1- Master Boot Record -MBR (Partition Table Virüsleri)
2- Boot Sektör virüsleri
Bildiginiz gibi dosya virüsleri sadece isletim sistemi o dosyayi çagirdigi zaman çalisirlar. Fakat Boot bulasicilari keiidilerini HDD ve FDD üzerinde baslangiç sektörüne kopya ederler: Bu sayede isletim sistemi çalismadan önce aktif hale geçerler.

 

Çok Parçali Virüsleri

Bu tür virüsler kendilerini farkli yollarla dagitabilir ve bazi degiskenlere göre bulastigi bilgisayarda farkli eylemler gerçeklestirebilir.

 

 

Çok Biçimli Virüsleri

 

Çokbiçimli virüsler zamanla veya her çalistirma sonrasinda sekil degistirirler. Bu tür virüsler kendilerini bir sifreleme algoritmasi ile koruyabilir. Bunun amaci ise tabi ki antivirüs programlarina yakalanmamaktir, zira antivirüs programlari genlelikle belirli kodlari kullanan virüsleri algilarlar. Kodu sifrelemek veya degistirmek ise virüsün algilanmasina engel olabilir.

 

Makro Virüsler

 

Bazi programlarin, uygulama ile birlikte kullanilan "kendi yardimci programlama dilleri" vardir. Söz gelimi, popüler bir kelime islemci olan MS-Word, Macro adi verilen yardimci paketlerle yazi yazma sirasinda bazi isleri otomatik ve daha kolay yapmanizi saglayabilir. Programlarin bu özelligini kullanarak yazilan virüslere macro virüsleri adi verilir. Bu virüsler, sadece hangi macro dili ile yazilmislarsa o dosyalari bozabilirler. Bunun en popüler ve tehlikeli örnegi Microsoft Word ve Excel macro virüsleridir. Bunlar, ilgili uygulamanin macro dili ile yazilmis bir sekilde, bir word ya da excel kullanarak hazirladiginiz dökümana yerlesir ve bu dökümana her girisinizde aktif hale geçer. Macro virüsleri, ilgili programlarin kullandigi bazi tanimlama dosyalarina da bulasmaya (örnegin:normal.dot) çalisir. Böylece o programla olusturulan her döküman virüslenmis olur.

 

 

Betik Virüsler

 

       VB (Visual Basic), JavaScript, BAT (toplu islem dosyasi), PHP gibi betik dilleri kullanilarak yazilan virüslerdir. Bu virüsler ya diger Windows veya Linux komut ve hizmet dosyalarina bulasir ya da çok bilesenli virüslerin bir parçasi olarak çalisirlar. Betik destegi olan ve zararsiz gibi görünen HTML, Windows yardim (help) dosyalari, toplu islem dosyalari ve Windows INF dosyalari, bu tür virüslerin yerlestigi dosyalar olarak karsimiza çikabilir.

Virüslerden Korunma Yollari

#Yazma korumali disketleri paylasmayin. Çünkü bu tarz disketler virüs bulastirmanin en basit yoludur.

#Anti-Virus programlari kullanin.

# Anti-Virus programinizi sürekli güncelleyin. Çünkü anti-virüs programlari da kendilerini sürekli olarak yeni virüslere karsi aktif hale getirirler. Anti-virüs yazilim sirketleri bu güncellemelerini sürekli yapar siz de yapin.

En güzel yöntem ;

#Antivirüs programi yerine DeepFreeze kullanin.

#Deepfreeze bilgisayariniza indirmeden önce, kullanimini internetten iyice ögrenin.

# Baskalarindan aldiginiz word makrolarinizi devre disi birakin.

# Mutlaka bir virüs boot disketi olusturun. Böylece makinenize virüs bulasirsa bu temiz disketle açip makinenizi kurtarabilirsiniz. Bu disketi kullandiginiz anti-virüs programiyla olusturabilirsiniz.

# Tanimadiginiz kisiler tarafindan size gönderilen ve ek dosyasi bulunan e-mailleri okumayin. Ancak illaki okumaniz gerekiyorsa ilk önce virüs testinden geçirin.

#Internet’ten download edeceginiz her dosyaya virüs testi uygulayin.

       # Her siteye girmeyin

Solucan (Worm):

Bilgisayar virüslerine benzer bir yapida olan solucanlar, virüsler gibi bir baska çalistirilabilir programa kendisini ilistirmez veya bu programin parçasi olmazlar. Solucanlar, yayilmak için baska bir programa veya virüslerde oldugu gibi insan etkilesimine ihtiyaç duymadan, kendi kendilerine çogalirlar. Bir solucanin yayilmasinda kullandigi en yaygin yöntemler arasinda, e-posta, FTP ve HTTP gibi Internet hizmetleri bulunmaktadir. Solucanlari yaymak için, hedef sistemdeki korunmasizliklardan faydalanirlar. Solucanlar, baska dosyalari degistirmezler; fakat etkin bir sekilde bellekte dururlar ve kendilerini kopyalarlar.

 

Ag Solucanlari

Paylasilan bir klasöre, isimlerini faydali veya ilginç gözükebilecek bir uygulama veya dosya ismine dönüstürerek kendilerini kopyalarlar. Bu dosyalari çalistiran kullanicilar kendi bilgisayarlarina solucani bulastirmis olur. Çogu solucan tek tip isletim sisteminde çalisacak sekilde gelistirilmektedir. Fakat çok yakin zamanda Windows, Linux, Solaris, BSD ve diger isletim sistemlerinde çalisabilecek sekilde bir “savas basligi” içeren süper solucanlar ortaya çikacaktir.

 

 

 

E-posta Solucanlari

E-posta solucanlari, kötü amaçli yazilimlarin en çok tercih ettikleri yayilma yöntemi olan e-postalari kullanmaktadir. Genellikle bir fotograf veya metin dosyasi gibi tek bir eklenti içerecek sekilde gönderilen e-postalarin içerisinde bulunurlar. Kullanici eklentiyi çalistirdiginda solucan kendini baslatir ve sisteme bulasir. Solucanlar genellikle bulastiklari makinede kullanicinin adres defterinden e-posta adreslerini toplar ve kendini buldugu her bir adrese gönderir.

 

SOLUCANLARDAN KORUNMA

 

Öcelikle bilmedigimiz ve güvenmedigimiz dosyalarin çalismasina izin vermemiz gerekmektedir. Bunun için ;

 

Baslat > Çalistir > regedit yazalim

 

\\HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Curr entVersion\\Run
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\Cur rentVersion\\Run
\\HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\Cu rrentVersion\\Run

 

Bunun gibi dosyalar gelecektir bunlarin içinde sira disi olanlari temizleyelim.

 

Buradaki anahtarlarda görülen degerler sistemimiz baslayinca geri planda yüklenen süreçleri gösterecektir. Simdi buradaki süreçleri inceleyelim ve siradisi olanlari temizleyelim. Kayit denetleyicimizden çikalim ve "C:\\WINDOWS\\ServicePackFiles\\i386\\msconfig.exe " dosyasini çalistiralim Bunun içinde ;

 

Baslat > Çalistir > msconfig  komutunu izlememiz gerekmektedir. Orada baslangiç bölümünde tanimadigimiz ve güvenmedigimiz programlarin çalismasini engelleyebiliriz.

 

Truva Ati (Trojan Horse)

Trojan “kurban”inin tahmin etmedigi bir sekilde ve istegi olmaksizin, gizli ve genellikle kötü amaçli bir faaliyette bulunan bir programdir.

 

Trojan’in kendisi bir virüs degildir. Kendi kendini çogaltmaz, sadece sabit diskteki bilgilere zarar verir. Trojan kendisini zararsiz bir program gibi (örnegin bir oyun ya da yardimci program) gösterir. Görünümü ve ilk çalistirildigindaki aktivitesi zararsiz bir program gibidir. Çalistirildiginda verileri silebilir veya bozabilir. Bir trojan, virüs içerebilir ancak kendisi bir virüs degildir. Truva ati Yararli gibi görünen ancak aslinda zarara yol açan bir bilgisayar programidir. Truva atlari, insanlarin, güvenilir bir kaynaktan geldigini düsündükleri bir programi açmaya yöneltilmeleri yoluyla yayilir.

 

Trojandan Korunma

 

Genel olarak ;

 

Bilmediginiz ve süpheli sitelere giris yapmayin  Oyundan bir arkadasinizin msn den attigi ss yada videolari almayin  Sifrenizi bi yere kaydetip kopyala/yapistir ile girin.

Virüs içeren bir e-posta gönderdiginizi bildiren iletilere dikkat edin. Bu, virüsün, kendi olusturdugu e-postanin göndereni olarak sizin e-posta adresinizi gösterdigi anlamina gelebilir. Bilgisayarinizda virüs oldugu anlamina gelmez. Bazi virüslerin sahte e-posta adresi üretme becerisi vardir.

Bilgisayarinizda güncel bir virüsten koruma yazilimi yoksa, bir virüs bulasip bulasmadigini anlamanin güvenilir bir yolu yoktur.

Ücretsiz bir anti-virüs yazilimi yükleyerek sisteminizi taratabilirsiniz.

 

Casus Yazilimlar

Casus yazilimlar, genellikle baska bir program kurulurken, sizin de onayinizla bilgisayariniza kurulan ve kurulduktan sonra sizin internetteki gezme aliskanliklarinizla ilgili bilgi toplayan ve bu bilgileri internet üzerinden kötü niyetli kisilere iletebilen yazilimlardir.

 

Casus yazilimlarin büyük çogunlugu size dogrudan zarar vermezler, sadece sizin internet kullanma aliskanliginiz ve girdiginiz siteler gibi bilgileri ticari amaçlarla kullanirlar. Ancak bazi daha kötü niyetli kisiler casus yazilimlar yoluyla e-posta adresinizin sifresi gibi bazi özel bilgileri de elde edebilirler.

 

Arka Kapi (Backdoor)

Bu yapidan haberdar olan kisiye o bilgisayara uzaktan erismeyi saglayan yöntemler, arka kapi olarak adlandirilmaktadir.

En sik karsilasilan arka kapi yöntemi, hedef sistemde, dinleme ajani ilistirilmis bir kapiyi (port) açik tutmaktir. Bu açidan bakildiginda, bu tür bir açiga maruz kalindigindan emin olmak için, sistemde mevcut bulunan bütün kapilar, 1’den 65535’e kadar, iki kere (bir kez TCP bir kez de UDP için) taranmalidir.

 

Keylogger

 

Keylogger eger sistem yöneticisinin bilgisi dahilinde yüklenmisse tamamen sistem güvenligi için çalismaktadir.Fakat bu yazilim veya donanim sistem yöneticisinin bilgisi olmadan yüklenmisse tamamiyle saldiri ve casusluk amaci tasir.
Yazilim veya donanim dedik çünkü keyloggerlar iki türlüdür.

1) Yazilimla Çalisan Keyloggerlar : Sisteminize yüklenmesiyle aktif hale gelen tus takip programlaridir , klavyenizde basilan her tusu bir dosyaya kaydeder.

2) Donanimla Çalisan Keyloggerlar : Bilgisayariniza bir donanim eklemesiyle aktif hale gelen tus takip cihazidir , klavyenizde basilan her tusu bir kalici bellek kartina yazilima ihtiyaç duymadan kaydeder. ( klavye ile anakart arasina takilan küçük , Dikkatli bakilmadan görülemeyecek aparatlardir)

Güvenlik Amaçli Keyloggerlar; Genelde ebeveynlerin çocuklarini internet basindayken takip etmeleri için kullanilir ve tamamen sistem yöneticisinin bilgisi dahilindedir.

Saldiri Amaçli Keyloggerlar ; Güvenliginizi tehdit eden keyloggerlar çesitli yollardan bilgisayariniza bulasabilir. Bu yolllardan en yaygini herhangi bir programin içine keylogger yerlestirilerek sisteminizde çalistirilmasidir. Süphesiz en büyük tehdit süphesiz es zamanli mesajlasma programlari ( msn , icq , Yahoo , google talk v.b. ) Bir saldirgan size herhangi bir dosya gönderebilir saldirgan gönderdigi bu dosyanin içine (genelde program veya fotograf olur )keylogger yerlestirebilir. Gönderdigi dosya çalisiyor gözükürken aslinda arka taraflarda bilginiz dahilinde birde keylogger çoktan  çalismaya baslamistir.

 

Keyloggerdan korunmak için

Ekran Klavyeleri  kullanin , ve yine sifrelerinizi kopyala yapistir yöntemiyle yazin.

 

Anti virüs programlariyla sisteminizi taratin. Herzaman oldugu gibi bilmediginiz güvenmediginiz dosyalari açmayin.

 

Rootkit

 Bir rootkit tek basina tehlikeli degildir. Fakat virüs, solucan ve Truva atlari ila beraber cidden seytani bir potansiyele sahiptirler: Rootkit’ler ne kullanicinin ne de anti-virüs yazilimlarinin dijital zararlilarin varligindan haberdar olmamasini sagliyor. Genellikle Windows’un derinliklerine yerlesirler ve oradan sistem fonksiyonlarini kontrol ederler. Böylece Windows Explorer, görev yöneticisi veya virüs tarayicinin dosya sistemine iliskin sorgularini yakalar, kendilerine iliskin tüm izleri siler ve sonrasinda sorguya sahte bir yanit verirler. Sonuç: En azindan standart araçlarla rootkit’lerin izini sürmek mümkün degil. Özel programlara ihtiyaç vardir.

 

Rootkit temizlemecen önce tüm kisisel dosyalarinizin (dokümanlar, resimler, müzikler) yedegini alin.

 

Sophos Anti-Rootkit

RootAlyzer 

 

gibi programlar kullanabilirsiniz.

 

             BOTNET

Botnet saldirilari, temelde birçok bilgisayarin tek bir noktadan kötü amaçlar dogrultusunda yönetilmesi demektir. Bir tür virüs ile bilgisayariniza bulastirilan erisim programlari ile, kötü niyetli bilgisayar korsanlarinin binlerce zombiden olusan ordusuna kolay bir sekilde katilabilirsiniz. Bir Botnet sahibi saldirgan, agindaki tüm bilgisayarlari dünyanin herhangi bir yerinden kolay bir sekilde yönetebiliyor. Botnet agindaki masum kullanicilarda, saldirganlarin siber suçlarina haberleri bile olmadan büyük destek olusturuyor.

Zombi Agi adi ile de bilinen Botnetlerin asil hedefi ev kullanicilari. Botnet sahibi kullanicilar gün geçtikçe büyüyor. Var olanlar ise aglarina sürekli yeni ev kullancilari katiyor.Herhangi bir botnet sahibi olmak için uzman bir bilgisayar bilgisine gerek de yok.Internet üzerinde biraz arastirma yapan her kullanici kendi botnet agini olusturabiliyor.Bu da tehlikenin boyutunu kat be kat arttiriyor.

 

[IMG]http://imageshack.us/a/img197/5010/59595858.jpg[/IMG]

 

Botnet’lerden Korunma Yollari?

 

Botnet saldirilarindan korunmanin en etkin yolu, saldiri gelmeden önce gerekli önlemleri almaktir. Birçok güvenlik yazilimindan birini indirip bilgisayarinizda tarama yapabilirsiniz. Ayrica, internet üzerinden gelen trafigi sürekli denetim altinda tutan Firewall yazilimlari kullanmanizi öneririz. Tabiki en büyük savunmalardan biri de, bedava program ve müzik vaadeden sitelerden olabildigince uzak durulmali. Indirdiginiz mp3’ler zararsiz gibi görünebilir, ama unutmayin ki bunun içerisinde gizlenmis bir botnet virüsü, bilgisayarinizi Zombi Ordusuna dahil edebilir. Bilgilerinizi çalabilir ve siber suçlularin askeri olabilirsiniz.

Güncel yamalari barindirmayan isletim sistemi, Anti-Virus ve Firewall yazilimi kullanmayan kullanicilarin büyük çogunlugu çesitli saldirilara maruz kalir ve Virüs/Trojan/Solucan tehlikeleriyle bas basa kalirlar (her ne kadar anti-virüs yazilimi kullanilsa da gerekli güncellemeler yapilmazsa tehlike kapidadir).

 

Not: Bu doküman sadce egitim amaçlidir.

CW// By_AreS