a. Java Script:
Java apletler sayesinde
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.sayfaları etkile?imli hale gelmi?tir (ufak animasyonlar,
vb). Günümüzde tüm web tarayıcıları Java?yı desteklemektedir. Burada ya?anan sorun, bahsedilen apletlerin güvenilir olmayan sitelerden de indirilebilmesinden kaynaklanmaktadır. Bunun için ?sandbox? adında bir teknoloji ile güvenlik önlemi alınmı?tır. Sandbox tarafından çalı?tırılan aplet bilgisayardaki dosyaları ne okuyabiliyor ne de yazabiliyor. Buraya kadar anlatılanlar bu sistemin güvenli oldu?u izlenimini veriyor. Ama sorun sandbox teknolojisinin karma?ık yapısından dolayı meydana gelmektedir. Bazen gözden kaçırılmı? bir açık sayesinde virüsler bilgisayarda kod çalı?tırabiliyor. Örnek olarak bir çok gizli pencere açıp sistemin kaynaklarını tüketebiliyor.
b. ActiveX:
Windows apletleridir. ?web? sayfalarındaki animasyonları
vb. göstermek için kullanılan bir yapıdır. Bilgisayara ?.dll? (Dynamic Link Library) uzantısında dosyalar indirirler. Bu dosyaların sistemde her türlü yetkiye sahip olması, virüse en kolay ve en güçlü ?ekilde sisteme hakim olma ?ansı tanımaktadır. MS Internet Explorer?ın çok sayıda güvenlik güncellemesi bu nedenle yazılmı?tır. Yapıdaki güvenlik sistemi ?Authenticode system and Code Signing?olarak adlandırılmaktadır. Web sayfalarından DLL indirirken güvenli olarak tanımlanmı? olması esasına dayanıyor. Ancak kullanılan
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.tarayıcısının ayarları en güvensiz seviyedeyse otomatik olarak sitedeki ?.dll? uzantılı dosyayı bilgisayara indirir. Bu dosya ?command.com? dahil bir çok komutu çalı?tırma yetkisine sahiptir. Tedbir olarak ?MS Internet Explorer? ayarlarındaki güvenlik seviyesinin en azından ?Medium? olarak ayarlanması gerekmektedir.
Virüsler bula?tı?ında;
Harddisk veya diskette bozuk sektör sayısında artma olabilir.
Bula?tı?ı programların boyutlarında artı? olabilir.
Ram eksikli?i olabilir ve bazı programlar Ram'i çok fazla kullanmaya çalı?abilir.
Bazı programlar çökebilir, programlarda bazen yava?lamalar bazen de kitlenmeler olabilir.
İlk 100.000'lere ula?an virüs Pakistan'ın Lahor kentinde Faruk karde?ler tarafından programlanmı? ve kısa sürede Amerika'ya ve Avrupa'ya sıçramı?tır.
Bilgisayar Virüslerinden Nasıl Korunabilirim?
Mutlaka bir anti-virüs programı yüklemelisiniz.
Kurdu?unuz anti-virüs programını sıksık güncelle?tiriniz.
Önemli bilgi ve belgelerinizin kopyalarını mutlaka bulundurmalısınız çünkü anti-virüs programları kimi zaman virüsü temizleyememektedir.
2000'li yıllarda yaygın olan virüslerden bazıları ?unlardır:
Chernobyl (CIH) (1998),
Melissa (1999),
Navidad (2000),
Nimda/Sircam/CodeRed (2001)
*W32.sobig.A@mm *W32.Nimda.E@mm
*W32.Nimda.A@mm *W2k.Stream
*W32.Sircam.Worm@mm *DOS Funlove.4099
*W32.Bugbear@mm *Happy99.Worm
*VBS.Haptime@mm *W32.Klez
*W32.Kriz *W32.Sircam.Worm@mm
*W32.Yaha *W32.Welchia.Worm
*W32.Navidad *W32.Blaster.Worm
*W97M.Riosys *Hacktool.Keysteal
*W32.Repad.Worm *Backdoor.Evilbot.B
*W95.CIH
*Kill_ez
*Trojan.KillAV.B
*W32.Brid.A@mm/W32.Funlove.4099
*W32.HLLW.Winwvar/W32.Funlovw.4099
BİLGİSAYAR VİRÜSLERİ TARAFINDAN KULLANILAN
POPÜLER BULA?TIRMA YÖNTEMLERİ
Bilgisayar virüsleri bilgisayarınıza bula?ır demek yeterli de?ildir. Her bir bilgisayar virüsünün denetimi ele geçirmede kendisine özgü bir yöntemi vardır. Virüsler, türlerine göre, kendilerini programın sonuna ekleyebilir, içine nüfuz edebilir veya çalı?tırılabilir program dosyalarının çevresini çepeçevre sarabilirler. Bazı virüsler ise daha yüksek düzeyde adaptasyon için söz konusu yöntemleri birle?tirirler. Virüsler belle?e yerle?erek DOS sistem ça?rılarını ve kullanıcı komutlarını kesintiye u?ratabilirler. Sistem giri?/çıkı? (I/O, Input/Output)’larını kendilerine do?ru yeniden yönlendirebilir veya korunmasız bölgelere giderek temiz dosyaları virüslü taklitleriyle de?i?tirebilirler.
Kullanıcılar bilgisayar virüsleri ve hedef sistem (kendi sistemleri) arasındaki teknik diyalo?un ayrıntıları ile ilgilenme gere?i duymazlar; temeldeki amaçları güvenli bilgi i?lem çalı?maları yapma ve onları anlamadır. Ancak, bilgisayarınız içinde neler oldu?u konusunda bir dü?ünce sahibi olmanız yararlıdır. Amaç olarak yazılımı, verileri ve dosyaları dü?ünmek bilgisayarınızın de?il, sizin sorumlulu?unuzdadır. Bu amaçlara ula?ma yollarının denetimini, ancak sisteminizin korunması konusunda bilgi edinmeye istekli oldu?unuz ve bu u?urda enerji ve zaman harcadı?ınız zaman elinizde tutabilirsiniz. Bu nedenle, bu bölümde virüsler tarafından kullanılan yöntemlerin kısa bir özeti sunulmu?tur.
Bilgisayar virüslerinin ço?unlu?unun çalı?tırılabilir dosyalardan denetimi ele geçirmek için kullandıkları be? popüler yöntem vardır:
Ekleme (Appending)
Araya sokma (Insertion)
Yeniden yönlendirme (Redirection)
Yer de?i?tirme (Replacement)
Virüs kabu?u (The viral shell)
EKLEME (Appending)
Çalı?tırılabilir program dosyalarının sonlarına virüse ili?kin kod ekleyen virüsler ekleyerek bula?tırma yöntemini kullanırlar. Hedef çalı?tırılabilir (.EXE) programlar de?i?tirilebilirler, böylece bu programlar çalı?tırıldı?ı zaman, ?ekil 3-1’de gösterildi?i gibi programın denetimi program sonuna eklenen virüs kodlarına geçer. ?ekildeki numaralar, normal bir programın yürütülmesi ve daha sonra virüslü bir program sırasında olu?acak olayların sırasını belirtmektedir.
?EKİL 3-1
Ekleme Virüsü Tarafından Bula?tırılmı? Bir Program
Enfeksiyondan önce program
PROGRAM.EXE
Dosya Uzunlu?u= 10240 bayt
Enfeksiyondan sonra program
PROGRAM.EXE
VİRÜS KODU
Dosya Uzunlu?u=10240 bayt + virüs kodunun uzunlu?u
Bula?tırmanın sıralamayı nasıl de?i?tirdi?ine dikkat etmelisiniz: Eklenen virüs kodu kendini harekete geçirir ve fesat görevini ba?arıyla tamamladıktan sonra, komut, hiçbir ?ey olmamı?çasına çalı?maya devam ederek ana dosyalara geri döndürülür.
Bula?acakları dosyaların tipine ba?lı olarak ekleme yöntemini kullanan bilgisayar virüsleri, i?letim süresince denetimini hedefledikleri programlardan saptırmak için bir çok farklı teknikler kullanırlar. Örne?in, .COM ve .EXE kütükleri program giri? noktalarını (program kodlarının bellekteki ba?lama yerleri) bilgisayara tavsiye etmek için farklı algoritmalar (komut sıralaması) kullanırlar. Muzır yazılımcılar bula?tırma mekanizmalarını tasarlarken bu ince program farklılıklarına dikkat ederler, aksi takdirde ekleme yöntemini kullanan virüsleri yalnızca bir çalı?tırılabilir dosya tipine yönelik olu?tururlar. Bu nedenledir ki, bazı virüsler sadece .EXE dosyalarına bula?abilirler. Bunların yazılımcıları, hedef kütü?ün çok yönlü özelliklerin ele almada gereli uygun mantı?ı kullanmada yetersiz veya isteksizdirler.
ARAYA SOKMA ( Insertion )
Kendi yazılım kodlarını, do?rudan do?ruya kullanılmamı? olan kodların ve çalı?tırılabilir programların veri bölümlerinin arasına yerle?tiren bilgisayar virüsleri, hedefledikleri dosyaları denetlemek için araya sokma yöntemini kullanırlar. Bir önceki yöntemde oldu?u gibi, araya sokma yöntemini kullanan virüsler de hedef dosyalarda bazı de?i?ikliklere neden olurlar. Yöntemlerdeki farklılık, ?ekil 3-2’de gösterildi?i gibi, virüs kodunun sona eklenmesi yerine, hedeflenen çalı?tırılabilir dosyanın içerisine yerle?tirilmesidir.
__________________________________________________ ___________________________
Araya Sokma Yöntemini Kullanan Bir Virüs
Tarafından Bula?tırılan Bir Program
Enfeksiyondan önce program
PROGRAM.EXE
Dosya Uzunlu?u=10240 bayt
Enfeksiyondan sonra program
PROG(VİRÜS KODU)RAM.EXE
Dosya Uzunlu?u=10240 bayt
Araya sokma yöntemini kullanan virüslerin geli?imi, ekleme yöntemini kullanan virüslere göre daha zordur; çünkü temelde virüs kodunun uzunlu?u minimumda tutulmalıdır. Ço?u zaman yeter büyüklükte kullanılmamı? program alanı bulmak zor, hatta bazı durumlarda olanaksız olabilir. Bu uzunluk sınırlaması virüs kodunun uyarlanabilirli?ini azaltarak, muzır yazılımcıların virüse ekleyecekleri fonksiyonların sayısını oldukça azaltır. Öte yandan, ekleme yöntemini kullanan virüslerde bu sınırlama yoktur. Özellikle .EXE dosyaları için tasarlanmaları daha kolaydır, çünkü .COM dosyaları için geçerli olan 64K dosya uzunlu?u sınırlaması .EXE dosyaları için geçerli de?ildir.
YENİDEN YÖNLENDİRME ( Reduction )
Yeniden yönlendirerek bula?tırma yöntemi ileri düzeyde virüs yazılımcıları tarafından kullanılan ilginç ve üst düzeyde bir yakla?ımdır. Bu ?ema altında bilgisayar
virüsü denetim merkezleri, disk bölünüm alanları, bozuk olarak i?aretlenmi? sektörler veya gizli dosyalarda gizlenirler. Ekleme veya araya sokma yöntemlerini kullanan “usta” virüsler, çalı?tırılabilir. ( .EXE ) dosyalar arasına küçük virüs i?çilileri yerle?tirirler. Bu virüs i?çileri hedeflenen program çalı?tırıldı?ında ustalarına ça?rılar (çalı?tırma istekleri) yayınlayarak program akı?ını yeniden yönlendirirler. Usta (belki daha çok virüs i?çisi yayarak) i?çilerini yönetir ve daha sonra denetimi gerçek programa bırakırlar.
Virüs i?çileri teoride birkaç düzine bayt küçüklü?ünde veya bu uzunluktan daha kısa olduklarından, sınırlı sayıdaki kullanılmayan program alanları içerisine gizlenmeleri çok kolaydır. İ?in daha ilginç yönü; bellekte kalıcı virüslerle ( boot sektörü veya komut i?lemcisi bulu?anları gibi) birle?tirildiklerinde, virüs i?çilerinin boyu iki ba?ta kadar sıkı?tırılabilirler ve bu iki bayt denetimi bellekteki virüslere devreden DOS kesintilerini ( interrup) ça?ırmak için gereklidir.
Yeniden yönlendirme yönteminde virüs kodlarının büyüklü?ü ihmal edilebilir oranda az oldu?u için, diskteki bo? alanlarda herhangi bir de?i?iklik farkedilmez. Uygun küçüklükte olan bula?tırıcı kod parçaları program dosyalarını birkaç bayt büyütürler veya hiç büyütmezler. Sonuçta yeniden yönlendirme yöntemi muzır yazılımcılara, hedeflenen dosyalara veri kilobaytları eklemenin sonuçlarına aldırmaksızın geni? ve çok yönlü bilgisayar virüsleri yaratmalarına olanak tanır.
Yeniden yönlendirme yönteminin muzır programcılara sundu?u temel dezavantaj ?udur: Bula?ıcılar belirlendiklerinde kolaylıkla sökülüp atılabilmektedirler. Gizlendikleri yerlerden ana virüs damarlarını silmek, bilgisayarı temizlemek için yeterlidir. Bu durum bütün virüs i?çilerini güçsüz kılacaktır, çünkü onlar hiçbir zaman kendi ba?larına ana kontrol programlarını bulamaz ve ileti?ime geçemezler.
YER DE?İ?TİRME ( Replacement )
?imdiye kadar virüs yazılımcıları tarafından kullanılan en a?ır ve en hantal bula?tırma yöntemi, hedeflenen çalı?tırılabilir ( .EXE ) dosyaların virüssel i?letimcilerle yer de?i?tirilmesidir. Yer de?i?tirme yöntemini kullanan virüsler gerçekte çalı?tırılabilir dosyaları enfekte etmezler, daha ziyade yerle?tikleri sistemi enfekte ederler. ?ekil 3-3’de gösterildi?i gibi virüs kodları ile tamamen yer de?i?tirirler; bu anlamda hedef, dosyaların üzerine yazılır. Bula?tırılmı? programın i?letilmesi sırasında olayların sırasının de?i?medi?ine ve program kodunun virüs kodu tarafından nasıl silinip yer de?i?tirdi?ine dikkat edelim.
Yer De?i?tirme Yöntemini Kullanan Virüs Tarafından
Bula?tırılmı? Bir Program
Enfeksiyondan önce program
PROGRAM.EXE
Dosya Uzunlu?u=10240 bayt
Enfeksiyondan sonra program
VİRÜS.EXE
Dosya Uzunlu?u=10240 bayt
Muzır yazılımcılar açısından bu kaba güç kullanan yöntemin bazı yaraları vardır: Geçerli program dosyaları her yer de?i?tirmede tamamen yok edilirler ve hedeflenen sistem çok kısa bir süre içinde de?ersiz bir donanım yı?ını haline dönü?ür. Bu yöntemin zayıf yönü ise, enfeksiyonların ilk ortaya çıkı?ından hemen sonra kolaylıkla belirlenebilmeleridir. Ancak yer de?i?tirme yöntemini kullanan virüsler, ilk i?letimleriyle birlikte verileri yok ettiklerinden, hızlı ve etkili bir ?ekilde yok edilebilmelerine ra?men etkileri zarar vericidir.