|
İlk
bilgisayar virüsü 1982’de Apple marka bir bilgisayarda ortaya çıktı.
Dört yıl sonra ABD’de Delaware üniversitesindeki PC kullanıcıları
Brain virüsüyle karşılaştı.
Pakistan’dan geldiği düşünülen bu virüsü, "I love you",
"Pokemon" adları verilen diğerleri izledi.
Symantec anti-virüs araştırma merkezi SARC’ın son tahminlerine göre,
bilgisayar virüsleri her yıl bir milyondan fazla PC kullanıcısını
etkiliyor.
Büyük şirketlere saldırı
Uzun zamandır gündemde olan bilgisayar virüsleriyle ilgili en şiddetli
haberlerden biri Şubat 2000'de gündeme geldi.
Amazon, Buy, CNN, eBay, E-Trade, Yahoo ve Zdnet gibi büyük sitelerin
hack edildiklerini açıklamaları virüs dünyasını karıştırdı.
Hack edilen sitelerin herbiri sistemlerini çökerten virüs saldırılarına
maruz kalmışlar, 45 dakika ile üç saat arasında erişimleri engellenmişti.
Ünlü siteler bu sabotajı kolay atlattılar. Kısa bir süre için erişimi
engellenen internet sayfalarını normal hale getirmeleri çok vakit
almadı. Ancak üç ay sonra yeni bir saldırı ile karşı karşıya geldiler.
Bu kez dünya çapında milyonlarca bilgisayar zarar gördüğü daha kuvvetli
bir virüz saldırısı söz konusuydu.
4 Mayıs 2000 sabahı, Avrupa güvenlik uzmanları çılgın bir hızla yayılan
bir virüsün alarmını verdi. Microsoft’un Outlook Express programında
hayata geçen "I love you" virüsü, kendi kendini kullanıcının
adres defterindeki isimlere göndererek hızla yayılıyor, resim ve ses
dosyalarını silmeden işlevsiz hale getiriyordu.
Virüs saldırılarıyla ilgili en ciddi yorumlar bazı medya kuruluşları,
yasal otoriteler ve güvenlik uzmanlarından geldi.
Şubat saldırısından etkilenen şirketler, yıllık raporlarını açıklarken,
uğradıkları saldırı konusunda herhangi bir saptamaya değinme gereği
duymadı. Analaşılan o ki, bu sabotaj şirketlerin bütçelerinde kayda
değer bir etkiye yol açmamıştı.
En çok müşteri etkilendi
Virüs saldrılarında müşterilere ait hiçbir veri zarar görmedi. Sistemi
çökerten saldırılar, şirket bilgilerini çalma kapasitesine sahip değildi.
Sadece müşteriyi endişelendirdi. Bir süre için kitap siparişi verememek,
online açık arttırmalara katılamamak ya da online bir makaleyi okuyamamak
alışık olunan bir durum olsa da, müşteri kaygısız kalmadı.
Söz konusu virüs saldırısı, biraz heyecan yaratmak, biraz da ziyaretçilerin
morallerini bozmak için tasarlanmış bir eylemdi. Birçokları bu hareketi
"dijital grafiti" adını verebileceğimiz bir "vandalizm
hareketi" olarak yorumladı.
Uzmanlar, bu tür hareketlerin, gerçek yaşamdaki mağazalar için hesap
edilebilir maliyet faktörleri olduğunu söylüyor. Uzmanlara göre, her
mağaza sahibi bu tür darbeleri tamamen saf dışı bırakmanın mümkün
olmadığını, sadece pragmatik hesap yöntemleri kullanarak maliyeti
en aza indirebileceklerini bilir.
"I love you" virüsü ise biraz daha farklıydı. Virüsün görüldüğü
ilk gün, güvenlik uzmanları yaratabileceği finansal zararı önceden
tahmin etmişlerdi. ICSA ve Computer Economics adlı iki danışmanlık
firmasının tahminleri dört gün içinde bu virüsün manşete taşınacağı
yönündeydi. Tahminler ayrıca, virüsten bir milyondan fazla bilgisayarın
etkileneceği yönündeydi hatta virüsün yayılması tamamlandığında, Computer
Economics’in belirttiği rakam 45 milyondu. Gerçek rakamlar ise bu
tahminlerin altında çıktı.
Virüslere karşı sigorta
Merkezi Londra'da bulunan Willis Corroon sigorta şirketi danışmanlarından
Oliver Prior’a göre şimdiye kadar gerçekleşen virüs saldırıları beklentilerin
aksine çok büyük kayıplara yol açmadı ve kimse sigorta tazminatını
istemedi.
Virüs saldırlarına karşı sigorta yapan sigorta şirketleri 1980’lerden
beri faaliyet gösteriyor ve bu şirketler daha çok bankalar tarafınfan
kullanılıyor. ABD’deki bankaların yüzde 70’inin virüs saldrılarına
karşı sigortaları var. Prior’a göre şimdiye kadar kimsenin tazminat
istememesinin nedeni, kayıpların ortalama 100 bin ile 1 milyon dolar
arasında, yani kayda değer rakalar olmaması.
Aslında bankalar şimdiye kadar çok da ciddi virüs saldırılarıyla karşı
karşıya da kalmadı. Prior’s göre, şirketlerin anti-virüs uygulamalarına
sahip oldukları takdirde, "Virüsler zarar veriyor ama finansal
kayıplara yol açmıyor".
Bilgisayar virüsleri kronolojisi:
1982: Apple bilgisayarda ilk virüs ortaya çıktı
1983: Fred Cohen bilgisayar virüsünün içeriğini tanımladı.
1986: Dosyalara zarar veren Brain isimli ilk PC virüsü bulundu
1987: Eylül 1987: Yılbaşı ağacı (Christmas Tree) Exec virüsü
IBM sistemlerine yayıldı.
1988: Brain virüsünü tanımlamaya ve ortadan kaldırmaya yarayan
ilk antivirüs programı yazıldı.
1989: Verileri yok eden ve hızlı yayılan ilk virüs olan Dark
Avenger ortaya çıktı
1990: Üreme özelliği olan ilk virüs bulundu.
1991: Michelangelo virüsü bulundu. Mart ayında bu virüs için
bir el kitabı yayınlandı.
1992: Michelangelo 6 Mart’ta aktif hale geçti ancak büyük hasar
yaratmadı.
1993: Anti-virüs endüstrisi mevcut virüslerin bir listesini
yayımladı.
1994: Bir programcı virüs yaymak için interneti kullandı.
1995: MS Word dosyalarına bulaşan ilk makro virüs bulundu.
1996: Windows 95 ve Excel için ilk virüsler ortaya çıktı
1997: İnternet chat kullanıcıları arasında yayılan bir virüs
bulundu
1998: Virüs bulaşmış bilgisayarlara erişimi engelleyen yazılım
yayınlandı.
İlk MS Access virüsü ortaya çıktı.
AOL kullanıcılarının erişimini engelleyen ve e-mail adreslerine zarar
veren Trojan horse virüsü bulundu.
1999: Word dosyalarına giren ve kendini outlook adres defterinde
bulunan ilk 50 kişiye gönderen Melissa virüsü tüm dünyada yayıldı.
İsrail’de, MS Outlook ile Melissa virüsü kadar hızlı yayılan Explore
Zip kurdu bulundu.
Remote access virüsünün, Windows NT altında çalışan yeni versiyonu
geliştirildi.
Kasım’da e-malille yayılan ve visualise modunda aktif hale geçen bir
virüs bulundu.
2000: Tüm dünyada Y2K virüsü korkusu yaşandı ancak beklenen
zarar görülmedi.
Haziran’da çok hızlı yayılan "I love you" virüsü ortaya
çıktı. Virüsün ardından pek çok kopyası da yayıldı.
Ağustos’ta "I love you" virüsü gibi Outlook Express ile
yayılan bir e-mail eki olarak pokemon virüsü ortaya çıktı.
Eylül’de PDA’lara etki eden İsveç menşeyli ilk Trojan horse virüsü
bulundu.
Genel Virüs Bilgileri
Bilgisayarınızın, sizin isteğiniz ve bilginiz dışında zararlı
bir işlem yapmasını sağlayan program parçacığına virüs denilmektedir.
İlk virüs, bir firmanın yaptığı programın disketle çoğaltılması sırasında
telif haklarının değiştirilmesini sağlıyordu (1986 - Brain). Bundan
sonra başlıca
Chernobyl (CIH) (1998),
Melissa (1999),
Navidad (2000),
Nimda/Sircam/CodeRed (2001) gibi virüsler bilgisayar dünyasında aktif
halde görülmüştür.
Ocak 2002 tarihinde alınan verilere göre 70.000 adet aktif virüs
vardır. Çeşitler arasında en büyük oran macro (26.1%) ve truva atı
(trojan - 26.1% ) virüslerinde bulunmakla birlikte, bulaşma oranı
açısından bakıldığında sistem tarafından çalıştırılabilir dosyalarla
bulaşan virüsler (79%) açık farkla önde yer almakta ve her ay bulunan
virüs sayısı sürekli artmaktadır.. Günümüzde virüsler yayılma yolu
olarak genelde Windows işletim sistemlerinde otomatik olarak çalıştırılabilen
dosya eklentilerini seçiyorlar.
Yazılan her virüs tehlikeli değildir. Bir virüsün etkin halde olduğunu
anlamak için bir çok anti-virüs yazılımı sitesini gezip, bu sitelerin
notlama sitemine göre yorum yapmak gerekmektedir. Bu siteler arasında:
McAfee - Northon - Trend Micro - Sophos yer almaktadır.
Virüslerin Bulaşma Yöntemleri:
Geçmişten bu güne en yaygın şekilde virüs bulaşma yöntemleri
sırası ile:
a-Disket, CD
b-E-posta
c-Ağ paylaşımı
d-Internet’ten indirilen programlar olarak görünmektedir. Bunlar içinde
günümüzde en yaygın olan, e-posta ve Internet’ten indirilen dosyalar
üzerinden bulaşma yöntemleri üstünde biraz daha durmakta yarar var:
1.E-posta ile Virüs Bulaşması
E-posta ile virüs bulaşması, e-postaların çalıştırılabilir
eklentileri sayesinde olur. Virüsün aktif hale gelmesi için eklentileri
açmamak her zaman bir koruma sağlamamaktadır. Bazı e-posta okuyucu
programlar belli formattaki eklentileri otomatik olarak çalıştırmaktadır.
Bu sayede virüs kullanıcıdan habersiz bilgisayara girip programın
gereği olan işlemleri yapabilmektedir (örnek: Outlook / Outlook Express
Bubbleboy). Gerekli işletim sistemi güncellemeleri (Windows işletim
sistemi için http://windowsupdate.microsoft.com/ adresinden yararlanabilirsiniz)
yapıldıktan sonra virüs bu tür açıklardan yararlanıp kullanıcıdan
habersiz bulaşma şansını yitirmektedir. Bu habersiz bulaşma yapısı
aslında e-posta ile virüs bulaşma konusunun sadece ufak bir bölümüdür.
Esas kısmı kullanıcının sistem tarafından çalıştırılabilir dosyaları
(.bat, .exe, .scr, .pif, vb) e-posta ile alması ve onu bilgisayarına
çekmeden ya da çekerek çalıştırması ile sisteme virüs bulaştırmasıdır.
Bu şekilde, kullanıcının bireysel hatasından kaynaklanarak sisteme
virüs bulaşması daha sıklıkla karşılaşılan bir durumdur.
2. WWW’den Virüs Bulaşması
WWW’den virüs bulaşması Internetten indirilen dosyalarla
olmaktadır. Bu konuyu da yine kullanıcının bilinçli olarak indirdiği
dosyalar ve kullandığı web-tarayıcısının (Internet Explorer, Netscape)
otomatik olarak indirdiği dosyalar ile virüs bulaşması diye ikiye
ayırabiliriz. Birinci durumda kullanıcı bilinçli olarak Internetten
bir dosyayı bilgisayarına çeker ve o dosya içeriğinde virüs varsa
çalıştırdığında sisteme virüs bulaşır. Bunu engellemenin yolu kullanıcıların
bilinçlenmesidir. İkinci durum ise biraz daha karmaşık. Bu kısmı da
Java-Script ve ActiveX olarak ikiye ayırmak gerekmektedir: kullanarak
görüntülenen www sayfalarından virüsün bulaşması.
a. Java Script:
Java apletler sayesinde www sayfaları etkileşimli hale gelmiştir
(ufak animasyonlar, vb). Günümüzde tüm web tarayıcıları Java’yı desteklemektedir.
Burada yaşanan sorun, bahsedilen apletlerin güvenilir olmayan sitelerden
de indirilebilmesinden kaynaklanmaktadır. Bunun için sandbox adında
bir teknoloji ile güvenlik önlemi alınmıştır. Sandbox tarafından çalıştırılan
aplet bilgisayardaki dosyaları ne okuyabiliyor ne de yazabiliyor.
Buraya kadar anlatılanlar bu sistemin güvenli olduğu izlenimini veriyor.
Ama sorun sandbox teknolojisinin karmaşık yapısından dolayı meydana
gelmektedir. Bazen gözden kaçırılmış bir açık sayesinde virüsler bilgisayarda
kod çalıştırabiliyor. Örnek olarak bir çok gizli pencere açıp sistemin
kaynaklarını tüketebiliyor.
b. ActiveX:
Windows apletleridir. web sayfalarındaki animasyonları vb.
göstermek için kullanılan bir yapıdır. Bilgisayara .dll (Dynamic Link
Library) uzantısında dosyalar indirirler. Bu dosyaların sistemde her
türlü yetkiye sahip olması, virüse en kolay ve en güçlü şekilde sisteme
hakim olma şansı tanımaktadır. MS Internet Explorer’ın çok sayıda
güvenlik güncellemesi bu nedenle yazılmıştır. Yapıdaki güvenlik sistemi
Authenticode system and Code Signing olarak adlandırılmaktadır. Web
sayfalarından DLL indirirken güvenli olarak tanımlanmış olması esasına
dayanıyor. Ancak kullanılan www tarayıcısının ayarları en güvensiz
seviyedeyse otomatik olarak sitedeki .dll uzantılı dosyayı bilgisayara
indirir. Bu dosya command.com dahil bir çok komutu çalıştırma yetkisine
sahiptir. Tedbir olarak MS Internet Explorer ayarlarındaki güvenlik
seviyesinin en azından Medium olarak ayarlanması gerekmektedir.
Internet Solucanları:
Diğer yolların yanında işletim sistemlerinin ve çalışan servislerin
güvenlik açıklarını kullanarak kendiliğinden bulaşan virüslerdir (
CodeRed, Nimda). Bu virüsler aşağıda yer alan sonuçlara yol açabilir:
Web sunucu program zarar görebilir. (Örnek: IIS)
Diskte kayıtlı bilgiler silinebilir.
Web sayfası içeriğini değiştirebilir.
Gereksiz ağ trafiği yaratabilir.
E-posta, tftp, port tarama.
Backdoor / Trojan yerleştirebilir.
En önemli örnekleri arasında milyonlarca dolarlık zarara neden olan
Nimda ve Melissa yer almaktadır. Bu virüslerden Nimda’yı (W32/Nimda@MM)
biraz daha ayrıntılı inceleyelim: 2001 yılı Ekim ayında ortaya çıkmıştır.
IIS (Internet Information Server) web sunucularına 2001 Ağustosda
bulunan bir açıktan yararlanarak bulaşmaktadır. Outlook Express e-posta
istemcisinin güvenlik açığından yararlanarak e-posta eklentisinin
isteminiz dışı çalışması ile bulaşmaktadır. Internet Explorerın virüslü
web sayfasından readme.eml dosyasını indirmesi ve çalıştırması ile
bulaşmaktadır. Görüldüğü gibi internet solucanları bir çok programın
açıklarından faydalanarak kendiliğinden bulaşmaktadır.
Truva Atları (Trojan)
Kendi kendine yayılmayan, arka planda çalışan program parçacıklarıdır.
E-posta ile gelen çalıştırılabilir eklentiler ya da ICQ vb. programlar
yoluyla, çalıştırılabilir dosya alışverişi ile bulaşmaktadırlar.(Back
Orifice, Sub Seven). Program çalışmaya başladıktan sonra bilgisayara
uzaktan erişimle kötü niyetli bir kişi istediği programı yüklemek,
başka bilgisayarlara saldırmak gibi haklara sahip olabilmektedir.
Virüs Çeşitleri
1. HOAX
Virüs olmadığı halde sisteminizdeki bir dosyanın virüs olduğu
bilgisini içeren ve silmeniz gerektiğini söyleyen yanıltıcı mesajlardır
(Sulfnbk HOAX, Taliban HOAX).
2. BIOS & CMOS Setting Virus
Bilgisayarın açılmasını veya açılış ünitesinin (disket, CD,
HDD) sırası gibi BIOS ayarlarını etkileyen virüslerdir (Troj/KillCMOS,
W95/CIH-10xx).
3. Visual Basic Script (VBS) Virus
& Worm
Visual Basic dilinde yazılmış ufak kodlardır. Bir web sayfasına
veya e-postanın içine gömülmüş olabilirler. Kullandığınız tarayıcı
/ e-posta okuyucu programın güvenlik açıklarından yararlanarak bilgisayara
bulaşırlar (VBS/Numgame)
4. Windows İşletim Sisteminin Özelliklerine
Bağlı Virüsler
a. Win32 Virus & Worm
Windows işletim sistemlerinde çalıştırabilir virüslerdir. Kullanılan
programın güvenlik açıklarından yararlanırlar (Web sunucu veya tarayıcı).
Örnek olarak W32/Magister, W32/Nimda verilebilir.
b. W95/98/ME Virus
Sadece Windows 95/98/ME işletim sistemlerini etkileyen virüslerdir.
BIOS’u değiştirebilir ya da sistemi çalışmaz hale getirebilirler (CIH/10-xx,
W95/Babylonia)
c. WinNT/2K/XP Virus
Windows NT/2000/XP işletim sistemlerinin ya da bu işletim
sistemlerinde kullanılan diğer programların güvenlik açıklarından
yararlanarak bulaşırlar. Dosya sisteminin özelliklerine bağımlı olduklarından
sadece NTFS kullanan sistemlerde etkindirler (W2K/Stream, WNT/RemExp).
5. Macro Virus
Makro programlarıdır. Microsoft Office uygulamalarında kullanılan
belgelerin içerisine gömülü olan makrolardır. Program veya komut çalıştırma
yetkisi olduğundan çok zaralı olabilirler. İsimlendirme olarak
Wm: Windows Macro virüsü
w97m: MS Word Macro virüsü
pp97m: MS PowerPoint Macro virüsü
xm97m: MS Excel Macro virüsü geliştirilmiştir ( örnek: Wm/Nuclear).
Yeni Internet Araçlarında Virüsler
Cep telefonu, Palm, PDA (Personal Digital Assistant) gibi
PC dışındaki Internet ulaşım araçlarında da artık virüs korkusu baş
göstermektedir. 2000 yılının başında VBS/Timo, Palm/Liberty isimli
iki virüs PDA’leri etkilemiştir. Bu araçlar arasında cep telefonları
en az tehlikeye sahip olsalar da kullanacakları e-posta okuma programları
nedeniyle sorun yaşayabileceklerdir.
Gelecekte bu araçları virüsten koruma yöntemleri arasında, virüs tarama
programları en etkili yöntem olarak görünmektedir.
Virüsler Nereye Ne Yazar?
İlk açılışta çalışmak için genellikle Windows Registry (kayıt)
ayarlarını değiştiriler. Bu bilgilere müdahale ederken iki defa düşünmek
gerektiğini unutmamalısınız. Start | Run | regedit yazıp Enter tuşuna
basılınca resimdeki ekran açılır.
Burada, aşağıdaki konumlara kendi program adlarını yazarak açılışta
başlamalarını sağlamaktadırlar.
HKEY_LOCAL_MACHINE Software MicrosoftWindows CurrentVersion
RunServices
RunServicesOnce
Run
RunOnce
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion
Run
RunOnce
RunServices
Virüslerden Korunma
Bir antivirüs programı kurun ve güncel tutun. Güncellemesi
yapılmamış bir antivirüs programı yeni virüslere karşı etkisiz kalmaktadır.
İşletim sisteminizi güncel tutun. Windows işletim sistemlerinin güncelleştirmeleri
için aşağıdaki linkten yararlanabilirsiniz. http://windowsupdate.microsoft.com/
MS Outlook ya da Outlook Express yerine Netscape Messenger, Webmail,
Pine gibi programları kullanın. Gerekmedikçe dosya paylaşımı yapmayın.
Paylaştırmanız şart ise şifreli ve salt okunur paylaşım kullanın.
Sunucu (server) nitelikli işletim sistemleri kurmayın. Web sunucusu
olarak güncellenmemiş IIS kullanmayın. Microsoft Security Bulletin
takibini aşağıdaki adresten yapın: http://www.microsoft.com/security
Boot işleminin kesinlikle sabit diskten olmasına özen gösterin. Çok
önemli bilgilerinizin yedeğini alın. Ofis programlarında bilmediğiniz
makroları çalıştırmayın. Alternatif Ofis programları kullanın (örneğin
OpenOffice): ftp://ftp.metu.edu.tr/pub/mirrors/openoffice/ E-posta
ile gelen çalıştırılabilir dosyaları sadece e-postayı gönderen kişinin
gönderdiğinden emin olduğunuz durumlarda çalıştırın.
Virüslerin Tespiti
Antivirüs programları bilgisayara kurulduktan sonra aktif
şekilde düzenli güncellemeleri yapıldığı sürece en etkili virüs tespiti
yöntemidir. Ancak günümüzde daha farklı yaklaşımlar da olduğu için
onlardan da bahsedilmelidir. Ardından antivirüs programlarının yapısından
ve çalışma prensiplerinden bahsedilecektir.
· Online Tarayıcılar:
“Online tarayıcılar” antivirüs programına bütçe ayırmak istemeyen
ve sürekli olmasa da bilgisayarında tarama yapmak istiyen kullanıcılar
için antivirüs programları yazan şirketlerin sunduğu bir hizmettir.
Bilgisayardaki tüm dosyaları uzaktan tarayan bir yapısı vardır. Bilgisayardan
bilgi alıyor mu? konusunda sorular olsada, sonuçları başarılı sayılmaktadır.
Aşağıdaki bağlantılar izlenerek online virüs taraması yaptırılabilir:
http/www.symantec.com/avcenter --> Check for Security Risk -->Scan
for virus
http://www.mcafee.com --> VirusScan Online
· Antivirüs Programlarının Yapıları
Scanners:
Virüsleri izlerine göre arayıp bulurlar ve imha ederler.
Güncelleme gerektiren bu tarama sistemi kullanıcı açısından en rahat
ve kullanışlı olanıdır.
Checksummers:
Standart işletim sistemi dosyalarının boyut değişikliklerini
virüs olarak yorumlarlar. Sistem dosyalarında yapılacak değişiklikleri
iyi bilen bir kullanıcı için faydalı bir yapıdır.
Heuristics:
Virüslerin karakteristik yapısı bu programlarda genel hatlarıyla
tanımlanır. Ancak son nesil virüsler burada kullanılan mantıkları
çözerek yazıldığından bazen yetersiz kalmaktadır.
Antivirüs
Programı Çalışma Yöntemi
Virüs örüntüsü (virus pattern) virüsü tanımlayan kısa “binary”
koddur. Antivirüs programları bilgisayardaki tüm dosyalarda tarayıcısı
yardımıyla virüs örüntüsünü arar. Virüsü bulduğunda; karşılaşılan
durum için veritabanında tanımlanmış olan işlemleri yapar. Bu nedenle
güncellenmiş bir antivirüs programı yeni çıkan virüslere karşı kullanıcının
elindeki tek savunmadır.
|
