Virüs nedir? Trojan ( truva atı ) nedir? Virüsler, kendi kodlarını başka programlara veya program niteliği olan dosyalara bulaştırabilme özelliği olan ( kendi kodunu kopyalayabilen ) bilgisayar programlarıdır. Bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar. Belli bir amaca yönelik olarak yazılmış, zarar vermeye yönelik olabilecekleri gibi eğlence amacıyla da yazılmış olabilirler.

Truva atları, virüslerden oldukça farklı bir yapıya sahiptir. Asla başka programlara bulaşmazlar. Belli olaylara bağlı olarak tetiklenen bir rutindirler.Kendilerini kopyalayamadıkları için bazı programların içine bilinçli olarak yerleştirilirler. Trojanlar, ilgi çeken, utility gibi programların içine yerleştirilirler. Trojan kodu, trojanın içine gizlendiği programın yazarı tarafından yazılmış olabileceği gibi sonradan da programa eklenmiş olabilir. Trojanlar aslında kopya koruma amacıyla hazırlanırlar.

 

Virüsler çoğunlukla Assembly gibi düşük seviyeli bir programlama dili ile yazılırlar. Bunun asıl 2 sebebi vardır;

 

A) Assembly’ın çok güçlü bir dil olması.
B) Yazılan programların derlendikten sonraki dosya boylarının çok küçük olması

 

Bu özelliklerin her ikisi de virüs yazarlarının assembly dilini kullanması için yeterli ve gerekli sebeplerdir.

 

Virüsleri özelliklerine göre sınıflandırmak pek mümkün olmasa da aşağıdaki şekildeki gibi bir sınıflandırma yapmak yanlış olmayacaktır. Ancak pek çok virüs, pek çok özelliği bünyesinde barındırabilir. Bulaşma hızını arttırabilmek amacıyla yapılan bu durum sonucu virüs, boot sektörlere, mbr kayıtlarına, programlara bulaşabilir. Şimdi de bu virüs türlerinin işleyişlerine bakalım:

 

1 - Disk virüsleri:

 

a– Boot

 

b– MBR

 

2 - Dosya virüsleri:

 

a– Program ( TSR ve nonTSR )

 

b– Makro virüsleri

 

3- FlashBIOS virüsleri

 

1 – Disk virüsleri

 

Disk virüsleri, adından da anlaşılacağı üzere, disk ve/veya disketler üzerinde işletim sistemi için özel anlamı olan bölgelere ( boot sektör, MBR ) yerleşen virüslerdir. Disk virüsleri, hakkında en çok yanlış bilginin olduğu virüs türüdür. ‘Boot’ ve ‘MBR’ virüsleri, aşağıda da göreceğiniz gibi işletim sisteminden önce hafızaya yüklenir. Bu yüzden işletim sistemini kolaylıkla atlatıp, yukarıdaki şekilde de görüleceği gibi disk virüslerini boot ve MBR ( partition ) virüsleri olarak 2 gruba ayırabiliriz.

 

Boot virüsleri

 

Boot virüslerinin ne olduğuna geçmeden önce boot sektör nedir, disk üzerinde nerede bulunur, önce bunlara bir bakalım; Boot sektör, bir diskin veya disketin işletim sistemini yüklemeye yarayan 1 sektör ( 512 byte ) uzunluğundaki bir programdır. ‘Boot sektörler’, disketlerde ‘0.cı iz’, ‘0.cı kafa’, ‘1.ci sektör’ üzerinde bulunur. Hard disklerde ise boot sektörü ‘0.ci iz’, ‘1.ci kafa’ ve ‘1.ci sektör’ üzerinde bulunur. ‘Boot sektör’, açılış için gerekli sistem dosyalarının yükleyen programdır. Aynı zamanda disk ( veya disket ) ile ilgili bilgileri saklar. ‘DOS’ buradaki bilgileri kullanarak ‘cylider’ hesaplarını yapar.

 

Normal koşullarda, bilgisayarı başlatabilecek durumdaki bir sistem disketini ( v irüssüz ) sürücüye takıp bilgisayarı açtığımızda, bilgisayar ilk olarak disket sürücüye bakar. Eğer sürücüde bir disket var ise bu disketin boot sektörü hafızanın ‘0000:7C00’ ( hex ) adresine okunur ve okunan boot sektör çalıştırılır. ‘Boot sektör’, işletim sistemini yükleyerek denetimi işletim sistemine bırakır. Eğer bilgisayarı ‘boot’ edecek disket bir ‘boot’ virüsü içeriyorsa o zaman durum değişir. Bilgisayar, ‘boot sektör’ü yine ‘0000:7C00’ adresine okur ve akışı bu adrese yönlendirir. Disketten okunan ‘boot’ kaydı, yapı olarak değiştiğinden dolayı, ‘0000:7C00’daki kod virüsü hafıza içine yükleyip, hafızadaki konumunu garanti altına alacaktır. Virüs aktivitesi için gerekli interrupt servislerini de kontrol altına aldıktan sonra orjinal boot kayıdını okuyarak işletim sisteminin yüklenmesini sağlayacaktır.

 

MBR ( partition ) virüsleri

 

MBR virüsleri esas olarak, boot virüslerinden pek de farklı değildir. Ancak can alıcı bir nokta vardır ki, bu boot ve mbr virüsleri arasındaki en önemli noktadır. Hard diskler kapasite olarak çok farklı ve büyük kapasitede olduklarından diskin DOS’a tanıtılması amacıyla MBR - Master Boot Record ( ana açılış kaydı ) denilen özel bir açılış programı içerirler. Bu kod diskin 0.cı iz, 0.cı kafa ve 1.ci sektörü üzerinde bulunur. Yani disketlerde boot sektörün bulunduğu konum, hard diskler için ‘MBR’ yeridir. ‘Master Boot Record’, hangi disk partitionundan bilgisayarın açılacağını gösterir. Bu yüzden çok önemlidir. Eğer bilgisayar hard diskten boot ediliyorsa, o takdirde ‘mbr’ ve ‘partition’ table okunur. Aktif ‘partition’a ait ‘boot sektör’ okunur. Bundan sonrası ‘boot sektör’ kısmındaki sistemin aynısıdır.

 

2 – Dosya virüsleri

 

Dosya virüsleri açıkça anlaşılacağı gibi hedefi dosyalar olan virüslerdir. Dosya virüsleri çoğunlukla ‘COM’, ‘EXE’, ‘SYS’ olmak üzere ‘OVL’, ‘OVR’, ‘DOC’, ‘XLS’, ‘DXF’ gibi değişik tipte kütüklere bulaşabilirler.

 

Makro virüsleri

 

Makro virüsleri Word, Excel gibi programların makro dilleri ile ( mesela VBA - Visual Basic for Applications ) yazılırlar. Aktif olmaları bazı uygulamalara ( word, excel vs ) bağlı olduğundan program virüslerine oranla çok daha az etkilidirler.

 

Program virüsleri

 

Program virüsleri, ‘DOS’un çalıştırılabilir dosya uzantıları olan ‘COM’ ve ‘EXE’ türü programlar başta olmak üzere ‘SYS’, ‘OVL’, ‘DLL’ gibi değişik sürücü ve kütüphane dosyalarını kendilerine kurban olarak seçip bu dosyalara bulaşabilirler. Dosya virüsleri bellekte sürekli kalmayan ( nonTSR ) ve bellekte yerleşik duran ( TSR ) olarak 2 tipte yazılırlar.

 

nonTSR ( bellekte sürekli kalmayan ) virüsler

 

Bellekte sürekli olarak kalmazlar.Kodları oldukça basittir. Bellekte sürekli kalmayan virüsler sadece virüslü bir program çalıştırıldığında başka programlara bulaşabilirler. Virüslü program çalıştırıldığında programın başında program kontrolünü virüs koduna yönlendirecek bir takım komutlar bulunur. Virüs kontrolü bu şekilde ele aldıktan sonra virüs kendisine temiz olarak nitelendirilen virüssüz programlar aramaya koyulur. Bulduğu temiz programların sonuna kendi kodunu ekler ve programın başına da virüsün kontrolü ele alabilmesi için özel bir atlama komutu yerleştirir ve kendisine yeni kurban programlar arar. Virüs bulaşma işini bitirdikten sonra çalıştırmak istediğimiz program ile ilgili tüm ayarları düzenleyerek kontrolü konak programa devreder.

 

TSR ( bellekte sürekli kalan ) virüsler

 

‘TSR virüsler’ yapı olarak ‘TSR’ olmayan virüslerden çok farklıdır. ‘TSR virüsler’, 2 temel bölümden oluşurlar. 1. bölüm; Virüsün çalışması için gerekli ayarlamaları yapar ve ‘TSR’ olacak kodu aktifleştirir. 2. bölüm; ‘TSR’ olan kodun kendisidir ve ‘TSR ‘virüslerin hayati önemdeki bölümüdür. Bu tip virüsler, çalışmak için sadece ‘TSR’ olmakla kalmazlar. Aynı zamanda çeşitli Interruptları ( kesilmeleri ) kontrol altına alırlar. Böylece ‘DOS’ üzerinden yapılan işlemleri bile kontrol altına alabilirler. Örnek vermek gerekirse; ‘TSR’ bir virüs ‘DIR’, ‘COPY’ gibi ‘DOS’ komutları ile yapılan -daha doğrusu yapılmak istenen- işlemleri kontrol altına alabilir. Kullanıcı ‘DIR’ komutunu kullandığında dosya boylarının 0 olarak gösterilmesi, dosya boylarının eksik gösterilmesi gibi işlemler ‘TSR’ bir virüs için çok kolaydır.

 

3 - FlashBIOS Virüsleri

 

‘FlashBIOS virüsleri’ tekrar yazılabilir özellikteki ‘BIOS’ chiplerine bulaşırlar.

 

Virüsler neleri yapabilir, neleri yapamaz?

 

Virüslerin neleri yapıp neleri yapamayacakları konusu en çok ilgi çeken, üzerinde en çok konuşulan konulardan birisidir. Çünkü bir virüs, yaptıklarıyla anılır ve bilinir. Virüserin en çok korkulan etkilerin başında gelenler şunlardır:

 

Bir virüs bilgisayardan siliktenden sonra kendi kendine tekrar ortaya çıkıp etkinleşebilir mi?

 

Hayır. Bir virüsün temizlenmesinden sonra durduk yerde yeniden ortaya çıkması doğru değildir. Eğer, bir antivirüs programı ile sisteminizden virüsü temizlemenize rağmen virüs tekrar ortaya çıkıyorsa aşağıdaki 2. durum sözkonusu olabilir.

 

1. Durum: Antivirüs, virüsü temizleyemiyor olabilir. Amatör programcıların yazdıkları shareware olarak dağıtılan antivirüs programlarından birini kullanıyorsanız bu durumla karşılaşmanız olasıdır. Bunun pek çok sebebi olabilir. Örneğin; antivirüs, virüsü başka bir virüsle karıştırıyor olabilir. İmza tarama esasına göre çalışan antivirüslerde ortaya çıkabilecek bu sorun genellikle iki virüsün birbirinin varyantı ( üzerinde küçük değişiklikler yapılmış biçim ) olmasından kaynaklanır. Bir veya birkaç virüsü temizlemek için hazırlanmış eski antivirüs programlarının o virüsün yeni bir varyantının temizlenmesi amacı ile kullanılması sonucu da ortaya çıkabilir.

 

Mesela; elimizde bir programcının 4 yıl önce yazdığı ‘x’ virüsünün antivirüs programı olsun. 1 yıl önce ortaya çıkan ‘x’ virüsünün bir varyantı olan ‘x.x’ gibi bir virüsü temizlemek istersek muhtemelen tarama imzaları aynı veya benzer yapıda olacağından bu tür bir sorun ile karşılaşabiliriz. Bunun sonucu olarak virüs uzunluğunun farklı oluşundan dolayı yanlış isimle bile olsa tespit edilir ancak temizlenemez. Bu durumda antivirüs kullanıcıyı yeni bir virüsle karşılaştığını belirten bir mesaj ile uyarır.

 

2. Durum: Bir yerlerde temizlemeyi unuttuğunuz birkaç virüslü dosyanız kalmıştır. Virüs taramalarında taramayı unuttuğunuz disketleri kullanırsanız ve disketteki programlar virüslü ise siz farkına varmadan virüs tekrar sisteminize bulaşacaktır. Virüs taraması yaparken sahip olduğunuz tüm disk ve disketleri virüs taramasından geçirin. Ancak bu şekilde virüslerden kurtulabilirsiniz.

 

Belirtmem gerekir ki, bu iki durumdan 2.’sinin olması daha muhtemeldir. Birinci durumun gerçekleşme ihtimali çok azdır.

 

Virüsler veri dosyalarına zarar verebilirler mi?

 

Evet, kesinlikle. Özel bir veya birkaç dosya türünü hedef alan virüsler, bu tür dosyalara silebilir veya içlerindeki veriyi değiştirebilir, dosyanın yapısını bozabilir. Örneğin; zamanında aktif olan yerli virüslerden ‘Trakia.653’ virüsü AutoCAD’in DXF ve DWG uzantılı dosyaları hedef almakta ve bu kütüklerin yapısını bozarak işlenemeyecek hale getirmektedir. ‘Trakia.560’ virüsü bazı dosyaları silmektedir. Ancak, bu tür etkiler virüsün farkedilmesi kolaylaştıracağından pek tercih edilmezler.

 

Virüsler yazma-korumalı disketlere bulaşabilir mi?

 

Disketlerin yazma koruması yazılımla kontrol edilen bir sistemdir ve bu sistem aşılabilir. Ancak, yazma korumasını kapatmak virüs içinde ekstra kod anlamına gelir. Eksta kod, virüsün boyunu uzatacak ve virüsün farkedilmesini kolaylaştıracaktır. Bu yüzden uygulanan bir yol değildir. Virüsler, yazma korumasını kapatmak yerine yazma korumasını kontrol edip koruma varsa bulaşmamayı tercih ederler.

 

Virüsler ‘CMOS’a bulaşabilir mi?

 

Herhangi bir virüsün ‘CMOS’ alanına bulaşması mümkün değildir. Hatta imkansızdır. ‘CMOS’ bellek kapasitesi üretici firmaya bağlı olarak 128 veya 256 bayttır. Bu alan virüsün ihtiyaç duyacağı belleğin çok altındadır. Kaldı ki ‘CMOS’, setup parametrelerinin saklandığı bir veri alanıdır. Ancak, virüsler setup parametlerini değiştirebilirler.

 

Virüsler donanıma zarar verebilir mi?

 

Eskiden kısmen, günümüzde hayır. Eski ‘MDA’ ( mochrome display adapter - tekrenkli görüntü bağdaştırıcısı ) ekran kartlarına bir komut serisi yollanarak ‘MDA’ kartlar yakılabilir. Ancak, ‘MDA’ kartlar çoktan tarih olduğundan artık bunun pek önemi de yok.

 

Eski disklerin okuma/yazma kafalarının ani hareketlerle hareket ettirilmesi sonucu diskin bozulmasını sağlamak mümkündü. Artık günümüzde ise disklerin ‘cache’leri sayesinde bu tür hareketler disk tarafından engellenebiliyor ve disklerdeki kafalar manyetik bir esasa göre çalışıyor. Bu sayede elektrikler kesilse bile disk zarar görmeden kafalar park ediliyor.

 

Bir de disk üzerinde bir bölgenin milyonlarca kez ‘format’lanması durumu var. Bu işlem sonunda disk üzerindeki manyetik malzeme zarar görecek, disk okunamaz duruma gelecektir.Bu işlemin ‘partition table’ üzerinde yapıldığını düşünürsek diski kaldırıp çöpe atmaktan veya disk kasasını açıp raf süsü olarak kullanmak dışında geriye pek bir şey kalmaz. :)

 

Ancak, hemen belirteyim ki bu formatlama işlemi oldukça uzun sürecektir. Bir virüsü diski milyonlarca kez formatlamak isterse, kullanıcı bilgisayarın kilitlendiğini düşünecek ve resetleyecektir. Sonuçta, virüs amacına ulaşamamış olacaktır.

 

‘Windows 98/NT/XP’ gibi bir işletim sisteminin çalıştığı bilgisayarlarda Windows direkt disk erişimlerini mümkün olduğunca engellemeye çalışır.

 

Virüsler V-Safe, VirSCAN, Guard, McAfee gibi koruma programlarını atlatabilir mi?

 

Yeni bir virüs veya çok iyi yazılmış bir virüs bu tür programları safdışı edebilir. Ancak, koruma programları virüslü programı daha çalışmadan önce test ettiklerinden bu düşük bir ihtimaldir. Virüsler, bu tür programları aktivitelerinin rapor edilmesinin engellemek için atlatmak ister.

 

Şahsi bilgilerimden ve derlemelerden oluşmaktadır.

Bu ve benzeri yazılarımızı, anlık takip etmek için RSS Besleme`mize abone olunuz. Teşekkürler!

Ekleyen: Emrah Tarih: Ekim 27th, 2007 | Bağlı Kategori: Anti Virüs, Makale | -