Virüslerin Tarihi Tipleri Ve Pc Ye Verdiği Zararlar

BOOT SEKTÖRÜ BULAŞANLARI

( Boot Sector Infectors )

Bugün
satılan her bir masaüstü kişisel bilgisayar sistemi, sistemin
yüklenebilmesi için ya bir disket veya sabit disk ya da bir ROM ( Read
Only Memory ) yongasına gereksinim duyar. Ana sistem disketleri,
genellikle boot edilebilir disketler olarak düşünülür ve bir
bilgisayarı açma işlemi boot etme ( booting up ) olarak tanımlanır. (
ROM içerisinden DOS sağlayan sistemler az ve seyrektir. Bunlar bile DOS
uyarlamalarını güncelleştirme, kopya-korunmalı yazılımların bazı
formlarını yüklemede veya DOS olmayan işletim sistemlerini kullanmada
boot edilebilir disket kullanmayı gerektirmektedir.)

Sistemin
açılışı sırasında, boot edilebilir diskler yüklenmeden, bilgisayarlarda
herhangi bir programın çalıştırılmasının mümkün olmadığını anlamak
önemlidir. Uygulanabilir, ancak kullanıcıya yönelik olarak
sınıflandırılamayan fonksiyonlar vardır. Bunlar BIOS ( Basic Input/
Output System ) fonksiyonlarıdır ve yalnızca bilgisayar programcıları
ve bilgisayarkolikler tarafından anlaşılabilirler.

Bilgisayarlar
açıldıktan hemen sonra iletişim sistemi, ana boot disketinden program
dosyalarını arar ve yükler. Bu dosyalar bilgisayara; temel I/O (
Input/Output-örneğin her bir klavye vuruşunun temel işlevi)
fonksiyonlarını kontrol etme gibi düşük-düzey işletim görevlerinden,
uygulamalarda kullanıcının silme veya kopyalama isteklerini
yönlendirmek gibi yüksek-düzey işlere kadar olan bütün günlük
işletimleri nasıl uygulayacağını anlatırlar. Bu tür işletimler,
uygulama programları tarafından işletim sistemi aracılığı ile
istenirler. İşletim sistemi, işletimi uygular ve sonucu ( başarı veya
başarısızlık ) istekte bulunan uygulamaya bildirir.

Sistem
disketinde, start-up komut programlarının saklandığı alana genel olarak
disk boot sektörü ( disk boot sector ) veya ana boot kaydı ( master
boot record ) adı verilir. Disk boot sektöründe saklanan ve özellikle
bulaştığı dosyalar üzerinde değişiklik yapma konusunda uzmanlaşan
bilgisayar virüslerine Boot Sektörü Bulaşanları ( Boot Sector Infectors
) kısaca BSI denmektedir.

Disk boot sektörüne (ana boot kaydına)
virüs bulaşması muzır yazılımcıya bazı avantajlar sağlar. Herşeyden
önemlisi, kullanıldığında bu dosyalar dizin listesinde
görüntülenmezler. Daha da ötesi, bu gizli DOS işletim sistemi dosyaları
kullanıcı tarafından doğrudan doğruya çalıştırılamazlar, herhangi bir
güçlü yazılım programı yardımı olmaksızın kolaylıkla silinemez,
kopyalanamaz, adları değiştirilemez. Bu alçak-seviye sistem dosyaları
yanlış kullanıldığında, sistem yeterli düzeyde çalışamaz. Normal olarak
DOS işletim sistem dosyalarının çalıştırılması ve bunlarla ilgili
işlemler yalnızca BIOS tarafından gerçekleştirilebilir.

Temel
kullanıcı programları veya komut işlemcisi programlar, COMMAND.COM adı
verilen dosyada bulunurlar. IBM uyumlu bilgisayarlarda sistemin
start-up işlemi bittiktensonra COMMAND.COM yüklenir. Bir diğer deyişle,
MSDOS.SYS ve IO.SYS dosyaları yüklenmiş, çalıştırılmış ve bilgisayar,
kullanıcı komutlarını uygulamaya hazırdır. A> veya C> iletisi
görüntülendiğinde COMMAND.COM yüklenmiştir ve bilgisayar kullanıcı
girişlerine hazır durumdadır. Klavyeden herhangi bir komut girildiğinde
COMMAND.COM onu yorumlar ve kullanıcının bilgisayardan ne istekte
bulunduğunu belirlemeye çalışır. COMMAND.COM kullanıcının ne istediğini
tam olarak anlayamamış ise, “Bad command or file name” mesajı
görüntülenir. Aksi durumda COMMAND.COM istenilen fonksiyonu yerine
getirir ve komut iletisini ( A> veya C>) yeniden görüntüleyerek
yeni bir komut beklemeye başlar.

COMMAND.COM gibi komut
işlemcilerine bulaşmak için tasarlanmış olan bilgisayar virüslerine
Komut İşlemcisi Bulaşanları ( Command Processor Infector-CPI ) adı
verilir. Bunlar muzır yazılıcılara önemli avantaj sağlarlar. IBM uyumlu
bilgisayarlarda komutların büyük çoğunluğu klavyeden girildiği için,
komut işlemcisi bulaşanları kullanıcı ve bilgisayar arasında
etkileşimin önemli bir bölümünü sınamak avantajına sahiptir. Komut
İşlemcisi Bulaşanları, DIR veya COPY gibi boot sektörü bulaşanları,
sistem yüklenir yüklenmez kendileri de belleğe yerleşebileceklerinden
sistemin denetimi üzerinde etkin bir güce sahip olurlar. İşletim
sistemi yüklenmeden, komut işlemcisi yüklenmeden, yığın kütükleri (
batch files ) ve mönü sistemleri yüklenmeden önce ve doğal olarak
hiçbir antivirüs programı yüklenmeden önce boot sektörü bulaşanları
bütün denetimi ele alırlar.

Boot sektörü bulaşanları bellekte
kalıcıdır ve her zaman aktiftirler. Diğer bellekte kalıcı programlar
gibi CTRL-ALT-DEL tuş kombinasyonu ile sistemin yeniden yüklenmesi
durumunda ( warm boot ) bellekten yok edilemezler. Antivirüs
yazılımların aldığı önlemleri de kollayarak, kullanıcının her
hareketini izlerler. ( Örneğin, virüs yazılımının eklenmesi ile dosya
uzunluklarının artmasına rağmen, dizin listesinde değişikler yaparak
kullanıcıya doğru dizin listesini verirler. ) Ve zamanı geldiğinde
normal işlemleri keser ve verileri kolaylıkla bozarlar.

ALINTIDIR!

KOMUT İŞLEMCİSİ BULAŞANLARI

( Command Processor Infectors )

Hemen
hemen bütün IBM uyumlu PC’ler ya MS-DOS (The Microsoft Disk Operating
System ) ya da PC-DOS’un (bu sistemin IBM uyarlaması) bir uyarlaması
kullanırlar. Bu standart PC işletim sistemi genelde DOS olarak
adlandırılır. DOS dosyaları temel olarak *** geniş kategoriye
ayrılırlar: Alçak-düzey sistem destek dosyaları ve yüksek-düzey
kullanıcı program dosyaları.

"Gizli" (hidden) işletim sistemi
dosyaları IO.SYS ve MSDOS.SYS olarak adlandırılmıştır. (IBM’in
PC.DOS’unda bunlar IBMBIO.COM ve IBMDOS.COM adlarını alırlar.) DOS DIR
komutu COMMAND.COM komutları geri planda çalışırken, normal disk
ulaşımlarının ardına gizlenme fırsatını çoğu zaman kötüye kullanırlar.

Örneğin,
kullanıcının disket içeriğini görmek için tek yolu DIR komutunu
kullanmaktır. DIR sözcüğünün yazılması ile, disket sürücü okuma ( read
) işlevini yerine getirmek üzere harekete geçer. Kullanıcı bu sırada
disket erişimlerinin gerçekleşmesini bekler. DIR komutu tam olarak
yerine getirilmeden önce komut işlemcisi bulaşanları kayıp içeri
girerler, araştırırlar ve buldukları zaman diğer komut işlemcilerine
bulaşırlar. Bu arada da DIR komutu hiçbir şey olmamış gibi yerine
getirilir. Virüs bulaştırılmış komutların işletilmesi temiz olanlara
oranla daha uzundur, ancak kullanıcıların çoğu bu farka dikkat
etmezler. Ama muzır yazılımcı bunun farkındadır.



GENEL AMAÇLI BULAŞANLAR

( General Purpose Infectors )

Bilgisayar
virüsleri krallığının “her eve lazım” tipindeki en popüler elemanları
Genel Amaçlı Bulaşanlardır ( General Purpose Infectors-GPI ). Genel
Amaçlı Bulaşanlar herhangi bir hedefe yönelik olarak
tasarlanmamışlardır ve genellikle düşük düzeydeki sistem işletim
dosyalarına bulaşmazlar. Ancak gene de merkezi komut işlemcilerine
bulaşmaları kaçınılmazdır.

Genel Amaçlı Bulaşanlar (GPI)
bilgisayar sistemlerine, Boot Sektörü Bulaşanları (BSI) ve Komut
İşlemlicisi Bulaşanları’nın (CPI) kullandığı aynı gizli yolları
kullanarak girerler. Düşük düzeyde sistem dosyalarını araştırmak ve
komut işletimlerini hedeflemek yerine, daha çok çalıştırılabilir
dosyalara bulaşma eğilimindedirler. (Bazıları yalnızca bir
çalıştırılabilir dosya türüne yöneliktirler, *.EXE veya *.COM ) Hedef
program dosyalarının DISKCOPY gibi kullanım programı veya kelime
işlemciler gibi uygulama yazılımları olmalarına bakmaksızın GPI’lar
onlara bulaşabilir ve onları Truva atı gibi kullanabilirler.

Genel
Amaçlı Bulaşanlar tüm sisteme sızmakta ustadırlar ve böylelikle
bilgisayar virüslerinin en hızlı yayılan tiplerini oluştururlar. İyi
tasarlanmış olanları çalıştırılabilir dosyalar arasında çok hızlı
hareket ederler ve çok kısa bir sürede bütün dosyalara bulaşarak
sistemi ele geçirirler. Bir kez ortaya çıkarıldıklarında boot sektörü
ve komut işlemcisi buluşunları kolaylıkla yok edilebilmelerine (sistem
ve komut işlemcisi dosyalarını yeniden yükleyerek) karşın, genel amaçlı
bulaşanlarca ele geçirilen sistemlerde onarımı olası olmayan sorunlarla
karşılaşılabilinir.



ÇOK AMAÇLI BULAŞANLAR

( Multipurpose Infectors )

Boot
sektörü, komut işlemcisi ve genel amaçlı bulaşanların bazı ya da bütün
bulaşıcı özelliklerini birleştiren bilgisayar virüslerinin ortaya
çıktığını düşünün. Düşüncesi dahi korkunç olan Çok Amaçlı Bulaşanlar
(Multipurpose Infectors-MPI) pratikte gerçektirler ve şimdiye kadar
tartışılmış olan üç virüs tipinin de en güçlü özelliklerini
birleştirmek için tasarlanmışlardır.

Çok Amaçlı Bulaşanlar temel
olarak boot sektörünü, komut işlemcisini veya her ***sini de enfekte
ederler. Oradan, gerçekte genel amaçlı bulaşanlar olan virüs
parazitlerin yayarlar. İki veya daha fazla bulaşıcı tekniğe sahip olan
Çok Amaçlı Bulaşanlar, daha uzun yaşamayı başarırlar ve kendilerini
yeniden üretme konusunda, tek boyutlu bulaşıcı özelliğe sahip
virüslerden daha ustadırlar.

Çok Amaçlı Bulaşanlar işletim
sırasında denetimi el geçirdikleri zaman, boot sektörü ve komut
işlemcisinde bulaştırılmış dosyaları tanımlayan virüse özgü işaretler
(V- markers ) ararlar. V-markers bulunamadığı durumlarda, Çok Amaçlı
Bulaşanlar işaretlenmemiş olan dosyaları enfekte ederler. Ancak bazen
V-markers bulunmasına karşın, bir tuzak olabilir sanısıyla Çok Amaçlı
Bulaşanları bu dosyalara da bulaştırırlar. Çok Amaçlı Bulaşanlar,
etkili, bağışıklık kazanabilen, boot sektörüne, sistem dosyalarına,
komut işlemcisine ve genel programlara zarar verebilen virüs tipleridir.



BELLEKTE KALICI BULAŞANLAR

( Memory Resident Infectors )

Boot
sektörü ve komut işlemcisi bulaşanları Bellekte Kalıcı Bulaşanlar
(Memory Resident Infectors-MRI) olarak tanımlanabilirler, çünkü her ***
virüs tipi de bellekte yüklü kalır ve uygun koşullarda bilgisayarın
belleğinde aktif hale gelirler. Birçok programcının kullandığı kullanım
programları (utilities) gibi, bazı bilgisayar virüsleri de bellekte
yerleşik işlem yeteneğine sahiptirler. Yasal olan TSR
(Terminate-and-Stay Resident, Yok et ve yerleş) kullanım programlarının
aksine, Bellekte Kalıcı virüsler kullanıcı tarafından tek bir tuş
darbesiyle çağrılamazlar; onlar yükleme sırasında belleğe yerleşir ve
bütün oturum boyunca aktif kalırlar.

Bellekte Kalıcı
Bulaşanların bir çok üstün yanları vardır. Sürekli bellekte yüklü ve
aktif oldukları için, bir çok bilgisayar aktivitesine karışabilme
yeteneğine sahiptirler. Klavyeden verilen komutları kesintiye
uğratabilir, ekran çıktılarını tahrip edebilir, veriler kontrol
edebilir ve hatta daha kötüsü değiştirebilirler. Dahası Bellekte Kalıcı
Bulaşanlar, sürekli olarak hedef sistem içerisinde bulaştırılmamış
dosyaları tararlar ve onlara da bulaşırlar.



BİLGİSAYAR VİRÜSLERİ TARAFINDAN KULLANILAN

POPÜLER BULAŞTIRMA YÖNTEMLERİ


Bilgisayar
virüsleri bilgisayarınıza bulaşır demek yeterli değildir. Her bir
bilgisayar virüsünün denetimi ele geçirmede kendisine özgü bir yöntemi
vardır. Virüsler, türlerine göre, kendilerini programın sonuna
ekleyebilir, içine nüfuz edebilir veya çalıştırılabilir program
dosyalarının çevresini çepeçevre sarabilirler. Bazı virüsler ise daha
yüksek düzeyde adaptasyon için söz konusu yöntemleri birleştirirler.
Virüsler belleğe yerleşerek DOS sistem çağrılarını ve kullanıcı
komutlarını kesintiye uğratabilirler. Sistem giriş/çıkış (I/O,
Input/Output)’larını kendilerine doğru yeniden yönlendirebilir veya
korunmasız bölgelere giderek temiz dosyaları virüslü taklitleriyle
değiştirebilirler.

Kullanıcılar bilgisayar virüsleri ve hedef
sistem (kendi sistemleri) arasındaki teknik diyaloğun ayrıntıları ile
ilgilenme gereği duymazlar; temeldeki amaçları güvenli bilgi işlem
çalışmaları yapma ve onları anlamadır. Ancak, bilgisayarınız içinde
neler olduğu konusunda bir düşünce sahibi olmanız yararlıdır. Amaç
olarak yazılımı, verileri ve dosyaları düşünmek bilgisayarınızın değil,
sizin sorumluluğunuzdadır. Bu amaçlara ulaşma yollarının denetimini,
ancak sisteminizin korunması konusunda bilgi edinmeye istekli olduğunuz
ve bu uğurda enerji ve zaman harcadığınız zaman elinizde
tutabilirsiniz. Bu nedenle, bu bölümde virüsler tarafından kullanılan
yöntemlerin kısa bir özeti sunulmuştur.

Bilgisayar virüslerinin
çoğunluğunun çalıştırılabilir dosyalardan denetimi ele geçirmek için
kullandıkları beş popüler yöntem vardır:

Ekleme (Appending)
Araya sokma (Insertion)
Yeniden yönlendirme (Redirection)
Yer değiştirme (Replacement)
Virüs kabuğu (The viral shell)


EKLEME (Appending)

Çalıştırılabilir
program dosyalarının sonlarına virüse ilişkin kod ekleyen virüsler
ekleyerek bulaştırma yöntemini kullanırlar. Hedef çalıştırılabilir
(.EXE) programlar değiştirilebilirler, böylece bu programlar
çalıştırıldığı zaman, Şekil 3-1’de gösterildiği gibi programın denetimi
program sonuna eklenen virüs kodlarına geçer. Şekildeki numaralar,
normal bir programın yürütülmesi ve daha sonra virüslü bir program
sırasında oluşacak olayların sırasını belirtmektedir.



Ekleme Virüsü Tarafından Bulaştırılmış Bir Program


Enfeksiyondan önce program

PROGRAM.EXE

Dosya Uzunluğu= 10240 bayt


Enfeksiyondan sonra program

PROGRAM.EXE

VİRÜS KODU

Dosya Uzunluğu=10240 bayt + virüs kodunun uzunluğu



Bulaştırmanın
sıralamayı nasıl değiştirdiğine dikkat etmelisiniz: Eklenen virüs kodu
kendini harekete geçirir ve fesat görevini başarıyla tamamladıktan
sonra, komut, hiçbir şey olmamışçasına çalışmaya devam ederek ana
dosyalara geri döndürülür.

Bulaşacakları dosyaların tipine bağlı
olarak ekleme yöntemini kullanan bilgisayar virüsleri, işletim
süresince denetimini hedefledikleri programlardan saptırmak için bir
çok farklı teknikler kullanırlar. Örneğin, .COM ve .EXE kütükleri
program giriş noktalarını (program kodlarının bellekteki başlama
yerleri) bilgisayara tavsiye etmek için farklı algoritmalar (komut
sıralaması) kullanırlar. Muzır yazılımcılar bulaştırma mekanizmalarını
tasarlarken bu ince program farklılıklarına dikkat ederler, aksi
takdirde ekleme yöntemini kullanan virüsleri yalnızca bir
çalıştırılabilir dosya tipine yönelik oluştururlar. Bu nedenledir ki,
bazı virüsler sadece .EXE dosyalarına bulaşabilirler. Bunların
yazılımcıları, hedef kütüğün çok yönlü özelliklerin ele almada gereli
uygun mantığı kullanmada yetersiz veya isteksizdirler.

ARAYA SOKMA ( Insertion )

Kendi
yazılım kodlarını, doğrudan doğruya kullanılmamış olan kodların ve
çalıştırılabilir programların veri bölümlerinin arasına yerleştiren
bilgisayar virüsleri, hedefledikleri dosyaları denetlemek için araya
sokma yöntemini kullanırlar. Bir önceki yöntemde olduğu gibi, araya
sokma yöntemini kullanan virüsler de hedef dosyalarda bazı
değişikliklere neden olurlar. Yöntemlerdeki farklılık, Şekil 3-2’de
gösterildiği gibi, virüs kodunun sona eklenmesi yerine, hedeflenen
çalıştırılabilir dosyanın içerisine yerleştirilmesidir.

Araya Sokma Yöntemini Kullanan Bir Virüs

Tarafından Bulaştırılan Bir Program

Enfeksiyondan önce program

PROGRAM.EXE

Dosya Uzunluğu=10240 bayt

Enfeksiyondan sonra program

PROG(VİRÜS KODU)RAM.EXE

Dosya Uzunluğu=10240 bayt

Araya
sokma yöntemini kullanan virüslerin gelişimi, ekleme yöntemini kullanan
virüslere göre daha zordur; çünkü temelde virüs kodunun uzunluğu
minimumda tutulmalıdır. Çoğu zaman yeter büyüklükte kullanılmamış
program alanı bulmak zor, hatta bazı durumlarda olanaksız olabilir. Bu
uzunluk sınırlaması virüs kodunun uyarlanabilirliğini azaltarak, muzır
yazılımcıların virüse ekleyecekleri fonksiyonların sayısını oldukça
azaltır. Öte yandan, ekleme yöntemini kullanan virüslerde bu sınırlama
yoktur. Özellikle .EXE dosyaları için tasarlanmaları daha kolaydır,
çünkü .COM dosyaları için geçerli olan 64K dosya uzunluğu sınırlaması
.EXE dosyaları için geçerli değildir.



YENİDEN YÖNLENDİRME ( Reduction )


Yeniden
yönlendirerek bulaştırma yöntemi ileri düzeyde virüs yazılımcıları
tarafından kullanılan ilginç ve üst düzeyde bir yaklaşımdır. Bu şema
altında bilgisayar

virüsü denetim merkezleri, disk bölünüm
alanları, bozuk olarak işaretlenmiş sektörler veya gizli dosyalarda
gizlenirler. Ekleme veya araya sokma yöntemlerini kullanan “usta”
virüsler, çalıştırılabilir. ( .EXE ) dosyalar arasına küçük virüs
işçilileri yerleştirirler. Bu virüs işçileri hedeflenen program
çalıştırıldığında ustalarına çağrılar (çalıştırma istekleri)
yayınlayarak program akışını yeniden yönlendirirler. Usta (belki daha
çok virüs işçisi yayarak) işçilerini yönetir ve daha sonra denetimi
gerçek programa bırakırlar.

Virüs işçileri teoride birkaç düzine
bayt küçüklüğünde veya bu uzunluktan daha kısa olduklarından, sınırlı
sayıdaki kullanılmayan program alanları içerisine gizlenmeleri çok
kolaydır. İşin daha ilginç yönü; bellekte kalıcı virüslerle ( boot
sektörü veya komut işlemcisi buluşanları gibi) birleştirildiklerinde,
virüs işçilerinin boyu *** başta kadar sıkıştırılabilirler ve bu ***
bayt denetimi bellekteki virüslere devreden DOS kesintilerini (
interrup) çağırmak için gereklidir.

Yeniden yönlendirme
yönteminde virüs kodlarının büyüklüğü ihmal edilebilir oranda az olduğu
için, diskteki boş alanlarda herhangi bir değişiklik farkedilmez. Uygun
küçüklükte olan bulaştırıcı kod parçaları program dosyalarını birkaç
bayt büyütürler veya hiç büyütmezler.

ALINTIDIR!