Bilgisayar sistemlerimize zarardan baska bir sey getirmeyen virüslerin nasil bir çalisma mantigina sahip oldugunu merake diyor musunuz?

Birçogumuzun sisteminde antivirüs yazilimi mevcuttu. Eger yoksa da bir an önce edinmeye çalisin zira internet ortami ne kadar zengin içerige ve bilgiye dayali olsa da, kötü niyetli insanlar da bu ortamin içerisinde yer aliyorlar. Bu kötü niyetli insanlarin amaçlari sizin sisteminizde yer alan çesitli bilgileri ele geçirmek olabilecegi gibi, sadece zarar vermek de olabilir.



Zararli yazilim deyince ne anliyorsunuz? Virüs ile birlikte, worm denilen ve Türkçe'ye de solucan olarak çevrilen kod parçaciklari zararli yazilimlarin arasina giriyor. Bu ikisi arasindaki fark nedir? Seneler içerisindeki gelisimleri ne sekilde olmustur? Okudugunuz makalede bu sorulari cevaplayarak, kullanicilarin virüs ve zararli yazilim mantigini iyice kavramasini amaçladik.

Virüs Mantigi

Ilk ev kullanicilari için bilgisayarlar piyasada yayginlastigindan beri virüsler de yayginlasmaya basladi. Yani tarihleri bilgisayarlar kadar eski denilebilir. Virüs adini da buradan aliyor zaten. Virüsler, bir metabolizmaya bulastiktan sonra o metabolizmadan baska metabolizmaya geçen (veya kopyalayan) ve bu sekilde yayilan bir yapidir. Bilgisayar virüsleri de tam olarak bu islevde olduklarindan dolayi virüs adini almislardir.



Hizla artan tehditleri karsisinda sistem uzmanlari bu virüsleri sistemden uzaklastiran ve koruyan çesitli yazilimlar gelistirmeye basladi. Bunlara da antivirüs adi verildi. Bugünlerde bilgisayar kullanicilarinin büyük bir bölümü virüsleri internet üzerinden kapmaktadir. Flash belleklerden yayilan virüsler de üst düzeyde yaygin olmasina karsin etkisiz olmalarindan dolayi kolayca bertaraf edilebiliyorlar.

Bir internet sitesine girdiginizde, sitenin kodlari arasinda yer alan bir kod parçacigi, virüsü aktif hale getirip sizden habersiz bir sekilde o virüsü sisteminize yükleyebiliyor. Bir diger yaygin yol da, kod parçaciginin, tarayicinizdaki açiklardan faydalanarak kayitli sifrelerinizi almasidir. Her ikisi de son derece tehlikeli olmasina karsin, antivirüs yazilimlari bu tür tehditleri aninda tespit edip gerekeni yapiyorlar ve sisteminizi beladan uzak tutuyorlar.

Enfeksiyonun Tasinimi

Tipta bir deyim vardir; "Mikroplar ziplayamaz". Örnegin laboratuarda bulunan bir cam tüp içerisindeki bakteriler, ziplayarak tüpten disari çikamazlar. Grip virüsü gibi insanlara etki eden virüsler de ayni sekilde kafalarina göre ziplayip, dolasamiyor. Bu tür virüslerin yayilmasi için hijyen bakimindan zayif bir ortam olmasi gerekiyor. Buna enfeksiyon tasinimi deniyor. Yani; bir virüs kafasina göre hareket edemez, yayilmasi için uygun ortamlarin olusmasi gerekiyor.



Benzer sekilde bilgisayar virüsleri de bir sistemden baska sisteme kendi kafalarina göre hareket edemezler. Bu islem için uygun ortam olusmasi gerekiyor. Virüsün yayilmasi için sartlari uygun hale getiren etken de kötü niyetli kullanicinin ta kendisi oluyor. Yani dijital ortamda bir virüsün yayilabilmesi ancak ve ancak bir baska insanin yönlendirmesiyle mümkün olur.

Virüslerin Tarihi

Günümüzde, antivirüs yazilimlari sik sik sistemin bellegini (RAM'ini) kontrol ederek, olmamasi gereken bir kod parçasinin orada olup olmadigini arastirir ve bulursa yok eder. Eskiden ise isler bu sekilde yürümüyordu. Dolayisiyla virüsler ufak kod parçalari sayesinde kendilerine bellekte yer bulabiliyorlardi.



Kalici virüsler gibi, bir de kalici olmayan virüsler vardir. Bunlar kendilerini çalistirilabilir uygulamalara saklayarak, o uygulamalarin çalistirilmasini beklemektedirler. Kullanici, bu virüslü uygulamalardan birini çalistirdiginda virüsün içerisinde bulunan ve hedef bulucu olarak adlandirilan virüs sistemi, uygulamadan önce çalismaya baslar ve kendisine bir baska çalistirilabilir uygulama aramaya baslar. Burada çalistirilabilir uygulamadan kasit, .exe uzantili dosyalardir.


1980ler

İlk modern virüsler bilgisayarları vurduğunda takvim yaprakları 1980 yılını gösteriyordu. Enfeksiyon, floppy disketleri aracılığıyla gerçekleşiyordu. Sistemin açılmasını sağlayan sektöre etki eden virüsler, ilk modern virüslere örnek olarak verilebilir. Tanınan ilk virüslerden biri de Elk Cloner Virüsü'dür. 1981 senesinde 15 yaşındaki Rich Skrenta tarafından yazılmış olan virüs, yazıldığı platform olan Apple II sistem disketlerindeki, açılış sektöründe kendine yer edinip saklanıyordu.



Elk Cloner Virüsü'nün çalışma mantığı.

Sistem, virüslü disket aracılığıya yeniden başlatıldığında virüs, işletim sisteminin bir parçası gibi davranıyordu ve o da kendini çalıştırıyordu. Her 50'de 1 açılışta, Elk Cloner ekranda küçük bir şiir yazdırıyordu. Elk Cloner'ın görevi buydu. Sistemi o disketten başlatan bir başka kullanıcı da, virüsü kendi sistemine bulaştırmış oluyordu.

1990lar

1990lı yılların başında, Microsoft Office yazılımı popülerliğe kavuşmaya başladıktan sonra virüs programcıları hedef tahtalarının ortasına Office yazılım paketini koydu. Office'i hedef alan virüsler de kalıcı olmayan virüsler kategorisine giriyordu. Office, bir doküman açtığınız zaman Word Basic'te yazılmış makroları doküman içerisine ekleyebilmenize olanak sağlıyordu. Eğer bu makrolar kötü niyetli programcılar tarafından yazılmış iseler, o zaman başınız dertte demek oluyordu.



Concept Virüsü'nün 1995 yılında çalışmasını sağlayan da buydu. Bu virüs, zamanının en yaygın virüslerinin başında geliyordu. Kendisi Word için yazılmış makro virüs idi. Sosyal iletişim, virüslerin yayılmasında her zaman en iyi dağıtıcı olmuştur. Concept'in de yayılması bu şekilde oldu. Herkes bu ücretsiz makroyu edinmek istedi ve virüs giderek yayılmış oldu.

2000ler

1999 yılına geldiğimizde ise bilişim tarihinin en bilinen virüslerinden birine rastlıyoruz. Melissa virüsünden söz ediyoruz. Makro dil ile hazırlanmış bir başka virüs olan Melissa, toplu mailleşme yoluyla yayılmıştır ve internet mail sistemlerini bir süre geçersiz kılmıştır. İşin ilginç yanı ise, Melissa virüsüne aslında bir virüs bile denilemez. Virüs olarak kodlandığı doğru, fakat hiçbir zaman zarar verme amacı içermiyordu. Makro dil ile yazılan bu virüs, mail sunucularının aşırı yüklenme yaşamasına ve planlanmayan sorunların doğmasına yol açmıştır.


İşte karşınızda Melissa Virüsü.

Gerekli önlem alınmadığı için de makroyu çalıştıran herkeste aynı sorun görülmüştür. Gerçek virüsler, tek bir sistemdeki dosyalara bulaşırken, Melissa, herhangi bir insan müdahalesi bulunmadan kendini bir başka bilgisayara kopyalayabiliyordu. Aynı teknikle birlikte 2000li yılların başında I Love You virüsü yayılmaya başlamıştı. Bu virüsün özelliği, en popüler virüslerden biri olmasıdır ve yayıldığı sistemlerde değişiklikler yapmasıyla tanınır.

Hedef bulucu, programcısının kendisinde tanımladığı çeşitli teknikleri kullanarak kendisine, yayılacak yeni bir sistem aramaya başlar. Örneğin Outlook Express'inizde kayıtlı elektronik posta adreslerine ulaşan virüs, bu adreslere otomatik posta yollatarak yayılabilir. Melissa da tam olarak bunu yapıyordu. Bazı hedef bulucular ise, kendilerine rastgele bir IP aralığı tanımlayarak, yine rastgele olarak bu aralıktaki IP'lere sızmayı deniyordu. Eğer ağ içerisinde o IP'de bir istemci bulunuyorsa, geçmiş olsun dileklerini kabul etmeye hazır demekti.

Solucan Virüs Farkı

Bir solucan, yeni bir bilgisayara bulaştı mı, hedefine doğru ilerlemeye başlar. Bunu sağlayan ise yine programcısının yazdığı kodlardır. Bu tür solucanlar son derece zararlıdır. Örneğin kredi kartı detaylarını çalmak için bu tür solucanlar kullanılır. 2004 senesindeki Witty solucanı da oldukça yıkıcı bir etkiye sahipti. Bulaştığı bilgisayarın sabit diskindeki çeşitli bölümleri silen Witty de, unutulmayan zararlı yazılımlar arasındaki yerini aldı.



Virüs yazarlarının aksine, solucan yazarlarının işi daha kolaydı. 1990ların başında üretilen yeni modüller aracılığıyla, güncellemeler üzerinden etkili olan solucanlar oldukça baş ağrıttı. Sonra da botnet solucanı doğdu.

Antivirüs'ünüzü Test Edin

Yeni bir antivirüs yazılımı kurduğunuzda, veya mevcut olanı güncellediğinizde o yazılımı test etmeniz gerekir. Bu şekilde düzgün çalışıp çalışmadığını anlayabilirsiniz ancak. Fakat kasten de sisteminize virüs bulaştırmak pek tavsiye edilen bir yöntem değil. Neyse ki sisteminizdeki antivirüsü test etmenin daha basit yollara başvurabiliyoruz. Antivirüs yazılımlarını test etmek için çeşitli sahte virüsler mevcut.



EICAR virüsü tamamen iyi niyetle yazılmış, herhangi bir zararı bulunmayan ve amacı sadece antivirüs yazılımınızı test etmek olan bir kod parçası. Virüs sisteme bulaştığında antivirüs yazılımının davranışına göre testi gerçekleştirmiş oluyorsunuz. Antivirüs yazılımınız başarılıysa bu tehdidi silmeyi teklif ediyor. EICAR, Avrupa Bilgisayar ve Antivirüs Araştırmaları Enstitüsü'nün baş harflerinden oluşmaktadır. Orijinal adı: "European Institute for Computer Antivirus Research".

Virüsün tek yaptığı boş bir metin belgesi açmak. Onun virüs olmasını sağlayan etken ise, içerisinde barındırdığı ve onun virüs olmasını sağlayan kod parçası. Antivirüs yazılımlarının veritabanlarında bulunan bu kod parçacığı, tespit edildiği anda antivirüs yazılımının kullanıcıyı uyarmasını sağlıyor. O kod parçacığı ise şu şekilde;