Jump to content
Sign in to follow this  
teoka

9 Başlıkta Virüsten Korunma Yolları

Recommended Posts

100454.jpg

Son zamanlarda herkes bilgisayarına bulaşan virüslerden şikayetçi durumda. Onlardan korunmanızın yolları ise tamamen sizin elinizde. İşte yöntemler:

Çeşitli casus yazılımlar, truva atları da kendiliğinden bilgisayarınıza bulaşmıyor. Onlardan korunmanızın yolları ise tamamen sizin elinizde...

Öncelikle kimseye güvenmemeyi öğrenmelisiniz. MSN'den örnek vermek gerekirse arkadaşınız size sıkıştırılmış (zip'li) bir dosya göndermek isterse mutlaka ona 'teyit ettirmenizi' öneriyoruz. Emin olmadığınız bir 'paylaşımı' kabul ettiğiniz anda iş işten geçmiş olabilir...

İşte korunma yolları:

1 İlk yardım disketleri kullanmak,

2 Şüpheli durumları iyi değerlendirmek,

3 Kırılmış program kullanmamak,

4 Disketten boot etmek,

5 Network sistemlerde yazım hakkını sınırlamak,

6 Disketi kullanmadan önce test etmek,

7 Yedekleme yapmak,

8 Dosyaları gizlemek,

9 Resident antivirüs programı kullanmak gerekir

Share this post


Link to post
Share on other sites
Guest Kavtin

GENEL VİRÜSLER

Disk virüsleri: Bu virüsler Windows gibi isletim sistemleri yerine direkt olarak hafızaya

yerlesirler.

Dosya virüsleri: Direkt olarak dosyaları hedef alan virüslerdir ve genelde COM, EXE,

SYS olarak sisteme yerlesirler.

Makro virüsler: Word, Excel gibi programlarla yazılmıs dosyaların açılmasıyla faaliyete

geçen virüslerdir. (Örnek: Melissa virüsü)

Program virüsleri: Dos altında bulunan COM, EXE gibi dosyalara bulasırlar ve bu

dosyaların çalıstırılabilme özelligi sayesinde bellege hükmederler.

Bios virüsleri: Bios virüsleri tekrar yazılabilir bioslara bulasırlar.

CIH (Cernobil) VİRÜSÜ

CIH (Cernobil), virüsü sadece Windows95 ve Windows98 altında çalısan, bulasıcı ve

çok yaygın bir bilgisayar virüsüdür.

CIH Dos, NT , OS/2 gibi isletim sistemlerinde çalısmaz.

CIH isimli Cernobil diye bilinen virüsün diger isimleri ise söyledir:

PE_CIH, CIHV, SPACEFILLER, WIN32.CIH, CHERNOBYL, TSHERNOBYL,

TSERNOBYL

a- CIH virüsünün tarihi:

Bu virüs Haziran 1998de Tayvan'da çok yaygın olarak bulundu. Virüsü yazan kisi,

yerel bir internet konferansında virüsü faydalı bir program diye gönderdi. Bir hafta içinde

virüs, Avusturya, Avustralya, _srail, _ngiltere'de bulundu. Ayrıca bir çok ülkede de tespit

edildi (_sviçre, _sveç, USA,Rusya, Sili).

b- CIH virüsü nasıl çalısır, bulasır?

CIH virüsü, sadece Windows95 ve Windows98 executable ( .EXE uzantılı)

dosyalarına bulasır. Virüslü bir .exe dosyası çalıstırılıp virüs hafızada aktif oldugu zaman

sistemde çalıstırılan diger WIN95/98 .exe dosyalarına bulasmaya çalısır. Virüs kesinlikle

DOS da aktif degildir, sadece windows da çalısabilir. Eger bilgisayarı DOS modunda

(Command Prompt Only - Sadece Komut _slemi) açarsanız virüs hafızaya yüklenmez. Eger

Windows’dan DOS'a çıkarsanız (Restart Computer in MSDOS mode) virüs hafızadan çıkar.

Virüslü bir .exe dosyası ya baska bir arkadasınızdan veya dısardan bir disketle,cd-romla veya

internetten çektiginiz veya emailinizde size gönderilen bir .exe dosyası varsa ve bu .exe

dosyasını çalıstırırsanız size bulasır.

Bunların dısında baska bir sekilde bulasmaz.

Virüsde bazı programlama hataları oldugu için bazı bilgisayarlarda virüslü dosya çalıstırıldıgı

zaman sistem kilitleniyor.

Virüs sadece ayın belli tarihlerinde aktif oluyor. Bu virüsün 3 tane farklı tipi vardır:

Uzunluk _çerdigi Yazı Aktif olma tarihleri Yaygın mı?

1003 CCIH 1.2 TTIT Nisan 26 Evet

1010 CCIH 1.3 TTIT Nisan 26 Hayır

1019 CCIH 1.4 TATUNG Her ayın 26sinda Evet

Yukarıdaki tabloyu açıklayalım:

Uzunluk: Virüsün kapladıgı yer. Çok ilginçtir, bu virüsün bu kadar yayılma

sebeplerinden birisi de virüsün bir dosyaya bulastıgı zaman dosyanın boyutlarını

arttırmamasıdır. Virüs, dosyalardaki kullanılmayan boslukları bulup kendisini parça parça bu

bosluklara kaydetmektedir. Bu sekilde insanların gözünden kaçabilmektedir. Bu virüs aynı

zamanda türünün ilk örnegidir.

_çerdigi Yazı: Virüsün bulastıgı dosyalara yazdıgı bir yazı.

Aktif olma tarihleri: Virüs bu tarihler haricinde bulasmak dısında hiçbir islem

yapmamaktadır. Bu tarihlerde ise sisteme hasar verecektir.

Yaygın mı: Bu virüsün diger ülkelerde de yaygın olup olmayan türleri. Çok ilginçtir bugüne

kadar bize ulasan virüslerin çogu 1.3 türü idi. Sanırız Türkiye’de daha çok 1.3 türündeki virüs

yaygın.

c- Virüsün verdigi zararlar nelerdir?

Virüs iki türlü hasar vermektedir:

a) Flash BIOS’LAR: Özelliklerde Pentium ve Pentium-II islemcilerin kullanıldıgı

anakartlarda bulunan Flash Bios özelligi bilgisayarınızın yeni çıkan islemcileri desteklemesi

ve BIOS’larda olabilecek (2000 yılı gibi) yazılım hatalarına karsı yenilemenizi saglar. Bir

program ile bu BIOSların en son versiyonlarını internetten çekip Flash Biosa yazabildiginiz

gibi bu virüs de Flash Biosa yazabiliyor. Flash Biosu anlamsız ise yaramayan datalarla

dolduran bu virüs bilgisayarın ilk açılmasını saglayan bu kritik yazılımı ise yaramaz hale

getiriyor ve bilgisayarınızda kapkara bir ekranla bas basa kalıyorsunuz.

b) Harddiskler: Virüs harddisklerin MBR (Partition) ve Boot diye bilinen iki bölgesindeki

bilgilerin üzerine yazmakta ve onları da ise yaramaz bilgilerle doldurmaktadır. Bu durumda

harddisk saglam olsa bile , harddiske sistemin erismesinde gerekli olan bu yerlerdeki yanlıs

datalar bilgisayarınızın harddiskteki dosyalara erismesini engellemektedir.

Özellikle direkt biosdan erisim sistemi kullanan bu virüs BIOSlardaki virüs

korumasını da asmaktadır.

Ayrıca virüs rasgele bir sekilde disketteki dosyalara hasar da verebilmektedir. Bunun

yanısıra, virüsün harddiskin ilk 1Mblık alanını sildigi ve FAT (Dosya Tablosu) yapısını

bozdugu da bilinmektedir. Bu durumda ise bilgileri kurtarmak imkansız denilebilir. Ancak

Norton Utilities programlarından Unformat ile Ontrack firmasının Tiramisu programları bir

umut ısıgı olabilir.

Norton Utilities internet sayfasına www.symantec.com adresinden erisebilirsiniz.

Ontrack firmasının internet sayfasına www.ontrack.com adresinden erisebilirsiniz.

Virüs bu bahsedilen konular dısında hiç bir seye zarar vermez. Maalesef medyada

çıkan bazı haberler bizi bu konuda sizleri uyarma ihtiyacına yönlendirdi. Cdromların

epromlarının bozulması, SMS mesajları ile Cep telefonlarının bozulması gibi bir çok asılsız

haberlere lütfen inanmayınız.

Sadece size anlattıgımız gibi Flash bios ve harddiskdeki bilgilere zarar vermektedir.

d- Bu virüsden nasıl kurtulunur?

Bu konuyu iki sekilde ele alacagız.

a) Bilgisayarı hasar görmemis ama virüs olma ihtimali olanlar:

- Flash Bios:

Virüs tarafından flash biosu silinen kullanıcılara tavsiyemiz yeni bir anakart almadan

önce, flash bioslarını tamir ettirmeye çalısmalarıdır. Bu maliyeti yok denecek kadar az ama

bilgili eleman isteyen bir konudur.(Maalesef ülkemiz bilgisayar konusunda çok cahildir...)

Öncelikle Flash BIOS ufak bir programdır.

Eger elinizde daha önceden kaydetmis oldugunuz anakartınıza ait Flash Bios dosyası

varsa bu dosyadaki dataları bir eprom programlayıcısı olan bir elektronikçide bios çipinize

geri yükletebilirsiniz. Eger çipi siz söküp elektronikçiye götürecekseniz dikkatli olun.

Sökerken çipin bacakları hasar görebilir. Bu islem çok dikkatli yapılmalıdır. Bazı anakartların

Bios çipleri de sökülememektedir, bu durum daha ilerde ele alınacaktır.

Bu sitelerde BIOS update bölümünde gerekli talimatlarla birlikte en yeni Bios sürümlerini

bulabilirsiniz.

Eger baska bir tanıdıgınızda aynı bilgisayardan veya aynı anakarttan varsa onların

bilgisayarları saglam ise asagıdaki bios programları ile hem markasını ögrenebilir hem de

biosunu bir diskete kopyalayabilirsiniz.

Bu sekilde elinizde Biosunuzun bir kopyası olacak ve bunu bir elektronikçide bir

eprom programlayıcısı ile geri yükleyebileceksiniz. Bu islemi gerçeklestirmis arkadasları

tanıyorum kesinlikle mümkün ve basarılı sonuç veren bir islemdir.

Flash Biosun sökülemedigi eski anakartlarda ise durum biraz vahimdir.

Anlatacagım teknigin islerligi konusunda hiçbir garanti veremem , anlatacaklarım yukarda adı

geçen anakart sitelerinden alınmıstır. Ben hiç denemede bulunmadım bu yüzden ise yarayıp

yaramayacagını da bilemiyorum.

_htiyacınız olan :

1- ISA ekran kartı (Asusda optional demis yani gerekmeyebilir de ama emin degilim)

2- Çalısır durumda bir Floppy drive

3- _çinde sistem dosyaları , gerekli bios programları olan , flash biosunuz kopyasını da içeren

bir disket.

Config.sys koymayın, sistem dosyalarınız win95 sistem dosyalarından ziyade dos 6.22

olsun çünkü daha az hafıza kaplıyorlar. Gigabyte anakartların bios sayfalarında özellikle

windows95 sistem dosyalarını kullanmayın deniliyor. Gerekli programları ve sistem

disketinin bir kopyasını bu sayfada bulabilirsiniz. Tavsiyem autoexec.bat dosyasını öyle bir

ayarlayın ki kullanıcının hiç bir sey yapmasına gerek kalmadan , bootlayıp flash biosunuzu

otomatik geri yüklemesi...

Nasıl yapılacak?

1- Sistemdeki anakarta takılı butun kartları çıkarın sadece ISA ekran kartı kalsın.

2- Hazırladıgınız disketi (gerekli programları asagıdaki bölüme koyduk) floppy drive takın.

3- Sistemi power tusuna basın

4- Umarım ise yarar 001.gif

5- Disketi çıkarmayı unutmayın.

Harddiskler:

CIH virüsü ile erisilmez durumdaki harddiskleri geri kazanmak için , diskeditor

denilen programlara ihtiyacınız var. Bu tür programlar, Norton Diskeditor, Winhex gibi

programlar kullanabilirsiniz.

En iyisi aynı harddiske sahip olan birinden partition ve bootları bir diskete kopyalayıp

kendi harddiskinize geri yüklemek.

Fakat dikkat etmeniz gereken önemli bir nokta, harddisklerin aynı formata ve

büyüklüklere sahip olmasıdır.

Örnegin , 6.4gb bir harddiskiniz var , bunu 2 partitiona ayırıp c ve d sürücüleri olarak

2 tane 3.2gb bir sekilde formatlarsanız ve gidip de sadece 6.4 gb olarak formatlanan bir

harddiske geri yüklerseniz, o zaman harddiski bilgisayara yanlıs tanıtmıs olursunuz ve

dosyalarınıza erisemezsiniz. Asagıda 2.1 gb ve 10.2 gblık quantum harddisk partition ve

bootlarını koyuyorum , dikkat bunların ikisi de sadece tek partitionlı harddiskler içindir, eger

harddiskinizi böldüyseniz bunları kullanmayın, bu harddisklerin FAT yapıları FAT32

biçimindedir, sakın FAT16 olan harddisklerde kullanmayın ve son olarak , olabilecek

hasarlardan dolayı biz sorumlu degiliz.

Eger bu yöntemler ise yaramaz ise, Norton Disk Doctor gibi programları tavsiye

ederim. Özellikle NDD / rebuild komutu harddiskte partition aratıp geri yükleyebilmektedir.

Dikkat edilmesi gereken bir nokta da, FAT32 denilen 2.1gbdan büyük harddisklerin tek parça

olarak formatlanmasını saglayan Microsoftun Windows95 OSR2 ve Windows98 de

destekledigi FAT sistemini Norton Utilities 2.0 For Windows ve üstü desteklemektedir.

(Norton Utilities For Windows ile dos programları da gelmektedir).

Ayrıca internette bir çok disk editör programlar bulunmaktadır, haksız rekabet gibi bir olay

olmasın diye Winhex isimli bir programın da ismini vereyim.

Biz hiç bir yazılım firması ile çalısmıyor, hiç bir sahsi çıkar iliskimiz de yoktur.

Tekrar ediyoruz, bu sayfada bilgiler ve programlardan dolayı olusacak hiçbir hasar

bizim sorumlulugumuzda degildir.

Umarım bu sayfadaki bilgiler isinize yaramıstır , bize virüsle ilgili merak ettiginiz

baska bir sey varsa email atarak sorabilirsiniz, genelde cevapları bu sayfaya ilave edecegiz.

e- Programlar:

1- Flash Bios programları: Bu programlar ile biosunuzu yedekleyebilir , yedeklerden geri

yükleyebilir veya yenileyebilirsiniz.

Asus Board Sayfasında bir çok FLASH BIOS programı var, hepsini

koyamayacagımdan size tavsiyem www.asus.com adresine gidip oradan gerekli dosyaları

almanızdır.

ctbios.zip - Bu programı çalıstırdıgınızda, bilgisayarınızın bios markasını ve internet

sayfalarını gösterir.

2- Harddisk programları:

system.zip - DOS 6.22 sistem disketi image dosyası, winimage gibi bir program ile bir

diske aktarın.

w98sys.zip - Windows 98 sistem disketi image dosyası, cd-romlarınızı da otomatik

olarak sisteme tanıtmaktadır.

q10.zip - Quantum Fireball 10.2Gb EL model harddisk partition ve boot image

dosyası, (FAT32 formatlı, tek partition, sakın baska türlü formatlanmıs harddisklere bunu geri

yüklemeyin).

3- Antivirus programları:

kill_cih.exe - Bu program windowsda aktif olan CIH virüsünün çalısmasını durdurur ,

hafızadan(memoryden) siler , ama harddiskten de temizlemeniz gerekir. Bu program sadece

virüsü durdurup antivirüs programlarının rahatça çalısmalarını saglar.

fp-307b.zip - F-prot antivirüsün en son dos versiyonu CIH dahil bir çok virüsü temizler,

üstelik bedava.

BABYLONİA VİRÜSÜ

Babylonia Windows’un hafızasına yerlesen bir kurt (worm) olup otomatik güncelleme

yetenegi vardır. Windows çalıstırılabilir dosyalarına ve yardım dosyalarına bulasır.

WSOCK32.DLL dosyasını degistirerek Internet’e baglanır ve kendinin yeni versiyonlarını

yükler.

Virüs sadece Win9x isletim sistemlerine bulasabilir. I-Worm.Happy/SKA worm,

WinHLP.Demo, Win95/CIH gibi virüslerin özelliklerini kullanır.

Bulasmıs bir dosyanın çalıstırılmasıyla virüs aktif hale geçer. Kendini bir sistem sürücüsü

olarak sisteme yerlestirir(VxD) . Disk erisim fonksiyonlarını kontrol eder. Diske yazılan ve

diskten okunan dosyaların sonuna kendi kodunu ekler. Bu dosyaların boyutları

büyüyebilecegi gibi virüsün kullandıgı özel bir yöntem nedeniyle aynı da kalabilir.

4 Kb uzunlugunda C:BABYLONIA.EXE dosyasını olusturur. Bu dosya virüsün bazı

ek fonksiyonlarını içerir.

Windows yardım dosyalarına bulasarak her yardım dosyası çalıstırıldıgında virüs

kodunun çalıstırılmasına neden olur.

FUNLOVE VİRÜSÜ

FunLove hafızada yerlesebilen Win32 virüsüdür. Kasım 1999'da ABD, _ngiltere ve

Çek Cumhuriyeti gibi ülkelserde yaygın olarak görünmüstür.

Funlove sifreli veya polimorfik bir virüs degildir. Virüs yerel ve ag sürücüsündeki PE

EXE (Windows çalıstırılabilir) dosyalara bulasır.

Virüs, bulasmıs bir dosya çalıstırıldıgındawindows SYSTEM klasöründe FLCSS.EXE

dosyası olusturur, kodunu oraya yazar ve olusturulan dosyayı çalıstırır. Bu dosya virüs

damlatıcısı olur- virüs tarafından gizli bir Windows dosyası (Windows 9x altında) veya

servisi(Windows NT altında) olarak baslatılır.

FLCSS.EXE dosyası olusturulurken hata olusursa damlatıcı dosya virüsü kendi

bulastırma fonksiyonunu kullanarak bulasmıs konukçu dosyadan yayar ve virüs yayan

fonksiyon arka planda ayrı bir "thread" olarak çalıstıgından programın çalısmasında gözle

görünür bir gecikme yasanmaz.

Bulasma fonksiyonu C:'den Z:'ye kadar olan bütün yerel sürücüleri taradıktan sonra ag

kaynaklarını da tarar ve çalıstırılabilir PE dosyalara ( .OCX, .SCR, veya .EXE uzantılı )

bulasır. Virüs kodunu dosyanın en sonuna yazar. Dosyanın basına da 8 baytlık bir kod

ekleyerek program basladıgında virüs kodunun çalıstırılmasına neden olur. Bundan sonra

programın ana kodunun çalıstırılmasına geçilir.

Virüs, agdaki bilgisayarlardan sadece mevcut bulasmıs bilgisayarın yazma hakkı

olanlara bulasabilir. Bu virüsün yayılmasını önemli ölçüde azaltır.

Virüs, bulasacagı dosyaları kontrol ederek adının ilk 4 harfi asagıdakilerden biri olanlara

bulasmaz:

ALER AMON _AVP AVP3 AVPM F-PR NAVW SCAN SMSS DDHE DPLA

MPLA

Virüs ayrıca NTLDR ve WINNTSystem32 toskrnl.exe dosyalarını Bolzano

virüsünün degistirdigi sekilde degistirir. Bu dosyalar artık kullanılamaz hale gelir ve yedekten

geri yüklenmeleri gerekir.

Virüs sadece asagıdaki metni içerir:

~Fun Loving Criminal~

Bu metin DOS'un 'This program cannot be run in DOS mode.' metninin kayıtlı oldugu

yerdedir. Program DOS ortamında çalıstırılmaya çalıstıgınızda bu kısa mesajını verir ve

sistemi yeniden baslatır.

MY PİCS VİRÜSÜ

MyPics kurt(worm)u bir Visual Basic uygulaması olup bir eposta eki olarak gelir.

‘'Here's some pictures for you!’ (Sizin için birkaç resim!) mesajını içeren epostanın konusu

yoktur. Virüs kendini sistemde C: Pics4You.EXE olarak kurar ve Windows kaydını

degistirerek windows her açıldıgında bu virüsün çalısmasına neden olur. MSVBVM50.DLL

dosyasına ihtiyaç duyar. Eger bu dosya sisteminizde yoksa virüs yayılamaz. Virüs

aktiflestiginde kendini 50 kullanıcıya bir defada gönderebilmektedir. Eposta adresleri ise

Outlook Adres Defterinden seçilmektedir.

Virüsün tehlikeli bir yapısı vardır. 1 Ocak 2000 tarihinde virüs aktiflesip CBIOS.COM

programını çalıstırarak CMOS’taki bilgileri yok eder. Ayrıca AUTOEXEC.BAT dosyasını

degistirerek sabit sürücülerden C: ve D:’yi sistemin sonraki açılısında biçimlendirir. (format)

PRI VİRÜSÜ

W97M/Pri polimorfik Word 97 makro virüsüdür.

Bulasmıs bir belge açıldıgında aktiflesir. Genel sablonun virüse bulasıp bulasmadıgını

kontrol eder eger bulasmamıssa kendini degistirerek bu dosyaya kopyalar.

Virüs genel sablona bulasmıssa diger dokümanlar kapanırken onlara da bulasır. Ayrıca

"Tools/Macros/Visual Basic Editor" mönüsü kullanılamaz hale getirilir.

Virüs zamanı kontrolü eder ve eger saat ve dakika birbirine esitse degisik renklerde on

geometrik sekil mevcut dokümana eklenir.

 

TÜREVİ: Pri.B

Bu türevi W97M/Pri.A ile birbirine çok benzer ancak birkaç küçük fark vardır.

Bu türevi "Tools/Macros/Visual Basic Editor" mönüsüne küçük bir kod ekleyerek

Word'den çıkısta dokümanların kaydedilmemesine neden olur.

Virüs ayrıca on geometrik sekil yerine herhangi bir sayıda geometrik sekil

olusturabilir.

 

TÜREVİ: Pri.Q

TAKMA ADI: Prilissa, Melissa.W, Melissa.AG, W97M.Antisocial.G

Bu türevi W97M/Melissa virüsünden çalınmıs toplu email atma özelligini ve zararlı

kodları da içerir.

Kod 25 Aralıkta aktiflesir. Kod "C:Autoexec.bat" dosyasını degistirerek sonraki

sistem baslangıcında "C:" sürücüsünün formatlanmasına neden olur. Buna ragmen virüs

Windows NT'de çalısmaz. "Autoexec.bat" ayrıca asagıdaki mesajı içerir:

Vine...Vide...Vice...Moslem Power Never End...

Your Computer Have Just Been Terminated By -= CyberNET =- Virus !!!

VirüsAutoexec.bat dosyasını degistirdiginde asagıdaki mesajı verir:

Vine...Vide...Vice...Moslem Power Never End...

You Dare Rise Against Me...The Human Era is Over,

The CyberNET Era Has Come !!!

Virüs o anki dokümana degisik renk ve sayıda geometrik sekiller ekler.

Virüs daha sonra her adres defterindeki ilk 50 alıcıya kendini postalar. Mesaj asagıdaki

gibidir:

Subject: Message From (Kullanıcı adı)

Body: This document is very Important

and you've GOT to read this !!!

Mesajda _ngilizce olarak " Bu doküman çok önemli ve okumak zorundasınız" denmektedir.

Burada "Kullanıcı Adı" virüs bulasmıs kurbanın adı ile degistirilir. Mesaj ayrıca

virüsün bir kopyasını yollamıstır.

Virüs ayrıca email gönderme isinin sona erdigini anlamak için windows kaydını

asagıdaki gibi degistirir:

HKEY_CURRENT_USERSoftwareMicrosoftOfficeCyberNET degeri yerine su

deger yazılır:

©2000 - Indonesia by AnomOke!

Virüs kendini postaladıktan sonra bir doküman açıldıgında veya kapandıgında virüs

çogalmaya devam eder.

Virüs, gömülü virüs koruma sistemini devre dısı bırakır ve Dosya menüsündeki son

açılan dosyaları saklar. Ayrıca "Tools/Macros/Macro" ve "Tools/Macros/Visual Basic Editor"

mönülerini kullanılamaz hale getirir.

SUPPL VİRÜSÜ

W97M/Suppl, 17 Eylül 1999'da birçok haber grubuna postalanmıs bir mail kurtudur.

Kendini Suppl.doc adlı bir dosya eki ile e-mail kurdu olarak yayar. Suppl zararlı bir yapıya

sahiptir.

TÜREV_: Suppl.A _lisikteki Word 97 belgesi açıldıgında makro kodu çalıstırılır. Aktif

belgeyi

Windows klasörüne "Anthrax.ini" olarak kopyalar. Daha sonra "Suppl.doc" belgesinin

sonuna ekli olan "Wsock32.dll" dosyasının bulasmıs bir versiyonunu açar. Sistem tekrar

baslatılmadan önce Windows klasöründe görünen üç dosya olusturulmustur:

"DLL.lzh", "DLL.tmp" ve "wininit.ini".

Sistem tekrar basladıktan sonra "DLL.tmp", "Wsock32.dll" ile, orijinal "Wsock32.dll"

dosyası "Wsock33.dll" ile degistirilir. "DLL.lzh" (sıkıstırılmıs ".dll") ve "wininit.ini"

dosyaları silinir.

Daha sonra Suppl kendini virüs bulasmıs kullanıcı makinesinden gönderilen her

SMTP email mesajının sonuna "Suppl.doc" olarak ekler. Suppl bir hafta aktif kaldıktan sonra

bütün yerel ve uzak sürücülerde yer alan asagıdaki uzantılara sahip dosyaları siler:

DOC,XLS,TXT,RTF,DBF,ZIP,ARJ,RAR

 

 

 

THUS VİRÜSÜ

W97M/Thus çok tehlikeli bir Word 97 makro virüsüdür.

TÜREV_: Thus.A

Bulasmıs bir dosya açıldıgında W97M/Thus.A virüsü evrensel sablona ve o an açık

olan bütün Word belgelerine bulasır. Bundan sonra her olusturulan,açılan veya kapanan

belgeye bulasır.

Virüs, daha önce bulastıgı belgeleri "Thus_001" isaretini arayarak belirler. Bu nedenle

virüs "Thus" diye adlandırılmıstır. Ayrıca "Thursday" takma adıyla da bilinmektedir. Virüs,

etkisini 13 Aralıkta "C:" dizinindeki bütün dosyaları silerek gösterir. 6000'den fazla

bilgisayara kısa sürede yayılan bu virüs özellikle ABD, _ngiltere, Fransa ve Almanya daki

finans sektörünün bilgisayarlarına bulastı. Böylece tehlikeli virüsler sınıfına girdi.

 

 

 

MELİSSA VİRÜSÜ

Bilinen diger isimleri: Simpsons, Kwyjibo, Kwejeebo, Mailissa

Varlıgı ilk olarak 26 Mart 1999 günü fark edilen bu bilgisayar virüsü, fark edildigi

andan sadece bir kaç saat sonrasında 100.000 bilgisayara bulasmıstır. Bu, daha önceki tüm

virüslerden çok daha hızlı bir yayılma hızıdır.

Melissa virüsü kendisini bir kullanıcıdan bir diger kullanıcının e-mail hesabına

kopyalayarak yayılmaktadır. Virüs etkisini, kullanıcının dokümanlarına “Simpsonslar” isimli

TV dizisinden sözler ekleyerek ve daha da kötüsü kullanıcı farkında olmadan önemli

dokümanlarını e-mail yoluyla baskalarına göndererek göstermektedir.

Virüsün fark edildigi 26 Mart günü A.B.D çapında hızla yayılarak Microsoft ve

Intel’in de içinde bulundugu bir çok sirketin mail sistemlerine girmistir. Microsoft firması,

virüsün sirket içerisinde daha fazla yayılmasını önleyebilmek için tüm mail sistemini

kapatmak zorunda kalmıstır.

E-mail’le kendisini yayma yöntemini kullanan virüsler arasında bugüne kadar en

büyük basarıya ulasan virüstür.

W97M/Melissa virüsünü içeren ilk e-mail bir haber öbegine

gönderildiginde iletiyi alan kullanıcıların, içinde bulunan dokümanı (LIST.DOC) Microsoft

Word ile açmasıyla, içinde bulunan macro çalısır ve her kullanıcının adres defterinde bulunan

50 kullanıcıya kendisini postalar. Böylece Melissa’nın süratli yolculugu baslamıs olur.

Virüsü içeren e-mail su sekilde iletilmektedir:

From: (virüsün bulastıgı kisi)

Subject: Important Message From (virüsün bulastıgı kisi)

To: (virüsün bulastıgı kisinin adres defterinden 50 kisinin ismi)

Here is that document you asked for ... don't show anyone else 002.gif

Attachment: LIST.DOC

Dikkat edilmesi gereken bir nokta, e-mail içine ilistirilmis dokümanın ille de

“LIST.DOC” olması gerekmez.

Çogu Internet kullanıcısı tanıdıgı kisilerden gelen e-mail’lerin ekindeki dosyaları

açma egilimindedirler. Melissa virüsünün basarısı da bu egiliminden kaynaklanmaktadır.

Kendini 50 kullanıcıya gönderdikten sonra virüs, bulastıgı makinada bulunan diger

dokümanlara da bulasmaya devam eder. Bu dokümanlar da çalıstırıldıklarında macro etkin

olacagından kullanıcının önemli dokümanlarının da dısarıya gönderilmesi gibi bir tehlike de

söz konusudur.

W97M/Melissa virüsü, Microsoft Word 97, Microsoft Word 2000 ve Microsoft

Outlook 97 veya 98 e-mail istemcileri ile çalısır. Virüsün size bulasması için ille de Outlook

kullanıyor olmanız gerekmez, fakat virüs sizin bilgisayarınızdan dısarıya kendisini daha fazla

yaymak için Outlook istemcisine ihtiyaç duyar.

Melissa virüsü, Word 95 ve Outlook Express programlarını kullanarak bulasamaz.

Melissa’nın etkileyebildigi isletim sistemleri Windows 95, 98, NT ve Macintosh

OS’tur.

Bilgisayarınızda Outlook yoksa ya da Internet baglantınız yoksa bile virüs kendisini

makinadaki diger dokümanlara bulasarak yayılmasını yerel olarak devam ettirecektir.

Office programının kullandıgı “Normal.dot” isimli sablonun Melissa ve diger macro

virüslerinden etkilenmesini engellemek için Microsoft’un ürettigi ücretsiz koruma

programını: http://officeupdate.microsoft.com/downloadDetails/protection.htm adresinden

edinebilirsiniz.

Macro virüslerinden sakınmanın bir yolu da, Microsoft Word ve Microsoft Excel

programlarında macro virüs korumasını açık tutmaktır. Bu koruma macro içeren dökümanları

açarken asagıdaki sekilde bir diyalog kutusu çıkarır. Eger içerisinde ne oldugunu bilmediginiz

dökümanları açarken bu diyalo kutusu ile karsılasırsanız, "Do not open" seçerek macronun

çalısmasını ve virüsün etkin hale gelmesini önleyebilirsiniz.

 

 

İZMARİT VİRÜSÜ

Bugünlerde internette hangi sieye girseniz virüs kapıyorsunuz. Ama antivirüs

yazılımları sirketi Symantec'in açıklamalarına göre Babylonia adı verilen virüs, daha

öncekilere hiç benzemiyor. Çünkü Babylonia'nın en büyük özeligi, bir bilgisayara "izmarit"

adı verilen kısmı girdikten sonra "evini" arıyor ve geri kalan parçaları bilgisayara yüklüyor.

"izmarit", 2000 yılı probelemini gidermek için kullanılan bir tamirat programı olarak

gözüküyor. Bilgisayara sinsice giren "izmarit", internete baglanılınca kendiliginden -evi olan -

Japonya'daki bir siteyi arayıp, kardeslerini yanına çagırıyor.

Su ana kadar bu virüsün bulastıgı bildirilen bilgisayarların sayısı oldukça az. Bunun da

sebebi, exlore.zip gibi e-posta yoluyla bulasmaması. Bu virüsün dosyaları silmeye ya da

kopyalamaya kalkısmadıgı açıklandı. Ama virüsün tüm özellikleri henüz tespit edilemedi.

Virüs, özellikle IRC odalarında kurbanlarına ulasıyor.

 

 

KRİZ VİRÜSÜ

Kriz, bilgisayarın bellegine yerlesen çok safhalı bir virüstür. Win32 sistemleri altında

çogalır ve .EXE ve .SCR uzantılı PE EXE dosyalarına (tasınabilir çalıstırılabilirler) bulasır.

Ayrıca KERNEL32.DLL (Virüsün daima bellekte yerlesik kalmasını saglayan Windows

çekirdek kütüphanesi.) dosyasına da bulasır.

Virüs bir dosyaya bulasacagı zaman dosyanın sonunda yeni bir bölüm açar ve kodunu

sifreleyip oraya yazar.

Bulasmıs bir dosyayı belirlemek için virüs PE dosyasının baslıgında ayrı bir bölgeye

yazılmıs ‘666’ dizinini kullanır. Bulasmadan önce, virüs, dosya isimlerini kontrol ederek

asagıdaki isimli dosyalara bulasmaz:

AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE,

AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE,

NAVRUNR.EXE, NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE,

NSPLUGIN.EXE, SCAN.EXE, SMSS.EXE

KERNEL32.DLL’e bulasırken kendi Export Table’ını (export edilen fonksiyon listesi) yamar

ve birçok fonksiyonun adreslerini degistirerek bir sonraki Windows baslangıcında bu

fonksiyonlara erisimi kontrol altına alır.

Böylelikle virüs dosya erisimlerini takip eder ve bu fonksiyonların çagrıları yoluyla

ulasılan dosyalara bulasma imkanı bulur.

Virüs 16 KERNEL32 fonksiyonunu izleyebilir: dosya açma, kopyalama, silme, dosya

özelliklerini sorgulama ve degistirme, yeni bir islem olusturma ve digerleri...

KERNEL32.DLL kütüphanesine bulasmak için (bu kütüphaneye Windows açıkken

salt-okunur modda ulasılabilir) virüs dosyayı geçici bir isimde kopyalar (bu versiyonu

KRIZED.TT6 olarak WindowsSystem klasörüne kopyalar) ve bulasır. Sonra wininit.ini

dosyası olusturarak Windows'un bir sonraki baslangıçta KERNEL32.DLL dosyasını bulasmıs

kopyasıyla degistirmesine neden olur.

Virüs 25 Aralıkta aktiflesen tehlikeli bir yapıya sahiptir. Herhangi bir dosyaya

bulasırken CMOS bellegini öldürür ve sabit disklerdeki bütün dosyaların üzerine yazar. Daha

sonra Flash BIOS’u CIH’ın (Diger adıyla Chernobyl ) kullandıgı yöntemle hasara ugratır.

Virüs bir çok metin yazısı içerir, ekrana hiç getirilmeyen bir siir de bunlara dahil

 

 

ETHAN FROME VİRÜSÜ

* Nedir? Word 97 dökümanlarına ve W97'nin "Normal. dot" dosyasına bulasır.

"Document_Close" isimli tek bir makrodan olusur. Virüslü dosyanın "ThisDocument"

modülündedir. Diger _simleri?

* Nasıl Bulasıyor? Root dizinde ETHAN. ___ isimli bir dosya yaratır. Dosya gizli (hidden)

modda yaratılır. Eger "Class. sys" dosyası varsa siler. Kısacası CLASS virüsüne oldukça

benzer ve eger o varsa çalısmasını engeller.

* Etkileri Neler? Virüs rastgele bir kontur çalıstırır ve belirledigi zaman, bulastıgı dosyanın

adını "Ethan Frome", yazarını da "EW/LN/CB" olarak degistirir.

* Ne Zaman Ortaya Çıktı? Ocak 1999'da çıktı.

 

 

 

HAPPY99 VİRÜSÜ

Nedir? Win32 tabanlı bir Truva'dır. Çalıstırıldıgı zaman küçük sayılabilecek bir ekran

içerisinde havai fisek efekti gösterir. Tarz olarak Netbus ve BO'ya benzese de amacı onlardan

farklıdır.

Diger _simleri? win32. ska. a, ska, wsock32. ska ve ska. exe.

Nasıl Bulasıyor? Happy99 isimli (baska bir isim altında da olabilir) programı çalıstırdıgınız

an aktif olur ve "SKA. EXE" ve "SKA. DLL" isimli iki dosya yaratır. Orjinal WSOCK32.

DLL dosyanızı WSOCK32. SKA adı altında kaydeder ve gerçek WSOCK32. DLL yerine

modife edilmis dosyayı geçirir. Eger o an Wsock32. dll kullanılıyorsa bu degisiklikleri

yapamaz; ama Windows Registry'sine girerek bilgisayar ilk boot edilkten sonra bunların

yapılmasını saglar. Uzunulupu 10. 000 byte'dır.

Etkileri Neler? Happy99 aktif olduktan sonra kullanıcının e-mail ve newsgroup islemlerini

izleyerek onlara SKA. EXE dosyasının bir kopyasını HAPPY99 adı altında gönderir. Her bir

adrese sadece bir kere gönderir. Atılan ilk mail'in subject'ini kullanarak ayrı bir mail atar, yani

kullanıcının attıgı mail'le göndermez Happy99'u. LISTE. SKA adlı dosyada kimlere atıldıgı

tutulur. Herhangi bir zararı yoktur, sadece yayılır.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...