Bilgisayar Virüsü Nedir?

Bilgisayar Virüsü Nedir?
Bir bilgisayar virüsü, başka bir programın sonuna kendi kodunu ekleyen ya da o programı silerek üzerine kendi kodunu kopyalayan, yani bir anlamda kendisini o programla değiştiren bir program ya da çalıştırılabilir bir program/kod parçasıdır.
Bilgisayar kullanıcısının virüs aktivitelerinden genellikle haberi olmaz. Çoğu virüs bir dereceye kadar zararsızdır ve yıllarca dikkate değer bir etki oluşturmadan bulunduğu yerde kalabilir. Ancak bazıları veri dosyalarına zarar verir(çoğu zaman gizli ve sinsi bir şekilde),hatta dosyaları ve diskleri silmeye çalışırlar. Geriye kalanlar ise rastgele bir şekilde zarar verenlerdir. En iyi huylu virüsler ( görünürlerde zarar vermeyen virüsler) bile önemli zarar verirler: sabit disk veya bellekte yer kaplarlar, CPU zamanını harcarlar; ortaya çıkmaları ve temizlenmeleri için önemli miktarda zaman ve para harcanır.
Bilgisayar virüsleri de biyolojik virüsler gibi enfekte edecekleri bir “ev sahibi” ararlar. Tabii ki bu ev sahibi, masum bir programdır. Böyle enfekte olmuş bir program bilgisayarınıza transfer edildiğinde bilgisayarınızdaki diğer programlar da enfekte olmaya başlayacaktır. Bu durumda bilgisayarınızın kontrolü elinizden çıkacaktır. Bilgisayarınızı her açınızda veya her program çalıştırışınızda virüs çalışır ve enfeksiyonuna devam eder.
Virüs enfeksiyonu için önceleri tek yol, floppy disket idi. Ancak daha sonraları bilgisayar ağları ve son zamanlarda internet aracılığıyla buluşmaları olanaklı hale geldi. E-mail kullanımının yaygınlaşması ile virüsler artık çok daha hızlı yayılabilmektedir.
İlk bilgisayar virüsleri, programlama hünerlerini ispatlamak ve bilgisayar güvenlik sistemlerinin içine kolaylıkla sızılabildiğini göstermek amacıyla programcılar tarafından tasarlandılar. Günümüzde ise bilgisayarın sabit diskinde verileri bozmak ya da FAT, boot sektör, veri ve program dosyalarına zarar vermek üzere geliştiriliyorlar. Bilinen virüs sayısı 5000’den fazladır ve her geçen gün yeni virüs türleri ortaya çıkmaktadır. Virüsler enfeksiyonları da giderek artmaktadır.
Amerika Birleşik Devletleri’nde virüs oluşturmak ve yaymak bir bilgisayar suçudur ve federal suçlar kapsamına girmektedir.1986 Tarihli “The Electronic Privacy Act” yasası bilgisayarların kötü amaçlı ve hileli bir şekilde kullanımına karşı çıkarılan en dikkate değer yasadır. Avrupa ise 1991 yılında “Computer Misuse Act” adında bir yasa çıkartmıştır. Bu yasada da bilgisayar virüsü oluşturmak ya da bilerek dağıtmanın suç olduğu belirtilmiştir.
Virüs Çeşitleri Hakkında Bilgi:
1. Dosyalara bulaşan virüsler: Genellikle COM,EXE uzantılı dosyaların kaynak koduna kendilerinin bir kopyasını eklerler. SYS, DRV, BIN, OVL, OVY uzantılı dosyalara da bulaşan virüsler de vardır. Bazı virüsler dosyaların açılmasını beklemeden de çoğalabilir. Örneğin DOS’ da DIR çekildiğinde diğer dosyalara bulaşan virüsler de vardır. Dosyalara bulaşan virüslerin büyük bir kısmı, EXE başlangıç kodunu alarak başka bir yere yazar. Dosya çalıştırıldığında önce virüs harekete geçer, başlangıç kodunu çalıştırır. Her şey yolunda gidiyormuş görünür. Bazıları da COM uzantılı ikinci bir dosya oluşturarak içine kendi kodunu kopyalar. DOS tabanlı işletim sistemleri önce COM uzantılı dosyaya bakacağından çalışır. 2. Boot sektörü virüsleri: Disk ve disketlerde (A,C,D,E,…) olarak bilinen mantıksal bölümlerin her birinde boot sektörü vardır. Boot sektörde diskin formatı ve depolanmış verilerin bilgileri ile DOS’un sistem dosyalarını yükleyen boot programları bulunur. Bir boot virüsü boot dosyalarına bulaştığında, bu disk veya disketten bilgisayar açılmaya çalışıldığında “Non-system Disk or Disk Error” mesajı verilerek bilgisayar açılmaz. 1996 yılına kadar en yaygın virüsler bu cins virüslerdir. Boot virüs, belleğe yerleştirdikten sonra takılan her diskete bulaşır. Master Boot Record Virüsleri: Sabit diskin ilk fiziksel sektörlerinde diskin Master Boot Rrecod’u ve Partition Tablosu vardır. Sabit Diskin Master Boot Record‘unun içindeki Master Boot Programı partition tablosundaki değerleri okur ve boot edebilir partition’ın başlangıç yerini öğrenir. Sisteme o adrese git ve bulduğun ilk program kodunu çalıştır komutunu gönderir. Bu virüsler de boot sektör virüsleri gibi bulaşır. Multi-Partite Virüsler: Boot Sektörü virüsleri ile Master Boot Record virüslerinin bileşimidir. Hem MBR’a hem boot sektörü ve çalışabilir dosyaları bozarak yayılma şanslarını bir hayli artırmış olurlar. 3. Macro Virüsleri: Microsoft Word ve Microsoft Excel gibi popüler uygulama programının macro dillerini kullanarak yazılıyor. Macro’lar veri dosyalarında kaydedildiği için virüslü belge açıldığında virüsü macro kodu çalışmaya başlar. 4. Script Virüsler: Trojan Horse (Truva Atı): Bilgisayarınızda arka planda çalışan ve zamanı geldiğinde aktif hale gelerek sisteminize zarar veren yazılım. Sabit disk formatlamak, dosyaları silmek yada çökertmek gibi çok zararlı işler yapar. Kötü amaçlı program olmalarından dolayı virüslere benzetilebilir. Benzemeyen yönleri ise, Truva atlarının zararsız bir programmış gibi göze görülür olmaları ve kendi ve kendi kendilerini çoğaltarak başka bilgisayarlara yayılmamalarıdır.
Eklentisini Çalıştırılmadığım Halde Yinede E-Posta ile Virüs Bulaşabilir mi?
Evet bulaşabilir. Bazı e-posta okuyucuları (Microsoft Outlook ve Outlook Express) belirli yapıdaki dosyaların kullanıcıdan onay almadan çalıştırılmasına neden olan güvenlik açıklarını içermektedir. Bu açıkların kapatılması için Microsoft firması güvenlik yamaları çıkarmaktadır. Güncellemesi yapılmamış MS Outlook ya da Outlook Express kullanıcıları yeni çıkan pek çok virüse karşı savunmasız kalmaktadır.
GIF ya da JPEG Dosyalarına Virüs Gizlenebilir mi?
Cevap hayır ama GIF ya da JPEG dibi görünüp gerçekte virüs olan yapılar olabilir. Genelde iki uzantılı olan bu dosyaları ikinci uzantısı e-posta okuyucuları tarafından görüntülenmediği için sadece bir GIF ya da JPEG dosyası sanılıp çalıştırılmakta ve kullanıcını karşısına bir hata mesajı ya da belki bir resim çıkmakta ama arka planda virüs faaliyetlerine başlamış olmaktadır.



Program İndirmediğim Bir Web Sitesinden Virüs Bulaşabilir mi?
Evet bulaşabilir. Ziyaret edilen web sitesinden indirilen, ActiveX için kullanılan *.dll dosyası ya da Java apletler üzerinden bilgisayara virüs bulaşabilmektedir. Eğer kullanılan web tarayıcı ayarlarında güvenlik ayarları orta ya da yüksek değil ise web tarayıcı, bu dosyaları kullanıcı onayı olmadan indirmekte ve çalıştırmaktadır.
Sistemde Virüs Olduğunu Nasıl Anlarız?
Bilgisayarda virüs olup olmadığı konusunda kararsızsanız bazı noktalara dikkat etmenizde büyük fayda var. Enfekte olan bilgisayarlarda rastlanan bazı özellikler bilgisayarınıza virüs bulaştığı konusunda sizi uyarabilir:
ü Bilgisayarını olağan dışı şekilde yavaşladıysa,
ü Yeni ya da daha önce sorunsuz kullandığınız floppy disketler artık çalışmıyorsa,
ü Ekranınızda garip mesajlar beliriyorsa,
ü Kullandığınız programlar çöküyor ya da çok yavaşlıyorsa,
ü Doküman veya dosyalarınızın isimleri, dosya boyutları, kayıt tarihleri kendi kendine değişiyorsa,
ü İnternet bağlantı ve download hızınız olağandışı yavaşladıysa,
ü Monitörünüzde tuhaf hareketler oluyorsa.



Nasıl Korunurum?
Virüs, solucan ve Truva atlarının birbirinden çok farklı karakteristik özellikleri olmakla birlikte, tümüne karşı korunmak için üç ana yöntem vardır.
Adım 1: Yabancı birinden gelen bir e-posta ekini asla açmayın.
Adım 2: Ekteki dosyanın tam olarak ne olduğunu bilmedikçe, bildiğiniz birinden gelen bir e-posta ekini asla açmayın.
Adım 3: Virüsten koruma yazılımınızın her zaman güncel tutun.
Adım 4: Aşağıdaki çevrim içi kaynaklar Microsoft yazılımınızı her zaman güncel tutun:
· Microsoft Windows Update (Windows ve Internet Explorer için)
· Microsoft Office Update (Microsoft Word, Excel ve PowerPoint gibi Office ürünleri)
EN TEHLİKELİ VİRÜSLER
{} W32/NETSKY-P {} W32/MYTOB-AS
{} W32/BAGLE-ZİP {} W32/MYTOB-C
{} W32/NYXEM-D {} W32/ZAFİ-B
{} W32/NETSKY-D {} W32/MYDOOM-O
{} W32/MYTOB-E {} W32/MYDOOM-AJ


TROJAN TRUVA ATI NEDİR?
Trojan ‘kurban’ının tahmin etmediği şekilde ve istediği olmaksızın gizli ve genellikle kötü amaçlı bir faaliyette bulunan bir programdır. Virüsten farkı kendi kendini çoğaltmasıdır(her ne kadar bu ayrım evrensel olarak kabul görmemişse de).

Trojanın kendisi bir virüs değildir. Kendi kendini çoğaltmaz, sadece sabit diskteki bilgilere zarar verir. Trojan kendisini zararsız bir program gibi (örn: bir oyun yada yardımcı program) gösterir. Görünümü ve ilk çalıştırıldığındaki aktivitesi zararsız bir program gibidir. Çalıştırıldığında verileri silebilir veya bozabilir. Bir trojan, virüs içerebilir ancak kendisi bir virüs değildir. Truva atı yararlı gibi görünen ancak aslında zarara yol açan bir bilgisayar programıdır. Truva atları, insanların, meşru bir kaynaktan geldiğini düşündükleri bir programı açmaya yöneltilebilir yoluyla yayılır.

The AİDS information, twelve Tricks a ve b, Darth Vader programları trojanlara örnektir.

NASIL KORUNURUM?

Virüslü bir programı açıp çalıştırdığınızda, virüs kaptığınızı anlayabilirsiniz. Bilgisayarınız yavaşlayabilir veya birkaç dakika kilitlenip yeniden başlayabilir. Bazen virüs bilgisayarı başlatmak için gerekli dosyalara saldırır. Bu durumda, güç düğmesine bastığınızda karşınızda boş bir ekran görebilirsiniz.

Tüm bu belirtiler bilgisayarınızda bir virüs bulunduğunda dair sık rastlanan işaretlerdir: yinede bazen virüsle hiç ilgisi olmayan donanım veya yazılım sorunlarının yol açtığı sorunlar olabilir.

Virüs içeren bir E-posta gönderdiğinizi bildiren iletilere dikkat edin. Bu, bir virüsün, kendi oluşturduğu E-postanın göndereni olarak siz E-posta adresini gösterdiği anlamına gelebilir. Bilgisayarınız da virüs olduğu anlamına gelmez. Bazı virüsler sahte E-posta adresi üretme becerisi vardır.

Bilgisayarınızda güncel olmayan bir virüsten koruma yazılımı yoksa, bir virüs bulaşıp bulaşmadığını anlamanın güvenilir bir yolu yoktur. Güncel bir virüsten korunma yazılımı yoksa http://avast.netwee.com adresinden 60 günlük deneme sürümlü avast anti virüs programını çekerek sisteme yükleyebilirsiniz.

Truva atları, ücretsiz olarak yüklediğiniz yazılımlarda da bulunabilir. Güvenmediğiniz bir kaynaktan asla yazılım yüklemeyin. Microsoft güncelleştirmelerini ve düzeltme eklerini her zaman Microsoft Update veya Microsoft Office UPdate’ten yükleyin.

TROJAN VE ÇEŞİTLERİ

Trojanlar aslında sizin bilgisayarınızın başka bilgisayarlar tarafından ağ üzerinden kontrol edilmesine yarayan bir programdır.

Bilgisayarınızın portlarından herhangi birisini açarak diğer kullanıcıların bilgisayarınıza girmesini sağlarlar. Server ve Client dosyalarından oluşur. Server portları açarak bilgisayarınızı hedef haline getirirken, Client ise bilgisayarınıza girilmesini sağlar. Örneğin bir kullanıcıya Trojan bulaştırarak bilgisayarına girelim. Icq da hedef seçtiğimiz kurbanımıza elimizde bulunan server programını herhangi bir şekilde gönderiyoruz. Güzel bir program kullan vazgeçmeyeceksin diyebileceğimiz gibi içinde mükemmel bir resim arşivi var istersen bir bak diyerek tek kurbanın server programını almasını ve çalıştırmasını sağlayabiliriz. (aslında trojanlar başka programlara entegre edilerekte karşı tarafa ulaştırılabilirler) mesela kurbanımıza çok populer Icq programını Trojan ile birleştirilmiş halde verebilirisiniz. Bu durumda kurban Icq yu çalıştırdığında normalde farklı hiçbir şey fark etmeyecektir. Kurbanımız gönderdiğimiz server programını çalıştırınca Trojan bilgisayarına bulaştırmış olacaktır. Bu aşamadan sonra kurbanımızın IP sini alarak bilgisayarına girmek kalıyor. Bizdeki Client programını çalıştırdığımızda bizden bir IP no’su isteyecek. Oraya bulduğumuz kurbanımıza ait IP’yi yazarak connect tuşuna bastığımızda kurbanımızın bilgisayarına bağlanmış oluyoruz. Artık gerisi size kalmış, ister format atın, ister Internet giriş şifrelerini çalın. Meseleyi anlatırken teknik detaya girerek insanların bu işi öğrenmelerini istedik. (Verilen bilgiler sadece korunma amaçlıdır). Kurbanımızda varolan Trojan silinmediği sürece varlığını sürdürecektir.

Bugün benim girebildiğim bu bilgisayara yarın başkası girerek istediğini yapabilir. İnternet ortamında Trojan yediği halde haberi olmayan birçok insan vardır. Port scanner diye bilinen programlarla bu insanları tespit ederek, sahip olduğu trojana göre kullanacağımız bir Client programı sayesinde bu bilgisayarda girebiliriz. Port scanner programı ile kontrol etmeniz durumunda Internette 10 dk içinde 2.0 (20034 no’lu ) portu kullanır. Trojanını yiyen en az 5 kişi bulabilirsiniz. Norton veya Mcaffe tarafından tanımayan Trojan sayısı çok sınırlı olduğu için bu anti-virüs yazılımlarından birini yüklemeniz durumunda trojanların ekserisinden korunmuş olursunuz. Kendi bilgisayarımda denemediğim Trojan kalmadı norton 5.0 anti virüs programı trojanları yakalama konusunda harika. Fakat schoolbus isimli trojanı bulamıyor. Aşağıda bu trojanların nasıl temizleneceği anlatılıyor.

Aslında çoğu Trojan internet üzerinde sörf yaparken birisi sizin bilgisayarınıza girmediği sürece zararsızdır. İnternetteyken bilgisayarınızda bir Trojan olup olmadığını anlamanın çok kolay bir yoku var ayrıca bir Trojan varsa bile, bilgisayarınızın içindeki bu casusun kimlere bilgisayarınızın kapılarını açtığınıda öğrenebilirsiniz. Dos ortamında netstat-an komutunu yazarak enter tuşunu basarsanız bilgisayarınızın internet ortamındaki tüm bağlantılarını görebilir ve anormal bir durum olup olmadığını kontrol edebilirsiniz.

Eskiden her bir Trojan kullandığı port no’su farklıydı. Örn: nebus’ın ilk versiyonu 12345 no’lu portu kullanırken bu trojanı 31337 no’lu portu kullanıyordu. Şimdileri ise her bir Trojan kullanıcıları isteyene göre değişebilen portlara açabiliyor. Bu nedenle trojanların kullandığı portlarda bir anormallik gözümüze çarpmasa bile bu bilgisayarınızda Trojan yoktur anlamına gelmez peki trojanlar bilgisayarımıza nasıl bulaşırlar. Chat’ta veya Icq da muhabbet ederken size bgönderilen herhangi bir resim ve dosya Trojan taşıyor olabilir. Sizin o dasyayı açmanızla birlikte bilgisayarınıza Trojan bulaşacaktır.

Korunmanın en iyi yolu dosya almamak. Hatta dosyayı aldığınız kişi tanıdıkta olsa dosya almamak. Çünkü o gönderdiği programda Trojan olduğunu bilmiyor olabilir. Aşağıda bilgisayarınızın kullandığı portların no’ları vardır. Bu port no’ları haricinde bir bağlantınız var ise muhtemelen trojandır. Normal harici kullanılan portlar olacaktır. Bu protları chat programımız Icq programınızı açmış olabilir. Aşağıda en çok kullanılan trojanlar ve kontlar ettikleri portlar verilmiştir gerisi size kalmış.

Adı: rasgele seçilmiş bir isim (ysdfdsrt.exe gibi)
Boyutu: 374 KB
Yerleştiği yer: çalıştırıldığı dizin
Start up yöntemi : Win.ini dosyasına ekleme yaparak
En belirgin özelliği: çok zengin kullanım seçenekleri kullanması

ÖZELLİKLERİ

En yaygın trojandır. Kullanım kolaylığı ve bağlantı anında sağladığı gelişmiş özellikleriyle tercih sebebidir. Bağlanan bilgisayarın registery ayarları, şifreleri, iyice Icq ve mail hesapları kolayca kullanılabilir. File manager ile karşı bilgisayarın dosyalarına erişebilir, key logger ile hedef bilgisayarda klavye aracılığıyla yazan her şeyi görebilir, creen capture özelliğiyle hedef bilgisayarın anlık ekran görüntüsüne mause ile müdahale edebilirsiniz. Kısacası son derece gelişmiş ve profesyonelce hazırlanmış bir remote kontrol aracıdır subseven Edir server ile server programı kullanıcı tarafından ayarlanılabilir. Yani kullanılan port satartup metodu ve server dosyasının iconu değiştirilebilir. Bu şekilde bulunması da zorlaşmaktadır. Fakat çoğu kullanıcı subseven’ı default ayarları ile kullanılmaktadır. Aslında bu bizim için avantajdır. Bu ayarlar bilindiği için bulunması da kolay olur.

Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan bir Trojan da değildir aynı zaman da bu trojanı başkalarına bağlamak için kullanan kişininde bilgisayarınızdaki özel bilgileri internetten başkalarına göderebilir x&}_? gibi anlamsız isimlere sahip bir dosya aracılığıyla bilgileriniz internette ilgili kişiye gönderilir. Muhtemelen subseven’ı yapan şahsa ayrıca yine Client programının çok kullanımı sonrasında sistem ayarlarınız değişebilmekte, programınız çalışmayı durdurabilmektedir.

Default olarak (yani edit server değiştirilmediyse) 27374 no’lu portu kullanır. Start up metodu olarak win.ini dosyasına Windows altına ‘run=dosya ismi’ ekler. Dosya ismi rasgele seçilmiş bir isimdir. Bu satır sayesinde bilgisayarın her açılışında kendini yükleyerek 27374 no’lu portu açık hale getirerek bekler. Portları açmak için kullanılan bu dosya c:windows altında bulunur.

TEMİZLENMESİ

Öncelikle subsevenin kullandığı yardımcı server programını bulmalıyız. Biraz önce start up yöntemi olarak win.ini kullandığını söylemiştik. Başlatan çalıştıra gelerek win.ini yazıp enter’e basın. Karışınıza win.ini dosyasının içeriği gelecektir. Burada:

NullPort=None
Options=85663
Device=TRIO DATAFAX, DATAFAX, WİNSERVER:

Run=nyun. exe

[destop]
titlewallpaper=0
wallpaperstyle=0
pattern=(none)
walpaper=c:windowswebshots. bmp


Gibi satırlar karşınıza çıkmış olmalı. Windowsa altında run=nyuw.exe trojanımızı server programının ismi. Yani bilgisayar açıldığında bu program 27374 no’lu portumuzu açıyor. Şimdi run=nyuw.exe satırını silelim win.ini dosyasından saklayarak çıkalım. Burada dikkat etmemiz gerken server programımızın ismi . bu ismi bir yere kaydederek devam edelim buraya kadar yaptıklarımızla artık bilgisayar açıldığında portlarımızı açan programın çalışmasını önlemiş olduk. Fakat server programı her açılışta çalışmasa bile hala bilgisayarımız içinde Trojan vardır. Başlatan bilgisayarı kapatı seçin ve çıkan ekranda ms-dos kipinde başlat seçeneğini aktif yaparak tamam tuşuna basın. Bilgisayarınız ms-dos kipinde açılacak. Karşınıza :

C:windows>işareti gelecek
C: windows>del nyuw.exe

Yukardaki satırları yazıp enter tuşuna basınca artık server programı bilgisayarımızdan silinmiş olacak.

SCHOOLBUS

Adı:grcframe.exe (hidden olarak bulunur.) runonce.exe
Boyut: 321 KB
Yerleştiği yer: c:windowssystem
Start up yöntemi: system dizinine yerleştiği için açılışta sisteme yüklenir.








ÖZELLİKLERİ:
Son zamanlarda özellikle türkiyede oldukça yaygınlaşan bir trojandır. Bir türk tarafından yapılmış olması en önemli yaygınlaşma sebebidir. Bağlantı yapıldıktan sonra birçok kullanım seçeneği sunar bu sayede karşı tarafın şifreleri, Icq hesabı, dosyaları kontrol edilebilir. Edit server programı ile server dosyası istenildiği şekilde ayarlanabilir. Kullanılan port ve server dosyasının iconu değiştirilebilir. Bu Trojan bilgisayarınızın 54321 ve 4**** no’lu portlarını açar. Elbette bu portların açık olması için bilgisayarınızda sürekli çalışır halde bir programın mevcut olması gerekli bu program c:windowssystemdizinindeki grcframe.exe isimli programdır.

Schoolbus bulaştırılmış kişiye zarar vermez aynı zamanda bu trojanı kötü amaçlar için kullanan kişilere şifrelerinde trojanı yapan kişinin mail hesabına gönderilir. Kısacası kullananda bulaştırlanda zarar görür.

Ayrıca trojanımız c:windowssystem dizinindeki runonce.exe isimli bir bacdoor virüsünde bilgisayarımıza bulaştırıyor. İşte bu programların silinmesiyle trojanımızda etkisiz hale geliyor. Fakat Windows ortamında bu programları silmenin imkanı olmadığı için dos ortamına geçmeliyiz.

TEMİZLENMESİ

Bilgisayarı kapat bölümünde ms-dos kipinde başlat seçeneği işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında sırasıyla aşağıda yazılanları yazın:

C:windows>cd system
C:windowssystem>attrib-h-r gracframe.exe
C:windowssystem>del grcframe
C:windowssystem>del runonce.exe
Sistemi yeniden başlattıktan sonra trojandan kurtulmuş olursunuz.
Adı:bo2k.exe
Boyotu:112 KB
Yerleştiği yer:çalıştırdığı dizin
Start up yöntemi: TCIP yapılandırılmasında kullanılan bir dosyaya enfekte olarak sisteme bu sürücünün çalıştırılmasıyla yüklenir.

ÖZELLİKLERİ:

Yaygın olarak kullanılan trojanlardan birisidir. En önemli özelliği kendisi TCIP yapılandırmasında kullanılan sürücülerde birine enfekte ederek görünmez hale getirmektir. Bu sebeple bu yazıda bahsedilen start up yöntemlerinin hiç birisiyle tespit edilemez. Çünkü kendisi direkt olarak çalışıyor görünmez.

Bilgisayarın kullanmak zorunda olduğu sürüüclerden birisine kendisini yerleştirir ve o sürücü sisteme yüklenince otomatik olarak sisteme yerleşir; .com .exe virüslerinin mantığına sahip bu pekte bilinmeyen özelliği dışında, kurbana gönderilen server programı istenildiği gibi ayarlanabiliyor. Bağlantı kurulan makineye yönelik çok zengin bir kullanım seçeneği mevcut default olarak 31337 nolu portu kullanır.

Server programının ismi bo2k.exe boyutu 112 kb dir. Bu dosya herhangi özel bir dizine kendisini kopyalayamaz. Çalıştırıldığı dizin içerisinde kalır. Zaten çalıştırıldıktan sonra silmeye kalkarsanız Windows tarafından kullanıldığı için silinemez mesajı alırsınız.

TEMİZLENMESİ

Diğer trojanlar gibi sistemde direk çalışmadığı için temizlenmesinde farklı bir yöntem takip edilir. Kendisi TCP yapılandırılmasında kullanılan sürücülere enfekte ederek sisteme yüklendiği için bozulmuş olan bu sürücülerin yinelenmesi ile sistemde çalışamaz hale gelir. Bunun içinde o an mevcut olan TCP yapılandırılmasının kaldırılarak sisteme yeniden kurulması gerekir.

Bunun için başlat-ayarlar-denetim masasına gelmeliyiz, ağ yapılandırılmasına girmeliyiz. Burada TCP/IP ile gösterilen seçeneği işaretleyerek kaldır butonuna basarak TCP/IP yapılandırmamızı kaldırmış oluruz. Bilgisayarı yeniden başlatıyoruz, yeniden ağ ayarlarına gelerek ekle butonuna basıyoruz. Buradan çıkan menüden iletişim kurallarını tıkladığımızda çıkan ekranda sol tarafta micrasoft seçili iken sağ taraftarda TCP/IP’yi seçerek tamamlarla menüden çıkıyoruz.
Artık TCP/IP tekrar kurulmuş oldu.

START UP PROGRAMLARI

Bilgisayarımız açılırken bazı programlar sistem ihtiyacından bazıları da kullanıcı ihtiyacından otomatik olarak kullanılır.

1-win.ini

[Windows]

nullport=none
options=85663
load=
device=TRİODATAFAX,DATAFAX,WİNSERVE:
run=

[destop]

tilewallpaper=0
wallpaperstyle=0
pattern=(none)
wallpaper=c:windowswebshots.bmp

[intl]
icounty=90
icurrdigits=2
icurrency=3
idate=1
idigist=2
iLZero=1
iMeasure=0
iNegCurr=8
iTime=1
iTLZero=1
s1159=
s2359=
sCounty=turkey
sCurrency=TL
sDate=
sDecimal=
sDecimal=
sLanguage=
sList=
sLongDate=dd MMMM yyyy dddd
sShortDate=dd MM yyyy
sThousand=
sTime=


Yukarıdaki [Windows] başlığı altındaki ‘’load=’’ ve ’’run=’’ ifadelerinden sonra gelecek olan dosya ismi bilgisayarınız tarafından açılışta otomatik olarak sisteminize yüklenir..bilgisayarınız için gerekli bazı dosyalar burada bulunarak başlangıçta çalıştırılabilir. Fakat aynı yeri bir trojanda kullanabilir. Bu durumda hangi dosyanın Trojan hangisinin normal bir dosya olduğu ayırt etmek sizin elinizde. Trojan olduğunu tahmin ettiğiniz dosya ismini silerseniz Trojanın açılışta çalışmasını önlemiş olursunuz ama Trojan hala bilgisayarınızdadır. Sadece çalışması engellenmiştir.

2-system.ini:
başlata gelerek çalıştır da system.ini yazılıp enter tuşuna basarsanız karşınıza aşağıdaki gibi bir dosya çıkar.

[boot]
Oemfonts.fon=vageoem.fon
System.drv=system.drv
Drives=mmsystem.dll ctpnpscn.drv power.drv
Shell=Explorer.exe
Gdi.exe=gdi.exe
Sound.drv=mmsound.drv
Dibeng.drv=dibeng.drv
Comm.drv=comm.drv
Mouse.drv=Mouse.drv
Keyboard.drv=keyboard.drv
*displayFallback=0
Font.fon=vgasys.fon
Fixedfon.fon=vgafull.3gr
Display.drv=pnpdrvr.drv
Scrnsave.exe=
User.exe=user.exe

[keyboard]
Keyboard.dll
Oemans.bin=xlat857.bin
Subtype=
Type=4

[boot.description]
system.drv=standart PC
Keyboard.typ=standart 101/102-tuşlu veya Microsoft natural klavye
Aspect=100.96.96
Mouse.drv=standart fare
Sidplay.drv=3D artist PA50

Shell=explorer.exe satırına dikkat etmeniz gerekir. Bu satırda yazan dosya isimleri bilgisayarınız açılırken sisteme yüklenir(bu dosyanın Trojan veya normal bir dosya olup olmadığını ayırt etmek sizin elinizdedir). Örneğin:
Shell=Explorer.exe winlog.exe

Şeklinde bir satır tehlike işaretidir. Explorer.exe ve winlog.exe açılışta sisteminize yüklenmektedir. Explorer.exe sisteminizin kullandığı bir program olduğu biliniyor. Öyleyse Winlog.exe muhtemelen bir trojandır. Bu satırda Winlog.exe dosya ismini silerseniz;

Shell=explorer.exe

Şeklinde değişir satırınız. Artık açılışta bu program çalıştırılmayacak dolayısıyla portlarınız açılmayacaktır. Fakat bu ismi silmekle trojanı silmiş olmayız sadece çalıştırılmasını önlemiş oluruz.

3-C:WİNDOWSSYSTEM Dizini

C:windowssystem dizini altında bilgisayarınızın kullanmış olduğu donanım sürücüleri daha pek program açılışta bilgisayarınız tarafından sisteme yüklenir. Bu dizini yerleştirilmiş bir Trojan bilgisayar açılırken sisteme yüklenir. İşte bu dizinin içinde yer alan dosyanın silinmesiyle trojandan kurtulmuş oluruz. Fakat Windows ortamında yapmaya kalkarsanız, program şu anda kullanımda silemezsiniz gibi bir hata mesajıyla karşılaşırsınız. Bu sorunu aşmak için bilgisayarı kapat bölümünde ms-dos kipinde başlat seçeneği işaretli olarak kapatırsınız. Sisteminiz ms-dos kipinde açılacaktır.
C:windowssystemdel winloger.exe

Yazıp enter tuşuna basarsanız
C:windowssystem
Satırı oluşur. İşte silmek istediğiniz dosyanın adını yazarak silebiliriz örn: dosyamız winloger.exe ise

C:windossystemdel winloger.exe

4-Registery
başlat>çalıştır>regedit yazıp registery ayarlarına girebiliriz

HKEY_LOCAL_MACHİNEsoftwarewindowscurrentVersiyon
Bölümüne gerçekse aşağıdakine benzer bir ekranla karşılaşmış oluruz.

Bu ekranda görülen Run , RunOnceEx. RunServices ve . RunServicesOnce klasörleri bilgisayar açılırken sisteme yüklenecek programları belirtir. Mesela Run klasörünün içeriğine bakarsak aşağıdakine benzer ekran görürüz..

Burada görülen programlardan şayet Trojan olduğunu düşündüğümüz varsa sağdaki bölümden program üzerine gelerek sağ tıkladığımızda açılan menüden sili seçersek dosya silinmiş olur. Bu işlemi diğer bölümlerde de yapabilirsiniz. Load powerprofil, scanRegistry. System tray. Task monitör sistem tarafından kullanılan temel programlardır. Diğerleri kullanıcı tarafından eklenmiş olabilir.

START UP PROGRAMLARININ KONTROLÜ

Bu programları kontrol edebilmek için Windows ile birlikte gelen oldukça kullanışlı her bilgisayarda olan bir program var. Msconfig.exe adındaki bu program ile başlangıç dosyalarını kontrol edebilirsiniz. Dolayısıyla sizden habersiz hiçbir dosya bilgisayarınızda çalıştırılamaz mscomfig adlı program ile win.ini system.ini ve registery ayarlarını buradan kontrol etmek mümkün. Örneğin: win.iniden tehlikeli gördüğünüz bir satırı kaldırmak istersek sadece yanındaki onay işaretini siliyoruz. Bilgisayar yeniden açıldığında o satırı çalıştırmıyor.

Yukarıda gördüğünüz programlar bilgisayar açılırken yüklenen win.ini ve registery de bulunan dosyalardır. Bu dosyalardan herhangi birini yandaki onay işaretini kaldırarak açılmaz hale getirebilirsiniz. Çoğunlukla msconfig ile sisteminizde Trojan olup olmadığını anlamak mümkündür. Bilgisayarınızın kullandığı programları biliyorsanız, geriye kalanlar tehlike işaretidir. Özellikle yukarıda görüldüğü gibi c:windowssystem veya c:windowstemp dizini altındaki dosyalara dikkat edilmesi gerekir.

Start up dosyalarını kontrol etmek için bir yol daha vardır. Başlat >donatılar>sistem araçları>sistem bilgisi çalıştırılırsa benzer bir sayfa çıkar.

Buradan yazılım ortamı aktif hale getirilirse bizim işimize yarayacak iki bölüm karşımıza çıkar. Başlangıç programları ve çalışan görevler. Başlangıç programını aktif hale getirirseniz bilgisayar yeniden başladığında program çalışmaya başlar. Çalışan görevler bölümü, bu bölüm aktif yapılırsa bilgisayarınızda çalışan sistem dizini dahil tüm programlar gösterilir fakat değişiklik yapamazsınız. Dikkat edilmesi gereken üretici ve tanım kısımları boş olan programlardır. Örneklerde bu şartlara uyan üç program mevcut. Bunlardan grcframe.exe dosyası school tarafından sistem dizinine yerleştirilen trojandır. Diğerleri benim kontrolümde sisteme yüklenmiş olan www.ntvmsnbc.com haber uyarı programı ile homesite 4.0 site yapım programıdır yinede dikkat etmek gerekir. Şüphe duyulan bir program duyulduğunda dizine gidilerek incelenebilir.

PORTLARIN KONTROLÜ

Trojanlar açık olan portlar aracılığı ile diğer bilgisayarlarla irtibat kurar. Artık nerdeyse tüm yeni trojanların portlarını değiştirmek mümkün olmaktadır. Fakat Trojan kullanmayı seven arkadaşlar genellikle port ve diğer ayarlarını değiştirmeden kullandıkları için default olarak kullanılan portların bilinmesinde fayda vardır. Peki sisteminizde tehlike bir portun açık olduğunu nasıl anlayabiliriz. Burada yine Windows imdadımıza yetişiyor. Başlat>programlar>ms-dos’a girilir oraya:

C:windows>netstat-an

Yazıp enter tuşuna basarsanız o anda bilgisayarınız iletişim halinde olduğu bilgisayar ile arasındaki kullanılmakta olan portlar ve IP numaraları gösterilir.

Yukarıdaki şekilde yerel adres sizi, yabancı adres bağlantı kurduğunuz karşı bilgisayarı gösterir. Dikkat edersek 54321 ve 31337 BO Trojanın kullandığı default portlarıdır. Ayrıca aktif olarak iki bağlantı vardır. Bunların ikisi de bir web sayfasına bağlı olduğunu gösteriyor. Şayet web sayfasına bağlanırsak karşı bilgisayarın kullandığı port olarak mail servera bağlanarak mailleri kontrol ediyorsak 110, ftp programı ile web sitemize dosya gönderiyorsak 21, telnet ile bağlantı kurmuş isek 25, bir portun açık olması bağlantı kurulduğu anlamına gelmez. Yukarıda görüldüğü gibi 54321 numaralı port açık fakat yabancı adresle bağlantı görülmüyor. 54321 numaralı portta bir bağlantı olduğunu görmüş olsaydık kesinlikle birisinin bilgisayara girdiğinden bahsedebilirdik.

BİLGİSAYARINIZIN KULLANDIĞI PORTLAR
TROJANLARIN KULLANDIĞI PORTLAR

Aşağıda gösterilen port numaraları server dosyasının ayarları değiştirilmediği sürece doğrudur.
TROJAN İSMİ KULLANILDIĞI PORT
icqtrojana 4950
girlfriend 21554
bo 31337
ftp99cmp 1492
master paradise 40421
fire hotker 5321
sockets de troje 30303
executor 80
gate crasher 6969
hackers pardise 456
hack99 keyloger 12223
netpy 31339
net monitör 7300
subseven 1243-27374
invasor 2140
wincrach 1,03 5742
wincrach 2,0 2583
silencer 1001
devil 65000
milleium 20001
phineas 2801
backdoor 1999
evilftp 23456
phasezero 555
psyber streaming server 1509
SSTROJG 11000
Voice client 1514
Netbus 12345-20034
School bus 54321

VİRÜS NASIL YAPILIR
Bilmeniz gerekenler:
Birinden dosya alırken virüs taraması yapıyorsunuzdur… hiç düşündünüz mü nedir nerden çıkıyor bu virüsler?

Virüsler kısaca açılınca kendilerini uygun gördükleri her yere kopyalayan programlardır, tabi bunların bir sürü çeşidi var, kisi salak salak oyunlar çıkarır, kimisi kullanıcının maillerini sonuna bir şeyler ekler filan….

Virüsler etrafa iz bırakmayı seven programcılar tarafından genellikle ASM dilinde yazılır, virüs yazmak çok iyi derecede programlama bilgisi gerektirir fakat bu sitede herkesin faydalanabilmesi için virüs yaratmanızı kolaylaştıran bir program tanıtacağım.




Monster Shock Virüs Generator

Zıp dosyasını bir klasöre açıp NRLG.exe yi çalıştırın. Göreceğiniz gibi programın çok hoş bir fontu ve bir sürü özelliği var…bu program sayesinde o meşhur Çernobil virüsünün benzerlerini hatta daha iyilerini programlama bilginiz olmadan üretebilirsiniz! İşte bu programdan bir screenshot…
program menülerinden yapmasını istediğiniz şeyleri seçip yapması için bir tarih verin. Program her ayın ilk Cumartesi gibi tarihleri ile desteklenmekte.

Programın herkesin anlayamayacağı bölümlerini hemen açıklıyorum.

Name: virüsünüzün adıJ
Eneyription:virüsünüzün kodunun başkalrı tarafından görünmesini zorlaştırır.
MBR Bomb: Master boot recordu dağıtma özelliği
Random kill: bu seçenek açıksa 1100 ihtimalle adamın hard diski uçacaktır.
Anti Vsafe Routine: artık prk yaygın olmayan Microsoft Antivirüsü kapatır.
Kill antivirüs: o anda fprot, ThunderByte gibi bilinen virüs programları çalışıyorsa bir güzel kapatılırJ

Menülerden Create a babe virüse bastığımızda virüsün kodu hazır olur, eğer seçeneklerden CreateCOM file yaptıysanız, ASM kodunun yanında, çalışmaya hazır virüslü.com dosyanız da program klasöründe virüs.com adıyla oluşturulur.

Eğer assembly bilginiz varsa virüs.asm dosyasını notepadle editleyerek kodunu görülebilir ve programda olmayan özelliklerde ekleyebilirsiniz. Assembly derleyici programlar olan Tasm.exe Tlink.exe programlarını da zipin içine dahil ettim.

Bundan sonra tek yapmanız gereken vitüsü yaymanızJ
Tabi virüs yazmayın çok ayıp bir şeyJ





TABİ ÖNCE KOLAY SONRA AĞIR ŞEYLER ÖĞRETİLİR Dİ Mİ? ŞİMDİ AĞIR ..

Virüsler, kendi kodlarını başka programlara veya program niteliği olan dosyalara bulaştırabilme özelliği olan (kendi kodunu kopyalayabilen) bilgisayar programlarıdır. Bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar. Belli bir amaca yönelik olarak yazılmış, zarar vermeye yönelik olabilecekleri gibi eğlenceye yönelikte yazılmış olabilirler.


Truva atları, virüslerden oldukça farklı bir yapıya sahiptir. Asla başka programlara bulaşmazlar.belli olaylara bağlı olarak istenilen bir rutindir. Kendilerini kopyalayamadıkları için bazı programların içine bilinçli olarak yerleştirilirler. Trajonlar ilgi çeken untility gibi programların içine yerleştirilirler. Trojan kodu, trojanın içine gizlendiği programın yazarı tarafından yazılmış olabileceği gibi sonradan da programa eklenmiş olabilir. Trojanlar aslında kopya koruma amacıyla hazırlanır.
Virüsler çoğunlukla assembly gibi düşük seviyeli bir programlama dili ile yazılır. Bunu asıl 2 sebebi vardır.
1-Assebly’ın çok güçlü bir dil olması
2- yazılan programların derlendikten sonraki dosya bayutlarının çok küçük olması

bu özelliklerin her ikiside virüs yazarlarının Assembly dilini kullanması için yeterli ve gerekli sebeptir.
Virüsler özelliklerine göre sınıflandırmak pek mümkün olmasa da aşağıdaki şekildeki gibi sınıflandırma yapmak yanlış olmayacaktır. Ancak pek çok virüs, pek çok özelliği bünyesinde barındırabilir. Bulaşma hızını arttırabilmek amacıyla yapılan bu durum sonucu virüs, boot sektörlere, mbr kayıtlarına, programlara bulaşabilir. Şimdi de bu virüs türlerinin işleyişlerine bakalım.

1- Disk Virüsleri:
a-Boot
b-MBR

2-Dosya Virüsleri:
a-Program
b-Makro Virüsleri

3-FlashBIOS Virüsleri

BOOT VİRÜSLERİ
Boot virüslerinin ne olduğuna geçmeden önce boot sektör nedir, disk üzerinde nerede bulunur önce bunlara bir bakalım; boot sektör, bir diskin veya disketin işletim sistemini yüklemeye yarayan bir sektör(512 byte) uzunluğundaki bir programdır. Aynı zaman da disk ile ilgili bilgileri saklar. Dos buradaki bilgileri kullanarak cyclinder hesaplarını yapar.

Normal koşullarda bilgisayarı başlatabilecek durumdaki bir sistem disketini (virüssüz) sürücüye takıp bilgisayarı açtığımızda, bilgisayar ilk olarak disket sürücüye bakar.eğer sürücüde bir disket var ise bu disketin boot sektörü hafızasının 0000:7c00 (hex) adresine okunur ve okumanın boot sektör çalıştırılır. Boot sektör, işletim sistemini yükleyerek denetimi işletim sistemine bırakır. Eğer bilgisayarı boot edecek bir boot virüsü içiriyorsa o zaman durum değişir. Bilgisayar boot sektörü ile 0000:7c00 doalyı 0000:7c00’daki kod virüsü hafıza içine yükleyip hafızadaki konumunu garanti altına alacaktır. Virüs aktivitesi için gerekli interrupt servislerini de kontrol altına aldıktan sonra orijinal boot kaydını oku ***** işletim sisteminin yüklenmesini sağlayacaktır.

MBR (Partition) Virüsleri

MBR virüsleri esas olarak, boot virüslerinden pekte farklı değildir. Ancak can alıcı bir nokta vardır ki,bu boot ve mbr virüsleri arasındaki en önemli noktadır. Hard diskler kapasite olarak çok farklı ve büyük kapasitede olduklarından diskin DOS’a tanıtılması amacıyla MBR_Master Boot Record (Ana açılış kaydı) denilen özel bir açılış programı içerirler. Bu kod diskin 0.cı iz, 0.cı kafa ve 1.ci sektörü üzerinde bulunur. Yani disketlerde boot sektörünün record, hangi disk partitionun dan bilgisayarın açılacağını gösterir. Bu yüzden çok önemlidir. Eğer bilgisayar hard diskten boot ediliyorsa, o taktirde mrb ve partition table okunur. Aktif partitiona ait boot sektör okunur. Bundan sonrası boot sektör kısmındakinin aynısıdır.

2-DOSYA VİRÜSLERİ

Dosya virüsleri açıkça anlaşılacağı gibi hedefi dosyalar olan virüslerdir.dosya virüsleri çoğunlukla COM, EXE, SYS olmak üzere OVL, OVR, DOC, XLS, DXF gibi değişik tipte kütüklere bulaşabilirler.
Makro Virüsler

Makro virüsler word, exel gibi programların makro dilleri ile (mesela VBA-Visual BASIC for Applications) yazılırlar. Aktif olmaları bazı uygulamalara (word, exe vs.) bağlı olduğundan program virüslerine göre daha az etkilidirler.

Program Virüsleri
(program virüsleri ile ilgili açıklamalar ileride detaylı olarak anlatılacaktır).

Program virüsleri, DOS’un çalıştırılabilir dosya uzantıları olan COM ve EXE türü programlar başta olmak üzere SYS, OVL,DLL gibi değişik sürücü ve kütüphane dosyalarını kendilerine kurban olarak seçip bu dosyalara bulaşabilirler.Dosya virüsleri bellekte sürekli kalmayan (non(TSR) ve bellekte yerleşik duran (TSR) olarak 2 tipte yazılırlar.

Non TSR ( Bellekte Sürekli Kalmayan) Virüsler

Bellekte sürekli olarak kalmazlar. Kodları oldukça basittir. Bellekte uzun süre kalmayan virüsler sadece virüslü bir program çalıştırıldığında başka programlara bulaşabilir. Virüslü program çalıştırıldığında programın başında program kontrolü virüs koduna yönlendirecek bir takım komutlar bulunur.virüs kontrolü bu şekilde eline aldıktan sonra kendisine temiz olarak nitelendirilen virüssüz programlar aramaya koyulur. Bulduğu temiz programların sonuna kendi kodunu ekler ve programın başına da virüsün kontrolü ele alabilmesi için özel bir atlama komutu yerleştirir ve kendisine yeni kurban programlar arar. Virüs bulaşma işini bitirdikten sonra çalıştırmak istediğimiz programla ilgili tüm ayarları düzenleyerek kontrolü konak programa devreder.






TSR (Bellekte Sürekli Kalan) Virüsler

TSR virüsleri yapı olarak TSR olmayan virüslerden çok farklıdır. TSR virüsler, iki temel bölümden oluşurlar. 1.ci bölüm; virüsün çalışması için gerekli ayarlamaları yapar ve TSR olacak kodu aktifleştirir. 2.ci blüm TSR olan kodun kendisidir ve TSR virüslerin hayati önemdeki bölümüdür. Bu tip virüsler çalışmak için sadece TSR olmakla kalmazlar.aynı zamanda çeşitli İnterruptları ( kesilmeleri) kontrol altına alırlar. Böylece DOS üzerinden yapılan işlemleri bile kontrol altına alırlar. Örnek vermek gerekirse; TSR bir virüs DIR, COPY, gibi DOS komutları ile yapılan-daha doğrusu yapılmak istenen-işlemleri kontrol altına alabilir. Kullanıcı DIR komutunu kullandığında dosya boylarının 0 olarak gösterilmesi. Dosya boylarının eksik gösterilmesi gibi işlemler TSR bir virüs için çok kolaydır.

3-FlashBIOS Virüsleri

FlashBIOS virüsleri tekrar yazılabilir özellikteki BIOS chiplerine bulaşırlar.

VİRÜSLER NELERİ YAPABİLİR, NELERİ YAPAMAZ
Virüslerin neleri yapıp neleri yapamayacakları konusu en çok ilgi çeken, üzerinde en çok konuşulan konulardan birisidir. Çünkü bir virüs, yaptıklarıyla anılır ve bilinir. Virüslerin en çok korkulan etkileri başında gelen şunlardır:

BİR VİRÜS BİLGİSAYARDAN SİLİNDİKTEN SONRA ORTAYA ÇIKIP ETKİNLEŞEBİLİR Mİ?

Hayır: bir virüsün temizlenmesinden sonra durdur yerde yeniden peydahlanması doğru değildir. Eğer bir Antivirüs programı ile sisteminizden virüsü temizlemenize rağmen virüs tekrar ortaya çıkıyorsa 2 durum söz konusu olabilir.

1-Antivirüs virüsü temizleyemiyor olabilir. Amatör programcıların yazdıkları shareware olarak dağıtılan Antivirüsü programlarından birini kullanıyorsanız bu durumla karşılaşmanız olasıdır. Bunu pek çok sebebi olabilir. Örneğin Antivirüs, virüsü başka bir virüsle karşılaştırıyor olabilir. İmza tarama esasına göre çalışan Antivirüslerde ortaya çıkabilecek bu sorun genellikle iki virüsün birbirinin varyantı (üzerinde küçük değişiklikler yapılmış biçim) olmasından kaynaklanır. Bir veya birkaç virüsü temizlemek için hazırlanmış eski antivirüs programlarının o virüsün yeni bir varyantının temizlenmesi amacıyla kullanılması sonucu da ortaya çıkabilir. Mesela: elimizde bir programcının 4 yıl önce yazdığı xx virüsünün antivirüs programı olsun. Bir yıl önce ortaya çıkan xx virüsünün bir varyantı olan xx.a gibi bir sorun ile karşılaşabiliriz. Bunun sonucu olarak virüs uzunluğunun farklı oluşundan dolayı yanlış isimle bile olsa tespit edilir. Ancak temizlenemez. Bu durumda antivirüs kullanıcıyı yeni bir virüsle karşılaştığını belirten bir mesaj ile uyarır.

2-Bir yerlerde temizlemeyi unuttuğumuz birkaç virüslü dosyanız kalmıştır. Virüs taramalarında taramayı unuttuğunuz disketleri kullanırsanız ve disketteki programlar virüslü ise siz farkına varmadan virüs tekrar sisteminize bulaşacaktır. Virüs taraması yaparken sahip olduğunuz tüm disk ve disketleri virüs taramasından geçirin. Ancak bu şekilde virüslerden kurtulabilirsiniz.

Burada belirtmek isterim ki, bu iki durumdan ikincisinin olması daha muhtemeldir. Birinci durumun gerçekleşme ihtimali çok azdır.

VİRÜSLER VERİ DOSYALARINA ZARAR VEREBİLİR Mİ?

Evet, kesinlikle verebilir. Özel bir veya birkaç dosya türünü hedef alan virüsler, bu tür dosyaları silebilir veya içlerindeki veriyi değiştirebilir, dosyanın yapısını bozabilir. Örneğin yerli virüslerden Trakia.653 virüsü AutoCAD’in DXF ve DWG uzantılı dosyalatı hedef almakta ve bu kütüklerin yapısını bozrak işlenemeyecek hale getirmektedir. Trakia.560 virüsü bazı dosyaları silmektedir. Ancak bu tür etkiler virüsün fark edilmesi kolaylaştıracağından pek tercih edilmezler.

VİRÜSLER YAZMALI KORUMALI DİSKETLERE BULAŞABİLİRLER Mİ?

Disketlerin yazma koruması yazılımla kontrol edilen bir sistemdir. Bu sistem aşılabilir. Ancak yazma korumasını kapatmak virüs içinde extra kod anlamına gelir. Extra kod, virüsün boyunu uzatacak ve virüsün fark edilmesini kolaylaştıracaktır. Bu yüzden uygulanan bir yol değildir. Virüsler, yazma korumasını kapatmak yerine yazma korumasını kontrol edip koruma varsa bulaşmamayı tercih ederler.

VİRÜSLER CMOS’A BULAŞBİLİR Mİ?

Herhangi bir virüsün CMOS alanına bulaşması mümkün değildir. Hatta imkansızdır. CMOS bellek kapasitesi üretici firmaya bağlı olarak 128 veya 256 bayttır. Bu alan virüsün ihtiyaç duyacağı belleğin çok altındadır. Kaldı ki CMOS setup parametrelerinin saklandığı bir veri alanıdır. Ancak virüsler setup parametrelerini değiştirebilirler.

VİRÜSLER DONANIMA ZARAR VEREBİLİR Mİ?

Eskiden kısmen, günümüzde hayır. Eski MDA(mochrome display adapter-tekrenkli görüntü bağdaştırıcı) ekran kartlarına bir komut serisi yollanarak kartlar yakılabilir. Ancak MDA kartlar çoktan tarih olduğundan artık bunun pek önemi de yoktur.

Eski diskleri okumayazma kafalarının ani hareketlerle hareket ettirilmesi sonucu diskin bozulmasını sağlamak mümkündü. Artık günümüzde ise disklerin kafalar manyetik bir esasa göre çalışıyor. Bu sayede elektrikler kesilse bile disk zarar görmeden kafalar park ediliyor.

Bir bir disk üzerindeki bölgenin milyonlarca kez formatlanması var. Bu işlem sonunda disk üzerinde manyetik malzeme zarar görecek, disk okunamaz duruma gelecektir. Bu işlemin partition table üzerinde yapıldığını düşünürsek diski kaldırıp çöpe atmaktan veya diskin kafasını açıp raf süsü olarak kullanmak dışında geriye pek bir şey kalmaz. Ancak hamen belirtmeliyim ki bu formatlama işlemi oldukça uzun sürecektir. Bu virüs diski milyonlarca kez formatlamak isterse, kullanıcı bilgisayarın kilitlendiğini düşünecek ve resetleyecektir. Sonuçta virüs amacına ulaşmamış olacaktır.

Eğer Windows9598NT gibi bir iletişim sisteminin çalıştığı bilgisayarda Windows direkt disk erişimlerini mümkün olduğunca engellemeye çalışır.





VİRÜSLER V-SAFE, VIRSCAN, GUARD GİBİ KORUMA PROGRAMLARINI ANLATABİLİR Mİ?

Yeni bir virüs veya çok iyi yazılmış bir virüs bu tür programları saf dışı edebilir. Ancak koruma programları virüslü programı daha çok çalışmadan önce test ettiklerinden bu düşük bir ihtimaldir. Virüsler, bu tür programları aktivitelerinin rapor edilmesini engellemek için atlatmak ister.

Avast! 4 Profesyonel Sürümü (Avast! 4 Professional Edition)

Antivirüs Çekirdeği

Avast! Antivirüs çekirdeğinin yeni sürümü, akıl almaz sezme yeteneğini yüksek performans ile bir araya getirmektedir. Bilgisayarlar arasında yayılan, sezilmesi en zor olan virüslerde %80 sezme ile Truva atlarında ise çok iyi bir sezme performansı umabilirsiniz. Bunların hepsi en az yanlış alarm uyarısı ile gerçekleşecektir.

Çekirdek ICSA tarafından sertifikalandırılmıştır. Virüs Bulletin dergisinin yapmış olduğu testlerde yer almakta ve sık sık VB100 ödülüne layık bulunmaktadır. Avast! 4.6 in tarama motoru çalıştırılabilir dosyaların arşivlendiği ve paketlendiği en yeni sıkıştırılmış dosyaları desteklemektedir. ISO, CHM, 7ZIP, RPM.CPIO ve TNEF en yeni arşivleri desteklemektedir. Lütfen avast ürünleri hakkında fiyat almak ve avast lisans formu almak için iletişim formunuzu doldurunuz. Downlaod için sayfa sonundaki linke başvurunuz.

Ağ Kalkanı

Avast! 4.6 e yeni bir yerleşik modül eklendi. Ağ kalkanı bilinen internet kurtlarına ve saldırılarına karşı yeni bir koruma sağlamaktadır. Bütün ağ trafiğini analiz eder. Küfürlü içerikler için onu tarar. Bilgisayarınıza gizli sızmalara karşın sezme sistemi olarak ta kullanılabilir. Network kalkanı.NT tabanlı sistemlerde kullanılabilmektedir. (Windows NT200XP2003).

Yeni P2P VE IM Programları İçin Destek

IM VE P2P kalkanları geliştirilmiştir, böylece mesajlaşma ve P2P uygulamalarında çok geniş bir aralığı koruyabilmektedir.aşağıdaki mesajlaşma yazılımları desteklemektedir.

AIM (AOL Instant Messenger), Gadu –Gadu *, Gaim*, ICQ*, Miranda*, mIRC *,MSN/Windows Messenger, Psi Jabber*,Odigo*,Trillian, yahoo! Messenger

*İleti işretli uygulamalar sadece Windows NT,2000, XP ve 2003 işletim sistemlerinde korunulabilmektedir.

Aşağıdaki dosya paylaşım yazılımları desteklenmektedir.

Ares*, BearShare, BitTorrent*,CZDC++*,iMesh, kaza Lite, LimeWire *,Morpheus*Opera’s DC++*,Overnet*, Shareaza*SoulSeek*, StrongDC++*, WinMX*

*ile işaretli uygulamalr sadece Windows NT,2000, XP ve 2003 işletim sistemlerinde korunabilmektedir.

Basit Kullanıcı Ara Yüzü

Basit kullanıcı ara yüzü istemli tarama başlatılmasında, sonuçların değerlendirilmesinde, değişken seçeneklerin seçilmesinde kullanılmaktadır. Basit kullanıcı ara yüzü yazılımının ana uygulamasıdır. Basit kullanıcı ara yüzünün görüntüsü oldukça esnektir. Ara yüz , skin denilen değiştirilebilir ara yüz görünümü desteklemektedir. Ana paket üç skin içermektedir. Fakat daha pek çok skin web sitesinden indirilebilmektedir.

Gelişmiş Kullanıcı Ara Yüz

Basit kullanıcı ara yüzüne ek olarak profesyonel sürüm size kapsamlı tarama özellik ve imkanı veren gelişmiş kullanıcı ara yüzü sunmaktadır. Basit kullanıcı ara yüzünden farklı olarak tarama işlemi görevler atanarak yapılmaktadır. İlk olarak değişik parametreler içeren, taranacak yerler, nelerin taranacağını, nasıl taranacağını belirleyen bir görev tanımlarsınız. Bir görev oluşturduktan sonra onu çalıştırabilirsiniz. Diğer bir önemli özellik görevlerle yakından ilişkili olan programlayıcıdır. Programlayıcı görevlerin bir kez mi yoksa periyodik olrak mı yapılacağını belirler.

Yerleşik Koruma

Yerleşik Koruma örnek olarak bilgisayarın gerçek zamanlı korunması günümüzde antivirüs programlarının en önemli bölümlerinden biridir. Avast!, virüslerin daha bilgisayarınıza bulaşma şansı bulamadan sezilmesini sağlayan güçlü bir yerleşik modül sunmaktadır. Avast! Profesyonel sürümü, bilgisayar dosya sisteminin ve e-postaların korunması içinde yerleşik modül içermektedir. Dosya sistem korunması bilgisayarda hiçbir virüsün başlamayacağını garantilemektedir. Çok geniş bir ayar olan ağı sunmaktadır. Örnek olarak dosyaların kopyalama esnasında taranmasına veya sadece belirtilen uzantıların taranmasına olanak sağlamaktadır. e-posta koruması iki bağımsız modülden ibarettir. İlk olarak SMTP/POP3/IMAP4 protokol sayesinde çalışan geleneksel bir tarayıcı vardır. Bu protokolleri tamamen şeffaf ve özel ayar gerektirmeyen özel bir eklenti mevcuttur. Sürüm 4 ‘ün yeni özelliği e-posta tarayıcılarının buluşsal analizidir. Bu, normal yöntemlerle verilmesi mümkün olmayan yeni bilinmeyen virüs ve kurtlara karşı korunmada oldukça kullanışlıdır. Buluşsal modül her bir e-posta mesajında derinlemesine incelemek virüs mevcudiyetini bildiren şüpheli işaretler gözler. Bu işaretlerin sayısı kullanıcının belirlediği bir sayıyı aştığında bu mesaj şüpheli varsayılır ve kullanıcı uyarılır.

Şeffaf E-Posta(STMP/IMAP4) Tarayıcısı

E-posta trafiğini, posta istemci yazılımlarını yeniden ayarlanmasına gerek kalmadan otomatik olarak filtreleyebilmektedir. Bu bütün haberleşme trafiğinin yolunu keserek ve bu trafiği Avast! Posta tarayıcısına yönlendiren düşük seviyeli bir ağ filtreleme sürücüsü yapılandırılarak gerçekleştirilmiştir.






Script Engelleyici
Profesyonel sürümün koruması ev sürümünde içermeyen ek bir modül içermektedir. Bu modül, iletim sisteminde çalıştırılan bütün scriptleri gözler. Diğer taraftan web browseriniz içindeki bir web sayfasının bir parçası olarak çalışan bütün scriptleri tarar. ( Internet, Explorer, Netscape Navigator and Modzilla ).

Otomatik Güncellemeler

Otomatik güncellemeler virüs korunmasında diğer bir anahtar noktadır. Hem virüs veri tabanı hem de yazılımın kendisi otomatik olarak güncellenebilmektedir. Güncellemeler artımlıdır. Sadece yeni ve eksik Internet ten indirilir. Böylece transfer ağırlığı azaltılır. Tipik bir virüs veri tabanı incelemesi onlarca kbyte yazılım güncellemesi ise genellikle yüzlerce kbyte dır. Eğer kalıcı bir Internet bağlantınız mevcutsa güncellemeler sabit zaman aralıklarıyla otomatik olarak gerçekleştirilir. Eğer Internete arada sırada bağlanıyorsanız Avast! Bağlantınızı izler ve onunla olduğunuz bir zamanda güncelleştirmeyi gerçekleştirmeyi dener.

Zorla Güncellemeler

Profesyonel sürümün özel bir özelliği ise zorla güncellemedir. Bu güncelleme felsefesinde dramatik bir değişimdir. Genellikle bütün yüklü yazılımlar şimdi ve daha sonra yeni bir güncellemenin olup olmadığını kontrol eder. Zorla güncellemeler, bununla birlikte sunucunuz tarafından yürütülür. Bu durum bilgisayarınızın hızlı yanıtlama ve gerekli güncellemenin hemen yapılmasıyla sonuçlanır. Sistem SMTP protokolü üzerinde kuruludur ve güncellemeler kendi başına Avast! Yerleşik e-posta denetleyicileri tarafından denetlenir.

Virüs Sandığı

Sandık onun güvenli ve izole kılan belirli dosyaları saklanması için uygun özelliklere sahip disk üzerinde yer alan bir klasör gibi düşünülebilir. Bazı kısıtlamalar dışında sandıktaki dosyalarla çalıştırabilirsiniz. Virüs sandığının ana özellikleri iletişim sisteminin geri kalanından tamamen izole olmasıdır. Dışarıdan işlem yoktur. Örnek olarak virüsler buradaki dosyalara bulaşamaz ve sandığın içindeki dosyalar çalıştırılamaz. Bu nedenle virüslerin burada saklanmasında tehlike yoktur.
Sistem Entegrasyonu
Avast! Antivirüs. Bilgisayarınla mükemmel uyum sağlar. Tarama doğruda Windows Explorer da bir dosya veya klasör üzerine sağ tıklama yapılarak açılan menüden seçilebilir. Diğer bir ilginç özellik tarama özel bir ekran koruyucunun çalışma zamanlarında tarama gerçekleştirilecek şekilde ayarlanabilir. Avast! Antivirüs sizin favori ekran koruyucunuz ile de tamamen uyumludur bu sayede istemediğiniz hiçbir şeyi değiştirmek zorunda değils

Yorum Yaz