Zurnachat.Com forum, zurna, chat, sohbet, arkadaş, sesli, canlı, bedava, site  

Go Back   Zurnachat.Com forum, zurna, chat, sohbet, arkadaş, sesli, canlı, bedava, site > Bilgisayar > Ag ve Güvenlik

Submit Thread >  Add to Tagza.com: Social Bookmarking site Submit to AddThisTo Submit to Digg Submit to Reddit Submit to Furl Submit to Del.icio.us Submit to Google Submit to Yahoo! This Submit to Technorati Submit to StumbleUpon Submit to Spurl Submit to Netscape  < Submit Thread
Cevapla
 
LinkBack Seçenekler Stil
Alt 27 Mart 2009, 21:11   #1 (permalink)
Uzman
 
BaDsOuL Nickli Üyenin Kullanıcı Resmi (Avatar)
 
Üyelik Tarihi: 27 Eylül 2008
Konum: Başını göğsüne yasladığımda tek bir düşmanım vardır; Geçip giden zaman.
Mesajlar: 1.078
Standart virüs çeşitleri tarihçesi ve bilgisayara zararları

virüslerin tarihi-tipleri ve pc ye zararları
Bilgisayar virüsü 20 yaşında
Tam 20 yıl önce bir floppy diskte ortaya çıkan ilk bilgisayar virüsüne “Brain” adı verilmişti. O günden bu yana yazılan virüs sayısı ise 150 bini geçti.



Bilgisayar kullanıcılarının baş ağrısı PC virüsü 20 yaşında. Şimd*** virüsler gibi geniş çaplı bulaşma gücü olmayan Brain virüsü, sadece aralarında bu virüsü barındıran floppy diski değişen bilgisayar kullanıcılarını etkilemişti. Brain virüsünün kaynağı tam olarak bilinmese de kendi yazdığı ve sattığı bir yazılımı korumak isteyen bir Pakistan yazılım firmasınca yaratıldığı sanılıyor.



Uzmanlar, bilgisayar virüsünün evriminde en önemli değişimin, virüs programı yazma hobisinden maddi çıkar sağlama amaçlı sanal suçlara geçiş olduğunu belirterek, ilk bilgisayar virüsünün ortaya çıkışının üzerinden 20 yıl geçmesinin ardından 150 binin üzerinde virüs programının yazıldığını kaydediyorlar.



Brain virüsünün ortaya çıkışının ardından, en yaygın işletim sistemi olan Microsoft Windows’u hedef alan çok sayıda virüs ve başka virüs programları hızla yayılmaya başlarken, Amerikan Federal Soruşturma Bürosu’nun verilerine göre, ABD’de geçen yıl ticari kuruluşların yüzde 84’ü virüs, spyware veya diğer kötü amaçlı programların saldırısına uğradı.



Amerikan şirketleri, bu saldırılara karşı koyabilmek için ortalama24 bin dolar harcama yapmak zorunda kaldılar.



Bilgisayar virüsü terimi, 1984’te Amerikalı bilgisayar bilimcisi Fred Cohen tarafından ilk kez ortaya atıldı. Bilgisayar virüsü üretenler ise ürettikleri bu virüsleri yayabilmek ve kullanıcıların virüslü programı indirmesini sağlamak için e-posta mesajlarında en fazla Britney Spears’ın ismini kullandılar.



Virüslerin yayılmasını sağlamak üzere isimleri en fazla kullanılanilk on ünlü arasında sırasıyla şunlar bulunuyor: Britney Spears, Bill Gates, Jennifer Lopez, Shakira, Usame Bin Ladin, Michael Jackson, Bill Clinton, Anna Kournikova, Paris Hilton ve Pamela Anderson.

Bilgisayar Virüsü Nedir?

Virüsler, bilgisayarımızı çalıştırdığımızda herhangi bir şekilde zarar veren küçük progr*****lardır ve bu progr*****lar sanılanın aksine bilgisayarda cok yer kaplamazlar. Bilgisayar virüslerinden bazıları sadece bulaştığı programı bozacağı gibi bilgisayarın ana kartı bozabilir. Örneğin; her 26 Nisan'da aktif hale gelen "CIH" diğer adıyla Çernobil virüsü bilgisayarın bios'unu silen bir virüstür. Bu virüs sadece harddiskteki dosyaları kullanılmaz hale getirebildiği gibi bilgisayara da tekrar kullanılmayacak kadar zarar verebilir.
2000'li yıllarda yaygın hale gelen internet'ten e-posta yoluyla bilgisayarlara bulaşan ve kullanıcı bilgisayarın outlook express denilen e-posta programı üzerinde yer alan adreslerine kendini yollayan virüslerde yaygınlaşmıştır.

Bilgisayar Virüslerinin Özellikleri;
".exe", ".com" gibi dosyalara bulaşırlar.
Virüsler kendini otomatik olarak kopyalar.
Bu programlar kullanıcı müdahalesine gerek kalmadan kendi kendine çalışacak şekilde sabit diske kaydeder.
Virüsün bulaştığı program kendi kendine yeni virüsler üretir.
Virüsler programların özelliklerini değiştirirler.
Çoğu kez görüldüğü kadarıyla virüsler bir programa sadece 1 kez bulaşırlar.
Virüsün bulaştığı program uzun süre normal çalışır.
Virüslerin bulaştıkları programlar önceden yaptığı şeylerin yanında virüsün istediği şeyleri de yapar.
Kullanıcı bilgisayarına ve sabit diskine zarar verirler.
Programlara bazı virüslere karşı bağışıklılık kazandırılabilinir.
Virüsler devamlarını sağlamak için bazı önlemler alırlar. Bu önlemlerin başında da Anti-Virüs Programları tarafından fark edilmemek için bilgisayar sisteminde gözükmemeye çalışırlar. Çoğu virüsün tekniği iyi gizlenmektir. Bu yüzden virüs kodları çok kısa olur.Ayrıca virüs programları, kendilerini değiştirerek virüs arayan programlardan korunabilirler.

2000'li Yıllarda Yayılan Virüslerin Ortak Özellikleri;
Virüsler girdikleri sistemde göze çarpmamaya çalışırlar ve bu yüzden virüs yazarları kodları olduğunca kısa tutmak isterler.
Virüsler bulaştıkları programlarda kendilerini belirlenen şartlardan sonra gösterirler.
Virüsler kendilerini kendi kopyalrından korumak için bir işaret taşır ve kendi türünden virüs olmayan dosyalara kopyalanırlar.



Bilgisayar Virüslerinin Çeşitleri;
Açılış "boot" sektörü virüsleri
Çok amaçlı virüsler
Genel amaçlı virüsler
Komut işleyici virüsler
Makro virüsleri
Kütük virüsleri


Açılış "boot" sektörü virüsleri; Bu virüsler sabit disklerin açılış sektörüne yerleşir ve ancak bilgisayar açılınca etkinleşir.
Çok amaçlı virüsler; Bir çok virüsün en güçlü özelliklerine sahip olan bir virüstür. Bir dosyadan başka bir dosyaya bulaşmak için çok çeşitli yol ve teknik bilirler.

Genel amaçlı virüsler; Kolayca farklı dosya türlerine bulaşabilirler. Alt dosyalar yerine genel amaçlı sistem dosyalarına ve "boot" sektörüne yerleşirler.
Komut işleyici virüsler; İşletim sistemi dosyalarına bulaşırlar ve bu işletim sitemi dosyalarına girdikten sonra kolayca yayılırlar. Bu virüsler Command.com dosyasını hedef alırlar.

Makro virüsleri; Bu virüsler aslında Word veya Excelde bazı işleri otomatikleştirmek için yapılmıştır. Yapısı daha çok Visual Basic'e benzer ve işte bu özelliği farkeden hackerlar bu tür virüsleri oluşturmaya başlamışlardır.
Kütük tipi virüsler; .com, .exe, .bat gibi işletilebilir dosyalara bulaşarak yayılırlar. Bu virüslerden bazıları bellekte yerleşik olarak kaldığı gibi kalmayan tipleri de vardır. Bellekte yerleşen virüsler bulaştıkları dosyaların çalıştırılması ile belleğe yerleşerek diğer program dosyalarına bulaşırlar.
BaDsOuL isimli üyemiz çevrimdışıdır. (Offline)   Alıntı ile Cevapla
zurna, chat, sohbet, hemen, bağlan,
Zurnachat Tıkla Sohbet-Chat 'e Başla
Alt 27 Mart 2009, 21:12   #2 (permalink)
Uzman
 
BaDsOuL Nickli Üyenin Kullanıcı Resmi (Avatar)
 
Üyelik Tarihi: 27 Eylül 2008
Konum: Başını göğsüne yasladığımda tek bir düşmanım vardır; Geçip giden zaman.
Mesajlar: 1.078
Standart

Bilgisayar Virüsleri Nasıl Bulaşır?

Virüsler, disket, cd, internet, e-posta gibi yolları kullanarak bilgisayara bulaşırlar. Boot sektör virüsü bulaşmış bir disketle bilgisayar açılırsa virüs harddisk'in boot sektörüne bulaşabilir. 2000'li yıllarda virüslerin en çok kullandığı yöntem ise e-posta yoludur. Bu yöntemde virüslü bilgisayar bazen kendi kendine kaydedilen e-posta adresine posta göndererek virüsün başka bilgisayarlara bulaşmasını sağlamaktadır.



Virüsler bulaştığında;

Harddisk veya diskette bozuk sektör sayısında artma olabilir.
Bulaştığı programların boyutlarında artış olabilir.
Ram eksikliği olabilir ve bazı programlar Ram'i çok fazla kullanmaya çalışabilir.
Bazı programlar çökebilir, programlarda bazen yavaşlamalar bazen de kitlenmeler olabilir.




Bilgisayar Virüslerinden Nasıl Korunabilirim?


Mutlaka bir anti-virüs programı yüklemelisiniz.
Kurduğunuz anti-virüs programını sıksık güncelleştiriniz.
Önemli bilgi ve belgelerinizin kopyalarını mutlaka bulundurmalısınız çünkü anti-virüs programları kimi zaman virüsü temizleyememektedir.



2000'li yıllarda yaygın olan virüslerden bazıları şunlardır:


W32.sobig.A@mm --- *W32.Nimda.E@mm *Trojan.KillAV.B

W32.Nimda.A@mm--- *W2k.Stream *W97M.Rochitz.A

W32.Sircam.Worm@mm--- *DOS Funlove.4099

W32.Bugbear@mm--- *Happy99.Worm

VBS.Haptime@mm--- *W32.Klez

W32.Kriz --- *W32.Sircam.Worm@mm

W32.Yaha--- *W32.Welchia.Worm

W32.Navidad--- *W32.Blaster.Worm
W32.HLLW.Winwvar/W32.Funlovw.4099--- *W32.Repad.Worm

W95.CIH--- *Hacktool.Keysteal

Kill_ez --- *Backdoor.Evilbot.B



Truva Atları nedir?
Truva atları bir tür virüs zannedilmekle beraber aslında değildir. Bu bir tür küçük casusluk yazılımıdır. Örnek vermek gerekirse makinenize bulaştığı zaman size ait özel bilgileri başka e-posta adreslerine yollamaya başlar. Genelde internetten güvenilmez yerlerden çekilen başka programların yüklenmesi ile bulaşır.



Bilgisayar Kurtları nedir?
Bilgisayar kurtları, bilgisayarınızın hafızasında boş yer kalmayana kadar kendini kopyalan programlardır. Bilgisayar kurtları bilgisayarın hafızasını kaplar ve böylece bilgisayarın yavaşlamasını ve hatta çökmesini amaçlar.



Bilgisayar kurtları ilk önce Ram'de kendine bir yer bulur ve kendini oraya kopyalar daha sonra ise yeni kopyayı çalıştırır. Bu programın çalıştırılmasıyla bir döngü oluşur ve devamlı olarak ilk başlatılan programın kopyası üretilmekte sonra da bu kopyalar çalıştırılmaktadır. Bu kopyalama hafızada yer kalmayıncaya kadar devam eder ve hafıza dolduktan sonra bilgisayar yavaş çalışmaya başlayacak veya çökecektir.



Mantık Bombaları nedir?
Mantık bombaları, programcı tarafından programcının isteği dışında bir olayın gerçekleşmemesi için programların içine yerleştirilen progr*****lardır. Bu mantık bombalarından korunmak için yükleyeceğiniz programların orjinal cd veya disketten olduğuna dikkat edin aksi takdirde mantık bombaları bilgisayarınıza yerleşebilir ve bilgisayarınızın çökmesine neden olabilir.



Anti-Virüs Programları
Bu programlar virüsleri tespit eden, virüs bulaşmış dosyaları temizleyen veya silen prpgramlardır. Bu programlardan bazıları trojanları (truva atları) da tespit edebilmektedir. Trojanların virüslerden farkı gözle görünebilir olması ve normal bir dosya gibi silinebilir olmasıdır.


Yaygın olarak kullanılan Anti-Virüs Programları:
Norton Anti-virüs
McAfee Antivirüs
AVP
Panda Anti-virüs Titanium
F-prot


virus cesıtlerı

W32.Serflog.A ve W32.Kelvir-A virüsü temizlenmesi


W32.Serflog.A bir worm (solucan) olup, MSN Messenger ve Windows Messenger üzerinden bilgisayarına virüs bulaşmış kişinin contact list'indeki tüm kişilere kendisini bir link olarak gönderir ve Windows'un güvenlik seviyesi ayarlarını da azaltır.



Diğer isimleri: Sumom.A [F-Secure], IM-Worm.Win32.Sumom.a [Kaspersky Lab], W32.Crog.worm [McAfee], W32.Sumom-A [Sophos], WORM_FATSO.A [Trend Micro].



Bilgisayara bulaşır bulaşmaz ekrana şunu yazar: "'-F-u-c-k-'-Y-o-u-'". Virüs kendisini aşağıdaki isimleri kullanarak bilgisayarda çoğaltır:



formatsys.exe (C:\System dizini)
serbw.exe (C:\System dizini)
msmbw.exe (C:\Windows dizini)
Crazy frog gets killed by train!.pif (C:\ sürücüsünde)
Annoying crazy frog getting killed.pif (C:\ sürücüsünde)
See my lesbian friends.pif (C:\ sürücüsünde)
LOL that ur pic!.pif (C:\ sürücüsünde)
My new photo!.pif (C:\ sürücüsünde)
Me on holiday!.pif (C:\ sürücüsünde)
The Cat And The Fan piccy.pif (C:\ sürücüsünde)
How a Blonde Eats a Banana...pif (C:\ sürücüsünde)
Mona Lisa Wants Her Smile Back.pif (C:\ sürücüsünde)
Topless in Mini Skirt! lol.pif (C:\ sürücüsünde)
Fat Elvis! lol.pif (C:\ sürücüsünde)
Jennifer Lopez.scr (C:\ sürücüsünde)
lspt.exe (C:\ sürücüsünde)
autorun.exe (C:\Documents and Settings\\Local Settings\Application Data\Microsoft\CD Burning dizini)



Aşağıdaki gizli dosyaları oluşturur:
British National Party.jpg (C:\ sürücüsünde)
Crazy-Frog.Html (C:\ sürücüsünde)
Message to n00b LARISSA.txt (C:\ sürücüsünde)




Eğer bilgisayarda var ise aşağıdaki dosyayı siler:
MESSAGE_TO_BROPIA.txt




Virüs,
"Messenger Plus! 3.50.exe", "MSN all version polygamy.exe" ve "MSN nudge bomb.exe" isimlerini kullanarak,




My Shared dizinine (C: sürücüsünde)
Shared dizinine (C: sürücüsünde) ve
C:\ProgramFiles\Program Files\eMule\Incoming dizinine kendisini kopyalar. Daha sonra aşağıdaki Internet adreslerini bloke ederek kişinin antivirüs yazılımları indirmesini ya da yüklü antivirüs programlarını güncellemesini engelleyerek kendisini sağlama alır:




64.233.167.104 securityresponse.symantec.com
64.233.167.104 symantec.com
64.233.167.104 sophos.com
64.233.167.104 mcafee.com
64.233.167.104 update.symantec.com
64.233.167.104 liveupdate.symantecliveupdate.com
64.233.167.104 viruslist.com
64.233.167.104 f-secure.com
64.233.167.104 kaspersky.com
64.233.167.104 kaspersky-labs.com
64.233.167.104 avp.com
64.233.167.104 nai.com
64.233.167.104 networkassociates.com
64.233.167.104 ca.com
64.233.167.104 mast.mcafee.com
64.233.167.104 my-etrust.com
64.233.167.104 download.mcafee.com
64.233.167.104 dispatch.mcafee.com
64.233.167.104 secure.nai.com
64.233.167.104 updates.symantec.com
64.233.167.104 us.mcafee.com
64.233.167.104 liveupdate.symantec.com
64.233.167.104 customer.symantec.com
64.233.167.104 rads.mcafee.com
64.233.167.104 trendmicro.com
64.233.167.104 grisoft.com
64.233.167.104 sandbox.norman.no
64.233.167.104
BaDsOuL isimli üyemiz çevrimdışıdır. (Offline)   Alıntı ile Cevapla
zurna, chat, sohbet, hemen, bağlan,
Zurnachat Tıkla Sohbet-Chat 'e Başla
Alt 27 Mart 2009, 21:14   #3 (permalink)
Uzman
 
BaDsOuL Nickli Üyenin Kullanıcı Resmi (Avatar)
 
Üyelik Tarihi: 27 Eylül 2008
Konum: Başını göğsüne yasladığımda tek bir düşmanım vardır; Geçip giden zaman.
Mesajlar: 1.078
Standart

64.233.167.104 uk.trendmicro-europe.com


Symantec firmasına ait Norton Anti-virüs yüklü bilgisayarlardan virüsü temizlemek için bilgisayarı güvenli kipte açmalısınız. System Restore (Sistem Geri Yüklemeyi) kapatmalısınız. Güncellemenizi yaptıktan sonra, Norton Antivirüs ile bilgisayarınızı scan edip bütün "W32.Serflog.A" solucanlarını temizlemelisiniz.


Norton Antivirüs yoksa, virüsü elle temizlemek için:
1. Bilgisayarınızı restart edip güvenli kipte açın. Bunun için açılış anında F8 tuşuna basarak güvenli kipi seçin.
2. Başlat menüsünden RUN'ı (çalıştır) seçip açılan pencereye "regedit" yazın, sonra da enter’a basın.
3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmiş yeni kayıtları silin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion \Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies\Explorer\Run



Yukarıdaki kayıtlar içinde "serpe", "avnort", "ltwob" gibi tanımlar var ise sisteminiz virüsten etkilenmiş ve her açılışta kendisini tekrar çalıştırıyor demektir. Bu tanımları silin.


4. "Bilgisayarım"ı açtıktan sonra "araçlar"dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki "gizli dosyaları göster" seçeneğini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçeneğindeki işareti
kaldırın. Böylelikle virüs'ün sistem içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.



5. Aşağıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin.
C:\windows\system32\formatsys.exe
C:\windows\system32\serbw.exe
C:\windows\msmbw.exe
C:\Crazy frog gets killed by train!.pif
C:\Annoying crazy frog getting killed.pif
C:\See my lesbian friends.pif
C:\LOL that ur pic!.pif
C:\My new photo!.pif
C:\Me on holiday!.pif
C:\The Cat And The Fan piccy.pif
C:\How a Blonde Eats a Banana...pif
C:\Mona Lisa Wants Her Smile Back.pif
C:\Topless in Mini Skirt! lol.pif
C:\Fat Elvis! lol.pif
C:\Jennifer Lopez.scr
C:\lspt.exe
C:\Documents and Settings\\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe
C:\British National Party.jpg
C:\Crazy-Frog.Html
C:\Message to n00b LARISSA.txt

6. C:\Windows\System32\Drivers\etc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini silin.




7. Bu ve benzeri antivirüs üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız yeni güncellemeleri indirebilir hale gelecektir. Yukarıdaki işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs yazılımını Internet’e bağlanarak güncelleyin ve gözden kaçmış kalıntılar olabileceğini düşünerek bilgisayarınızı virüs taramasından geçirin. Windows XP'nin System Restore (Sistem Geri Yükleme) özelliğini mutlaka kapatmalısınız. Sistem Geri Yüklemeyi eğer devredışı bırakırsanız W32 türevi pekçok zararlı solucanı ve virüsün bilgisayarınızda çalışmasının tetiklenmesini engellemiş olacaksınız. Sistem Geri Yükleme özelliğine Başlat/Ayarlar/Denetim Masası'ından "Sistem Geri Yükleme" sekmesinden ulaşabilirsiniz. Sistem Geri Yüklemeyi devredışı bırakıp Sistem'den çıktığınızda Windows sizi uyaracaktır. Windows'un uyarısına aldırmayarak devam edin.



KORUNMA: Sistem Restore (Sistem Geri Yükleme) neden kapatılmalı?
Sistem Geri Yükleme, Windows ME ve Windows XP'deki bir özellik olup kullanıcı tarafından seçilmiş dosyaların yedeklenmesi amacıyla tasarlanmıştır. Windows bu yedeklemeyi C:\_Restore dizininde yapar. Yedeklenmiş dosyaları Windows özel bir algoritmayla sıkıştırarak yedeklediğinden, antivirüs yazılımları buradaki virüslü dosyalar göremezler. Siz bilgisayarındaki buradaki hariç tüm virüsleri temizledikten sonra eski belgenizi bir süre sonra restore ederek geri çağırdığınızda, dosyalarınızla birlikte yedeklenmiş virüsler de geri geleceğinden sistem geri yükleme kapatılmalıdır. Demek ki geri yüklemenin kapatılması için *** sebebimiz var:

- Sistem Geri Yüklemenin yedeklediği dosyaları antivirüs yazılımları göremez.
- Geri yedeklenen virüslü dosyalar virüsleri de geri getirirler.

Bu özelliği açık tutmak virüsleri çok sevindirecek, sizi de çok uğraştıracaktır.

TEMİZLEME: W32.Kelvir, W/32Serflog ve diğer solucanları temizlemek için ftp dizinindeki programları kullanabilirsiniz.Buradaki FxKelvir.exe, FixSerflog.exe, FixSobigF.exe, FxBropia.exe ve W32.Sobig.F@mm Removal Tool.exe programlarını deneyin. McAfee'nin Stinger antivirüs yazılımının en son versiyonu da ftp dizinindedir. Diğer solucanlar için bilgisayarınızı tarayabilirsiniz.
Yeni programların hepsini burada görebilir, istediğinizi indirebilirsiniz.

--------------------------------------------------------------------------------

W32.Kelvir-A-E ise yine bir worm (solucan) olup, MSN Messenger ve Windows Messenger üzerinden bilgisayarına virüs bulaşmış kişinin contact list'indeki tüm kişilere kendisini bir link olarak gönderir ve "W32.Spybot.Worm" virüsünün değişik bir versiyonunu download edip bilgisayara bulaştırmaya çalışır. Virüs'ün download etmeye çalıştığı dosyanın yeri:
Only registred user can see link on this forum!
Registred or Login on forum!

olup güvenlik açısından adrese ulaşımı engellemek için bir kısmı yıldızlarla gizlenmiştir. Virüs bu adreste bulunan "patch.exe" dosyasını download eder etmez ilk iş bunu çalıştırır. Bu yazı hazırlanırken adresteki virüs değişmiş ve "Win32.Rbot.BWD" olmuştur. Daha çok bilgi için Bilgisayar Komisyonu üyeleri şu an yoğun olarak çalışılmaktadır.

Solucanın diğer isimleri: Win32.Bropia.Variant!Worm, W32.Kelvir.A [F-Secure], IM-Worm.Win32.Kelvir.a [Kaspersky].

Virüsü elle temizleme:
Symantec firmasına ait Norton Anti-virüs yüklü bilgisayarlardan virüsü temizlemek için bilgisayarı güvenli kipte açmalısınız. System Restore (Sistem Geri Yüklemeyi) kapatmalısınız. Norton Antivirüs ile bilgisayarınızı scan edip bütün "W32.Kelvir-C" solucanlarını temizlemelisiniz.




"Stinger AVERT" kullanarak diğer solucanlardan bilgisayarı temizleme:
Stinger yazılımı McAfee firmasına ait küçük bir antivirüs yazılımı olup aşağıdaki virüsleri temizler:
BackDoor-AQJ, BackDoor-CFB, BackDoor-DHC, BackDoor-JZ-JZ, Bat/Mumu.worm, Exploit-DcomRpc, IPCScan, IRC/Flood.ap, NutzenSie, IRC/Flood.cd, NTServiceLoader, PWS-Narod, PWS-Sincom.dll, W32.Anig.worm, W32.Bagle@MM, W32.Blaster.worm, (Lovsan), W32.Bugbear@MM, W32.Deborm.worm.gen, W32.Doomjuice.worm, W32.Dumaru, W32.Elkern.cav, W32.Fizzer.gen@MM, W32.FunLove, W32.Klez, W32.Korgo.worm, W32.Lirva, W32.Lovgate, W32.Mimail, W32.MoFei.worm, W32.Mumu.b.worm, W32.MyDoom, W32.Nachi.worm, W32.Netsky, W32.Nimda, W32.Pate, W32.Polybot, W32.Sasser.worm, W32.SirCam@MM, W32.Sober, W32.Sobig, W32.SQLSlammer.worm, W32.Swen@MM, W32.Yaha@MM, W32.Zafi, W32.Zindos.worm.

Not: Stinger programı bütün Windows işletim sistemlerinde çalışan küçük bir programdır. Lisanssız olup Freeware'dir. W32.Serflog.A ve W32.Kelvir-A solucanlarını temizlemez! Diğer solucanları temizleyebilirsiniz.
--------------------------------------------------------------------------------


Bugünlerde etkin diğer virüsler ve elle temizlenmeleri:

W32.Aplore@mm
Start-Run-Type "msconfig"
Click "startup"
Uncheck "Explorer"
Restart computer



Choke.exe (I-Worm.Choke)
Press CTRL-ALT-DEL, select "choke.exe" and select "end task"
Close MSN Messenger
Start-Run-Type "msconfig"
Click "startup"
Uncheck "Choke.exe"
Restart computer


Choke.exe (I-Worm.Choke)
Start-Find-Search "Choke.exe"
Select file and delete
Empty the Rcycle bin


PIC1234(1)(1)(1)(1)(1).exe Virus
Close MSN
Goto Start-Run-Type "msconfig"
Click "startup"
Uncheck "MSN Messenger"
Click OK and choose DO NOT RESTART
CTRL-ALT-DEL, select "MsgSpread" and end the task



PIC1234(1)(1)(1)(1)(1).exe" Virus
Go to desktop and open My Documents
Double click on "Messenger Service Received Files"
Select the file "PIC1234(1)(1)(1)(1)(1).exe" and delete it.
Empty Recycle Bin
Restart computer



--------------------------------------------------------------------------------



--------------------------------------------------------------------------------

DİĞER WORM VİRÜSLERİ İLE İLGİLİ TEMiZLEME PROGRAMLARI VE BİLGİ:

W32 Sasser Worm Virüsü:
W32 Sasser worm virüsü A, B, C, D, E ve F şeklinde varyasyonlar halinde bulunur ve bilgisayara bulaşır. Microsoft'un MS04-011 numaralı güvenlik bülteninde açıklandığı üzere Windows'ta bulunan LSASS (Local Security Authority Subsystem Service) servis programının güvenlik açıklarını tarayarak, bulduğu açıklardan file transfer protokolünü kullanarak (FTP) kendisini başka bilgisayarlara kopyalar. Bunun için seçtiği rastgele IP'lerde tarama yapar. Güvenlik Patch dosyaları yüklenmemiş NT, 2000 ve XP işletim sistemi yüklü bilgisayarlara bulaşır. Win95/98/Me bilgisayarlara da bulaşır fakat aktif hale geçmez. XP ve 2000 bilgisayarlarda "Bilgisayarın kapanmasına 1 dakika var" yazısı ekrana çıkarak bilgisayarı kapatır. Bu 1 dakika içinde virüsü temizlemek mümkün olmadığı için sistem tarihini geçici olarak birkaç gün/ay geri atabilirsiniz. Bulaştığı makinanın Windows dizininde natpatch.exe dosyası oluşturur ve bunu registry'deki HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run kısmına ekler. Böylece her Windows'u başlattığınızda virüs aktif hale geçer. Virüsün aktifliğine son vermek için CTRL-ALT-DEL tuşuna bastığınızda gelen TASK MANAGER'de PROCESS kısmına geçin. Listedeki natpatch.exe'yi bulun, üzerine tıklayıp process'ine son verin. W32 Sasser virüsü için Symantec Antivirüs firması fxsasser.exe dosyasını kullanıcıların hizmetine sundu. Bu dosya ile (bilgisayarınızı kesinlikle güvenli kipte açtıktan sonra) virüsü temizleyin. Türkçe XP bilgisayarlar için hazırlanmış update dosyalarını bilgisayarınıza patch etmelisiniz. Bunun için service pack 2'yi kurmanız yeterlidir.

W32 Sasser Virüsünü temizlemek için adım adım yapılacak işler (NT, 2000 ve XP):
1. Bilgisayarınızı baştan başlatın ve güvenli kipte açın (açılış sırasında F8'e basacaksınız)
2. Fxsasser ya da Fsasser programıyla bilgisayarınızda virüsü aratın
3. Bilgisayarınızı kapatın açın (Normal olarak)
4. Service pack 2'yi kurun
5. Kurduktan sonra bilgisayarınızı baştan başlatıp virüsü tekrar arayın.
6. Sisteminizdeki anti-virüs'ü güncelleyin.



W32 Cycle virüsü ise LSASS güvenlik sisteminin buffer overrun açığı ile kendisini yayar. 2000 ve XP bilgisayarlara bulaşır. Virüsün aktifliğine son vermek için System Restore programının çalışmasına son vermelisiniz. Task Manager ile baktığınızda msblast.exe, avserve.exe, avserve2.exe veya skynetave.exe programlarını görürseniz bilgisayarınıza W32 Cycle worm virüsü bulaşmış demektir.


W32 Sasser E virüsü için registry editörü çalştırıp (regedit) lsasss.exe satırını bulup silmelisiniz. Registry'deki yeri:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \LSASS SVR = lsasss.exe




MyDoom Virüsü
E-mail ile yayılan bir spam mail worm virüsü olup bulaştığı bilgisayarlardaki outlook adres defterine musallat oluyor. Buradaki adreslere virüslü mailler gönderirken içerik olarak rastgele konular seçiyor. Maillere attachment olarak küçük bir .zip dosyası ekleyerek zararsız görünümlü bir içerik ile kullanıcıları aldatmaya çalışıyor. .bat, .cmd, .exe, .pif ve .scr uzantılı mail ekleri yaratıyor. Kazaa gibi servislerle yayılması dizayn edildiğinden bu servislerden gelen dosyalarda bulunma ihtimali yüksek. Klavyeyi kontrol eden bir virüs olduğundan klavyeden girilen kredi kartı bilgileri ve şifreleri bilgisayarda kendisine özel bir dosyada saklayıp yeri gelince bu bilgileri maille yollayamaya çalışıyor. MyDoom virüsünü temizleyen programı ftp sunucumuzdan download edebilirsiniz.





XP Bilgisayarınızdaki "System Restore" servisini iptal ederek W32 Sasser ve benzeri virüslerin bilgisayardaki işlevlerine son verme ve engelleme:
1. Masaüstündeki "Bilgisayarım" simgesine sağ tuşla tıklayın ve oradan "Sistem Geri Yükleme"yi seçin.
2. "Bütün sürücüler'deki sistem geri yüklemeyi kapat" kutucuğunu işaretleyin.
3. Tamam'a tıklayın, gelen uyarıya tamam deyin.
BaDsOuL isimli üyemiz çevrimdışıdır. (Offline)   Alıntı ile Cevapla
zurna, chat, sohbet, hemen, bağlan,
Zurnachat Tıkla Sohbet-Chat 'e Başla
Alt 27 Mart 2009, 21:15   #4 (permalink)
Uzman
 
BaDsOuL Nickli Üyenin Kullanıcı Resmi (Avatar)
 
Üyelik Tarihi: 27 Eylül 2008
Konum: Başını göğsüne yasladığımda tek bir düşmanım vardır; Geçip giden zaman.
Mesajlar: 1.078
Standart

XP'de eğer bir dosyayı silmeye kalktığınızda "Bu dosya başka bir application tarafından kullanılıyor" deyip silmiyorsa ve o dosyayı başka bir programın kullanmadığından eminseniz yapacağız iş:
Kısa yol, çabuk çözüm 1:
1. Dosyanın ismini değiştirin, uzantısını da değiştirin. Mesela "a.a" yapabilirsiniz.
(Windows Explorer'da dosya uzantılarını gizle seçeneği aktif ise bunu yapamazsınız)
2. Sonra dosyayı silebilirsiniz.
3. Eğer Windows dosyanın ismini değiştirmenize izin vermez ise dosyayı silmek için aşağıdakini deneyin:



Kısa yol, çabuk çözüm 2:
1. Başlat'tan "cmd"yi çalıştırın.
2. Silinecek dosyanın ismi uzun ise klasörde "dir /x" yazarak kısa ismini içinde "~" olacak şekilde görün.
(Ör. "MatrixRevolutions2.avi" dosyasını dir/x ile "matrixr~1.avi" olarak göreceksiniz.)
3. Del /f yazarak kısa dosya isminin kısa halini yazarak dosyayı silin.
(Ör. Del /f matrixr~1.avi)



Uzun yol, kesin çözüm 3 (En inatçı dosyalar için):
1. CTRL-ALT-DEL yaparak Task Manager'i çalıştırın ve "explorer.exe"nin çalışmasına son verin (desktop silinecektir!)
2. Task Manager'deki Dosya kısmından "Yeni Görev (Çalıştır)"ı seçip oraya "cmd" ya da "command" yazın.
3. Silmek istediğiniz sürücüye ve klasöre gidin.
4. "del" komutuyla dosyayı silin.
5. Task Manager'deki Dosya kısmına "Yeni Görev (Çalıştır)"ı seçip oraya "explorer" yazıp enter'a bastığınızda desktop geri gelecektir.
6. Dosyayı silmiş oldunuz, en inatçı dosyaları bile silebilirsiniz.




MSN MESSENGER VİRÜS YAYIYOR

Bugün sabah saatlerinde aktif olmaya başlayan, henüz kimliği bilinmeyen bir virüs, MSN Messenger adlı sohbet programından yayılmaya başladı.

Pek çok kullanıcının bilgisayar sistemine zarar verdiği bildirilen bu virüs, kişilerin listesindeki diğer insanlar tarafından gönderiliyor. Listenizdeki kişilerden gelecek türü bilinmeyen dosyaları bilgisayarınıza kaydetmemeye özen gösterin.

Sanıyorum türünün ilk örneği olan bir virüsle karşı karşıyayız. Bilgisayarlara hangi yolla bulaştığı henüzbilinmeyen bir virüs, MSN Messenger kullanıcıları arasında hızla yayılıyor. Kullanıcının MSN Messenger adlı sohbet programına dahil diğer kişiler tarafından gönderiliyormuş gibi gelen bu dosyaları kesinlikle kabul etmemek ve bilgisayara kaydetmemek gerekiyor.

Henüz MSN'den veya MSN'in ortağı olduğu MSNBC haber portalından geçen bir haber yok. Fakat jet hızıyla yayılan MSN Messenger Virüsü virüsü ortalığı kasıp kavuracak gibi görünüyor.

MSN Messenger üzerinden gelen virüs, kabul edildiği taktirde bir kopyasını otomatik olarak, listede bulunan tüm diğer kullanıcılara gönderiyor. Bu virüs o kadar tehlikeli ki, anti-virüs programlarını ve diğer program yönetimi uygulamalarını da kilitliyor.



Sistem klasörlerine sızıyor

Bilgi Teknolojileri Güvenliği Danışmanı Ömer Kurtulmuş’tan aldığımız bilgiye göre, MSN Messenger listesindeki kişilerden gelen transfer aslında dosya değil, bir İnternet linki. Çoğunlukla gelen link ve dosyalar “pif” ve “scr” uzantılı oluyor. MSN üzerinden yayılan bu virüs için antivirüs firmaları saat 14:00 itibariyle güncel virüs imza dosyalarını dağıtmaya başladılar. Daha bu virüsten etkilenmemiş olanların antivirüs yazılımlarını güncellemeleri en önemli tedbir olacaktır. Yeni virüs tanım dosyalarında bu virüs, Serflog.A, Kelvir.B, Fatso.A vb. isimlerle tespit ediliyot.



Gelen dosya değil link

Bu virüs, MSN Messenger üzerinden kontakt listenizde yer alan kişilerden bir dosya veya İnternet sayfası link'i olarak geliyor. Kullanıcı bu linke tıkladığında virüs dosyası hemen aktif olmuyor, fakat gelen dosya çalıştırıldığında aktif oluyor. Bulaştığı anda o bilgisayardaki MSN kayıtlarında yer alan herkese söz konusu link'i gönderiyor. Bu durum tespit edildiğinde ilk yapılacak işlem bilgisayarın İnternet bağlantısını kesmek olmalıdır. Böylelikle başka birine virüsün yayılması engellenmiş olur.



Adım adım temizleme rehberi


E-Güvenlik Danışmanı Ömer Kurtulmuş’ta aldığımız bilgiye göre, antivirüs yazılımları güncellenmeden virüs bulaşan PC’lerde artık otomatik güncelleme özelliği çalışmayacağından, virüsün elle silinmesi gerekiyor. Eğer İnternet’ten bir temizleme programı indirilip kullanılacaksa, MSN messenger programının çalışmadığına emin olunmalı.


Elle temizlemede izlenecek yöntemler ise şunlar:

1. Bilgisayarınızı restart edip güvenli kipte açın (Açılış anında tuşuna basarak güvenli kipi seçebilirsiniz.)

2. Başlat menüsünden “çalıştır” (run) sekmesini tıklayıp açılan pencereye “regedit” yazarak enter’a basın.

3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmiş yeni kayıtları silin:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionpolicie***plorerRun
HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVe rsionpolicie***plorerRun

Yukarıdaki kayıtlar içinde “serpe”, “avnort”, “ltwob” gibi tanımlar var ise sisteminiz virüsten etkilenmiş ve her açılışta kendisini tekrar çalıştırıyor demektir. Bu tanımları silin.

4. “Bilgisayarım”ı açtıktan sonra “araçlar”dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki “gizli dosyaları göster” seçeneğini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçeneğindeki işareti kaldırın. Böylelikle virüs'ün sistem içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.

5. Aşağıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin.

C:windowssystem32formatsys.exe
C:windowssystem32serbw.exe
C:windowsmsmbw.exe
C:Crazy frog gets killed by train!.pif
C:Annoying crazy frog getting killed.pif
Cee my lesbian friends.pif
C:LOL that ur pic!.pif
C:My new photo!.pif
C:Me on holiday!.pif
C:The Cat And The Fan piccy.pif
C:How a Blonde Eats a Banana...pif
C:Mona Lisa Wants Her Smile Back.pif
C:Topless in Mini Skirt! lol.pif
C:Fat Elvis! lol.pif
C:Jennifer Lopez.scr
C:lspt.exe
Cocuments and SettingsLocal SettingsApplication DataMicrosoftCD Burningautorun.exe
C:British National Party.jpg
C:Crazy-Frog.Html
C:Message to n00b LARISSA.txt

6. C:WindowsSystem32Driversetc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini silin.




Bu vb. antivirüs üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız yeni güncellemeleri indirebilir hale gelecektir.

Yukarıdaki işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs yazılımını İnternet’e bağlanarak güncelleyin ve gözden kaçmış kalıntılar olabileceğini düşünerek bilgisayarınızı virüs taramasından geçirin. <

Yukarıdaki yöntem, “inTellect Bilgisayar” IT Güvenlik Uzmanı Ömer Kurtulmuş’un verdiğin bilgilerden derlenmiştir.




Daha öncekilere benzer bi yazi ama derinine dalmış........
• 12/5/2005 - BİLGİSAYAR VİRÜSLERİ VİRÜSÜ VIRÜS Antivirüs
Bilgisayar virüsleri, tıpkı kelime işlemciler,elektronik tablolama,veri tabanı yönetmenleri gibi birer bilgisayar yazılım programlarıdır. Bir deyişle bunlar,bilgisayara neleri hangi şekilde yapmalarını söyleyen komutlar dizisidir. Böylelikle bilgisayar virüsleri , işletim sisteminin desteklediği bütün işleri yapabilir.



Birçok bilgisayar yazılımı, programın zarara uğraması ve veri kaybını önlemek için,kullanıcının bütün eylemlerini dikkatlice izler ve denetler. “Uyarı!Mevcut bir dosyanın üzerine yazmak üzeresiniz.Devam edelim mi(E/H)?” gibi mesajlara kuşkusuz alışıksınızdır.Bu uyarılar, bilinçsizce yapılan hatalı hamlelere karşı koruyucu bir mekanizma oluşturur. Disk işletim sistemleri bile, kendi komut zincirleri içinde buna benzer uyarı mesajları içerir.



Diğer yandan, bilgisayar virüsleri ve benzeri yazılımları ise bütün yasalara uygun yazılımlara karşı tasarlanmışlardır. Virüsler, evsahibi programların (host programs) içine gizlenerek, kullanıcının isteği dışında belleğe yüklenir ve çalışırlar. Aktif hale geldiklerinde yapacakları için kullanıcıdan ne izin alırlar ne de uyarırlar. Virüsler herhangi bir hata ile karşılaştıklarında, hata mesajını görüntülemeden ve kullanıcıya hataya ilişkin koşulları düzeltmesine olanak sağlamadan, hatayı düzeltir veya düzeltmeye çalışırlar.




“Yapabildiğin her şeyin daha iyisini yaparım.” esprisi, bir anlamda, bilgisayar virüsleri`nin dünyasında geçerlidir. Yasalara uygun yazılımların yapabildiği herşeyi, virüsler de yapar; hem de gizli olarak. Virüsler, diskleri formatlayabilir, kopyalayabilir, dosyaların adını değiştirebilir veya silebilir; dosya tarihlerini ve özelliklerini değiştirebilir ve başka bilgisayarların belleğine dosyaları yükletebilir veya bellekten sildirtebilirler.



Böyle yazılımların virüs olarak adlandınlmalarına neden olan teknik bir tanımlama vardır. Virüs, diğer programları, kendisinin çalıştırılabilir (executable) bir kopyasını da içerecek şekilde güncelleştiren bir programdır. İşletim sistemi altında başka bir yazılımın yardımı olmadan çalışabilen dosya veya dosyalar grubu için “çalıştırılabilir” jargonu kullanılmaktadır. Bilgisayarınızın sabit diskinde yarattığınız herhangi bir alt dizini listelerseniz, çok sayıda değişik dosya dipleri ve dosya adları görebilirsiniz. Bazı dosya adlarının, .EXE veya .COM uzantısı olacağı gibi, bazılarının uzantıları ise .DAT, .DOC veya .WKS olacaktır. Bazı dosya adlarınınsa hiç uzantısı olmayabilir.



Uzantıları .EXE veya .COM olan dosyalar çalıştırılabilir dosyalardır. Bunların dosya adlarını uzantıları olmaksızın yazarsanız, önemli bir şey olur: Bir program çalışır. Verileriniz ise, kullandığınız programın adlandırma biçimine göre uzantısı .DAT veya .DOC veya başka bir şey olan bir dosyada saklanır. Çalıştırılabilen dosyalar, program dosyalarıdır ve virüsler yalnızca bu dosyalara girebilirler. Herhangi bir yazılımın virüs olabilmesi için en az şu kriterleri sağlaması gereklidir:


Çalıştırılabilir olmalı.



Kendi kendisine kolonileşebilmeli.



Diğer çalıştırılabilir objeleri kendi kolonisine çevirebilmeli.






MUZIR YAZILIMLARIN ÇEŞİTLERİ

Bukalemun

Truva atlarının yakın akrabaları olan bukalemunlar, diğer alışılagelmiş, güvenilir programlar gibi davranmakla beraber, gerçek birtakım hile ve aldatmalar içerirler. Uygun bir şekilde programlandığında bukalemunlar, yasalarla belirlenmiş yazılımların simulasyonu olan demonstrasyon programları gibi...

Bir bukalemun, her defasında, çok kullanıcılı bir sistemde kullanıcı adları ve şifreleri için giriş iletilerini taklit edecek şekilde dahiyane bir biçimde programlanır. Bukalemun, sisteme giren bütün kullanıcıların adlarını ve şifrelerini gizli dosyaya kaydeder ve daha sonra sistemin bakım için geçici bir süre kapatılacağına ilişkin bir mesaj verir.Daha sonra bukalemunun yaratıcısı, kendi özel şifresi ile sisteme girer ve kaydedilen kullanıcı isimlerin ve şifrelerini alır. Ve daha sonra da sisteme kendi yasadışı amaçları için istediği gibi girer, çıkar. İlginç bir öykü değil mi?

Bir bankacılık programını, her müşteri-banka ilişkisinde ortadaki parayı yuvarlayarak bir kaç sent'lik bölümlerini gizli bir hesaba atacak şekilde taklit eden program, bukalemunların en klasik örneğidir. Sonuç yüzler, binler belki de milyonlarca dolardır.

Yazılım Bombaları ( Software Bombs )


Şimdiye değin üretilmesi en kolay ve popüler olarak görülen muzır yazılım, yazılım bombası ( software bomb ) olmuştur. Yazılım bombaları yere çarpar çarpmaz patlar. Bu durumda ne bir uyarı ne de önceden bir belirti söz konusudur. Bu minimuma indirgenmiş reklamdır. Herhangi bir saklanma veya gizlenme ve doğal olarak kolonileşme yoktur. Yazılım bombaları adlarına yakışır bir şekilde çarpma anında patlar ve bütün verileri yok ederler.

Mantık Bombaları ( Logic Bombs )

Mantık bombaları, belirli çevresel değişkenlerin durumuna bağlı olarak yıkıcı bilgisayar komutlarını yerine getiren programlardır. Örneğin bir mantık bombası, yaratıcısının maaş kayıtlarını izleyebilir ve yaratıcısının maaşı belirli bir limitin altına düştüğünde; maaş kaydını silmek veya yanlış hesaplamak, sabit diski yeniden formatlamak gibi muzır işler yapacak biçimde programlanabilir.
BaDsOuL isimli üyemiz çevrimdışıdır. (Offline)   Alıntı ile Cevapla
zurna, chat, sohbet, hemen, bağlan,
Zurnachat Tıkla Sohbet-Chat 'e Başla
Alt 27 Mart 2009, 21:17   #5 (permalink)
Uzman
 
BaDsOuL Nickli Üyenin Kullanıcı Resmi (Avatar)
 
Üyelik Tarihi: 27 Eylül 2008
Konum: Başını göğsüne yasladığımda tek bir düşmanım vardır; Geçip giden zaman.
Mesajlar: 1.078
Standart

Tavşanlar ( Rabbits )

Bilgisayar virüsleri`nin kuzeni olan tavşanlar, adlarına yakışır bir şekilde çok hızlı ürerler. Bellekte veya diskte yeteri kadar alan tükeninceye kadar kolonileşirler. Bir koloni yaratıldıktan sonra, bu bir yavru koloni üretir ve yavru koloni yeterince gelişince yeni bir koloni daha doğurur ve bu döngü süregider. Burada amaç, özellikle çok kullanıcılı sistemlerin, iletişim ağ ortamlarında ana sistem bilgi işleme gücünü yitirinceye kadar sistemin kaynaklarını kurutmaktır. Tavşanlar ve virüsler arasındaki en belirgin fark, tavşanların kullanıcı veri kütüklerinin sonuna eklenmemeleri, asalak özelliklere sahip olmamaları ve kendi kendilerine yetebilmeleridir.

Solucanlar ( Worms )

Çok yaygın olarak virüsler`le karıştırılan solucanlar bir iletişim ağındaki bilgisayar sistemlerinde herhangi bir donanıma veya yazılıma zarar verme zorunluluğu olmaksızın bilgisayardan bilgisayara dolaşan programlardır. Yalnızca gerektiğinde bu gezilerini sürdürebilmek için ürerler.

Solucanlar, girdikleri iletişim ağı içinde çok gizli bir şeklide gezinirler ve bu arada bilgi toplayarak (muhtemelen şifreler veya dokümanlar) gizemli mesajlar bırakırlar. Çoğu zaman iletişim ağındaki çalışan sistem operatörlerine gözükmemek için geride bıraktıkları her artığı silerler.

Virüsler

Bilgisayar virüsler`i, muzır yazılım galerisinin en gözde parçalarıdır. Bütün güvenlik uzmanlarından ve antivirüs yazılım şirketlerinden bu alanda en yüksek notu almışlardır.

Bilgisayar virüsleri diğer programları, kendilerinin birer çalıştırılabilir kopyalarını programa eklemek yoluyla değiştiren programlardır. Yaratılmaları kolay, belirlenmesi güç olan virüsler, kendi kopyalarını programlara ekleyerek, koloniler oluşturur ve sistemi kirletirler. Profesyonelce tasarlanmış ve yaratılmış olan virüsler dosyaların tarihini, zamanını, özelliğini ve büyüklüğünü değiştirmezler.

Eylemlerini sürdürebilmek ve bulaştıkları bir dosyaya bir daha bulaşmamak için, ilk enfeksiyon sırasında virüsler dosyanın içine kodlu işaretler (virus markers ) bırakırlar. İşaretlenmemiş dosya bulamadıklarında sistemin bütünüyle doldurulduğunu kabul ederler. Sistem işlevleri ve kullanıcılara ait verilerle oynamak işte tam bu anda başlar.

Belirli bir süreden sonra virüsler açıktan açığa zararlı eylemlerde bulunmaya başlayabilirler. Ekranda şaşırtıcı ve esrarlı mesajları görüntüleyerek kullanıcı ile dalga geçerler veya normal olmayan sistem davranışlarına neden olurlar. Bazı virüsler sistem hatalarını maskeleyerek, kullanıcıya varolmayan donanım veya yazılım hataları iletirler. Diğer bazı virüsler ise, daha doğrudan bir yol izleyerek, ekranda zıplayan toplar veya gülümseyen suratlar görüntülenmesine neden olurlar.

Özellikle yaratıcı ve dahi virüsler, kirli işlerini yerine getirdikten sonra bütün izleri silerek geride hiçbir kanıt bırakmazlar. Bir çok virüs şekli ise patlayarak sabit disk üzerindeki bütün verileri yok ederler.





IBM ve IBM UYUMLU PC’LERİN ENFEKSİYONU

IBM ve IBM uyumlu PC’ler, bütün kişisel bilgisayarlar arasında en yaygın olarak kullanılanlar olduklarından, bu bölümde verilen örnek ve açıklamalarda bu makineleri temel alma uygun görülmüştür. Ancak, bilgisayar virüslerine ilişkin temel ilke ve kuralların, tüm popüler bilgisayar modellerine ve işletim sistemlerine eşit ölçüde uygulanabileceği unutulmamalıdır. Hangi bilgisayar platformunda (hangi donanım ve yazılımla ) çalışırsanız çalışın, sisteminize bilgisayar virüsü bulaşma olasılığı mutlaka vardır.

Tüm bilgisayar virüsler`i, yalnızca bir işletim sisteminde çalışabilecek şekilde tasarlanmış ve yaratılmışlardır. Tıpkı Apple Macintosh için yazılan bir programın IBM PC’lerde çalışmaması gibi (veya tam tersi )... Bir Macintosh’a bulaşabilen bir bilgisayar virüs`ü, bir IBM PC’de etkili olamaz. Evet, bazı Atari bilgisayarları Macintosh yazılımladına uyum sağlayabilir, bazı Macintosh’lar IBM PC yazılımlarını, OS/2 tabanlı bilgisayarlar ise “Compatibility box” içinde DOS uygulamalarını çalıştırabilir ancak; Macintosh sınıfı virüsleri değişik bir ortamda ele almak; Macintosh sınıfı virüsleri değişik bir ortamda ele almak ve bunların Macintosh olmayan sistemleri etkilemeyeceklerini düşünmek yerinde olur. Bilgisayar virüsler`i, bulaştıkları sistemlerin işletim sistemine bağlı programlardır. IBM PC sınıfı virüsler, IBM uyumlu yazılımları çalıştırabilen bir Macintosh’a iletilseler bile bunlar, Macintosh’un IBM uyumluluk için ayrılmış olan bölümlerinde hapsolurlar.






BİLGİSAYAR VİRÜSLERİ`NİN ÇEŞİTLERİ

Kelime işlemciler, elektronik tablolar, .DOS Shell ve benzeri yazılımlar gibi bilgisayar virüsler`i, lezzetin insanı ürküten düzeni içerisinde ortaya çıkarlar. Boot sektörü, komut işlemcisi, .COM ve .EXE dosyaları bulaştırıcıları, cihaz sürücü ( device driver ) şeytanları, çok amaçlı çoğaltıcılar ve belleğe yerleşen izleyiciler; donanıma takılı kalanlar ve CMOS yılanları... Bu liste sonsuzdur.

Her bir bulaştırma tekniği muzır yazılımcılara dikkate değer avantajlar ve dezavantajlar sağlar. Bazı bulaştırma yöntemleri, antivirüs yazılımlarından iyi bir korunma sağladıkları için tercih edilirler, ancak, bunların tasarımı güçtür ve yazılımları da daha çok çaba gerektirir. Diğer yöntemler kodlama ve geliştirme için kolaylıklar sunarlar, fakat, bütün sisteme girme ve etkili olma açısından yetenekleri sınırlıdır.

Kullanıcıların bilgisayar virüs yazılımlarına girmek için gerekli olan düzinelerce giriş noktasını özellikle bilmeleri önemli değildir, ancak, gene de virüslere ilişkin genel bir bilgi edinmek zararlı değildir.



BOOT SEKTÖRÜ BULAŞANLARI

( Boot Sector Infectors )

Bugün satılan her bir masaüstü kişisel bilgisayar sistemi, sistemin yüklenebilmesi için ya bir disket veya sabit disk ya da bir ROM ( Read Only Memory ) yongasına gereksinim duyar. Ana sistem disketleri, genellikle boot edilebilir disketler olarak düşünülür ve bir bilgisayarı açma işlemi boot etme ( booting up ) olarak tanımlanır. ( ROM içerisinden DOS sağlayan sistemler az ve seyrektir. Bunlar bile DOS uyarlamalarını güncelleştirme, kopya-korunmalı yazılımların bazı formlarını yüklemede veya DOS olmayan işletim sistemlerini kullanmada boot edilebilir disket kullanmayı gerektirmektedir.)

Sistemin açılışı sırasında, boot edilebilir diskler yüklenmeden, bilgisayarlarda herhangi bir programın çalıştırılmasının mümkün olmadığını anlamak önemlidir. Uygulanabilir, ancak kullanıcıya yönelik olarak sınıflandırılamayan fonksiyonlar vardır. Bunlar BIOS ( Basic Input/ Output System ) fonksiyonlarıdır ve yalnızca bilgisayar programcıları ve bilgisayarkolikler tarafından anlaşılabilirler.

Bilgisayarlar açıldıktan hemen sonra iletişim sistemi, ana boot disketinden program dosyalarını arar ve yükler. Bu dosyalar bilgisayara; temel I/O ( Input/Output-örneğin her bir klavye vuruşunun temel işlevi) fonksiyonlarını kontrol etme gibi düşük-düzey işletim görevlerinden, uygulamalarda kullanıcının silme veya kopyalama isteklerini yönlendirmek gibi yüksek-düzey işlere kadar olan bütün günlük işletimleri nasıl uygulayacağını anlatırlar. Bu tür işletimler, uygulama programları tarafından işletim sistemi aracılığı ile istenirler. İşletim sistemi, işletimi uygular ve sonucu ( başarı veya başarısızlık ) istekte bulunan uygulamaya bildirir.

Sistem disketinde, start-up komut programlarının saklandığı alana genel olarak disk boot sektörü ( disk boot sector ) veya ana boot kaydı ( master boot record ) adı verilir. Disk boot sektöründe saklanan ve özellikle bulaştığı dosyalar üzerinde değişiklik yapma konusunda uzmanlaşan bilgisayar virüslerine Boot Sektörü Bulaşanları ( Boot Sector Infectors ) kısaca BSI denmektedir.

Disk boot sektörüne (ana boot kaydına) virüs bulaşması muzır yazılımcıya bazı avantajlar sağlar. Herşeyden önemlisi, kullanıldığında bu dosyalar dizin listesinde görüntülenmezler. Daha da ötesi, bu gizli DOS işletim sistemi dosyaları kullanıcı tarafından doğrudan doğruya çalıştırılamazlar, herhangi bir güçlü yazılım programı yardımı olmaksızın kolaylıkla silinemez, kopyalanamaz, adları değiştirilemez. Bu alçak-seviye sistem dosyaları yanlış kullanıldığında, sistem yeterli düzeyde çalışamaz. Normal olarak DOS işletim sistem dosyalarının çalıştırılması ve bunlarla ilgili işlemler yalnızca BIOS tarafından gerçekleştirilebilir.

Temel kullanıcı programları veya komut işlemcisi programlar, COMMAND.COM adı verilen dosyada bulunurlar. IBM uyumlu bilgisayarlarda sistemin start-up işlemi bittiktensonra COMMAND.COM yüklenir. Bir diğer deyişle, MSDOS.SYS ve IO.SYS dosyaları yüklenmiş, çalıştırılmış ve bilgisayar, kullanıcı komutlarını uygulamaya hazırdır. A> veya C> iletisi görüntülendiğinde COMMAND.COM yüklenmiştir ve bilgisayar kullanıcı girişlerine hazır durumdadır. Klavyeden herhangi bir komut girildiğinde COMMAND.COM onu yorumlar ve kullanıcının bilgisayardan ne istekte bulunduğunu belirlemeye çalışır. COMMAND.COM kullanıcının ne istediğini tam olarak anlayamamış ise, “Bad command or file name” mesajı görüntülenir. Aksi durumda COMMAND.COM istenilen fonksiyonu yerine getirir ve komut iletisini ( A> veya C>) yeniden görüntüleyerek yeni bir komut beklemeye başlar.

COMMAND.COM gibi komut işlemcilerine bulaşmak için tasarlanmış olan bilgisayar virüslerine Komut İşlemcisi Bulaşanları ( Command Processor Infector-CPI ) adı verilir. Bunlar muzır yazılıcılara önemli avantaj sağlarlar. IBM uyumlu bilgisayarlarda komutların büyük çoğunluğu klavyeden girildiği için, komut işlemcisi bulaşanları kullanıcı ve bilgisayar arasında etkileşimin önemli bir bölümünü sınamak avantajına sahiptir. Komut İşlemcisi Bulaşanları, DIR veya COPY gibi boot sektörü bulaşanları, sistem yüklenir yüklenmez kendileri de belleğe yerleşebileceklerinden sistemin denetimi üzerinde etkin bir güce sahip olurlar. İşletim sistemi yüklenmeden, komut işlemcisi yüklenmeden, yığın kütükleri ( batch files ) ve mönü sistemleri yüklenmeden önce ve doğal olarak hiçbir antivirüs programı yüklenmeden önce boot sektörü bulaşanları bütün denetimi ele alırlar.

Boot sektörü bulaşanları bellekte kalıcıdır ve her zaman aktiftirler. Diğer bellekte kalıcı programlar gibi CTRL-ALT-DEL tuş kombinasyonu ile sistemin yeniden yüklenmesi durumunda ( warm boot ) bellekten yok edilemezler. Antivirüs yazılımların aldığı önlemleri de kollayarak, kullanıcının her hareketini izlerler. ( Örneğin, virüs yazılımının eklenmesi ile dosya uzunluklarının artmasına rağmen, dizin listesinde değişikler yaparak kullanıcıya doğru dizin listesini verirler. ) Ve zamanı geldiğinde normal işlemleri keser ve verileri kolaylıkla bozarlar.






KOMUT İŞLEMCİSİ BULAŞANLARI

( Command Processor Infectors )

Hemen hemen bütün IBM uyumlu PC’ler ya MS-DOS (The Microsoft Disk Operating System ) ya da PC-DOS’un (bu sistemin IBM uyarlaması) bir uyarlaması kullanırlar. Bu standart PC işletim sistemi genelde DOS olarak adlandırılır. DOS dosyaları temel olarak *** geniş kategoriye ayrılırlar: Alçak-düzey sistem destek dosyaları ve yüksek-düzey kullanıcı program dosyaları.

"Gizli" (hidden) işletim sistemi dosyaları IO.SYS ve MSDOS.SYS olarak adlandırılmıştır. (IBM’in PC.DOS’unda bunlar IBMBIO.COM ve IBMDOS.COM adlarını alırlar.) DOS DIR komutu COMMAND.COM komutları geri planda çalışırken, normal disk ulaşımlarının ardına gizlenme fırsatını çoğu zaman kötüye kullanırlar.

Örneğin, kullanıcının disket içeriğini görmek için tek yolu DIR komutunu kullanmaktır. DIR sözcüğünün yazılması ile, disket sürücü okuma ( read ) işlevini yerine getirmek üzere harekete geçer. Kullanıcı bu sırada disket erişimlerinin gerçekleşmesini bekler. DIR komutu tam olarak yerine getirilmeden önce komut işlemcisi bulaşanları kayıp içeri girerler, araştırırlar ve buldukları zaman diğer komut işlemcilerine bulaşırlar. Bu arada da DIR komutu hiçbir şey olmamış gibi yerine getirilir. Virüs bulaştırılmış komutların işletilmesi temiz olanlara oranla daha uzundur, ancak kullanıcıların çoğu bu farka dikkat etmezler. Ama muzır yazılımcı bunun farkındadır.






GENEL AMAÇLI BULAŞANLAR

( General Purpose Infectors )

Bilgisayar virüsleri krallığının “her eve lazım” tipindeki en popüler elemanları Genel Amaçlı Bulaşanlardır ( General Purpose Infectors-GPI ). Genel Amaçlı Bulaşanlar herhangi bir hedefe yönelik olarak tasarlanmamışlardır ve genellikle düşük düzeydeki sistem işletim dosyalarına bulaşmazlar. Ancak gene de merkezi komut işlemcilerine bulaşmaları kaçınılmazdır.

Genel Amaçlı Bulaşanlar (GPI) bilgisayar sistemlerine, Boot Sektörü Bulaşanları (BSI) ve Komut İşlemlicisi Bulaşanları’nın (CPI) kullandığı aynı gizli yolları kullanarak girerler. Düşük düzeyde sistem dosyalarını araştırmak ve komut işletimlerini hedeflemek yerine, daha çok çalıştırılabilir dosyalara bulaşma eğilimindedirler. (Bazıları yalnızca bir çalıştırılabilir dosya türüne yöneliktirler, *.EXE veya *.COM ) Hedef program dosyalarının DISKCOPY gibi kullanım programı veya kelime işlemciler gibi uygulama yazılımları olmalarına bakmaksızın GPI’lar onlara bulaşabilir ve onları Truva atı gibi kullanabilirler.

Genel Amaçlı Bulaşanlar tüm sisteme sızmakta ustadırlar ve böylelikle bilgisayar virüslerinin en hızlı yayılan tiplerini oluştururlar. İyi tasarlanmış olanları çalıştırılabilir dosyalar arasında çok hızlı hareket ederler ve çok kısa bir sürede bütün dosyalara bulaşarak sistemi ele geçirirler. Bir kez ortaya çıkarıldıklarında boot sektörü ve komut işlemcisi buluşunları kolaylıkla yok edilebilmelerine (sistem ve komut işlemcisi dosyalarını yeniden yükleyerek) karşın, genel amaçlı bulaşanlarca ele geçirilen sistemlerde onarımı olası olmayan sorunlarla karşılaşılabilinir.
BaDsOuL isimli üyemiz çevrimdışıdır. (Offline)   Alıntı ile Cevapla
zurna, chat, sohbet, hemen, bağlan,
Zurnachat Tıkla Sohbet-Chat 'e Başla
Alt 27 Mart 2009, 21:17   #6 (permalink)
Uzman
 
BaDsOuL Nickli Üyenin Kullanıcı Resmi (Avatar)
 
Üyelik Tarihi: 27 Eylül 2008
Konum: Başını göğsüne yasladığımda tek bir düşmanım vardır; Geçip giden zaman.
Mesajlar: 1.078
Standart

ÇOK AMAÇLI BULAŞANLAR

( Multipurpose Infectors )

Boot sektörü, komut işlemcisi ve genel amaçlı bulaşanların bazı ya da bütün bulaşıcı özelliklerini birleştiren bilgisayar virüslerinin ortaya çıktığını düşünün. Düşüncesi dahi korkunç olan Çok Amaçlı Bulaşanlar (Multipurpose Infectors-MPI) pratikte gerçektirler ve şimdiye kadar tartışılmış olan üç virüs tipinin de en güçlü özelliklerini birleştirmek için tasarlanmışlardır.

Çok Amaçlı Bulaşanlar temel olarak boot sektörünü, komut işlemcisini veya her ***sini de enfekte ederler. Oradan, gerçekte genel amaçlı bulaşanlar olan virüs parazitlerin yayarlar. İki veya daha fazla bulaşıcı tekniğe sahip olan Çok Amaçlı Bulaşanlar, daha uzun yaşamayı başarırlar ve kendilerini yeniden üretme konusunda, tek boyutlu bulaşıcı özelliğe sahip virüslerden daha ustadırlar.

Çok Amaçlı Bulaşanlar işletim sırasında denetimi el geçirdikleri zaman, boot sektörü ve komut işlemcisinde bulaştırılmış dosyaları tanımlayan virüse özgü işaretler (V- markers ) ararlar. V-markers bulunamadığı durumlarda, Çok Amaçlı Bulaşanlar işaretlenmemiş olan dosyaları enfekte ederler. Ancak bazen V-markers bulunmasına karşın, bir tuzak olabilir sanısıyla Çok Amaçlı Bulaşanları bu dosyalara da bulaştırırlar. Çok Amaçlı Bulaşanlar, etkili, bağışıklık kazanabilen, boot sektörüne, sistem dosyalarına, komut işlemcisine ve genel programlara zarar verebilen virüs tipleridir.



BELLEKTE KALICI BULAŞANLAR

( Memory Resident Infectors )

Boot sektörü ve komut işlemcisi bulaşanları Bellekte Kalıcı Bulaşanlar (Memory Resident Infectors-MRI) olarak tanımlanabilirler, çünkü her *** virüs tipi de bellekte yüklü kalır ve uygun koşullarda bilgisayarın belleğinde aktif hale gelirler. Birçok programcının kullandığı kullanım programları (utilities) gibi, bazı bilgisayar virüsleri de bellekte yerleşik işlem yeteneğine sahiptirler. Yasal olan TSR (Terminate-and-Stay Resident, Yok et ve yerleş) kullanım programlarının aksine, Bellekte Kalıcı virüsler kullanıcı tarafından tek bir tuş darbesiyle çağrılamazlar; onlar yükleme sırasında belleğe yerleşir ve bütün oturum boyunca aktif kalırlar.

Bellekte Kalıcı Bulaşanların bir çok üstün yanları vardır. Sürekli bellekte yüklü ve aktif oldukları için, bir çok bilgisayar aktivitesine karışabilme yeteneğine sahiptirler. Klavyeden verilen komutları kesintiye uğratabilir, ekran çıktılarını tahrip edebilir, veriler kontrol edebilir ve hatta daha kötüsü değiştirebilirler. Dahası Bellekte Kalıcı Bulaşanlar, sürekli olarak hedef sistem içerisinde bulaştırılmamış dosyaları tararlar ve onlara da bulaşırlar.



BİLGİSAYAR VİRÜSLERİ TARAFINDAN KULLANILAN

POPÜLER BULAŞTIRMA YÖNTEMLERİ


Bilgisayar virüsleri bilgisayarınıza bulaşır demek yeterli değildir. Her bir bilgisayar virüsünün denetimi ele geçirmede kendisine özgü bir yöntemi vardır. Virüsler, türlerine göre, kendilerini programın sonuna ekleyebilir, içine nüfuz edebilir veya çalıştırılabilir program dosyalarının çevresini çepeçevre sarabilirler. Bazı virüsler ise daha yüksek düzeyde adaptasyon için söz konusu yöntemleri birleştirirler. Virüsler belleğe yerleşerek DOS sistem çağrılarını ve kullanıcı komutlarını kesintiye uğratabilirler. Sistem giriş/çıkış (I/O, Input/Output)’larını kendilerine doğru yeniden yönlendirebilir veya korunmasız bölgelere giderek temiz dosyaları virüslü taklitleriyle değiştirebilirler.

Kullanıcılar bilgisayar virüsleri ve hedef sistem (kendi sistemleri) arasındaki teknik diyaloğun ayrıntıları ile ilgilenme gereği duymazlar; temeldeki amaçları güvenli bilgi işlem çalışmaları yapma ve onları anlamadır. Ancak, bilgisayarınız içinde neler olduğu konusunda bir düşünce sahibi olmanız yararlıdır. Amaç olarak yazılımı, verileri ve dosyaları düşünmek bilgisayarınızın değil, sizin sorumluluğunuzdadır. Bu amaçlara ulaşma yollarının denetimini, ancak sisteminizin korunması konusunda bilgi edinmeye istekli olduğunuz ve bu uğurda enerji ve zaman harcadığınız zaman elinizde tutabilirsiniz. Bu nedenle, bu bölümde virüsler tarafından kullanılan yöntemlerin kısa bir özeti sunulmuştur.

Bilgisayar virüslerinin çoğunluğunun çalıştırılabilir dosyalardan denetimi ele geçirmek için kullandıkları beş popüler yöntem vardır:

Ekleme (Appending)
Araya sokma (Insertion)
Yeniden yönlendirme (Redirection)
Yer değiştirme (Replacement)
Virüs kabuğu (The viral shell)


EKLEME (Appending)

Çalıştırılabilir program dosyalarının sonlarına virüse ilişkin kod ekleyen virüsler ekleyerek bulaştırma yöntemini kullanırlar. Hedef çalıştırılabilir (.EXE) programlar değiştirilebilirler, böylece bu programlar çalıştırıldığı zaman, Şekil 3-1’de gösterildiği gibi programın denetimi program sonuna eklenen virüs kodlarına geçer. Şekildeki numaralar, normal bir programın yürütülmesi ve daha sonra virüslü bir program sırasında oluşacak olayların sırasını belirtmektedir.



Ekleme Virüsü Tarafından Bulaştırılmış Bir Program


Enfeksiyondan önce program

PROGRAM.EXE

Dosya Uzunluğu= 10240 bayt


Enfeksiyondan sonra program

PROGRAM.EXE

VİRÜS KODU

Dosya Uzunluğu=10240 bayt + virüs kodunun uzunluğu



Bulaştırmanın sıralamayı nasıl değiştirdiğine dikkat etmelisiniz: Eklenen virüs kodu kendini harekete geçirir ve fesat görevini başarıyla tamamladıktan sonra, komut, hiçbir şey olmamışçasına çalışmaya devam ederek ana dosyalara geri döndürülür.

Bulaşacakları dosyaların tipine bağlı olarak ekleme yöntemini kullanan bilgisayar virüsleri, işletim süresince denetimini hedefledikleri programlardan saptırmak için bir çok farklı teknikler kullanırlar. Örneğin, .COM ve .EXE kütükleri program giriş noktalarını (program kodlarının bellekteki başlama yerleri) bilgisayara tavsiye etmek için farklı algoritmalar (komut sıralaması) kullanırlar. Muzır yazılımcılar bulaştırma mekanizmalarını tasarlarken bu ince program farklılıklarına dikkat ederler, aksi takdirde ekleme yöntemini kullanan virüsleri yalnızca bir çalıştırılabilir dosya tipine yönelik oluştururlar. Bu nedenledir ki, bazı virüsler sadece .EXE dosyalarına bulaşabilirler. Bunların yazılımcıları, hedef kütüğün çok yönlü özelliklerin ele almada gereli uygun mantığı kullanmada yetersiz veya isteksizdirler.

ARAYA SOKMA ( Insertion )

Kendi yazılım kodlarını, doğrudan doğruya kullanılmamış olan kodların ve çalıştırılabilir programların veri bölümlerinin arasına yerleştiren bilgisayar virüsleri, hedefledikleri dosyaları denetlemek için araya sokma yöntemini kullanırlar. Bir önceki yöntemde olduğu gibi, araya sokma yöntemini kullanan virüsler de hedef dosyalarda bazı değişikliklere neden olurlar. Yöntemlerdeki farklılık, Şekil 3-2’de gösterildiği gibi, virüs kodunun sona eklenmesi yerine, hedeflenen çalıştırılabilir dosyanın içerisine yerleştirilmesidir.



__________________________________________________ ___________________________

Araya Sokma Yöntemini Kullanan Bir Virüs

Tarafından Bulaştırılan Bir Program

Enfeksiyondan önce program

PROGRAM.EXE

Dosya Uzunluğu=10240 bayt

Enfeksiyondan sonra program

PROG(VİRÜS KODU)RAM.EXE

Dosya Uzunluğu=10240 bayt




Araya sokma yöntemini kullanan virüslerin gelişimi, ekleme yöntemini kullanan virüslere göre daha zordur; çünkü temelde virüs kodunun uzunluğu minimumda tutulmalıdır. Çoğu zaman yeter büyüklükte kullanılmamış program alanı bulmak zor, hatta bazı durumlarda olanaksız olabilir. Bu uzunluk sınırlaması virüs kodunun uyarlanabilirliğini azaltarak, muzır yazılımcıların virüse ekleyecekleri fonksiyonların sayısını oldukça azaltır. Öte yandan, ekleme yöntemini kullanan virüslerde bu sınırlama yoktur. Özellikle .EXE dosyaları için tasarlanmaları daha kolaydır, çünkü .COM dosyaları için geçerli olan 64K dosya uzunluğu sınırlaması .EXE dosyaları için geçerli değildir.



YENİDEN YÖNLENDİRME ( Reduction )


Yeniden yönlendirerek bulaştırma yöntemi ileri düzeyde virüs yazılımcıları tarafından kullanılan ilginç ve üst düzeyde bir yaklaşımdır. Bu şema altında bilgisayar

virüsü denetim merkezleri, disk bölünüm alanları, bozuk olarak işaretlenmiş sektörler veya gizli dosyalarda gizlenirler. Ekleme veya araya sokma yöntemlerini kullanan “usta” virüsler, çalıştırılabilir. ( .EXE ) dosyalar arasına küçük virüs işçilileri yerleştirirler. Bu virüs işçileri hedeflenen program çalıştırıldığında ustalarına çağrılar (çalıştırma istekleri) yayınlayarak program akışını yeniden yönlendirirler. Usta (belki daha çok virüs işçisi yayarak) işçilerini yönetir ve daha sonra denetimi gerçek programa bırakırlar.

Virüs işçileri teoride birkaç düzine bayt küçüklüğünde veya bu uzunluktan daha kısa olduklarından, sınırlı sayıdaki kullanılmayan program alanları içerisine gizlenmeleri çok kolaydır. İşin daha ilginç yönü; bellekte kalıcı virüslerle ( boot sektörü veya komut işlemcisi buluşanları gibi) birleştirildiklerinde, virüs işçilerinin boyu *** başta kadar sıkıştırılabilirler ve bu *** bayt denetimi bellekteki virüslere devreden DOS kesintilerini ( interrup) çağırmak için gereklidir.

Yeniden yönlendirme yönteminde virüs kodlarının büyüklüğü ihmal edilebilir oranda az olduğu için, diskteki boş alanlarda herhangi bir değişiklik farkedilmez. Uygun küçüklükte olan bulaştırıcı kod parçaları program dosyalarını birkaç bayt büyütürler veya hiç büyütmezler.
BaDsOuL isimli üyemiz çevrimdışıdır. (Offline)   Alıntı ile Cevapla
zurna, chat, sohbet, hemen, bağlan,
Zurnachat Tıkla Sohbet-Chat 'e Başla
Cevapla


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil

Yetkileriniz
Konu Acma Yetkiniz Yok
Cevap Yazma Yetkiniz Yok
Eklenti Yükleme Yetkiniz Yok
Mesajınızı Değiştirme Yetkiniz Yok

Smileler Açık
[IMG] Kodları Açık
HTML-Kodu Kapalı
Trackbacks are Açık
Pingbacks are Açık
Refbacks are Açık

Hizli Erisim


Tüm Zamanlar GMT +2 Olarak Ayarlanmış. Şuanki Zaman: 12:58.


Powered by vBulletin® Version 3.8.1
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.

zurna | chat | sohbet | chat programı | site ekle | arkadas | Link | sohbet programı | chat odaları | toplist | irc | chat siteleri | chat odaları | chat sayfaları
zurna, chat, sohbet
zurna-chat-sohbet-program-indir-yukle-download


sohbet

Eğlence Sohbet Arkadaşlık

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88