Open in app

Sign in

Write

Sign in

Virüsler

Dehni
Dehni’s Notes
Published in
9 min readNov 26, 2022

Virüs nedir ?

Özel olarak yazılmış küçük birer programdır. Fark edilmemek ve kolayca yayılabilmek için mümkün olduğunca küçük olmalıdır. Amaçları diğer programlara kendilerini bulaştırabilmektir. Bu şekilde yayılırlar.

Virüs Türleri :

- Boot Virüsleri : Disklerin ve sabit disklerin boot sektörlerine bulaşırlar.

- Dosya/Program Virüsleri : Doğrudan çalıştırılabilir .com ve .exe türü dosyalara bulaşırlar.

- Makro Virüsleri : Microsoft Office’in programlarının dokümanlarına ve access veritabanı dosyalarına makro programı olarak bulaşırlar.

- ActiveX ve Java Virüsleri : Web sayfasına gömülü bulunan Java programlarını ActiveX kontrolleri kullanarak faaliyet gösterirler.

Bazı virüsler birden fazla türün özelliklerine sahip olabilirler. Bu tür virüslere karma virüsler diyoruz. (örneğin hem boot hem de dosya virüsü özelliğine sahip bir virüs olabilir)

Virüslere Benzer Özellikler Gösteren (virüsümsü) Türler

- Solucanlar/Kurtçuklar(Worms): Ağlar yoluyla yayılırlar. Yayılma sırasında ayrıca bir dosyaya ihtiyaç duymazlar. En popüler soluncanlar e-mail yoluyla yayılırlar.

- Truva Atları : Bir program dosyasına eklidirler. Bulaşamazlar, kullanıcıların kopyalamasıyla yayılırlar.

- Kandırmacalar(Hoax): Gerçekte olmayan virüsler hakkına kandırıcı mesajlardır.

-Şakalar(Joke): Virüsmüş gibi davranan fakat virüs olmayan şaka amaçlı programlardır.

Virüsler Nasıl Bulaşırlar?

Virüslü dosyaların veya disketlerin farklı bilgisayarlarda kullanılması sonucu virüsler o bilgisayarlara ve içindeki dosyalara bulaşırlar. Bulaşma şekli ve yeri virüsün türüne ve özelliklerine göre değişebilir.

- Dosya/Program virüsleri genellikle dosyaların sonlarına kendilerini eklerler. Bunun sonucu olarak dosyanın boyu uzar.

- Makro virüsleri dokümanlara makro olarak eklenirler. Bunun sonucunda dosyaların boyu uzar, dokumandaki makro sayısı da artar.

- ActiveX ve Java virüsleri daha çok HTML dosyalarına bulaşırlar. Bunun sonucunda dosyanın boyu uzar veya kendi kaynak dosyalarını içeren dosyalar oluştururlar. Çoğu işletim sisteminin Registry’sinde değişiklik yapar.

- Kurtçuklar/Solucanlar e-mail veya diğer yollarla gelen dosyanın çalışması sonucu bilgisayara bulaşır ve kendisini yaymak için diğer bilgisayarlara kendisinin kopyasını gönderir. Bir çoğu işletim sisteminin Registry’sinde değişiklik yapar.

Truva atları eklendikleri program dosyasının çalıştırılması sonucu aktif olurlar. Bulaşamazlar. Bir çoğu işletim sisteminin Registry’sinde değişiklik yaparlar.

Virüslerin Belirtileri Nelerdir?

  • Bilgisayardaki gariplikler
  • Bilgisayar performansındaki düşmeler ve yavaşlıklar
  • Sabit diskin normalden daha fazla kullanılıyor olması
  • Dosyaların boyutlarındaki artış
  • Bazı programların bozulması veya düzgün olarak çalışamaması
  • Kendi kendine oluşan dosyalar
  • Bellekteki boş alanın azalması vs.

Virüslerin Etkileri Nelerdir ?

Kötü maksadı olmayan virüsler : kötü maksadı olmayan virüslerin bile zararı vardır. Bilgisayarın yavaşlamasına ve zaman zaman dosyaların bozulmasına sebep olabilirler.

Kötü amaçlı virüsler : sisteme zarar vermek üzerine tasarlanırlar. Kötü amaçlı virüsler dosyaları bozabilirler , dosyaları silebilirler , diski formatlayabilirler , bilgisayar donanımının düzgün çalışmasını engelleyebilirler , güvenlik açıkları oluşturup bilgisayar sisteminin korumasız hale gelmesine neden olabilirler vs..

Virüslerden Nasıl Korunuruz ?

Genel olarak anti-virüs programlarını kullanmak virüslere karşı etkilidir fakat anti-virüsler hiçbir zaman %100 koruma sağlayamazlar.

Peki ne yapılabilir ?

  • Düzenli olarak sistemdeki önemli dosyaların yedeklenmesi yapılabilir.
  • Windows’a gelen güncellemeleri kesinlikle aksatmamalıyız. Gelen güncellemeler mümkün olduğunca yapılmalı.
  • Bilgisayarınızda dosya uzantılarının görünmesini sağlayabilirsiniz.(örneğin bir dosyanın ikonu Word ikonu olup dosyanın .jpg veya farklı bir formda olduğunu görebilirsiniz.)
  • Boot virüslerinden korunmak için dışarıdan gelen her diski virüs kontrolünden geçirmek yararlı olacaktır.
  • Dosya virüslerinden korunmak için indirilen veya aktarılan her dosyayı virüs taramasından geçirmek yararlı olacaktır.
  • Makro virüslerinden korunmak için Microsoft Office uygulamalarında makroları devre dışı bırakmak yararlı olacaktır.
  • Java/ActiveX/HTML virüslerinden korunmak için tarayıcınızın güvenlik seviyesini özelleştirebilirsiniz( güvenlik seviyesinin arttırıp azaltabilirsiniz) ve tarayıcınıza gelen güncellemeleri yapmalısınız.
  • Kurtçuklardan/Solucanlardan korunmak için mailinizdeki ön görüntüleme(preview) özelliğini devre dışı bırakabilirsiniz. Bazı solucanların aktif olması için maili açmanıza bile gerek yoktur.
  • Preview de görüntülerseniz solucan bilgisayarınıza sızabilir.
  • Truva atlarından korunmak için mutlaka anti-virüslerden faydalanmak gerekmektedir. Eğer yetersiz ise sadece Truva atlarını tespit etmek için özel programlar vardır. Truva atlarını tespit etmek daha zordur.

Bilgisayarım Virüslendi Ne Yapabilirim ?

  • İlk önce virüsün formatlama veya dosyaları silme gibi işlemler yaptığını düşünüyorsanız ve çok acil durumlarda bilgisayarı doğrudan kapatabilir veya fişini çekebilirsiniz.(Fakat bilgisayarın doğrudan kapatılması kaydedilmemiş dosyaların kaydedilmesine ve işletim sistemi ile bazı uygulamaların bozulmasına sebep olabilir!!)
  • Bilgisayarınızın virüslendiğini düşünüyorsanız öncelikle bilgisayarın dış dünya ile bağlantısını kesmelisiniz ( İnternet bağlantısını kopartın veya bir networke bağlı ise network kablosunu çıkartın)
  • Bu işlemleri yaptıktan sonra tespit ve temizleme kısmına geçilebilir.
  • Temizleme kısmına geçmeden önce mümkünse anti-virüs programınızı güncelleyin.
  • Anti virüs programınızı çalıştırın ve detaylı virüs taraması yaptırın.
  • Eğer virüs bulursanız ve temizleyebiliyorsanız temizleyin.
  • Virüs temizlenemiyorsa dosyayı karantinaya alın . Eğer dosya gereksiz bir dosya ise dosyayı komple silebilirsiniz. Dosya değerli bir dosya ise dosyayı başka bir yere aktarın (USB veya diske) ve aktardıktan sonra bilgisayardaki dosyayı özel olarak taratın. Eğer dosyalar silinmeden virüs temizlenebiliyorsa devam edin. Yoksa başka çözümlere başvurun.
  • Virüsü temizledikten sonra anti-virüsünüz ile yeniden bir tarama yapın. Eğer virüs tespit edilmez ise sorun çözülmüştür. Fakat virüs yine karşınıza çıkıyorsa baştan itibaren adımları tekrarlayın.
  • Gerekiyorsa başka bir anti-virüs programı kullanın.

Eğer virüsü hala silemediyseniz ve virüsün türünü biliyorsanız sadece o virüse yönelik programları indirerek virüsü temizlemeyi deneyebilirsiniz.

İlk Bilgisayar Virüsü Nasıl Ortaya Çıktı ?

Bilgisayar virüslerinin esin kaynağı doğadaki virüslerdir.

Bildiğimiz bilgisayar virüslerinin ilki olarak kabul edilen “Brain” ya da “ Pakistani Brain” bilgisayar programları yazan iki kardeşin korsan kopyalanmaya karşı geliştirdiği bir çözümün sonucu olarak ortaya çıkmıştır.

İlk çıkan virüsler çok ilkel ve basit virüslerdir. Günümüzde komplex ve daha iyi tasarlanmış virüsler bulunmaktadır. İlk çıkan virüslerin hemen hemen hepsi yok olmuştur.

Virüs Yazmak Zor mu ? İyi Virüs Nedir?

Virüs yazmak zor değildir fakat iyi bir virüs yazmak çok zordur.

Virüs yazmanın en kolay yolu bir virüsü alıp (hazır kod) üzerinde değişiklikler yapmaktır. Yani var olan bir virüsün farklı bir versiyonunu oluşturmaktır.

 İyi bir virüsü yazabilmek için programcılık bilgisi kadar işletim sistemini ve açıklarını bilmek gerekir.

 İyi yazılmış bir virüs bulaştığı her ortamda düzgün çalışabilmeli , kendisini fark ettirmemeli , bir çok yere bulaşabilmelidir. İyi bir virüs yazabilmek var olan virüslerin dışında yeni bir virüs tasarlamaktır.

 Virüslerin iyi olmasını istiyorsanız stealth(virüsün tespit edilmesini engelleme veya gizlenme) , encrypt(virüsün tespitini zorlaştırır virüsün kodu mantıksal yöntemlerle şifrelenir) veya polymorphic(bulaştığı her cihazda virüs içeriğini değiştirme) denilen konuların üstünde durmalısınız.

Bir Virüsü Yazanı Tespit Etmek Mümkün mü ?

Bugüne kadar tespit edilmiş virüs yazarları vardır fakat bunlar sadece birkaç tanedir. Eskiden daha kolay şekilde virüsü yazan tespit edilebilirdi( disketlerden yayılan virüsün yayılma yolu takip edilirdi) fakat virüsler günümüzde çoğunlukla internet üzerinden yayıldığı için yazarını tespit etmek pek mümkün değildir. Bir virüsü yazabilecek kişinin kendi izini bırakmayacak kadar iyi bir bilgiye sahip olduğu da göz önüne alınırsa bu pek mümkün değildir. Fakat virüs kodunun içinde yazarın imzası , nickname’i gibi izler var ise bulunması daha da kolaylaşır.

Virüsler Nasıl Yazılır ?

Öncelikle virüs yazmayı 2 çeşit olarak ayırabiliriz :

  • Var olan bir virüsün başka versiyonunu yaratmak (Yani olan bir kodun üzerinde değişiklikler yapmak)
  • Tamamen yeniden bir virüs tasarlamak

Tamamen yeni bir virüs tasarlamak :

 Yeni bir virüsü tasarlarken virüsün yazarı mevcut birkaç virüsü alıp , sentezleyip yeni bir virüs ortaya çıkartabilir. Veya tamamen orijinal yeni bir virüs yazabilir.

 Virüs geliştirirken uzun bir süre eksiklerin ve hataların düzeltilmesiyle uğraşılır. Peki bu eksikler ve hatalar nasıl bulunur? Virüsün yazarı virüsünü laboratuvar ortamındaki bilgisayarlara bulaştırıp gelişmeleri izler. Elde ettiği sonuçlara göre değişiklikler yapar. Ve bu aşamanın sonunda virüs hazır hale gelir.

Virüs yazım aşaması bittikten sonra virüsün bulaştırma aşamasına geçilir.

Bir Virüsün İlk Kez Tespit Edilmesi

- Tespit edilen yeni virüsler genellikle anti-virüs geliştiricilerine iletilir. Bunu daha çok kurumsal kullanıcılar yapar.

- Bazı anti-virüs programları erken uyarı sistemleri tarafından tespit ettikleri yeni virüsleri otomatik olarak merkezlerine bildirirler.

Virüsün Anti-virüslere Eklenmesi

Anti-virüs geliştirici uzmanlar tespit edilen her türlü şüpheli uygulamayı çeşitli testlere tabi tutar.

Testlerin sonucunda uygulamanın virüs veya virüsümsü olup olmadığı belirlenir. Eğer virüs veya virüsümsü olduğuna kanaat getirilirse veri tabanındakilerle karşılaştırılır. Daha önce tespit edilenlerle akrabalıkları bulunursa birbirlerinin türevi olarak literatüre kaydedilirler. Eğer daha öncekilerden farklı ise yeni bir isim verilerek literatüre eklenirler.

Virüsün Yok Edilmesi(Asimilasyon)

Yeni virüslerin tespit edilmesiyle birlikte virüse yönelik temizleme yöntemleri geliştirilmeye başlanır.

Temizleme yöntemlerinin başlaması virüsün yok edilmesine başlangıçtır. Yöntemler geliştirildikten sonra virüsün temizlenmesi artar ve zamanla virüsün kökü kazınır.

Küçük bilgilendirme : Virüslerin öncelikli amacı bulaşmak ve yayılmaktır. Diğer amaçları ise mesaj vermek, zarar vermek , işletim sistemini çökertmek , güvenlik açıkları oluşturmak , kredi kartı ve şifre bilgilerinin casusluğunu sağlamaktır.

Virüsler ve İşletim Sistemleri

Bilgisayar virüsleri için en popüler ortam Windows’tur. Linux gibi diğer işletim sistemlerinde de virüsler görülür fakat Windows’un en yaygın işletim sistemi olması nedeniyle virüs yazarlarının seçimi genelde Windows’a yöneliktir.

Virüslerin Zarar Verme Şekilleri

Overwrite(Dosya Üzerine Yazma) : Daha çok ilkel virüslerde kullanılır. Virüs kendini kurban dosyanın başına yazar. Dosyanın virüsün uzunluğu kadarki ilk kısmı tamamen silinir. Bu işlem sonucunda geri dönülemez bir şekilde zarar verilmiş olur. Temizleme yöntemi dosyayı silmektir.

Stealth(Saklı): Tespit edilmeyi engellemek için kullanılan saklanma veya kendini gizleme tekniklerine verilen genel addır.

Dosya bilgilerindeki değişiklikleri gizleyen virüsler vardır. Bulaşmadan sonra virüsün boyundaki uzamayı gizlemeye yöneliktir. İşletim sistemi dosya bilgilerini okuduğunda dosyanın boyu orijinal boyu olarak görülebilir.

Bazı boot virüsleri boot sektör okunmak istendiğinde asıl boot sektörünün kopyasına yönlendirme yapar. Böylece kendini gizler.

Encrypt(Şifreli): Tespit edilmeyi ve temizlenmeyi zorlaştırmak için virüs yazarlarının kullandığı bir tekniktir. Virüsün kodu mantıksal veya başka yöntemlerle şifrelenir.

Polymorphic(Şekil Değiştiren): Her buluşmada içeriği değiştirerek imza temelli virüs tespit yöntemlerini atlatmayı hedefleyen bir yöntemdir. İleri düzey ve uygulanması zor bir yöntemdir. Virüs devamlı kılık değiştirdiği için sabit bir eşkal tarifi yapılamaz.

Retro: Doğrudan anti-virüs programlarına saldıran virüslere verilen addır. Anti-virüs programlarına çeşitli yöntemlerle zarar verirler. Anti-virüsü doğrudan çalışamaz hale getirenleri olduğu gibi çalışmasına rağmen virüsü yakalayamayacak hale getirenleri de olabilmektedir.

Fake Boot: Ctrl+Alt+Del tuşlarına basılarak yapılan soft-reset’te bellekte kalmayı başarabildiği iddia edilen virüslerdir.

Truva Atlarının Faaliyetleri

Truva atları bulaşamadıkları için yayılmaları daha çok dosya indirme ile olmaktadır. Amaçları genellikle arka kapı açmak , parola ve kredi kartı bilgilerini virüs yazarlarına ulaştırmaktır.

Adımları :

Aktive olma : Truva atı olan uygulama çalıştırıldığı zaman Truva atı aktif hale gelir.

Arka Kapı Açma : Birçok Truva atı internet bağlantısı üzerinden kolayca bilgisayara girmeyi sağlayacak bir backdoor açar.

 Parolaları ve Kredi Kartı Bilgilerini Toplama : Bilgisayar üzerindeki parola ve kredi kartı bilgilerini araştırıp bulduklarını virüsün yazarlarına internet üzerinden iletirler.

 Zarar Verme : Bazı Truva atları belli şartların gerçekleşmesi(tarih ,saat, çalıştırılma sayısı gibi) durumlarda zarar verici bölümlerini çalıştırmaktadır. Verilen zarar mesaj verme, dosya silme veya format atma olabilir.

Virüsleri Tespit Etme Yolları

- İmza Taraması(Signature Scanning) : İmza taraması daha çok tanınan ve sabit bir içeriğe sahip olan virüslere yöneliktir. Virüs ya da virüsümsünün kendine has ve değişmeyen bir kısmı imza olarak seçilir. Seçilen bu karakter dizi taranacak alanda aranır. İmza taraması sadece dosyalar içerisinde değil diskin her yerinde , ram bellekte , ağ veya internetten gelen veri paketlerinde de yapılıyor.

- Heuristic Tarama : Kılık değiştiren ya da daha önce tanınmayan bir virüsü tespit edebilecek yöntemlere ihtiyaç vardır. Bu yöntemlerden birisi Heuristic analiz metodudur. Heuristic tarama ile anti-virüs programı programların kaynak kodunu analiz eder. Zararlı olabileceğinden şüphelenilen komut ve işlemler içeren programlar kullanıcıya iletilir. Bu yöntem uzun zaman alır.

- Aktiviteleri Gözleme( Activity Monitoring) : Farkına varılmamış virüs ya da benzeri zarar verici işlemleri yapılmak istendiğinde tespit etmeye yarar. Aktiviteleri izleyen anti-virüs programları bilgisayar açıldıktan , işletim sistemi yüklenmeden veya yüklendikten sonra belleğe yerleşirler ve bilgisayar kapatılana kadar aralıksız çalışırlar. İşletim sistemini ve çalışan her türlü uygulamanın yaptığı işlemleri devamlı gözlemlerler. Şüpheli herhangi bir işlem yapılmak istendiğinde kullanıcıya rapor ederler. Kullanıcının tercihine göre işlemin devam etmesine izin verirler ya da iptal ederler. Bu işlem bilgisayarı biraz yavaşlatabilir.

- Integrity Checking (Checksumming) : Yeni virüslere karşı etkili bir yöntemdir. Bilgisayar önce virüs taramasından geçirilir. Herhangi bir virüs bulunamazsa temiz olduğu kabul edilir ve her klasörün içine birer “checksum” dosyası oluşturulur. Dosyaların boyu, tarihi ve saati gibi bilgileri bu checksum dosyasına kaydedilir. Daha sonra yapılacak virüs taramalarında anti-virüs programı buradaki bilgilerden faydalanır.

Bazı virüsler checksum’ı stealth özellikleriyle aşabilmektedirler. Birkaç virüs ise doğrudan checksum dosyalarına müdahale ederek anti-virüsün bu yöntemlerden faydalanmasını engeller.

Virüsler ve Registry

Virüslerin bazıları Windows’un Registry’sini kullanırlar. Virüsler registry’den daha çok bilgisayarın açılışında aktif hale gelmek ve bulaşmak için faydalanırlar.

Anti-virüsler dosya bazında temizleme yaparlar. Registry içinde yapılan değişikliklere müdahale edemezler. Bu durumda anti-virüs geliştiricileri virüse özel temizleme programları hazırlarlar. Bunlar registry içinde virüsün yaptığı değişiklikleri düzeltirler. Anti-virüsler registry içindeki değişiklikleri düzeltmese bile virüsün dosyalarını , virüslü dosyaları temizlediği için sorun ortadan kalkmaktadır.

Kurumsal Ortamlarda Virüsler

 Bir kurumsal firmanın güvenliği için alınacak tedbirlerde en başta iyi bir yedekleme sistemi gelir.

Sonrasında internet bağlantı noktasında iyi bir firewall dışarıdan gelebilecek hack ve virüs saldırılarına karşı önemli bir yer tutar. Sonrasında iyi bir anti-virüs sistemi kurumsal bilgisayar sistemi güvenliğini tamamlayacaktır.

Kurumsal firmalarda virüslerin sisteme giriş yolları : Modemler, ağ(network) , usb/cd vs.

Kurumsal bir ağda virüslere karşı alınacak tedbirlerin en yoğun olması gereken yerler sunucular (serverlar) ve istemcilerdir ( clientlar)

Bir Kurumsal Firma Virüs ve Virüsümsülere Karşı Nasıl Önlemler Almalı :

- İyi bir anti-virüs kullanımı

- Modem kullanımını kontrol altına alma(denetleme)

- Dosya paylaşımını kontrol altına alma(denetleme)

- Dışarıdan gelen usb,cd,sabit disk vs. cihazları kontrolden geçirme

- Yedekleme sistemini kurma

- E-mail ekindeki dosyaları sınırlama

- Kurumsal firmanın network çalışanları yeni çıkan virüsleri takip etmeli

  • Anti-virüslere veya Windows’a gelen güncellemeleri aksatmadan uygulama

Anti-virüslerin Temel Çalışma Teknikleri :

Bazı açıdan farklılık gösterseler de temel olarak aynıdırlar. Bir anti-virüs uygulamasının temel kısımları:

 Kullanıcı arabirimi (User Interface) : uygulamanın kullanıcıya iletişimi sağlayan arabirim kısmı.

Tarama/Temizleme Motoru : Asıl işi yapan kısımdır. Virüsleri tespit eder ve temizler.

 Virüs Tanımlamaları Veri tabanı : Tarama/Temizleme motoru bu veri tabanındaki bilgileri kullanarak virüsleri tespit eder ve temizler.

Virüs
Malware
Virüs Çeşitleri

--

--

Dehni
Dehni’s Notes

Written by Dehni

6 Followers
Editor for

Writeups | Cybersecurity Notes | CTFs

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams