Virüs
Bilgisayar virüsü, kullanıcının izni ya da bilgisi dahilinde olmadan bilgisayarın çalışma şeklini değiştiren ve kendini diğer dosyaların içerisinde gizlemeye çalışan bir tür bilgisayar programıdır.
Boot Sector Virüsleri (Ön Yükleme Sektörü)
Bu tarz virüsler kendilerini sistemlerin Boot Sector yani Ön Yükleme Sektörü'ne kaydeder. Bunu yapmalarının sebebi ise sistemin her açılışında virüsün başlamasını garantiye almaktır. İşletim sistemlerinin boot sectorleri harici diskte işletim sisteminden farklı bir partitionda olduğundan, işletim sistemini yeniden kurmak yani halk dilinde format atmak bir çözüm olmayacaktır.
Peki ön yükleme virüslerinden nasıl korunacağız?
Sabit disk bölümü NTFS ise, bölüm bilgileri güvenli bir yanılgı olur. Windows dosya sistemi için servis başlayıncaya kadar NTFS, dosya ayırma tablosu (FAT) gibi diğer dosya sistemleri ve yüksek performans File System (HPFS) gibi tanınmıyor. Bilgisayar başlatma sırasında sistem BIOS'u tarafından tanınan, dosya sisteminden ön yükleme kesimi farklıdır.
Her türlü virüsünün Windows sisteminizin korunmasına ve büyük olasılıkla sabit diskin ön yükleme kesimi kurtarmak için aşağıdaki yöntemlerden birini kullanın:
1.) Ilk sabit disk sürücüsüne ön yükleme işleminin sırasını değiştirmek veya sistem BIOS'u (disket seek yok) ön yükleme disketi devre dışı bırakmak için yapılandırın.
2.) Sistem BIOS'unda, sistem parola korumasını etkinleştirin.
3.) Ön yükleme kesimini düzeltmek için MS-DOS ile sistem disketi kullanarak bilgisayarı başlatın ve aşağıdaki komutu çalıştırın
fdisk/mbr
4.) Doğrulamak ve Windows başlangıç dosyalarını kurtarmak için onarma yardımcı programını çalıştırın.
FDISK/MBR komutunu yalnızca sabit disk sürücüleri olan DOS sınırlamaları içinde çalışır. 1024 silindir sınır aygıtları erişiyorsanız, FDISK/MBR çalıştıramazsınız ve 1762 hata kodunu alırsınız.
Ana ön yükleme kaydı (MBR) virüs bulaşmışsa, virüsün temizlenmesi kadar Acil Durum Onarım disketi çalıştırılamaz. Sabit disk sürücüsü karşı tarama çalıştırılamıyor, çoğu virüs programları DOS aynısına sahip; ancak, DOS 6.22 Msav.exe MBR ve bilgisayarın RAM temizleyecek.
Makro Virüsleri
Makro virüsler içlerinde birtakım işlemler yapacak makrolar barındıran virüslerdir. Genelde Microsoft Office programları, Corel Draw, Photoshop, AmiPro gibi yazılımlar makro desteği ile gelir. Bu makroların amacı bu yazılımların kullanımını kullanıcı tarafından rahatlatmaktır. Ancak bazen masum görünen bir PowerPoint sunumunda sisteme zarar verecek makro kodları olabilir. Bu sebepten ötürü Windows güvenmediği Office dosyalarını "koruyucu mod'da açar. Siz o dosyayı normal mod- da açmadığınız sürece dosyadaki makroların çalışması engellenir. Bu olayla ilgili 2017 de çok kritik bir zafiyet tespit edildi. Hepimizin kullandığı SlideShare adlı web sitesine makro virüslü PowerPoint sunum dosyaları yüklenebildiği tespit edildi. Zafiyetle ilgili detaylara h4cktimes adlı haber platformu şu şekilde yer verdi: Aviran Ben Simon isminde İsrailli bir güvenlik araştırmacısı, daha önceden de Check Point tarafından irdelenen konu üzerinde kendisi de bir çalışma yaparak, Linken ve SlideShare'in dosya yüklemedeki güvenlik mekanizmasını atlatarak zararlı kod içeren bir PPTX dosyasını yüklemeyi başardı.
YouTube
Konuyla ilgili PoC çalışmasını videoya alan Aviran, Linke'in güvenlik mekanizmasının güvende olmadığını ve bu nedenle phishing (oltalama) saldırıları için bir platform olarak kullanılabileceğini belirtti. Videoyu Linken ekibiyle paylaştıktan sonra güvenlik açığı kapatılmış durumda.
Araştırmacı PoC'de zararlı kodu oluşturmak için CVE 2017-0199 ve CVE 2017-8570 açıklıklarından faydalanmıştır.
Ağ Virüsleri
Ağ virüsleri, yerel veya internet ağı üzerinde hızlıca yayılabilen virüslere verilen isimdir. Asıl hedefleri ağ üzerindeki belli bir hedefe ulaşana dek yayılmaktır. Bu virüs kategorisinde tarihte en çok nam salmış iki virüs Nimda ve SQLSlammer'dır.
Yazılım Bombaları
Yazılım bombaları, gerekli şartlar oluşana dek âtıl durumda kalan ve özel bir kodu işleyen yazılımlardır. Şartların olgunlaşması kullanıcıya mesajlar göstermek ya da dosyaları silmek gibi belirli fonksiyonları tetikleyecektir. Yazılım bombaları bağımsız programların içerisinde barınabildikleri gibi virüs ya da solucanların parçaları da olabilirler. Belirli sayıdaki makinayı etkiledikten sonra etkinleşen yazılım bombaları örnek olarak verilebilir. Saatli bombalar, yazılım bombalarının alt kümeleri olup belirli zamanda etkinleşecek şekilde programlanmışlardır. Saatli bombalara ünlü Friday The 13th virüsü örnek verilebilir.
Virüs Oluşturmak
Windows işletim sistemi yüklü bilgisayarları hedef kabul edip basitçe bir virùs oluşturacağız. Windows işletim sisteminde "BAT" uzantılı dosyalar doğrudan MS-DOS üzerinden çalıştırılır. BAT uzantılı bir dosyanın içerisine hedef bilgisayara zarar verecek şekilde MS-DOS komutu yazıp kaydedeceğiz. Bu dosyayı kurbana göndereceğiz. Kurban bu dosyayı çalıştırdığında içerisinde yazdığımız kötü kodlar çalışacaktır. Öncelikle kabaca senaryomuzu hazırlayalım. Windows kullanıcılarının yüzde 95'i kişisel bilgilerini tutmak için harici diskte "Yerel Disk ( D: )" adında "D" kodlu bir bölüm oluşturur ve kişisel dosyalarını orada tutar. Bunun sebebi ise işletim sisteminin Cbölümünde kurulu olmasıdır. Olurda işletim sisteminde bir hata oluşursa erişim sağlanamazsa kişisel dosyalarının zarar görmemesidir. Saldırgan ise kurbanın D bölümündeki tüm dosyaları silmek istiyor olsun. Bu şekil bir saldırı için aşağıdaki gibi bir MS-DOS komutu yazmamız gerekir.
Bilgisayar virüsü, kullanıcının izni ya da bilgisi dahilinde olmadan bilgisayarın çalışma şeklini değiştiren ve kendini diğer dosyaların içerisinde gizlemeye çalışan bir tür bilgisayar programıdır.
Boot Sector Virüsleri (Ön Yükleme Sektörü)
Bu tarz virüsler kendilerini sistemlerin Boot Sector yani Ön Yükleme Sektörü'ne kaydeder. Bunu yapmalarının sebebi ise sistemin her açılışında virüsün başlamasını garantiye almaktır. İşletim sistemlerinin boot sectorleri harici diskte işletim sisteminden farklı bir partitionda olduğundan, işletim sistemini yeniden kurmak yani halk dilinde format atmak bir çözüm olmayacaktır.
Peki ön yükleme virüslerinden nasıl korunacağız?
Sabit disk bölümü NTFS ise, bölüm bilgileri güvenli bir yanılgı olur. Windows dosya sistemi için servis başlayıncaya kadar NTFS, dosya ayırma tablosu (FAT) gibi diğer dosya sistemleri ve yüksek performans File System (HPFS) gibi tanınmıyor. Bilgisayar başlatma sırasında sistem BIOS'u tarafından tanınan, dosya sisteminden ön yükleme kesimi farklıdır.
Her türlü virüsünün Windows sisteminizin korunmasına ve büyük olasılıkla sabit diskin ön yükleme kesimi kurtarmak için aşağıdaki yöntemlerden birini kullanın:
1.) Ilk sabit disk sürücüsüne ön yükleme işleminin sırasını değiştirmek veya sistem BIOS'u (disket seek yok) ön yükleme disketi devre dışı bırakmak için yapılandırın.
2.) Sistem BIOS'unda, sistem parola korumasını etkinleştirin.
3.) Ön yükleme kesimini düzeltmek için MS-DOS ile sistem disketi kullanarak bilgisayarı başlatın ve aşağıdaki komutu çalıştırın
fdisk/mbr
4.) Doğrulamak ve Windows başlangıç dosyalarını kurtarmak için onarma yardımcı programını çalıştırın.
FDISK/MBR komutunu yalnızca sabit disk sürücüleri olan DOS sınırlamaları içinde çalışır. 1024 silindir sınır aygıtları erişiyorsanız, FDISK/MBR çalıştıramazsınız ve 1762 hata kodunu alırsınız.
Ana ön yükleme kaydı (MBR) virüs bulaşmışsa, virüsün temizlenmesi kadar Acil Durum Onarım disketi çalıştırılamaz. Sabit disk sürücüsü karşı tarama çalıştırılamıyor, çoğu virüs programları DOS aynısına sahip; ancak, DOS 6.22 Msav.exe MBR ve bilgisayarın RAM temizleyecek.
Makro Virüsleri
Makro virüsler içlerinde birtakım işlemler yapacak makrolar barındıran virüslerdir. Genelde Microsoft Office programları, Corel Draw, Photoshop, AmiPro gibi yazılımlar makro desteği ile gelir. Bu makroların amacı bu yazılımların kullanımını kullanıcı tarafından rahatlatmaktır. Ancak bazen masum görünen bir PowerPoint sunumunda sisteme zarar verecek makro kodları olabilir. Bu sebepten ötürü Windows güvenmediği Office dosyalarını "koruyucu mod'da açar. Siz o dosyayı normal mod- da açmadığınız sürece dosyadaki makroların çalışması engellenir. Bu olayla ilgili 2017 de çok kritik bir zafiyet tespit edildi. Hepimizin kullandığı SlideShare adlı web sitesine makro virüslü PowerPoint sunum dosyaları yüklenebildiği tespit edildi. Zafiyetle ilgili detaylara h4cktimes adlı haber platformu şu şekilde yer verdi: Aviran Ben Simon isminde İsrailli bir güvenlik araştırmacısı, daha önceden de Check Point tarafından irdelenen konu üzerinde kendisi de bir çalışma yaparak, Linken ve SlideShare'in dosya yüklemedeki güvenlik mekanizmasını atlatarak zararlı kod içeren bir PPTX dosyasını yüklemeyi başardı.
YouTube
Konuyla ilgili PoC çalışmasını videoya alan Aviran, Linke'in güvenlik mekanizmasının güvende olmadığını ve bu nedenle phishing (oltalama) saldırıları için bir platform olarak kullanılabileceğini belirtti. Videoyu Linken ekibiyle paylaştıktan sonra güvenlik açığı kapatılmış durumda.
Araştırmacı PoC'de zararlı kodu oluşturmak için CVE 2017-0199 ve CVE 2017-8570 açıklıklarından faydalanmıştır.
Ağ Virüsleri
Ağ virüsleri, yerel veya internet ağı üzerinde hızlıca yayılabilen virüslere verilen isimdir. Asıl hedefleri ağ üzerindeki belli bir hedefe ulaşana dek yayılmaktır. Bu virüs kategorisinde tarihte en çok nam salmış iki virüs Nimda ve SQLSlammer'dır.
Yazılım Bombaları
Yazılım bombaları, gerekli şartlar oluşana dek âtıl durumda kalan ve özel bir kodu işleyen yazılımlardır. Şartların olgunlaşması kullanıcıya mesajlar göstermek ya da dosyaları silmek gibi belirli fonksiyonları tetikleyecektir. Yazılım bombaları bağımsız programların içerisinde barınabildikleri gibi virüs ya da solucanların parçaları da olabilirler. Belirli sayıdaki makinayı etkiledikten sonra etkinleşen yazılım bombaları örnek olarak verilebilir. Saatli bombalar, yazılım bombalarının alt kümeleri olup belirli zamanda etkinleşecek şekilde programlanmışlardır. Saatli bombalara ünlü Friday The 13th virüsü örnek verilebilir.
Virüs Oluşturmak
Windows işletim sistemi yüklü bilgisayarları hedef kabul edip basitçe bir virùs oluşturacağız. Windows işletim sisteminde "BAT" uzantılı dosyalar doğrudan MS-DOS üzerinden çalıştırılır. BAT uzantılı bir dosyanın içerisine hedef bilgisayara zarar verecek şekilde MS-DOS komutu yazıp kaydedeceğiz. Bu dosyayı kurbana göndereceğiz. Kurban bu dosyayı çalıştırdığında içerisinde yazdığımız kötü kodlar çalışacaktır. Öncelikle kabaca senaryomuzu hazırlayalım. Windows kullanıcılarının yüzde 95'i kişisel bilgilerini tutmak için harici diskte "Yerel Disk ( D: )" adında "D" kodlu bir bölüm oluşturur ve kişisel dosyalarını orada tutar. Bunun sebebi ise işletim sisteminin Cbölümünde kurulu olmasıdır. Olurda işletim sisteminde bir hata oluşursa erişim sağlanamazsa kişisel dosyalarının zarar görmemesidir. Saldırgan ise kurbanın D bölümündeki tüm dosyaları silmek istiyor olsun. Bu şekil bir saldırı için aşağıdaki gibi bir MS-DOS komutu yazmamız gerekir.