Birinden dosya alirken virus taramasi yapiyosunuzdur... Hic duşundunuzmu nedir* nerden cıkıyo bu virusler?
Virusler kısaca acılınca kendilerini uygun gordukleri heryere kopyalıyan progr*****lardır* tabi bunlarin bi suru ceşidi var* kimisi salak salak oyunlar cıkarır* kimileri kullanicinin maillerinin sonuna bişler ekler falan filan...
Virusler etrafta iz bırakmayı sewen programcılar tarafından genellikle ASM dilinde yazılır* virus yazmak cok iyi derecede programlama bilgisi gerektirir fakat bu sitede herkezin faydalanabilmesi icin virus yaratmanizi kolaylaştıran bi programı tanıtıcam..
MonsterShock Virus Generator
Zip dosyasını bir klasore acıp NRLG.exe yi calıştırın. goruceğiniz gibi Programın cok hoş bir fontu ve bi suru ozelliği var... Bu program sayesinde o meşhur cernobil virusunun benzerlerini hatta cok daha iyilerini programlama bilginiz olmadan uretebilirsiniz! işte programdan bir screenshot...
Programın menulerinden yapmasını istediğiniz şeyleri secip yapmasi icin bir tarih verin...
program her ayın ilk cumartesi gibi tarihleri de desteklemekte.
Programın herkezin anlıyamıycağı bolumlerini hemen acıklıyorum...
Name: Virusunuzun adı
Encyription: Virusunuzun kodunun başkaları tarafından gorunmesini zorlaştırır
MBR Bomb: Master boot Recordu daatma ozelliği
Random kill : Bu secenek acıksa 1/100 ihtimalle adamın harddiski ucacaktır.
Anti Vsafe Routine : Artık pek yaygın olmayan Microsoft Antivirusu kapatır.
Kill Antivirus: O anda Fprot* ThunderByte gibi bilinen virus programları calışıyorsa bi guzel kapatılır
Menulerden Create a babe virus e bastığımızda virusumuzun kodu hazır olur. eğer seceneklerden Create COM file ı on yaptıysanız* ASM kodunun yanında* calışmaya hazır viruslu .com dosyanız da program klasorunde virus.com adıyla oluşturulur.
Eğer Assembly bilginiz varsa virus.asm dosyasini notepadle editleyerek kodunu gorebilir ve programda olmayan ozellikler de ekleyebilirsiniz* Assembly derleyici programlar olan Tasm.exe ve Tlink.exe programlarını da zipin icine dahil ettim.
Bundan sonra tek yapmanız gereken virusu yaymanız
tabi virus yazmayın cok ayıp bişi... :PP
TaBİ ONCE KOLaY SONRa aĞIR ŞEYLER OĞRETİLİR Dİ Mİ?
ŞİMDİ aĞIR..
Virusler* kendi kodlarını başka programlara veya program niteliği olan dosyalara bulaştırabilme ozelliği olan (kendi kodunu kopyalayabilen) bilgisayar programlarıdır.Bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar.Belli bir amaca yonelik olarak yazılmış* zarar vermeye yonelik olabilecekleri gibi eğlence amacıyla da yazılmış olabilirler.
Truva atları* viruslerden oldukca farklı bir yapıya sahiptir.Asla başka programlara bulaşmazlar.Belli olaylara bağlı olarak tetiklenen bir rutindirler.Kendilerini kopyalayamadıkları icin bazı programların icine bilincli olarak yerleştirilirler.Trojanlar* ilgi ceken* utility gibi programların icine yerleştirilirler.Trojan kodu* trojanın icine gizlendiği programın yazarı tarafından yazılmış olabileceği gibi sonradan da programa eklenmiş olabilir.Trojanlar aslında kopya koruma amacıyla hazırlanırlar.
Virusler coğunlukla Assembly gibi duşuk seviyeli bir programlama dili ile yazılırlar.Bunun asıl 2 sebebi vardır.
1- Assembly'ın cok guclu bir dil olması:
2- Yazılan programların derlendikten sonraki dosya boylarının cok kucuk olması
Bu ozelliklerin her ikisi de virus yazarlarının assembly dilini kullanması icin yeterli ve gerekli sebeplerdir.
Virusleri ozelliklerine gore sınıflandırmak pek mumkun olmasa da aşağıdaki şekildeki gibi bir sınıflandırma yapmak yanlış olmayacaktır.Ancak pek cok virus* pek cok ozelliği bunyesinde barındırabilir.Bulaşma hızını arttırabilmek amacıyla yapılan bu durum sonucu virus* boot sektorlere* mbr kayıtlarına* programlara bulaşabilir. Şimdi de bu virus turlerinin işleyişlerine bakalım
1 - Disk virusleri :
a- a- a- Boot
b- b- b- MBR
2 - Dosya virusleri :
a- a- a- Program (TSR ve nonTSR)
b- b- b- Makro virusleri
3- FlashBIOS virusleri
1 - DiSK ViRUSLERİ
Disk virusleri* adından da anlaşılacağı uzere* disk ve/veya disketler uzerinde işletim sistemi icin ozel anlamı olan bolgelere (boot sektor* MBR) yerleşen viruslerdir. Disk virusleri* hakkında en cok yanlış bilginin olduğu virus turudur.Boot ve MBR virusleri* aşağıda da goreceğiniz gibi işletim sisteminden once hafızaya yuklenir.Bu yuzden işletim sistemini kolaylıkla atlatıp* Yukarıdaki şekilde de goruleceği gibi disk viruslerini boot ve MBR (partition) virusleri olarak 2 gruba ayırabiliriz.
BOOT Virusleri
Boot viruslerinin ne olduğuna gecmeden once boot sektor nedir* disk uzerinde nerede bulunur* once bunlara bir bakalım; Boot sektor* bir diskin veya disketin işletim sistemini yuklemeye yarayan 1 sektor (512 byte) uzunluğundaki bir programdır.Boot sektorler* disketlerde 0.cı iz* 0.cı kafa*1.ci sektor uzerinde bulunur. Hard disklerde ise boot sektoru 0.ci iz* 1.ci kafa ve 1.ci sektor uzerinde bulunur.Boot sektor* acılış icin gerekli sistem dosyalarının yukleyen programdır.Aynı zamanda disk (veya disket) ile ilgili bilgileri saklar.DOS buradaki bilgileri kullanarak cylider hesaplarını yapar.
Normal koşullarda* bilgisayarı başlatabilecek durumdaki bir sistem disketini (virussuz) surucuye takıp bilgisayarı actığımızda* bilgisayar ilk olarak disket surucuye bakar.Eğer surucude bir disket var ise bu disketin boot sektoru hafızanın 0000:7C00 (hex) adresine okunur ve okunan boot sektor calıştırılır.Boot sektor* işletim sistemini yukleyerek denetimi işletim sistemine bırakır.Eğer bilgisayarı boot edecek disket bir boot virusu iceriyorsa o zaman durum değişir.Bilgisayar* boot sektoru yine 0000:7C00 adresine okur ve akışı bu adrese yonlendirir.Disketten okunan boot kaydı* yapı olarak değiştiğinden dolayı* 0000:7C00'daki kod virusu hafıza icine yukleyip* hafızadaki konumunu garanti altına alacaktır.Virus aktivitesi icin gerekli interrupt servislerini de kontrol altına aldıktan sonra orjinal boot kayıdını oku***** işletim sisteminin yuklenmesini sağlayacaktır.
MBR (Partition) Virusleri
MBR virusleri esas olarak* boot viruslerinden pek de farklı değildir.Ancak can alıcı bir nokta vardır ki* bu boot ve mbr virusleri arasındaki en onemli noktadır. Hard diskler kapasite olarak cok farklı ve buyuk kapasitede olduklarından diskin DOS'a tanıtılması amacıyla MBR - Master Boot Record (Ana acılış kaydı) denilen ozel bir acılış programı icerirler.Bu kod diskin 0.cı iz* 0.cı kafa ve 1.ci sektoru uzerinde bulunur.Yani disketlerde boot sektorun bulunduğu konum* hard diskler icin MBR yeridir.Master boot record* hangi disk partitionundan bilgisayarın acılacağını gosterir.Bu yuzden cok onemlidir.Eğer bilgisayar hard diskten boot ediliyorsa* o takdirde mbr ve partition table okunur.Aktif partitiona ait boot sektor okunur.Bundan sonrası boot sektor kısmındaki sistemin aynısıdır.
2 - DOSYA ViRUSLERi
Dosya virusleri acıkca anlaşılacağı gibi hedefi dosyalar olan viruslerdir.Dosya virusleri coğunlukla COM* EXE* SYS olmak uzere OVL* OVR* DOC* XLS* DXF gibi değişik tipte kutuklere bulaşabilirler.
Makro virusleri
Makro virusleri Word* Excel gibi programların makro dilleri ile (mesela VBA - Visual Basic for Applications) yazılırlar.Aktif olmaları bazı uygulamalara (word* excel vs) bağlı olduğundan program viruslerine oranla cok daha az etkilidirler.
Program virusleri
(Not : Program virusleri ile ilgili acıklamalar ileride detaylı olarak anlatılacaktır).
Program virusleri* DOS'un calıştırılabilir dosya uzantıları olan COM ve EXE turu programlar başta olmak uzere SYS* OVL* DLL gibi değişik surucu ve kutuphane dosyalarını kendilerine kurban olarak secip bu dosyalara bulaşabilirler.Dosya virusleri bellekte surekli kalmayan (nonTSR) ve bellekte yerleşik duran (TSR) olarak 2 tipte yazılırlar.
nonTSR (Bellekte surekli kalmayan) virusler
Bellekte surekli olarak kalmazlar.Kodları oldukca basittir.Bellekte surekli kalmayan virusler sadece viruslu bir program calıştırıldığında başka programlara bulaşabilirler.Viruslu program calıştırıldığında programın başında program kontrolunu virus koduna yonlendirecek bir takım komutlar bulunur.Virus kontrolu bu şekilde ele aldıktan sonra virus kendisine temiz olarak nitelendirilen virussuz programlar aramaya koyulur.Bulduğu temiz programların sonuna kendi kodunu ekler ve programın başına da virusun kontrolu ele alabilmesi icin ozel bir atlama komutu yerleştirir ve kendisine yeni kurban programlar arar.Virus bulaşma işini bitirdikten sonra calıştırmak istediğimiz program ile ilgili tum ayarları duzenleyerek kontrolu konak programa devreder.
TSR (Bellekte surekli kalan) virusler
TSR virusler yapı olarak TSR olmayan viruslerden cok farklıdır.TSR virusler* 2 temel bolumden oluşurlar.1.ci bolum; Virusun calışması icin gerekli ayarlamaları yapar ve TSR olacak kodu aktifleştirir.2.bolum TSR olan kodun kendisidir ve TSR viruslerin hayati onemdeki bolumudur.Bu tip virusler* calışmak icin sadece TSR olmakla kalmazlar.Aynı zamanda ceşitli Interruptları (kesilmeleri) kontrol altına alırlar.Boylece DOS uzerinden yapılan işlemleri bile kontrol altına alabilirler.Ornek vermek gerekirse; TSR bir virus DIR* COPY gibi DOS komutları ile yapılan -daha doğrusu yapılmak istenen- işlemleri kontrol altına alabilir.Kullanıcı DIR komutunu kullandığında dosya boylarının 0 olarak gosterilmesi* dosya boylarının eksik gosterilmesi gibi işlemler TSR bir virus icin cok kolaydır.
3 - FlashBIOS Virusleri
FlashBIOS virusleri tekrar yazılabilir ozellikteki BIOS chiplerine bulaşırlar.
ViRUSLER NELERi YAPABiLiR* NELERi YAPAMAZ ?
Viruslerin neleri yapıp neleri yapamayacakları konusu en cok ilgi ceken* uzerinde en cok konuşulan konulardan birisidir. Cunku bir virus* yaptıklarıyla anılır ve bilinir.Viruserin en cok korkulan etkilerin başında gelenler şunlardır:
BİR VİRUS BİLGİSAYARDAN SİLİNDİKTEN SONRA KENDİ KENDİNE TEKRAR ORTAYA CIKIP ETKİNLEŞEBİLİR Mİ ?
Hayır.Bir virusun temizlenmesinden sonra durduk yerde yeniden peydahlanması doğru değildir.Eğer bir antivirus programı ile sisteminizden virusu temizlemenize rağmen virus tekrar ortaya cıkıyorsa 2.durum sozkonusu olabilir.
1- Antivirus* virusu temizleyemiyor olabilir.Amator programcıların yazdıkları shareware olarak dağıtılan antivirus programlarından birini kullanıyorsanız bu durumla karşılaşmanız olasıdır.Bunun pek cok sebebi olabilir.Orneğin antivirus* virusu başka bir virusle karıştırıyor olabilir.İmza tarama esasına gore calışan antiviruslerde ortaya cıkabilecek bu sorun genellikle iki virusun birbirinin varyantı (uzerinde kucuk değişiklikler yapılmış bicim) olmasından kaynaklanır.Bir veya birkac virusu temizlemek icin hazırlanmış eski antivirus programlarının o virusun yeni bir varyantının temizlenmesi amacı ile kullanılması sonucu da ortaya cıkabilir.Mesela; elimizde bir programcının 4 yıl once yazdığı xx virusunun antivirus programı olsun.1 yıl once ortaya cıkan xx virusunun bir varyantı olan xx.a gibi bir virusu temizlemek istersek muhtemelen tarama imzaları aynı veya benzer yapıda olacağından bu tur bir sorun ile karşılaşabiliriz.Bunun sonucu olarak virus uzunluğunun farklı oluşundan dolayı yanlış isimle bile olsa tespit edilir ancak temizlenemez.Bu durumda antivirus kullanıcıyı yeni bir virusle karşılaştığını belirten bir mesaj ile uyarır.
2- Bir yerlerde temizlemeyi unuttuğunuz birkac viruslu dosyanız kalmıştır.Virus taramalarında taramayı unuttuğunuz disketleri kullanırsanız ve disketteki programlar viruslu ise siz farkına varmadan virus tekrar sisteminize bulaşacaktır.Virus taraması yaparken sahip olduğunuz tum disk ve disketleri virus taramasından gecirin.Ancak bu şekilde viruslerden kurtulabilirsiniz.
Burada belirtmek isterim ki* bu iki durumdan 2.sinin olması daha muhtemeldir.Birinci durumun gercekleşme ihtimali cok azdır.
VİRUSLER VERİ DOSYALARINA ZARAR VEREBİLİR Mİ ?
Evet* kesinlikle verebilir.Ozel bir veya birkac dosya turunu hedef alan virusler* bu tur dosyalara silebilir veya iclerindeki veriyi değiştirebilir* dosyanın yapısını bozabilir.Orneğin yerli viruslerden Trakia.653 virusu AutoCAD'in DXF ve DWG uzantılı dosyaları hedef almakta ve bu kutuklerin yapısını bozarak işlenemeyecek hale getirmektedir.Trakia.560 virusu bazı dosyaları silmektedir.Ancak bu tur etkiler virusun farkedilmesi kolaylaştıracağından pek tercih edilmezler.
ViRUSLER YAZMA-KORUMALI DiSKETLERE BULAŞABiLiR Mi ?
Disketlerin yazma koruması yazılımla kontrol edilen bir sistemdir ve bu sistem aşılabilir.Ancak yazma korumasını kapatmak virus icinde ekstra kod anl***** gelir.Eksta kod* virusun boyunu uzatacak ve virusun farkedilmesini kolaylaştıracaktır.Bu yuzden uygulanan bir yol değildir.Virusler* yazma korumasını kapatmak yerine yazma korumasını kontrol edip koruma varsa bulaşmamayı tercih ederler.
VİRUSLER CMOS'A BULAŞABİLİR Mİ ?
Herhangi bir virusun CMOS alanına bulaşması mumkun değildir.Hatta imkansızdır.CMOS bellek kapasitesi uretici firmaya bağlı olarak 128 veya 256 bayttır.Bu alan virusun ihtiyac duyacağı belleğin cok altındadır.Kaldı ki CMOS* setup parametrelerinin saklandığı bir veri alanıdır.Ancak virusler setup parametlerini değiştirebilirler.
VİRUSLER DONANIMA ZARAR VEREBİLİR Mİ ?
Eskiden kısmen* gunumuzde hayır.Eski MDA (mochrome display adapter - tekrenkli goruntu bağdaştırıcısı) ekran kartlarına bir komut serisi yollanarak MDA kartlar yakılabilir.Ancak MDA kartlar coktan tarih olduğundan artık bunun pek onemi de yok.
Eski disklerin okuma/yazma kafalarının ani hareketlerle hareket ettirilmesi sonucu diskin bozulmasını sağlamak mumkundu. Artık gunumuzde ise disklerin cacheleri sayesinde bu tur hareketler disk tarafından engellenebiliyor ve disklerdeki kafalar manyetik bir esasa gore calışıyor.Bu sayede elektrikler kesilse bile disk zarar gormeden kafalar park ediliyor.
Bir de disk uzerinde bir bolgenin milyonlarca kez formatlanması durumu var.Bu işlem sonunda disk uzerindeki manyetik malzeme zarar gorecek* disk okunamaz duruma gelecektir.Bu işlemin partition table uzerinde yapıldığını duşunursek diski kaldırıp cope atmaktan veya disk kasasını acıp raf susu olarak kullanmak dışında geriye pek bir şey kalmaz.Ancak hemen belirteyim ki bu formatlama işlemi oldukca uzun surecektir.Bir virusu diski milyonlarca kez formatlamak isterse* kullanıcı bilgisayarın kilitlendiğini duşunecek ve resetleyecektir.Sonucta virus amacına ulaşamamış olacaktır.
Eğer Windows95/98/NT gibi bir işletim sisteminin calıştığı bilgisayarlarda windows direkt disk erişimlerini mumkun olduğunca engellemeye calışır.
VİRUSLER V-SAFE* VIRSCAN* GUARD GİBİ KORUMA PROGRAMLARINI ATLATABİLİR Mİ ?
Yeni bir virus veya cok iyi yazılmış bir virus bu tur programları safdışı edebilir.Ancak koruma programları viruslu programı daha calışmadan once test ettiklerinden bu duşuk bir ihtimaldir.Virusler* bu tur programları aktivitelerinin rapor edilmesinin engellemek icin atlatmak ister.
yazının devamı gelcek tabiki...
__________________