zaralı yazılımlar - ReadBull.net

19-09-2019, 16:26:05

#1
Pluvious

Açık Profil bilgileri

Özel Mesaj Gönder

Pluvious tarafından gönderilen tüm mesajları bul

Pluvious'ı arkadaş olarak ekle

Genel Moderatör
Solucan Yazılımlar, Internet(Arpanet/Mılnet/Mınet)
3–4 Kasım 1988 yıllarında Amerika Birleşik Devletleri Savunma Bakanlığı2na bağlı bircok bilgisayar sistemini ulkenin belli başlı araştırma merkezlerini yoneten bilgisayarları ve bunların bağlı olduğu bilgisayar ağlarını yarattığı yoğun trafik ve calışma ortamıyla durma noktasına getiren bu yazılım şu ana kadar tanınmış zararlı yazılımlar icinde belki de en on sırada yer almaktadır.
Oluşturduğu zararın etkinliğini gosterdiği bilgisayar ağları yaygınlığıyla doğru orantılı olduğu goz onune alındığında oncellikle bu ağlara kısaca değinmek bizim icin iyi olacaktır.
ARPANET (Advaced Research Projects Agency Network)
İleri araştırma proje ajansı ağı olarak bilinen bu bilgisayar ağı 1969 yılında tesis edilmiş olup, temel amacı bilgisayar araştırmacıları arasında bir haberleşme ağı oluşturmak yazılım veri proje bilgileri ve araştırma sonucları gibi bilgilerin alışverişini ongormektedir.
MILNET (Military Network)
Askeri bilgisayar ağı 1983 yılında ARPANET bolunmeye başladığında ortaya cıkmış. Ust duzey guvenlik kapsamındaki askeri bilgilerin iletişiminde kullanılmaktadır.
MINET (Movements Informatıon Network)
Hareket bilgi ağı olarak tanınmaktadır.
ARPANET, MILNET ve MINET ağları INTERNET ağını oluşturan uc ana ev sahibi bilgisayar ağıdır. Adı gecen bu uc bilgisayar ağı DCA(Defense Communications Agency) Savunma iletişim Ajansına bağlı DDN(Defense Data Network)Savunma veri ağı cercevesinde ele alınır.
Bu bağlamda ARPANET gunumuzde DARPANET(Defense Advanced Research Projects Agency Network) Savunma ileri Araştırma Projeleri Ajansı Ağı olarak bilinmektedir.
Internet ağı Kapsamdaki en geniş olcekli uc bolgesel bilgisayar ağıyla yurtdışında cok yaygın bit yapı olarak kullanılmaktadır. Solucan yazılımından devlet kuruluşlarına ait bilgisayarlar olduğu kadar universite ozel araştırma merkezleri ve MILNET altındaki askeri kuruluşlar da yoğun bicimde etkilenmiştir.
Bilgisayar Guvenlik Enstitusunde Aralık 1988 yılların başında acıklanmış verilere gore etkilenen bilgisayar sayısı 6200 olarak soylenmektedir.
Bulaşma ve yayılma hızındaki başarısıyla INTERNET ağını cokme nokta sına getiren solucanın yapısal ozellikleri aşağıda bahsetmiş bulunuyorum Arkadaşlar.
INTERNET’İN Solucanı Analitik incelemesi
Bulaştığı sistemlerin yoğun iş yuku oluşturarak calışamaz konuma duşurmenin dışında herhangi başka bir zarara uğratmayan bu yazılımı oluşturan kişi Cornell Universitesinde Bilgisayar bilimleri bolumunde okuyan Robert Tapan Morristir.
Morris’ in babası uzun yıllar Labrotuvarlarda calışmış Unix işletim sisteminin geliştirilmesine buyuk katkı sağlamıştır. İki yıl once bu gorevinden ayrılan Morris halen bilgisayar guvenliği konusunda devlet sektoru olarak calışan Milli Guvenlik Ajansı’nın Bir alt bolumu olan Milli Bilgisayar Guvenlik Merkezinde gorev almaktadır.
Ust duzeyde duyarlı bir guvenlik merkezinin sorumlusu ve bir Unix uzmanı olan babanın oğlu olarak boyle bir vakanın yaratıcısı Robert Morris anılan niteliklerinden oturu ceşitli calışmalara neden olmuştur.
Hedef Sistemler
INTERNET solucanı Unix işletim sistemi versiyonu4.3BSD(Berkeley Software Distributions) kullanılan tum VAX(DEC) cihazlarıyla SunOs işletim sistemi altında calışan SUN 3 bilgisayarını hedef almıştır. Ancak solucanın kendisini kopyalayarak yayılabilmesi icin anılan bilgisayar sistemlerinin Internet ağı altında TCP/IP protokoluyle bağlanmış olması gerekir.

Bulgular
 Kendi kendisini kopyalama ve password kırma etkinlikleri sonucunda bilgisayardan aniden oluşan yuzlerce, binlerce, milyonlarca işlem(process)
 Bircok işlemin yarattığı aşırı iş yuku nedeniyle ortaya cıkan periyodik yavaşlama hatta sistem cokuntuleri.
 Yoğun işlemlerin yarattığı bellek yetmezlikleri oyle ust noktalara ulaşmıştır ki Swap sahaları veya Kernel Table Entreıes icin yer kalmamış olup biteni anlamak icin Login yapma olanağı dahi yok olmuştur.
Kendisini Kopyalama
Solucanın temel amacı başka bir bilgisayardaki bilgileri ele gecirerek kendisini buraya kopyalamak ve boylece coğalmaktadır. Bilgileri elde etmek icin uc ayrı bicimde saldırı harekÃ‚tı duzenler.
 SENDMAIL
Solucan diğer bilgisayarın sendmail ortamına TCP bağlantısı acar.(SMTP portu) Debuq modunu harekete gecirir ve bilgi aracılığıyla bağlantı kurduğu bilgisayara RCPT TO ile verisini transfer ettirir. Transferi yapılan veri bir bilgi script olup gittiği yerde x$$.11.c adında gecici bir başlatma kutuğu yaratır. Bu kutuk 40 satırlık bir C yazılımıdır.
Aktarılmış olan shell(bilgi)script gittiği yerdeki C derleyicisini kullanarak yarattığı x$$.11.c kutuğunu derler ve gelmiş olduğu duğumun adreslerini kanıt(arguman) olarak bu kutuğe gecirip calıştırır.
Derlenmiş olan x$$.11.c kutuğu calıştığında shell scrip2ten aldığı kanıtlar(arguman) sayesinde gelmiş olduğu duğumden x$$.vax.0 ve x$$.sun3.0 adlı iki obje (binary) kutuğu bulunduğu ortama aktarır.
Bundan sonraki aşamada bulunduğu ortamın Unix v.4.3BSD yÃ‚da SunOs işletim sistemlerinden hangisinin kontrolu altında olduğunda saptar ve /us/tmp/sh adında calıştırılabilir (executable) bir kutuk oluşturmak aynı şeylere yeniden başlar.
 FINGERD
Solucanları bu yontemle saldırıda Fıngerd icindeki bir yazılım hatasından(bug) yararlanır. Fıngerd Daemon calıştırıldığında kanıtlarını pipet’ten okur. Okuma sınırı konulmadığı icin 512 byte’lık tampon aşıldığında stack sunulmaktadır.(“/usr/ucb/finger”).
Solucan VAX sistemlerinde bu komutun yerini bilmektedir. Boylece komutu (“/bin/sh/”)ile değiştirir. İstenilen “bourne shell”yaratılmış olur.
FINGER calıştırıldığında artık onun yerine bir shell calıştırılmış olacaktır ve bu olay FINGER icinde gercekleştirildiğinden stdin ve stdout ağ bağlantısı icinde kalacak ve transferi istenen kutukleri bu yeni ortama cekecektir.
Ancak bu yontem sadece VAX sistemlerinde gecerli bir hale gelmiş, SUN 3 ler de calışmamıştır.
 RSH, REXEC
Sistemlere bulaşmada kullanılan ucuncu yontem, rhostsve/etc/hosts. equiv kutuklerinin ele alınışıdır.
.rhosts ortamını kullanabilmek icin kullanıcı makinelerine girmek gerekir. Solucan root değil bir Daemon olarak calıştığı icin gerekli password’leri bilemez. Password(şifre) elde etmek icin /etc/password kutuğunu okuyarak buradaki şifrelenmiş password’leri kırmaya calışmıştır.
Şifreleri kırma cabası olarak kullanıcı ad-soyad –Gecos sahasında elde ettiği takma isimler-soyadlar+ilk isim veya bunların calışmalarını surer.
İlk denemede sonuc getirmediğinde ozellikle populer olan password listesi denenir, buradaki kayıtlı password’ler tek tek denenerek kırma calışmaları surer.
Kullanıcı password’u(şifre) halen daha bulamamışsa bu kez /usr/dict/words kutuğunu acarak buradaki her kelimeyi denemeye başlar.
Gereken password saptandığında o kullanıcının makinesine girer ve. rhosts kutuğunu okuyarak ‘rsh’ veya ‘rexec’ aracılığıyla gerekli kutukleri /usr/tmp icine alır ve /usr/tmp/sh’ı calıştırarak yeniden aynı işlemlere başlar.
Gorulduğu gibi uc saldırı yontemlerinde de temel amac ,/usr/tmp/sh kutuğunu yaratarak calıştırmaktır.
Calışma
Solucan yazılım calışmaya başladığı anda kendi arguman(kanıt) vektorunu
(argv dizisi) siler. Boylece ps-ax komutuyla kontrol edildiğinde tıpkı bir Login shell(sh) gibi gorunur.
Calışmanın ilk aşamasından gerekli kutukleri acar ve sonra bunları unlink ederek bulunamamalarını sağlar./etc/hosts. equiv ve host adreslerini taşıyan diğer kutukleri tarayarak kendisini kopyalayabileceği adresleri elde eder. Bu aşamada netstat-r-n komutları ile calışmakta olduğu bilgisayarın hangi ağlara bağlantılı olduğu saptanmıştır.
Elde ettiği bilgilerle kendisini kopyalama calışır. Yukarıdaki acıklanan SENDMAIL ve FINGERD yontemlerini uygulamaya koymaktadır.
Solucan ikinci aşamaya gectiğinde oncelikle etkinliklerini bir muddet durdurarak bir bekleme adeta unutturma donemine girer. Yani gecici hafıza kayıbı başlatmış olur.
Ancak kısa suren bu beklemenin ardından rsh, rexec saldırılarını başlatır. Bu noktada password bulma işlemi başladığı icin uzerinde calıştığı sistemde daha once acıklanan aşırı iş yuku artımlarını sağlar. Sistemler felc olma aşamasına girer.
Şifresini bulduğu kullanıcı makinesine kendisinin bir kopyasını aktarır. Olaylar bu kez o sistemden itibaren hareket etmeye başlarlar.
Solucan ilk aşamada aktardığı x$$.11.c adlı 40 satırlık c yazılımı dışında kaynak yazılım transferi yapmaz. Kopyalanan tum yazılımlar 68020 tabanlı ve vax 7xx altında calışabilecek binary kutukleridir. Pyramid ve Sun 2 sistemleri etkilenmemektedir.
Binary kutukler icinde yer alan string’ler okunamazlığın sağlanması amacıyla şifrelenerek yerleştirilmiş ancak bir kısmı 0x81 XOR ile cozulmuştur.
Yayılma
Solucan uzerinde calıştığı bilgisayardan kendisini kopyalayarak yayılabileceği yeni adresleri aşağıdaki ortamlardan elde eder.
-“Routing” Tabloları
-“Interface” Tabloları
- Kullanıcı. forwad kutukleri
-/etc/hosts. equiv kutuğu
Belirleme
Solucanın varlığının belirlenmesi yazılımda olan iki acık nokta sayesinde gercekleşmiştir.
Solucan her yeni aktif olduğu ortamdan Berkeley kampusun’ deki adrese tek bir byte gondermektedir. Aslında bir monitor olarak tasarlanan bu yapı solucanı daha sonra ele vermiştir.
Solucan yeni gittiği bilgisayar sistemine oncelikle bulaşma olasılığı olup olmayacağını sormakta bulaşma yoksa kendisini buraya kopyalamaya calışmaktadır.
Ancak bulaşma olduğu yonunde bir haber gelirse aynı sorgulamayı 9 kez daha yenilemekte sorgulama sayısı 10 ‘ a ulaştığında gelen yanıt dikkate alınmaksızın kendisini kopyalamaktadır.
Sorgulama sayısının azlığı solucanı hemen ele verir. Internet gibi cok hızlı bir ağ uzerinde fark edilmeden yayılabilmek icin bulaşma sorgulama oranının 1/1000 hata 1/10000 olması gerektiği belirlenmiştir.
Denetim Cıkışı
Internet uzerindeki iletişim hızı cok yuksek olduğundan solucan dakikalar icinde bircok duğume tekrar tekrar erişmiş ve gittiği her ortamda kendisini yuzlerce ve hatta milyonlarca kez kendisini kopyalamıştır.
Bu olayın sonunda korkunc bir trafik ortaya cıkmıştır. Internet ağında yoğun ve yaygın bu performans duşukluğu hatta sistemlerin butunuyle durması gercekleşmiştir.
Savunma
En hızlı savunma /usr/tmp/sh isimli bir directory yaratmaktır. Transferi yapılan shell script binary kutuklerinden biri aracılığıyla /usr/tmp/sh’ın var olup olmadığını denetlemekte ancak bunun directory olup olmadığını incelemektedir.
Bunun dışında bulaşmayı doğrudan engelleyici karşıt yazılımlar hazırlanmıştır. Fıngerd icindeki yazılım hatası giderilmiş sistem yoneticileri uyarılmıştır.

Solucan Yazılımlar, Decnet
Solucan: HI.COM
1988 Kasım aylarında Internet ağı cokmuş solucan etkileri henuz tartışılır, bir olayın kanuni acıdan değerlendirilmesine calışılırken Aralık ayı icinde kurtarılan yeni solucan saldırılarını da beraberinde getirmiştir.

DEC (digital equipment corporation)bilgisayar sistemleri VMS işletim sistemi dizisindeki tabanında geliştirilen DECNET ağı tum dunyada etkin bir kullanıma başlanmıştır.
Aralık ayı yeni yılda ortaya cıkan solucan virusu NASA Decnet ağı tabanında calışan Hepnet-Spannet ağlarında etkinliğini sergilemiş.
Bulaştığı sistemlere yeni yıl kutlamaları mesajı gondermenin dışında başka zararlı bir işleve sahip olmayan HI.COM adlı binary bir kutuk olarak gelen solucanların ozellikleri izler biciminde olduğundan kolay tespit etme imkÃ‚nı sağlamıştır.
HI.COM incelemeler sonucu şu bilgiler ortaya cıkmıştır.
Hedef sistemler
Decnet ağına bağlı VMS işletim sistemler dizgesi tabanında calışan Hepnet-Spannet ağları ve VMS ile calışabilecek tum DEC cihazları.
Solucan yayabilmek icin Decnet protokoller cercevesinde calışmakta olup TCP/IP protokolunu kullanmaktadır. Bu nedenle Internet ağı uzerinde etkisiz hale gelmiştir. Yayılması butunuyle Decnet icinde olmaya başlanmıştır.
Bulgular
Decnet ve Netfal isimli kullanıcı makinelerine girmeye calışmak (login)uzereyken Anılan makineler Login olma cabası diğer duğumlerden de tekrar tekrar yapılmaya başlanmış olduğundan cok kısa sure icinde ciddi boyutlara da ulaşmaktadır.
Decnet makinesine login olmayı başardığında HI.COM adlı binary bir kutuk olarak gozlenmekte buradan elde ettiği yeni adreslere kendisini transfer etmektedir.
Sisteme zarar verici herhangi bir davranışı izlenmemiş olup sadece 24 Aralık 1988 gece yarısı itibariyle bulunduğu ortamdaki kullanıcılara yeni yıl tebrik mesajı gondermek uzere tasarlanmıştır.
Bulaştığı her ortamdan belirgin bir duğumde mesaj gonderecek bicimde monitor yapıya sahiptir. Gonderilen mesaj bulaşmanın gercekleştiği makineyi tanımlar ve o yonde bir string belirler.

Gorevini tamamladığında 24 Aralık 1988 saat 00.30 da kendisini silebilecek bicimde hazırlanmıştır.
Aynı sistemde birden fazla kopyasını oluşturmaz.
Bulaşma
Solucan aşağıdaki koşulların varlığında yeni sistemlere kendisinin aktarımını gercekleştirir.
 Decnet makinesi mevcutsa coğu kez Decnet Account Default olarak vardır.
 Decnet makinesinin şifresi yine bir default olan Decnet ise
 Task O enable konumundaysa.
Saldırı
HI.COM calıştırıldığında tarih zamanın permutasyonunu yaparak hedef ev sahibi duğumun adresini belirler.
Belirlenmiş olduğu duğume geldiğinde her duğumde default olarak var olan Decnet makinesini kendisini kopyalar. Default olan Decnet makinesinin şifresi de yine bir default olan”Decnet” olduğu icin bu makineye login olması cok kolaydır.
Bir kez login olduğunda yine bir VMS ozelliği olan Task O’yu kullanarak “remote copy”sayesinde kendisini aktarır.
Decnet makinesinin şifresi değiştirildiğinde sisteme bulaşamadığı gibi eğer “Task O disable” konumundaysa daha ileri duzey yayılması da olası soz konusu değildir.
Bulaşmış olduğu ortamlardan uretildiği tarih ve saat de mesajını yayınlayarak kendisini imha etmiş olacaktır.
Savunma
Bulaşmayı onlemek icin default Decnet makinesi butunuyle kaldırılabilir veya şifresi değiştirilerek erişim sınırlanması konabilir.
Decnet account yukarıda tanımlanmış koşullar cercevesinde mutlak kullanılmak zorundaysa bu kez HI.COM adlı bir kutuğun buraya kopyalanması veya burada calıştırılması engellenebilir.

Her iki yonetim de sistem yoneticilerine ceşitli sorunlar yaratacak dezavantajlar getireceği kesin bir şekilde ortaya cıkmıştır. Ancak guvenlik rahat calışma kavramlarının ceşitliliği ilk defa gorulmektedir.

Ağ Solucanları
Ağ solucanı programları, sistemden sisteme yayılmak icin ağ bağlantılarını kullanır. Yani ağ solucanları, iletişim hatları uzerinden bağlı olan sistemleri tehdit ederler. Bir solucan, sistem icerisinden aktif hale gelir gelmez, bir bilgisayar virusu gibi hareket edebilme olasılıkların yanı sıra Truva atı programlarının sisteme ekleme yaparlar. Bu eklemeden sonra programların yıkıcı ve tahrip faaliyetlerinde bulanabilirler. Bir anlamda ağ solucanları, başka sistemleri enjekte etme yeteneği olan bilgisayar virusleridir denilebilir. Kendi kendilerini coğaltmak icin, ağ solucanları ağın ve sistemin turune bağlı olarak ağ araclarını kullanır. Solucanın kendini diğer sistemlere gonderebileceği bir ağ posta(e-mail),kendinin bir kopyasını diğer sistemlere yukleyebileceği bir uzaktan icra kabiliyeti, yÃ‚da uzak sisteme bir kullanıcı olarak bağlanıp daha sonra bir sistemden diğerine kendini kopyalamak icin komutlarını kullandığı uzaktan bağlanma kabiliyeti bu araclara verebilecek bazı orneklerdir. Ağın hacmine gore değişen solucan nispeten kısa zaman icerisinde bircok sisteme ulaşacak ve sebep olacağı zarar, ulaştığı sistemlerin sayısal orantılı olarak kullanacaktır. Bir ağ solucanı bir bilgisayar virusuyle aynı karakteristikleri taşır: kendi kendini coğaltma mekanizması, aktivasyon mekanizması ve amac. Kendi kendini coğaltma mekanizması aşağıdaki fonksiyonları icra etmektedir.
 Uzak sistemlerin adreslerini inceleyerek enjekte etmek icin başka sistemler araştırır.
 Bir kullanıcı olarak sisteme bağlanarak, bir elektronik posta aracını yÃ‚da uzaktan icra etme kabiliyetini kullanarak uzak sistemle bir bağlantı kurar.
 Kendi kendini uzak sisteme kopyalar ve kopyanın calıştırılmasını sağlar.
Ağ solucanları aynı zamanda kendisini sisteme kopyalamadan once sistemin daha once enjekte edilip edilmediğini tespit etmeye calışabilir. Sistem operatoru tarafından anlaşılmayacak bir isim kullanarak yÃ‚da kendini bir sistem faaliyeti olarak isimlendirmek mevcudiyetini gizleyebilir. Aktivasyon mekanizması bir zaman bombası yÃ‚da bir mantık bombası veya kendi kendini aktif hale getirmek icin cok sayıda varyasyon kullanabilir. Diğer butun kotu niyetli yazılımlar gibi, ağ solucanlarının da amacı yazarının yapması isteğidir.
Bir ağ solucanı (Internet Worm),İnternet denilen ağ yapısını kullanarak Amerika Birleşik Devletleri’nde binlerce bilgisayarı enjekte etmiştir. Solucan, yaygın olarak kullanılan işletim sistemlerinin benzer versiyonlarını kullanan farklı marka bilgisayarlara kendisini kopyalayarak yayılmıştır. Bircok sistem sorumlusu sistemlerinde bu solucanın varlığını keşfedemedikleri icin solucan hızla yayılmış ve iki gun icerisinde binlerce bilgisayarı etkilemiştir. Bircok bolge enjekte olmamak icin kendi sistemlerinin ağla ilişkilerini kesmişlerdir.
Truva atlarının, bilgisayar viruslerinin ve ağ solucanlarının varyasyonları neredeyse sonsuz sayıdadır. Amacı sistem icerisinde veya sistemleri arasında yayılmak ve ağ trafiğini bozmak olan tavşan, amacı bir sistem icerisinde kendi kendini coğaltmak ve bilgisayarı durduruncaya kadar işlemci zamanını yiyip bitirmek olan bakteri bunlara verebilecek olan iki ornektir. Muhtemelen, yayılmak ve zarara sebep olmak icin cok ince ve yeni teknikler kullanarak bunların bircok yeni şekilleri uretilmeye devam edecektir.

Truva Atı Yazılımlar Vm/Sp-Cms Ortamı: Chrıstma Exec
Duğumden duğume kendisini kopyalayarak yayılan ozel bir yazılım aracılığıyla yılbaşı kutlama olgusu icerisinde ilk defa olmayıp ilk orneği 1987 yılı aralık ayında meydana gelmiştir.
CHRISTMA EXEC adıyla bilinen Truva Atı nitelikli bu yazılım 1987 Noel’inden başlayarak 1988 yılı ocak ayının ilk haftalarından IBM Mainframe sistemlerinden oluşan VNET-BITNET-EARN ağları icinde Avrupa Amerika genelinde etkinlik gostermiştir.
Sadece IBM’in kendi VNET ağında en az 2700 duğum yoğun bicimde etkilenmiş bazı duğumler butunuyle devre dışı kalmıştır. Anılan exec duğumden duğume kendisini kopyalayarak coğalmış aynı duğumlere defalarca erişerek binlerce kopyaya yol acmıştır.

Binlerce kopya yuzunden sistem spool’ları dolmuş bunu izleyen evrede diskler aynı işlemde dolarak sistemler birbirinin peşi sıra aşırı yuk ve trafik sıkışıklığı yuzunden cokmuştur.
Anılan bu cokuntuler sayesinde VNET ağı icinde bazı duğumlerin 45–90 dakika arası tamamen devre dışı kalmasını sağlamış bu donemde VNET-BITNET bağlantısı iki hafta kadar kapalı kalmış.
Daha onceden orneklenmiş solucanlara oranla cok daha basit hatta ilkel sayılabilecek bir yapıya sahi olan bu Truva atının ozellikleri aşağıda sunulmuştur.
Bunlar;
CHRRISTMA EXEC yazılımın yayılması geriye doğru incelenmiş başlangıcının Almanya’da bir oğrenciye ait olan DCZTU1 kodlu EARN ağı duğumunden olduğu saptanmış olup adı gecen duğumden calışan oğrenci kendi arkadaşlarına yeni yıl kutlama mesajı gondermek amacıyla exec ‘i hazırlamış. Ancak yazılımın doğasından haberdar olmayan başka bir oğrenci Truva atını aktif hale getirmiştir. Her iki oğrencinin kimliği konusunda resmi bir acıklama yapılmamaktadır.
Hedef Sistemler
CHRISTMA EXEC, IBM Mainframe sistemlerinde kullanılan VM/SP-CMS işletim dizgesinde etkinlik gostermektedir.
REXX diliyle yazılmış olup CMS komutlarını kullanır. CMS komutlarını kullanıyor olması yukarıda belirtilen işletim dizgesi tabanlı VNET-BITNET-EARN ağlarında kolaylıkla yayılabilmesi sonuclanmıştır.
Bulgular
Standart kutuk transfer ortamlarını kullanarak sisteme erişen CHRISTMA EXEC isimli bir kutuğun varlığı.
Anılan exec tek bir duğumle binlerce kez gelebildiği gibi gelmiş olduğu ortamda kullanıcılar tarafından her calıştığında kendisini aynı duğumun farklı makinelerin tekrar tekrar kopyalar, sistem spool2larını tamamen doldurur.

Sistem “Spool Area” ve disklerde aynı exec’in bircok kopyasının bulunması kopyaların yarattığı aşırı iş yuku nedeniyle sistem performansında ani duşmeler yoğun trafik ve tepki zamanında gozlenen aşırı artış tipik bulgulardır.
Bulaşma
“Sendfile” sistem yazılımı yardımıyla kullanıcının “reader”sahasına kendisini aktaran yazılım bu anda bekleme sureci icine girer.
Bulaşmanın gercekleştirilebilmesi icin kullanıcının bu kutuğu kendi diskine aktarması gerekir.
Bircok kullanıcı kendisine dışardan gelen ve ne olduğunu bilmediği anılmadığı veya incelenmediği bu yazılım kendi diskine almış ve calıştırılmış.
Nitelik
CHRISTMA EXEC gerek reader gerek disk ortamında beklerken calıştırılmadığı surece butunuyle zararsızdır.
Modul haline sokulmamış kaynak yazılım olarak bırakılmış olan bu yazılım kullanıcıların merak ederek kaynak yazılımı incelenmelerine karşı bir onlem niteliğinde olmak uzere:
“BU EXEC’İ CALIŞTIRIN KEYFİNİZE BAKIN”
Acıklaması dikkati ceker bicimde yazılımın başına yerleştirilmiştir. Kaynak yazılımın icinde daha ileri satırda:
“BU KUTUĞU İNCELEMEK EĞLENCELİ DEĞİLDİR CMS CHRISTIMAS İSMİYLE CALIŞTIRIN”
Mesajları yerleştirilmiştir.
Bulaşabilmek ve bulaşıktan sonra yayılabilmek icin tamamen kullanıcının girişimliğine bağımlı olan ve calıştırmadığı surece etkisiz olan bu yazılım anılan nitelikleri doğrultusunda Truva Atı yazılımları sınıfına girmektedir.
Calışma
Birinci aşamada ekrana ASCII karakteriyle bir yılbaşı ağacı goruntusu cizerek yanına

“ MUTLU YILLAR VE GELECEK YIL İCİN EN İYİ DİLEKLERİMLE”
Mesajın goruntuler.
Kullanıcı bu goruntuyle oyalanırken Truva atı ikincil aşama etkinliklerini başlatmış ve kullanıcının diskindeki NAMES ve NETLOĞ kutukleri okuyarak yayılabileceği yeni adresleri elde etmiştir.
Anılan kutuklerden elde ettiği yeni duğum ve kullanıcı adreslerine “Sendfile”sistem yazılımıyla kendisinin transferini yapar. Yeni gittiği ortamdan olaylar aynı bicimde yinelenmeye başlar.
Duzenek basit hatta ilkel olmasına karşın exec bir ağı cokertebilecek kadar cok sayıda ureyebilmiştir.
Savunma
Reader’ında CHRISTMA EXEC adlı kutuğu bulan kullanıcı bunu diskine almamalı herhangi bir nedenle aldıysa dahi asla calıştırmamalıdır.
Bunlarla birlikte CHRISTMA EXEC’i kovalayan arkasından aynı guzergÃ‚hı takip eden gittiği yerlere gidip kullanıcıların fark edilmesine fırsat vermeden CHRISTMA EXEC’i silen yazılımlar uretilmiştir.
Temelde sadece coğalmanın dışında daha ileri duzeyde bir zarara yol acmayan bu yazılım 1988 yeni yıl oncesi yine aktifleştirilmiştir.6 Aralık 1988 gunu Amerika tarafından tekrar gozlenen CHRISTMA EXEC bu kez daha fazla yayınlamadan durdurulmuştur.

Virus Yazılımları
Solucan ve Truva atı nitelikte yazılımlar ceşitli ağ yapıları icinde birbirleriyle surekli iletişimde olan Mainframe sistemleri hedef alırken virus yazılımların hemen tamamı mikrobilgisayarlarda etkinlik gostermiştir.
Mikrobilgisayar işletim sistemlerinin Mainframe işletim sistemlerine oranla cok daha korumasız oluşu ayrıntılı bicimde oğrenilip uygulamasının kolaylığı ve yaygınlığı olcusunde erişim olanaklarının pratik olarak herkese sağlanması anılan yaygın viral etkinlikliğinin temel nedenlerindendir.

Gunumuzde ceşitli mikrobilgisayar işletim sistemlerini hedefleyen bircok virus yazılım saptanmış olup kesin sayı ve nitelikleri doğrultusunda henuz tam bir dokum yapılanmıştır. Ancak saldırdıkları işletim sistemleri yapısal ozellikleri ve saldırı başarıları temelinde oluşturulan KABA bir tabirle aşağıda sunulmuştur.
 IBM PC/ XT / AT ailesi ve bunlarla gercek uyarlı tum mikrolar (full compatibles)
PC-DOS, MS-DOS İŞLETİM SİSTEMİ;
 LEHIGH VİRUSU
 ISRAIL VİRUSU
 BRAIN VİRUSU
COMMODORE, AMIGA MİKROBİLGİSAYARI;
 SCA VİRUSU
APPLE, MACINTOSH MİKROBİLGİSAYARI;
 SCORES VİRUSU
 NVIR VİRUSU
Bu calışmada APPLE, MACINTOSH virusleri olan SCORES ve NVIR viruslerine değinilmeyecek diğerleri orneklenecek.

Lehigh Virusu
1987 yılının Kasım ayında Lehigh kentinde bulunmuş ve yaklaşık 600 kadar diski doğrudan etkileyen bir virus bircoğunun formatlanmasına neden olduğu gibi yedeklere de bulaştığı icin bazı kutukleri geri getirilmez halde yok etmiş. Aynı kullanıcılara bircok kez tekrar tekrar bulaşarak yoğun bir etkinlik sergilenmiştir. Arkadaşlar Lehigh virusunun ozellikleri şoyledir;
Bunlar;
Hedef sistemler
LEHIGH virusu IBM PC/ XT /AT ailesi ve bu aileyi gercek uyarlı(full compatibles) olan ve PC-DOS yÃ‚da MS-DOS işletim sistemi adı altında calışan mikrobilgisayarlara saldırmaktadır. Disket ve hdd ikisi icinde etkilidir.
Bulgular
Yukarıda tanımlanmış ortamda bulunan virusun bulaştığı tum diskler ve disklerin bulaşma sayısını belirgin bir duzeye geldiğinden butunuyle silinmesi.
Silinen disketler ve disklerin Boot kaydı ve Fat sahalarının(her iki kopyası da) null karakterlerle doldurulması.
Bulaşma
Virus yazılım oncelikle COMMAND.COM kutuğune bulaşmaktadır.COMMAND:COM kutuğundeki stack sahasında saklanan virus işletim sistemi her yuklenişinde (Cold Start veya Warm Start) kendisini COMMAND.COM’ la birlikte kolayca belleğe taşıyarak bulaşmaktadır.
Yayılma
İşletim sistemi bir kez bulaşmanın olduğu COMMAND.COM ile yuklendiği andan itibaren virus bellekte yayılmaya hazır hale gelmiştir. Olur.Kullanıcı COPY.TYPE.DIR v.s. gibi herhangi bir DOS komutunu kullandığında bellekte COMMAND.COM icinde olan virus kullanıcının disket veya diskinde olan eğer varsa COMMAND.COM’a kendisini kopyalayarak yayılır.
Orneğin mikrobilgisayarlarınızı COMMAND.COM kutuğu viruslenmiş bir disket aracılığıyla actığınız bir disket aracılığıyla actığınızı varsayalım.Bu anda virus kendisini COMMAND.COM ile birlikte belleğe taşımış olacağından kullanacağınız ilk DOS komutuyla aktifleşir ve kendisini bu kez hdd icindeki COMMAND.COM’a kopyalayarak diskinize bulaşmış olur.Bundan sonra işlem tersine doner ve bu disk altında kullanacağınız COMMAND.COM kutuğunun olduğu her diskete kendisini kopyalamaya başlar,yayılım korkunc bir hızla artar.
Saldırı
Bir COMMAND.COM ile gelen virus bulaştığı her COMMAND.COM icin kendi icindeki bir değişkeni 1 artırır.Bu sayı 4 cıktığında diğer bir deyimle kendisini 4 ayrı COMMAND.COM’a bulaştırdığında o anda mikrobilgisayarınızda bulunan sahaların tum disk ve diskleri(A-B-C-D…..)butunuyle siler.Boot kaydı ve FAT sahalarının ikisini de null karakterlerle doldurarak geri donulmez yıkımı gercekleştirir.

Bu arada bulaşmanın yapıldığı diğer 4 COMMAND.COM icindeki virusler de aynı bicimde 4 ayrı ortama bulaştıklarında (4*4=16 ayrı COMMAND.COM) aynı bicimde saldırıyı başlatırlar.16 ayrı COMMAND.COM icindeki viruslerin her biri de yine 4 ayrı COMMAND.COM’a bulaşarak saldırıyı geometrik artan bicimde saldırıyı başlatırlar.
Boylece geometrik bir hızla artım sağlanmış olduğu gibi saldırılar başladığında tum ortamlar da peş peşe yıkılmaya başlar.
Belirleme
Virus her ne kadar cok başarılı bicimde yazılmışsa da iki yazılım hatası kolayca belirlenmesine yol acmıştır.
-Kendisini kopyaladığı COMMAND.COM kutuğunun tarihini (date) değiştirmektedir.
-Bulaşmak istediği disketin guvenlik kısmı ilgili etiketle kapatılmış veya disk
“READ ONLY” yapılmışsa bu kez “WRITE PROTECT ERROR” mesajını vermektedir.
Onlemler
Virusun belirlenmesine yol acan faktorler aynı zamanda onlemleri de belirlemiştir:
-Sistemi yuklemekte kullandığınız disketlerin guvenlik bolgelerini etiketleyerek kapatınız; bunları READ ONLY olarak kullanınız.
-Diskiniz de yer alan COMMAND.COM kutuğunde tarih değişimi olup olmadığını izleyiniz.
İsrail Virusu
Ocak 1988 yılında Kudus’te saptanan bu virusun tum İsrail icinde yaklaşık 10000 ile 20000 arasında hdd yayıldığı bildirilmiştir. Aslında aynı donem icinde dort ayrı virus saptanmış olup, bunlardan sadece biri zarar verecek yapıdadır.

Yapısından oturu 13.Cuma virusu olarak ta bilinen bu virusun yapısal ozellikleri aşağıda belirtilmiştir.
Arkadaşlar ISRAIL virusunun ozellikleri şoyledir;
Hedef sistemler
IBM PC / XT /AT ailesi ve gercek uyarlı tum sistemler, PC DOS yÃ‚da MS-DOS işletim sistemi Disket ve hdd’ye bulaşır.
Bulgular
İsrail 3 temel bulguya sahiptir:
-.EXE kutukler her calıştırıldığında. COM kutuklerdeki buyumenin surekli oluşu bu kutuklerin bir sure sonra belleğe veya disket diske sığınmasını sonuclandırmaktadır.
- Virus belleğe bulaştıktan 30 dakika sonra o anda calışmakta olan yazılımların işlenmesini yavaşlatmaya başlamaktadır. Anılan yavaşlama standart PC’ler uzerinde normal calışma hızının 5 katı kadar duşmesine sebep olmaktadır.
-Belleğe bulaştığı gun ayın 13’u ve gunlerden Cuma ise o gun calıştırılmak uzere belleğe alınan her kutuğu silmektedir.(13 Mayıs 1988, 13 Ocak 1989,13 Nisan 1990,13 Temmuz 1990, 13 Eylul 1991,13 Aralık 1991 tarihlerinin hepsi Cuma gununu gostermektedir.)
Bulaşma
İşletim sistemi yuklendikten sonra virus bulaşmış bir. EXE veya. COM kutuk calıştırıldığında virus 21H interrupt ‘ını yakalayarak kendisini belleğe kopyalar.Bu aşamayı Herhangi bir. EXE veya.COM yazılım calıştırıldığında kendisini bellekten bu yazılıma kopyalama izlemektedir.
İsrail virusu sadece COMMAND.COM kutuğunde değil herhangi bir. EXE veya. COM kutuğune bulaşabilecek bicimde tasarlanmıştır.Ancak. EXE kutukler ile. COM kutuklere bulaşmasında belirgin farklar vardır.
Virus bellekteyken bir. EXE kutuk calıştırılırsa virus kendisini bu kutuğun sonuna kopyalar, kutuğun ozgun boyu 1808 byte artar. .EXE kutuk bundan sonra her calıştırılışında yine sonuna 1808 byte eklenir.

Calıştırılan kutuk eğer. COM ise bu kez virus kendisini bu kutuğun başına kopyalar kutuğun boyu yine 1808 byte artar. Buna ek olarak 5 byte’lık “MS_DOS” stringini koyar. .COM kutuklere sadece bir kez bulaşır.
Ancak virus READ ONLY. EXE veya. COM kutuklere de bulaşabilmekte ve bulaştığı kutuğun tarih ve zaman kayıtlarında herhangi bir değişikliğe neden olmaktadır.
Yayılma
Viruslu bir yazılımın diskten diskete alınıp temiz başka bir diskte calıştırılması sonucunda kısa sure icinde yeni gittiği diskteki tum. EXE ve.COM kutuklere bulaşır.Yayılmayı yaratan faktor diskler arası taşınan disketler ve bir ağ icinde birbirine bağlı PC lerde yapılan. EXE yÃ‚da. COM kutuk alışverişidir.
Saldırı
Virus bellekteyken o gun ayın 13’u Cuma gunuyse belleğe alınan her.COM ve. EXE kutuk virus tarafından silinir.
Belirleme
.EXE kutukler her calıştırıldığında 1808 byte buyuyorsa. COM kutuklerin başında “SUMSDOS” mesajı varsa İsrail virusu sisteme bulaşmış demektir.
Ancak. COM kutuklerin başındaki mesaj aynı virusun bazı var yanıtlarında değiştirilmiş olarak saptanmıştır.(“Suriv 3.00”olarak); bu nedenle. EXE kutuklerindeki artış cok daha sağlam bir kanıt nitelliğindedir.
Aynı donemde saptanan diğer uc virusten birisi, yukarıda tanımlanan virusun ilk versiyonu gibi gorunmektedir. Bunların dışındaki iki virus ise 1 Nisan tarihlerinde aktif olacak şekilde tasarlanmıştır.
“April 1 st Ha Ha Ha You have a virus”
Mesajını yayınlandıktan sonra sistemi kilitleyerek kullanıcıyı yeniden Cold Start yapmaya zorlamaktadır.
__________________