Virus nedir ? Trojan (Truva ati) nedir ?
Virusler, kendi kodlarini baska programlara veya program niteligi olan dosyalara
bulastirabilme ozelligi olan (kendi kodunu kopyalayabilen) bilgisayar
programlaridir.Bulastiklari bilgisayarda genelde hizli bir sekilde
yayilirlar.Belli bir amaca yonelik olarak yazilmis, zarar vermeye yonelik
olabilecekleri gibi eglence amaciyla da yazilmis olabilirler.
Truva atlari, viruslerden oldukca farkli bir yapiya sahiptir.Asla baska
programlara bulasmazlar.Belli olaylara bagli olarak tetiklenen bir
rutindirler.Kendilerini kopyalayamadiklari icin bazi programlarin icine bilincli
olarak yerlestirilirler.Trojanlar, ilgi ceken, utility gibi programlarin icine
yerlestirilirler.Trojan kodu, trojanin icine gizlendigi programin yazari
tarafindan yazilmis olabilecegi gibi sonradan da programa eklenmis
olabilir.Trojanlar aslinda kopya koruma amaciyla hazirlanirlar.
Virusler cogunlukla Assembly gibi dusuk seviyeli bir programlama dili ile
yazilirlar.Bunun asil 2 sebebi vardir.
1- Assembly'in cok guclu bir dil olmasi:
2- Yazilan programlarin derlendikten sonraki dosya boylarinin cok kucuk olmasi
Bu ozelliklerin her ikisi de virus yazarlarinin assembly dilini kullanmasi icin
yeterli ve gerekli sebeplerdir.
Virusleri ozelliklerine gore siniflandirmak pek mumkun olmasa da asagidaki
sekildeki gibi bir siniflandirma yapmak yanlis olmayacaktir.Ancak pek cok virus,
pek cok ozelligi bunyesinde barindirabilir.Bulasma hizini arttirabilmek amaciyla
yapilan bu durum sonucu virus, boot sektorlere, mbr kayitlarina, programlara
bulasabilir.
1 - Disk virusleri : a- Boot b- MBR
2 - Dosya virusleri : a- Program (TSR ve nonTSR) b- Makro virusleri
3- FlashBiOS virusleri
1 - Disk Virusleri
Disk virusleri, adindan da anlasilacagi uzere, disk ve/veya disketler uzerinde
isletim sistemi icin ozel anlami olan bolgelere (boot sektor, MBR) yerlesen
viruslerdir. Disk virusleri, hakkinda en cok yanlis bilginin oldugu virus
turudur.Boot ve MBR virusleri, asagida da goreceginiz gibi isletim sisteminden
once hafizaya yuklenir.Bu yuzden isletim sistemini kolaylikla atlatip,
Yukaridaki sekilde de gorulecegi gibi disk viruslerini boot ve MBR (partition)
virusleri olarak 2 gruba ayirabiliriz.
BOOT Virusleri:
Boot viruslerinin ne olduguna gecmeden once boot sektor nedir, disk uzerinde
nerede bulunur, once bunlara bir bakalim; Boot sektor, bir diskin veya disketin
isletim sistemini yuklemeye yarayan 1 sektor (512 byte) uzunlugundaki bir
programdir.Boot sektorler, disketlerde 0.ci iz, 0.ci kafa,1.ci sektor uzerinde
bulunur. Hard disklerde ise boot sektoru 0.ci iz, 1.ci kafa ve 1.ci sektor
uzerinde bulunur.Boot sektor, acilis icin gerekli sistem dosyalarinin yukleyen
programdir.Ayni zamanda disk (veya disket) ile ilgili bilgileri saklar.DOS
buradaki bilgileri kullanarak cylider hesaplarini yapar.
Nornal kosullarda, bilgisayari baslatabilecek durumdaki bir sistem disketini
(virussuz) surucuye takip bilgisayari actigimizda, bilgisayar ilk olarak disket
surucuye bakar.Eger surucude bir disket var ise bu disketin boot sektoru
hafizanin 0000:7C00 (hex) adresine okunur ve okunan boot sektor
calistirilir.Boot sektor, isletim sistemini yukleyerek denetimi isletim
sistemine birakir.Eger bilgisayari boot edecek disket bir boot virusu iceriyorsa
o zaman durum degisir.Bilgisayar, boot sektoru yine 0000:7C00 adresine okur ve
akisi bu adrese yonlendirir.Disketten okunan boot kaydi, yapi olarak
degistiginden dolayi, 0000:7C00'daki kod virusu hafiza icine yukleyip,
hafizadaki konumunu garanti altina alacaktir.Virus aktivitesi icin gerekli
interrupt servislerini de kontrol altina aldiktan sonra orjinal boot kayidini
okuyarak isletim sisteminin yuklenmesini saglayacaktir.
MBR (Partition) Virusleri:
MBR virusleri esas olarak, boot viruslerinden pek de farkli degildir.Ancak can
alici bir nokta vardir ki, bu boot ve mbr virusleri arasindaki en onemli
noktadir. Hard diskler kapasite olarak cok farkli ve buyuk kapasitede
olduklarindan diskin DOS'a tanitilmasi amaciyla MBR - Master Boot Record (Ana
acilis kaydi) denilen ozel bir acilis programi icerirler.Bu kod diskin 0.ci iz,
0.ci kafa ve 1.ci sektoru uzerinde bulunur.Yani disketlerde boot sektorun
bulundugu konum, hard diskler icin MBR yeridir.Master boot record, hangi disk
partitionundan bilgisayarin acilacagini gosterir.Bu yuzden cok onemlidir.Eger
bilgisayar hard diskten boot ediliyorsa, o takdirde mbr ve partition table
okunur.Aktif partitiona ait boot sektor okunur.Bundan sonrasi boot sektor
kismindaki sistemin aynisidir.
2 - Dosya Virusleri
Dosya virusleri acikca anlasilacagi gibi hedefi dosyalar olan viruslerdir.Dosya
virusleri cogunlukla COM, EXE, SYS olmak uzere OVL, OVR, DOC, XLS, DXF gibi
degisik tipte kutuklere bulasabilirler.
Makro virusleri:
Makro virusleri Word, Excel gibi programlarin makro dilleri ile (mesela VBA -
Visual Basic for Applications) yazilirlar.Aktif olmalari bazi uygulamalara
(word, excel vs) bagli oldugundan program viruslerine oranla cok daha az
etkilidirler.
Program virusleri:
Program virusleri, DOS'un calistirilabilir dosya uzantilari olan COM ve EXE turu
programlar basta olmak uzere SYS, OVL, DLL gibi degisik surucu ve kutuphane
dosyalarini kendilerine kurban olarak secip bu dosyalara bulasabilirler.Dosya
virusleri bellekte surekli kalmayan (nonTSR) ve bellekte yerlesik duran (TSR)
olarak 2 tipte yazilirlar.
nonTSR (Bellekte surekli kalmayan) virusler:
Bellekte surekli olarak kalmazlar.Kodlari oldukca basittir.Bellekte surekli
kalmayan virusler sadece viruslu bir program calistirildiginda baska programlara
bulasabilirler.Viruslu program calistirildiginda programin basinda program
kontrolunu virus koduna yonlendirecek bir takim komutlar bulunur.Virus kontrolu
bu sekilde ele aldiktan sonra virus kendisine temiz olarak nitelendirilen
virussuz programlar aramaya koyulur.Buldugu temiz programlarin sonuna kendi
kodunu ekler ve programin basina da virusun kontrolu ele alabilmesi icin ozel
bir atlama komutu yerlestirir ve kendisine yeni kurban programlar arar.Virus
bulasma isini bitirdikten sonra calistirmak istedigimiz program ile ilgili tum
ayarlari duzenleyerek kontrolu konak programa devreder.
TSR (Bellekte surekli kalan) virusler:
TSR virusler yapi olarak TSR olmayan viruslerden cok farklidir.TSR virusler, 2
temel bolumden olusurlar.1.ci bolum; Virusun calismasi icin gerekli ayarlamalari
yapar ve TSR olacak kodu aktiflestirir.2.bolum TSR olan kodun kendisidir ve TSR
viruslerin hayati onemdeki bolumudur.Bu tip virusler, calismak icin sadece TSR
olmakla kalmazlar.Ayni zamanda cesitli interruptlari (kesilmeleri) kontrol
altina alirlar.Boylece DOS uzerinden yapilan islemleri bile kontrol altina
alabilirler.ornek vermek gerekirse; TSR bir virus DiR, COPY gibi DOS komutlari
ile yapilan -daha dogrusu yapilmak istenen- islemleri kontrol altina
alabilir.Kullanici DiR komutunu kullandiginda dosya boylarinin 0 olarak
gosterilmesi, dosya boylarinin eksik gosterilmesi gibi islemler TSR bir virus
icin cok kolaydir.
3 - FlashBiOS Virusleri
FlashBiOS virusleri tekrar yazilabilir ozellikteki BiOS chiplerine bulasirlar.
ViRUSLER NELERi YAPABiLiR, NELERi YAPAMAZ ?
Viruslerin neleri yapip neleri yapamayacaklari konusu en cok ilgi ceken,
uzerinde en cok konusulan konulardan birisidir. cunku bir virus, yaptiklariyla
anilir ve bilinir.Viruserin en cok korkulan etkilerin basinda gelenler
sunlardir:
BiR ViRUS BiLGiSAYARDAN SiLiNDiKTEN SONRA KENDi KENDiNE TEKRAR ORTAYA CiKiP
ETKiNLESEBiLiR Mi ?
Hayir.Bir virusun temizlenmesinden sonra durduk yerde yeniden peydahlanmasi
dogru degildir.Eger bir antivirus programi ile sisteminizden virusu
temizlemenize ragmen virus tekrar ortaya cikiyorsa 2.durum sozkonusu olabilir.
1- Antivirus, virusu temizleyemiyor olabilir.Amator programcilarin yazdiklari
shareware olarak dagitilan antivirus programlarindan birini kullaniyorsaniz bu
durumla karsilasmaniz olasidir.Bunun pek cok sebebi olabilir.ornegin antivirus,
virusu baska bir virusle karistiriyor olabilir.imza tarama esasina gore calisan
antiviruslerde ortaya cikabilecek bu sorun genellikle iki virusun birbirinin
varyanti (uzerinde kucuk degisiklikler yapilmis bicim) olmasindan
kaynaklanir.Bir veya birkac virusu temizlemek icin hazirlanmis eski antivirus
programlarinin o virusun yeni bir varyantinin temizlenmesi amaci ile
kullanilmasi sonucu da ortaya cikabilir.Mesela; elimizde bir programcinin 4 yil
once yazdigi xx virusunun antivirus programi olsun.1 yil once ortaya cikan xx
virusunun bir varyanti olan xx.a gibi bir virusu temizlemek istersek muhtemelen
tarama imzalari ayni veya benzer yapida olacagindan bu tur bir sorun ile
karsilasabiliriz.Bunun sonucu olarak virus uzunlugunun farkli olusundan dolayi
yanlis isimle bile olsa tespit edilir ancak temizlenemez.Bu durumda antivirus
kullaniciyi yeni bir virusle karsilastigini belirten bir mesaj ile uyarir.
2- Bir yerlerde temizlemeyi unuttugunuz birkac viruslu dosyaniz kalmistir.Virus
taramalarinda taramayi unuttugunuz disketleri kullanirsaniz ve disketteki
programlar viruslu ise siz farkina varmadan virus tekrar sisteminize
bulasacaktir.Virus taramasi yaparken sahip oldugunuz tum disk ve disketleri
virus taramasindan gecirin.Ancak bu sekilde viruslerden kurtulabilirsiniz.
Burada belirtmek isterim ki, bu iki durumdan 2.sinin olmasi daha
muhtemeldir.Birinci durumun gerceklesme ihtimali cok azdir.
ViRUSLER VERi DOSYALARiNA ZARAR VEREBiLiR Mi ?
Evet, kesinlikle verebilir.ozel bir veya birkac dosya turunu hedef alan
virusler, bu tur dosyalara silebilir veya iclerindeki veriyi degistirebilir,
dosyanin yapisini bozabilir.ornegin yerli viruslerden Trakia.653 virusu
AutoCAD'in DXF ve DWG uzantili dosyalari hedef almakta ve bu kutuklerin yapisini
bozarak islenemeyecek hale getirmektedir.Trakia.560 virusu bazi dosyalari
silmektedir.Ancak bu tur etkiler virusun farkedilmesi kolaylastiracagindan pek
tercih edilmezler.
ViRUSLER YAZMA-KORUMALi DiSKETLERE BULASABiLiR Mi ?
Disketlerin yazma korumasi yazilimla kontrol edilen bir sistemdir ve bu sistem
asilabilir.Ancak yazma korumasini kapatmak virus icinde ekstra kod anlamina
gelir.Eksta kod, virusun boyunu uzatacak ve virusun farkedilmesini
kolaylastiracaktir.Bu yuzden uygulanan bir yol degildir.Virusler, yazma
korumasini kapatmak yerine yazma korumasini kontrol edip koruma varsa
bulasmamayi tercih ederler.
ViRUSLER CMOS'A BULAsABiLiR Mi ?
Herhangi bir virusun CMOS alanina bulasmasi mumkun degildir.Hatta
imkansizdir.CMOS bellek kapasitesi uretici firmaya bagli olarak 128 veya 256
bayttir.Bu alan virusun ihtiyac duyacagi bellegin cok altindadir.Kaldi ki CMOS,
setup parametrelerinin saklandigi bir veri alanidir.Ancak virusler setup
parametlerini degistirebilirler.
ViRUSLER DONANiMA ZARAR VEREBiLiR Mi ?
Eskiden kismen, gunumuzde hayir.Eski MDA (mochrome display adapter - tekrenkli
goruntu bagdastiricisi) ekran kartlarina bir komut serisi yollanarak MDA kartlar
yakilabilir.Ancak MDA kartlar coktan tarih oldugundan artik bunun pek onemi de
yok.
Eski disklerin okuma/yazma kafalarinin ani hareketlerle hareket ettirilmesi
sonucu diskin bozulmasini saglamak mumkundu. Artik gunumuzde ise disklerin
cacheleri sayesinde bu tur hareketler disk tarafindan engellenebiliyor ve
disklerdeki kafalar manyetik bir esasa gore calisiyor.Bu sayede elektrikler
kesilse bile disk zarar gormeden kafalar park ediliyor.
Bir de disk uzerinde bir bolgenin milyonlarca kez formatlanmasi durumu var.Bu
islem sonunda disk uzerindeki manyetik malzeme zarar gorecek, disk okunamaz
duruma gelecektir.Bu islemin partition table uzerinde yapildigini dusunursek
diski kaldirip cope atmaktan veya disk kasasini acip raf susu olarak kullanmak
disinda geriye pek bir sey kalmaz.Ancak hemen belirteyim ki bu formatlama islemi
oldukca uzun surecektir.Bir virusu diski milyonlarca kez formatlamak isterse,
kullanici bilgisayarin kilitlendigini dusunecek ve resetleyecektir.Sonucta virus
amacina ulasamamis olacaktir.
