Zararlı Yazılımları Tanıyalım !.

Konu: Zararlı Yazılımları Tanıyalım !. Salı Haz. 01, 2010 7:58 pm

Trojan

Truva Atı programları
zararlı code lar içeren karşı bilgisayarı tamamen ele geçirmeye ve
kişilerin kişisel bilgilerini çalma amacıyla yapılmış programlardır.
Örnek olarak proagent ve Prorat türkiyenin gururu olan ünlü yazılım
kurba'nın account bilgisini çalmaktan tutun zarar verici olarak format
dahi atılabilir ,Trojan programları delphi ile yazılmıştır ve sistemde
değişiklik yaparlar. WIN.INI & SYSTEM.INI, registry ve startup
gruplarda değişiklikler yaparak sistemin her açılışında kendini
çalıştırmaya olanak sağlarlar, bellekte ( EMS ) 35-55 kb arası yer işgal
ederler,TSR kalıcı bellekte virüs benzeri özellikler taşıyabilirler

Bukalemun

Truva
atlarının yakın akrabaları olan bukalemunlar, diğer alışılagelmiş,
güvenilir programlar gibi davranmakla beraber, gerçek birtakım hile ve
aldatmalar içerirler. Uygun bir şekilde programlandığında bukalemunlar,
yasalarla belirlenmiş yazılımların simulasyonu olan demonstrasyon
programları gibidirler örnek olarak KAZZA,GETRIGHT ( download programı )
, IMESH vs. bu tür programları kurarken kimse yasal sözleşmesi okumaz
NEXT dedim hayatımı M..KTIM olayı olur,sözleşme kabul edildiği anda tüm
maddeleri tabi kabul etmiş oluyorsunuz..

Bir bukalemun, şifreleri
için giriş iletilerini taklit edecek şekilde dahiyane bir biçimde
programlanır. Bukalemun, sisteme giren bütün kullanıcıların adlarını ve
şifrelerini gizli dosyaya kaydeder ve daha sonra sistemin bakım için
geçici bir süre kapatılacağına ilişkin bir mesaj verir.Daha sonra
bukalemunun yaratıcısı, kendi özel şifresi ile sisteme girer ve
kaydedilen kullanıcı isimlerin ve şifrelerini alır.

Virüs

Bilgisayara
yerleşen, kendini bir dosya yada programa ekleyebilen ve bu noktadan
hızlı bir şekilde çoğalan küçük programcıklardır , aslında bunlara
özellikle BUG'lu ( hata kodu ) içeren yazılımda denilebilir, virüs'ler
çoğunlukla ASSEMBLY dilin'de yazılır'lar,bunun 2 sebebi vardır

1.
assembly hala (virüs ) yazmada güçlü bir dil olması
2. virüs'lerin
dikkat çekmeyecek boyut'ta yazılmasına imkan vermesi ( 3-4Kb )

virüs'ler
çoğunlukla dosya'ların uzantılarını değiştiriler, saldırdıkları %90
exe,com ve diğer olarak bat,scr,pıf,resim dosyaları vs. yani aktif olan
dosya türlerini tercih ederler, genelde bu virüsler'in çeşitleri vardır

Yazılım
Bombaları ( Software Bombs )

Şimdiye değin üretilmesi en kolay
ve popüler olarak görülen Yazılım bombaları yere çarpar çarpmaz patlar.
Bu durumda ne bir uyarı ne de önceden bir belirti söz konusudur. Bu
minimuma indirgenmiş reklamdır. Herhangi bir saklanma veya gizlenme ve
doğal olarak kolonileşme yoktur. Yazılım bombaları adlarına yakışır bir
şekilde çarpma anında patlar ve bütün verileri yok ederler.

Saatli
Bombalar ( Time Bombs )

Saatli bombalar, nümerik veya zamana
bağlı çevresel değişkenlerin aldıkları duruma göre koşulsal olarak,
zararlı bilgisayar komutlarını yerine getiren programlardır. Genelde
belirli bir tarihte ( 1 Nisan’da veya ayın 13’ünün Cuma olduğu günlerde )
veya günün belirli bir saatinde (örneğin tam gece yarısı ) patlayacak
şekilde programlanabilirler.

Tavşanlar ( Rabbits )

Bilgisayar
virüsleri`nin kuzeni olan tavşanlar, adlarına yakışır bir şekilde çok
hızlı ürerler. Bellekte veya diskte yeteri kadar alan tükeninceye kadar
kolonileşirler. Bir koloni yaratıldıktan sonra, bu bir yavru koloni
üretir ve yavru koloni yeterince gelişince yeni bir koloni daha doğurur
ve bu döngü süregider. Burada amaç, özellikle çok kullanıcılı
sistemlerin, iletişim ağ ortamlarında ana sistem bilgi işleme gücünü
yitirinceye kadar sistemin kaynaklarını kurutmaktır. Tavşanlar ve
virüsler arasındaki en belirgin fark, tavşanların kullanıcı veri
kütüklerinin sonuna eklenmemeleri, asalak özelliklere sahip olmamaları
ve kendi kendilerine yetebilmeleridir,

Solucanlar ( Worms )

Çok
yaygın olarak virüsler`le karıştırılan solucanlar bir iletişim ağındaki
bilgisayar sistemlerinde herhangi bir donanıma veya yazılıma zarar
verme zorunluluğu olmaksızın bilgisayardan bilgisayara dolaşan
programlardır. Yalnızca gerektiğinde bu gezilerini sürdürebilmek için
ürerler.Solucanlar, girdikleri iletişim ağı içinde çok gizli bir şeklide
gezinirler ve bu arada bilgi toplayarak (muhtemelen şifreler veya
dokümanlar) gizemli mesajlar bırakırlar. Çoğu zaman iletişim ağındaki
çalışan sistem operatörlerine gözükmemek için geride bıraktıkları her
artığı silerler.

BOOT VİRÜS'Ü

Disk’in boot sektörüne
(ana boot kaydına) bulaşan virüs çeşidi’dir. bazı avantajları vardır en
önemlisi, çalıştığında dizin listesinde görüntülenmezler. Daha da ötesi,
bir güçlü yazılım programı yardımı olmaksızın kolaylıkla silinemez,
kopyalanamaz, adları değiştirilemez. Boot sektöre bulaşanlar bellekte
kalıcıdır ve her zaman aktiftirler.

KOMUT İŞLEMCİSİ
BULAŞANLARI

Command Processor Infectors

Gizli (hidden)
işletim sistemi dosyaları IO.SYS ve MSDOS.SYS olarak adlandırılmıştır.
COMMAND.COM komutları geri planda çalışırken, normal disk ulaşımlarının
ardına gizlenme fırsatını çoğu zaman kötüye kullanırlar.

GENEL
AMAÇLI BULAŞANLAR

( General Purpose Infectors )

Bilgisayar
virüsleri krallığının “her eve lazım” tipindeki en popüler elemanları
Genel Amaçlı Bulaşanlardır (GPI ). Genel Amaçlı Bulaşanlar herhangi bir
hedefe yönelik olarak tasarlanmamışlardır ve genellikle düşük düzeydeki
sistem işletim dosyalarına bulaşmazlar. Ancak gene de merkezi komut
işlemcilerine bulaşmaları kaçınılmazdır.

ÇOK AMAÇLI
BULAŞANLAR

( Multipurpose Infectors )

pratikte
gerçektirler ve şimdiye kadar tartışılmış olan üç virüs tipinin de en
güçlü özelliklerini birleştirmek için tasarlanmışlardır.

Çok
Amaçlı Bulaşanlar temel olarak boot sektörünü, komut işlemcisini veya
her ikisini de enfekte ederler. Oradan, gerçekte genel amaçlı bulaşanlar
olan virüs parazitlerin yayarlar. İki veya daha fazla bulaşıcı tekniğe
sahip olan Çok Amaçlı Bulaşanlar, daha uzun yaşamayı başarırlar ve
kendilerini yeniden üretme konusunda, tek boyutlu bulaşıcı özelliğe
sahip virüslerden daha ustadırlar.

BELLEKTE KALICI BULAŞANLAR
- MBR - TSR VİRUS’LERİ

( Memory Resident Infectors )

Boot
sektörü ve komut işlemcisi bulaşanları Bellekte Kalıcı Bulaşanlar
(Memory Resident Infectors-MBR-I) olarak tanımlanabilirler, çünkü her
iki virüs tipi de bellekte yüklü kalır ve uygun koşullarda bilgisayarın
belleğinde aktif hale gelirler. TSR (Terminate-and-Stay Resident, Yok et
ve yerleş) onlar yükleme sırasında belleğe yerleşir ve bütün oturum
boyunca aktif kalırlar.

Bilgisayar virüslerinin çoğunluğunun
çalıştırılabilir dosyalardan denetimi ele geçirmek için kullandıkları
beş popüler yöntem vardır:

Ekleme (Appending)

Araya sokma
(Insertion)

Yeniden yönlendirme (Redirection)

Yer
değiştirme (Replacement)

Virüs kabuğu (The viral shell)

EKLEME
(Appending)

Çalıştırılabilir program dosyalarının sonlarına
virüse ilişkin kod ekleyen virüsler ekleyerek bulaştırma yöntemini
kullanırlar. Hedef çalıştırılabilir (.EXE) programlar
değiştirilebilirler, böylece bu programlar çalıştırıldığı zaman,
programın denetimi program sonuna eklenen virüs kodlarına geçer.

Enfeksiyondan
önce program
PROGRAM.EXE Dosya Uzunluğu= 10240 kb

Enfeksiyondan
sonra program

PROGRAM.EXE+VİRÜS KODU
Dosya Uzunluğu=10240 kb +
55 kb virüs kodunun uzunluğu

ARAYA SOKMA ( Insertion )

Kendi
yazılım kodlarını, doğrudan doğruya kullanılmamış olan kodların ve
çalıştırılabilir programların veri bölümlerinin arasına yerleştiren
bilgisayar virüsleri, hedefledikleri dosyaları denetlemek için araya
sokma yöntemini kullanırlar. Bir önceki yöntemde olduğu gibi, araya
sokma yöntemini kullanan virüsler de hedef dosyalarda bazı
değişikliklere neden olurlar. Yöntemlerdeki farklılık, virüs kodunun
sona eklenmesi yerine, hedeflenen çalıştırılabilir dosyanın içerisine
yerleştirilmesidir.
Araya Sokma Yöntemini Kullanan Bir Virüs
Enfeksiyondan
önce program

PROGRAM.EXE
Dosya Uzunluğu=10240 bayt

Enfeksiyondan
sonra program
PROG(VİRÜS KODU)RAM.EXE
Dosya Uzunluğu=10295 bayt

YENİDEN
YÖNLENDİRME ( Reduction )

virüsü , disk bölümünün bozuk olarak
işaretlenmiş sektörler veya gizli dosyalarda gizlenirler. Ekleme veya
araya sokma yöntemlerini kullanan “usta” virüsler, çalıştırılabilir. (
.EXE ) dosyalar arasına küçük virüs işçilileri yerleştirirler. Bu virüs
işçileri hedeflenen program çalıştırıldığında ustalarına çağrılar
(çalıştırma istekleri) yayınlayarak program akışını yeniden
yönlendirirler. Usta (belki daha çok virüs işçisi yayarak) işçilerini
yönetir ve daha sonra denetimi gerçek programa bırakırlar.Virüs işçileri
teoride birkaç düzine bayt küçüklüğünde veya bu uzunluktan daha kısa
olduklarından, sınırlı sayıdaki kullanılmayan program alanları içerisine
gizlenmeleri çok kolaydır.

YER DEĞİŞTİRME ( Replacement )

Şimdiye
kadar virüs yazılımcıları tarafından kullanılan en ağır ve en hasas
bulaştırma yöntemi, hedeflenen ( COM.EXE ) dosyaların yer
değiştirilmesidir. Yer değiştirme yöntemini kullanan virüsler gerçekte
çalıştırılabilir dosyaları enfekte etmez,yada dosya boyutunda bir oynama
yapmaz daha ziyade yerleştikleri sistemi enfekte ederler. bu anlamda
hedef, dosyaların üzerine yazılır. Öncelikli olarak ANA VİRUS sisteme
YEM atar ve kendini birkaç dosyaya kopyasını bulaştırır ancak bu
bulaştırma işlemi kesinlikle asıl kendisi değildir amaç burada gezici
askerler yaratmaktır pasifize viruslerin görevi sistemi sürekli
denetleyerek asıl virus için bir tehlike olup olmadığını kontol etmektir
herhangi bir anti virus tehlikesinde gezici virusler verilen emri direk
asıl ana viruse rapor halinde sunarlar ana virus ise kendini bulaştığı
dosyadan silerek YER DEĞİŞTİRİR ve bu sürekli rutin halde devam eder
taki verilen görevini yerine getirene kadar.

Bilgilendirme amaçlı

» Risale-i Nur Külliyatı,kitapları tanıyalım