®adakoglu
03-01-2006, 22:03
İNSANI HASTA YAPAR MI?
"Popüler virüsler nedir, nasıl korunulur?
Tüm merak ettiğiniz yanıtlar bu sayfada!!
Bilgisayarlar hızla hayatımızın bir parçası haline gelirken bu sevimli makinalarla birlikte kimi olumsuzluklar da kapımız çalıyor. Bu davetsiz misafirlerin başında ise bilgisayar virüsleri geliyor; ancak pek çok kişi özellikle de yeni bilgisayar kullanıcıları bu konuda pek bilgili değil. Hatta pek çoğumuz Hollywood yapımı bilimkurgu filmler sonucunda onların canlı organizmalar olduğunu bile düşündük. Fakat bilgisayar virüslerinin canlı olması (ve de kullanıcılara hastalık bulaştırması!) söz konusu değil. Çünkü onlarda sadece küçük birer yazılımdır. Tabii ki bunlar diğer bilgisayar yazılımlarından biraz farklılar. Bu farkların başında kendilerini kopyalamaları geliyor. Tıpkı biyolojik virüslerin DNA'lar ile çoğalmaları gibi bilgisayar virüsleri de kendilerini başka programlara yada boot'a kopyalayarak çoğalırlar. Diğer bir özellikleri ise çalışmaları için kullanıcıya bağlı olmamaları yani aktif bir yapıya sahip olmaları. Böylelikle kullanıcının onayını yada emrini beklemeden hareket ederler. Bilgisayar sistemlerine zarar vermeleri de kullanıcının istemediği zamanlarda istemediği şeyler yapmasıyla olur. Virüsler varlıklarını devam ettirebilmek amacıyla sürekli olarak kendilerini kopyalarlar ve böylelikle tüm dünyadaki bilgisayarlara yayılma şansı bulurlar. Her geçen gün virüslerin sayısı katlanarak artıyor. 1983 yılında bilgisayar virüslerine isim babalığı yapan Friedrich Cohen bile onların gün gelip de onbinlerle ifade edileceğini düşünmemişti herhalde. Ancak bugün sayıları giderek artıyor ve bunun temelinde de psikolojik durumları hala tartışılan bilgisayar programcıları geliyor! Kimileri aşklarını duyurmak, kimileri nükleer denemeleri protesto etmek, kimileri ise sadece eğlence amacıyla virüs yazıyor. Bir bilgisayar virüsü programlamak için sanılanın aksine bilgisayar dehası olmaya gerek yok, sıradan bir programcı hatta programcılığa meraklı 9-10 yaşlarında bir çocuk bile rahatça bir virüs yapabilir. Fakat virüsünün dünyaya yayılıp, adını duyurması virüsün kaynak kodunun (source code) kalitesine bağlıdır.
Virüsleri kabaca dört grupta inceleyebiliriz. File (Dosya), Trojan (Truva), Makro ve Boot virüsleri.
* Boot virüsleri : Disketlerin Boot Sector ya da sabit disklerin Master Boot Sector denilen ilk sektörlerine kendilerini kopyalarlar. Daha sonra kendilerini yine kopyalayarak diğer bilgisayarlara ulaşırlar. Temizlemesi en kolay virüs türüdür.
* Dosya (File) virüsleri : Bunlar ise çalıştırılabilir programlara (uzantıları . exe, com gibi olanlar) bulaşırlar ve bunlardan diğer dosyalara kendilerine kopyalarlar. Böylelikle de bulaştıkları dosyanın uzunluğunu artırırlar; ancak günümüzde dosya uzunluğunu artırmadan da bulaşan virüsler var. Virüs eklentisi genellikle dosyanın sonunda ve nadiren de ortasında olur. Virüs hafızada kalabilir (resident virus) ya da doğrudan çalıştırıldığında (direct action virus) etki gösterebilir. Yada her iki özelliği de kullanabilir.
* Trojan'lar (Truva Atları) : Truva atı olarak nitelendirilen Trojan'lar ise diğer virüslerden farklıdırlar. Aslında bunları virüs kategorisini koymak pek de mantıklı değil. Virüsler yapı itibariyle kendilerini başka yerlere kopyalama, yani "bulaşma" özelliğine sahiptirler. Truva'lar ise genellikle bunu yapmazlar. Son zamanlarda gündemde bir hayli yer edinmeleri ise Internet'in yaygınlaşması ile oldu. Bildiğinizi gibi eski bir öyküye göre Truvalılar'ı yenemeyen Yunanlılar tahtadan dev bir at yaparak bunu savaş tazminatı olarak Truvalılar'a verirler ve kentin kuşatmasını kaldırırlar. Truva atı denilen atın içine gizlenmiş Yunanlı askerler gece olduğunda şehrin kapılarını açarlar ve eğlenceye dalmış olan Truvalıları öldürürler. Şimdi tarihi efsanelerin ne ilgisi var virüslerle demeyin!! Modern çağda siz Truvalılar oluyorsunuz ve Yunanlılar bir sürü Truva tı ile sizin bilgisayarınıza musallat oluyorlar. Truva'lar bir şekilde size ulaştırılır ve çalıştırdığınız andan itibaren bilgisayarınız 2. kısmı elinde bulunan kişinin kontrolü altına girer.
* Makro virüsleri: Word, Excel gibi makro kullanıma olanak tanıyan programların dosyalarına bulaşan virüslerdir. Yapılarını makrolardan aldıkları için bu adla anılırlar. Son dönemdeki pek çok "ünlü" virüs makro virüsleridir.
Bilgisayar virüsleri sisteminize bulaştıktan sonra bilgisayarınızda kuluçkaya yatarak zarar verecekleri zamanı beklerler (çoğunun içlerinde "time-bomb" denilen zamanlama ayarları vardır); ancak bu zararlar tamamen programlara yöneliktir. Yani bilgisayar virüsleri donanım (hardware) parçalarına fiziksel zarar veremezler. Size yapabilecekleri en büyük kötülük programlarınızı, verileriniz silmek olacaktır. Bunun dışında geçici olarak klavyenizi kullanmanızı engelleyebilir, ekrana değişik yazılar yazabilir (çok aç olduğu için sürücünüze hamburger koymanızı istemesi gibi) ya da yazıcınıza sizin istemediğiniz emirler gönderebilirler. Onlardan kurtulmak yerine hiç karşılaşmamayı deneyin!! Bunun için öncelikle sadece orjinal program kullanmaya başlayın yani korsan yazılım (yasadışı programlar) almayın. Çünkü virüslerin büyük bir kısmı bu yasadışı kopyalarla dağılır. Bunun dışında sürücünüzde disket varken bilgisayarınızı reset'lememeniz ya da size ait olmayan disketleri bilgisayarınızda kullanmamanız da bazı önlemler olabilir. Tüm bunları yapmanıza karşın bir gün başınız onlarla derde girerse piyasada rahatlıkla bulabileceğiniz anti-virüs programlarını kullanarak bilgisayarınızı virüsten kurtarabilirisiniz.
MODA VİRÜSLER. . .
Bilgisayar virüslerinin de modası mı olur?" diye şaşırmayın. Her dönem popüler olan ve pek çok kişinin canını yakan virüsler vardır. Mesela Michelangelo, Cansu, Yandan Çarklı, Mumcu, Şair, Crazy bir zamanların gayet moda virüsleriydi. Aslında size musallat olan moda bir virüsse işiniz daha kolay, çünkü neredeyse tüm anti-virüs üreticileri bu virüsü temizleyen yeni sürümlerini anında çıkartırlar. Böylelikle siz de rahatlıkla virüsden kurtulursunuz. Asıl tehlikeli olan kıyıda, köşede kalmış bir virüse ya da moda
Neymiş bakalım bu yeni virüsler: Melissa, Netbus, CIH, Class, Ethan, Back Orifice ve Happy99.
MELISSA
* Nedir? İşte en popüler virüsümüz!! Melissa bir Word 97 makro (macro) virüsü. Oldukça tehlikeli bir virüs, çünkü e-mail yoluyla çok hızlı olarak yayılabiliyor. Word 97 dökümanlarına ve Word 97 ile Word 2000'in NORMAL. DOT dosyasına bulaşıyor. Virüsün kodu Melissa isimli bir makro bulunduğundan bu adla anılıyor.
* Diğer İsimleri? Basında "***** Virüsü" olarak da tanınmasının nedeni pek çok kişiye *****grafik içerikli sitelerden gönderilen e-mail'ler sonucu bulaşmasından kaynaklanıyor. Ayrıca W97M/Melissa, Kwyjibo isimleriyle de tanınıyor.
* Nasıl Bulaşıyor? Melissa virüsü bulaşmış bir Word dökümanını ilk kez çalıştırdığınızda virüs, sistemde MS Outlook olup, olmadığını kontrol ediyor. Eğer varsa adres defterinde (address book) yer alan 50 e-mail hesabına (account) mektup göndererek yayılıyor. Virüs tarafından gönderilen mektupların "subject" kısmı şu şekilde oluyor : "Important Message From {virüsün bulunduğu bilgisayarın sahibinin adı}". Mektubun "body" kısmında yani içeriğinde ise "Here is that document you asked for . . . don't
show anyone else :-)" yazılı. Virüslü Word dökümanu bu mektuba iliştiriliyor ve açıldığı zaman yine 50 kişiye kendisine gönderiyor. Bu böyle döngü içinde geliştiğinden çok kısa bir süre içinde inanılmaz bir hızla yayılabiliyor. E-mail metodu ile kendisini klonlamayı sadece virüslü döküman ilk çalıştırıldığında yapıyor. Eğer bilgisayarınızda virüslü bir döküman varsa Windows Registry'e baktığınız zaman şu satırı görebilirsiniz :
"HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?". Virüs, e-mail ile başka adreslere ulaştıktan sonra bu anahtar değere ". . . by Kwyjibo" ekleniyor. Eğer virüs registry'de bu ibareye rastlarsa e-mail kullanarak kendisini başkalarına göndermiyor. Bir de eğer sistemde Outlook yoksa virüs yine kopyalama işlemine başlamıyor. Bununla birlikte virüsün bulaştığı bilgisayarda açılan tüm Word dosyalarına bulaşıyor (diğer Word 97 virüsleri gibi).
* Etkileri Neler? Yaptığı en önemli iş e-mail yoluyla çok hızlı bir şekilde yayılması. Bunun dışında ayrıca eğer dakika o günkü tarihle uyuşuyorsa (mesela saat 9:30 ise ve günlerden de ayın 30'u ise) metine şöyle bir tümce ekliyor : "Twenty-two points, plus triple-word-score, plus fifty points for
using all my letters. Game's over. I'm outta here. "
* Ne Zaman Ortaya Çıktı? İlk olarak Mart 1999'ta görüldü.
CIH
* Nedir? 32-bit Winwods 95, 98 ve Windows NT dosyalarına (. EXE uzantılılara) bulaşan bir virüstür.
* Diğer İsimleri? Win95/CIH ve Space Filler.
* Nasıl Bulaşıyor? CIH virüsü bulaşmış bir dosya Windows'ta çalıştırıldığında virüs aktif hale gelip, o bilgisayara bulaşıyor ve hafızada kalıyor (memory resident). Bundan sonra, açılan (yani çalıştırılan) ve kopyalanan tüm 32-bit EXE dosyalarına bulaşıyor. Virüsün boyutu oldukça küçük (1000 byte). Virüsün oldukça ilginç bir özelliği var. Bulaştığı dosyaların uzunluğunu değiştirmiyor. 32-bit EXE dosyalarında bulunan boş alanları (PE Format) kendi kodu için kullanıyor. Böylelikle dosya virüslerinin en büyük belirtisi olan dosya uzunluğunun artması olayını devre dışı bırakabiliyor. Eğer kendisini kopyalamak için tek bir boşluk bulamazsa, küçük parçalara bölünerek dosyadaki mevcut tüm boşluklardan yararlanıyor. Virüsün kod kısmında yer alan "CIH" sözcüğünden dolayı bu adla anılıyor.
* Etkileri Neler? Oldukça tehlikeli bir "time-bomb" (zaman bombası) var. Virüs, her ayın 26'sında (bazı varyasyonları sadece Nisan ayında) BIOS flash memory chip'ne zarar verebiliyor. Böylelikle 486 ve üstü bilgisayarları etkileyebiliyor. Eğer chip yazılabilir (write-enabled) ise virüs buraya alakasız şeyler yazıyor. Eğer böyle bir şey gerçekleşirse bilgisayarınız anakart (motherboard) yenilenene ya da chip'te saklanan bilgiler restore edilene dek kullanılmaz oluyor. Sevgili virüsümuz, her türlü BIOS korumasını da aşıyor! Virüs tüm bu gıcıkllığı yapmasının yanı sıra sabit disk'teki (harddisk) bilgileri de okunmaz (unreadable) hale getiriyor. Benim bugüne kadar gördüğüm en TEHLİKELİ ve de ZARARLI virüslerden biri, hatta birincisi!!! CIH, bu günlerde en çok dikkat edilmesi gereken virüs!!!!
* Ne Zaman Ortaya Çıktı? Haziran 1998'de camiaya girdi!
* Varyantları neler? CIH'ın varyantlarını anlatmadan önce sanırım "varyant"ın ne olduğundan bahsetmem gerek. Bir virüs yazmanın zor olmadığını söylemiştim. Bir virüsün koduyla oynayıp ona benzer başka bir virüs yaratmak da zor değil!! Bir virüsün koduna sadık kalınarak (bazı küçük değişikler yaparak tabii) yaratılmış virüslere, ilk virüsün varyantları denir. İşte bizim CIH'ın da üç tane varyanı var: 1. 2, 1. 3 ve 1. 4. 1. 2 ve 1. 3 sadece Nisan 26'da zarar verirken 1. 4 çok daha gaddar!! 1. 4 her ayın 26'sında marifetlerini gösteriyor. Ve işin kötüsü varyant 1. 4, bilgisayar kullanıcıları arasında daha yaygın!
NETBUS
* Nedir? Netbus, klasik anlamda bir virüs değil. Aslında bir "Trojan". Win32 tabanlı olan Netbus, Windows 95, Windows 98 ve Windows NT sistemlerinde etkili olabiliyor. Aktif hale geldiği bilgisayarın başkalarınca yönetilebilmesine olanak sağlar.
* Diğer İsimleri? Backdoor. Netbus.
* Nasıl Bulaşıyor? Genellikle Internet kullanıcıları arasında yaygındır. Çünkü Internet üzerinde dosya alış, verişi yapan kişiler rahatlıkça Netbus'lı bir program download edebilir. Netbus'ı sisteminizde çalıştırdığınızda Windows Registry'e bir kayıt ekleyerek sürekli aktif hale gelir. Ancak kullanıcı bunu göremez. Sadece Netbus'ı çekmekle aktif hale getirmezsiniz. Netbus'ın aktif olması için mutlaka çalıştırılması gerekir.
* Etkileri Neler? Netbus, "remote administration trojan" (uzaktan yönetim truvası) denilen sınıfa girmektedir. Yani başka birisinin, sizin bilgisayarınızı kontrol etmesini sağlar. Eğer Netbus aktifse ve Internet'e bağlıysanız "Netbus Client" programına sahip olan kişi bilgisayarınız sanki onun yanındaymış gibi hemen herşeyi yapabilir: İstediği bilgileri okur (şifreniz dahil!), ekrana istediği bir mesajı yazdırabilir, dosyalarınıza canı ne istiyorsa onu yapabilir, CD sürücünüzü açabilir, mouse'unuzu kontrol edebilir. . . Kısacası ne istiyorsa onu yapar. Bir arkadaşımın ricası üzerine (çalışıp, çalışmadığını merak ediyordu!) Netbus'ı kendi bilgisayarımda çalıştırdım. Bir süre sonra arkadaşım sinir krizleri geçirmemi sağlayacak kadar "pislik" yapmıştı!! Bir de Netbus bulaşan kişinin bundan haberi olmadığını hesaba katarsanız, durumu siz düşünün!!
* Ne Zaman Ortaya Çıktı? Ver 1. 5'i Mart 1998'de, Ver 1. 6'sı Ağustos 1998'de ve Ver 1. 7'si ise Kasım 1998'de doğdu!
* Varyantları neler? Bu afacanın 3 tane sevimli varyantı var.
Netbus Ver 1. 5 (473, 088 byte).
Neetbus Ver 1. 6 (472, 576 byte).
Netbus Ver 1. 7 (494, 592 byte).
Uzunlukları illa bu kadar olacak diye bir kural yok tabii! Netbus başka bir programa enjekte de edilebilir (o programa eklenir, ama siz programı çalıştırdığınızda Netbus'ın da çalıştığına dair bir ipuçu göremezsiniz). Böylelikle fark etmeniz çok zor olur.
Kendim Nasıl Temizleyebilirim? Aslında her virüsü kendi kendinize temizlemeniz mümkün. Ancak bu sizin bilgisayar bilginizle sınırlıdır!! "Kendim Nasıl Temizleyebilirim?" başlığı altında en acemi kullanıcıların bile temizleyebileceği virüsleri/truvaları anlatacağım. Netbus da kolaylıkla kurtulabileceğiniz bir bela! Eğer Windows Registry'i nasıl değiştirebileceğinizi biliyorsanız, Registry'e girip Netbus'ın ekledi satırları kaldırın. Ardından bilgisayarınızı yeniden çalıştırın ve son olarak Netbus dosyasını silin (yerini Registry'de görebilirsiniz). Ayrıca piyasada pek çok Netbus koruyucusu program var. Netbus Protector bunların başında geliyor.
BACK ORIFICE veya BO TROJAN
* Nedir? Tıpkı Netbus gibi Win32 tabanlı bir Truva'dır. Windows 95 ve Windows 98'de çalışır. Netbus gibi Windows NT'de de çalışmaz. BO'nun kullanıcı tarafından en az bir kez çalıştırılmış olması gerekir.
* Diğer İsimleri? BO, Backdoor. BO.
* Nasıl Bulaşıyor? Çalıştırıldığı zaman Windows Registry'e kayıt yaparak sürekli aktif hale gelir. Uzunluğu 124, 928 byte'tır. Tabii ki boyutu bundan fazla da olabilir. Netbus gibi "remote administration trojan"dır. Aktifse ve Internet üzrindeyseniz Back Orifice Client programı olan kişi kontrolü ele alabilir.
* Etkileri Neler? Netbus için yazdıklarım burada da aynen geçerli.
* Ne Zaman Ortaya Çıktı? Ağustos 1998.
* Kendim Nasıl Temizleyebilirim? Netbus için yazdıklarım burada da aynen geçerli.
CLASS
* Nedir? Word 97 dökümanlarına bulaşır (ayrıca Normal. dot). Virüs kodu 2 makrodan oluşmakta. Bu makrolar, bulaştığı dökümanın "ThisDocument" modülünde bulunur. Makrolarının isimleri ise :
"AutoOpen" ve
"ViewVBCode".
Normal. dot'da bu isimler "AutoClose" ve "ToolsMacro" şeklinde de olabilir.
* Diğer İsimleri? W97M/Class, Word97. Class.
* Nasıl Bulaşıyor? Virüs, C sücüsünün root'unda CLASS. SYS isimli bir dosya yaratır. Makrolar bu dosyada yer almaktadır ve başka bir dosyaya bulaşacağı zaman makroları buradan alır. Virüs kodu her bulaştığı zaman farklıdır; çünkü o an ki tarih, saat, kullanıcı adı, kullanılan yazıcı gibi bilgileri de içerir.
* Etkileri Neler? Her ayın 31'inde şu mesajı görüntüler :
This Is Class
o-o-o-o-o-o-o-o-o-o-o-o-o-o
o VicodinES /CB /TNN o
o o-o-o-o-o-o-o-o-o-o-o-o-o
* Ne Zaman Ortaya Çıktı? 1998 Aralık'ı.
* Varyantları neler? Class D ve Class B olmak üzere 2 varyantı söz konusudur. Class D, Haziran'dan Aralık'a her ayın 14'ünde şu mesajı verir :
I Think XXXXXX is a big stupid jerk!
VicodinES Loves You / Class. Poppy
Buradaki xxxxxx kısmına tahmin edeceğiniz gibi kullanıcının adı yazılır! Ayrıca Windows User (kullanıcı) adını rastgele olarak "Dr. Diet Mountain Dew"e çevirir.
Class B de tıpkı D gibidir; ancak isim değiştirme olayını yapmaz.
ETHAN FROME
* Nedir? Word 97 dökümanlarına ve W97'nin "Normal. dot" dosyasına bulaşır. "Document_Close" isimli tek bir makrodan oluşur. Virüslü dosyanın "ThisDocument" modülündedir. Diğer İsimleri?
* Nasıl Bulaşıyor? Root dizinde ETHAN. ___ isimli bir dosya yaratır. Dosya gizli (hidden) modda yaratılır. Eğer "Class. sys" dosyası varsa siler. Kısacası CLASS virüsüne oldukça benzer ve eğer o varsa çalışmasını engeller.
* Etkileri Neler? Virüs rastgele bir kontur çalıştırır ve belirlediği zaman, bulaştığı dosyanın adını "Ethan
Frome", yazarını da "EW/LN/CB" olarak değiştirir.
* Ne Zaman Ortaya Çıktı? Ocak 1999'da çıktı.
HAPPY99
* Nedir? Win32 tabanlı bir Truva'dır. Çalıştırıldığı zaman küçük sayılabilecek bir ekran içerisinde havai fişek efekti gösterir. Tarz olarak Netbus ve BO'ya benzese de amacı onlardan farklıdır.
* Diğer İsimleri? win32. ska. a, ska, wsock32. ska ve ska. exe.
* Nasıl Bulaşıyor? Happy99 isimli (başka bir isim altında da olabilir) programı çalıştırdığınız an aktif olur ve "SKA. EXE" ve "SKA. DLL" isimli iki dosya yaratır. Orjinal WSOCK32. DLL dosyanızı WSOCK32. SKA adı altında kaydeder ve gerçek WSOCK32. DLL yerine modife edilmiş dosyayı geçirir. Eğer o an Wsock32. dll kullanılıyorsa bu değişiklikleri yapamaz; ama Windows Registry'sine girerek bilgisayar ilk boot edilkten sonra bunların yapılmasını sağlar. Uzunulupu 10. 000 byte'dır.
* Etkileri Neler? Happy99 aktif olduktan sonra kullanıcının e-mail ve newsgroup işlemlerini izleyerek onlara SKA. EXE dosyasının bir kopyasını HAPPY99 adı altında gönderir. Her bir adrese sadece bir kere gönderir. Atılan ilk mail'in subject'ini kullanarak ayrı bir mail atar, yani kullanıcının attığı mail'le göndermez Happy99'u. LISTE. SKA adlı dosyada kimlere atıldığı tutulur. Herhangi bir zararı yoktur, sadece yayılır.
* Ne Zaman Ortaya Çıktı? Ocak 1999.
* Kendim Nasıl Temizleyebilirim? Öncelikle Windows\System dizinine girin ve şu dosyaların olup, olmadığına bakın :
1. SKA. EXE
2. SKA. DLL
3. WSOCK32. SKA
Eğer bu dosyalar varsa Happy99'unuz hayırlı, uğurlu olsun!! SKA. EXE, SKA. DLL ve WSOCK32. DLL dosyalarını silin. WSOCK32. SKA dosyasının adını WSOCK32. DLL olarak değiştirin (Internet programlarını bu işlemi yaparken kapalı olsun -browser, e-mail composer gibi-)ve "Bir zamanlar Happy99 diye bir Truva'm vardı, ruhuna el fatiha. . . " deyin!.
İşte "moda" virüslerimiz bunlar. . . Mümkün olduğunca sade; ama aynı zamanda da tüm gerekli detaylı verecek şekilde tanıtmaya çalıştım.
Piyasada pek çok anti-virüs bulunmakta. F-prot, Dr. Solomon, McAffe's Scan,
· Windows için tasarlanmış bir anti-virüs programınız mutlaka olsun; ama en azından bir tane de DOS üzerinde çalışan anti-virüs bulundurun. Düşünün ki bir virüs sonucu Windows'unuza da bulaştı ve Win sürümü anti-virüs programınız sağlıklı olarak çalışmıyor. Böyle bir anda tek kurtuluşunuz DOS anti-virüsü olacaktır.
· Elinizdeki anti-virüs programlarına sonuna dek güvenmeyin. Bugün 23. 000'ün üzerinde virüs var. Sadece 4.000 civarında Macro ve Trojan virüsü söz konusu. Anti-virüs üreticilerinin sitelerini gezerek yeni virüsler hakkında bilgi edinin.
· Sisteminizi boot ederken disket sürücüsünde disket olmamasına dikkat edin. Böylelikle çoğunlukla boot virüslerinin önüne geçersiniz. Eğer boot virüsü olan bir disket varken boot ederseniz, virüs aktif hale gelir ve RAM'de saklanır. Genellikle hafızanın üst kısımlarında saklandıkları için DOS'un gördüğü hafıza miktarı düşecektir (Mesela 640K yerine 639K görürsünüz). Bu şekilde boot virüslerinden haberdar olabilirsiniz. Ancak "stealth" virüsleri de hesaba katmak lazım. . .
· Bilgisayarınızda ilk kez çalıştıracağınız bir programı muhakkak elinizdeki programlarla kontrol edin.
· Eğer tüm çabalarınıza rağmen sisteminize bir virüs bulaşmışsa, yapacağınız ilk şey soğukkanlı olmak! Eğer paniklerseniz muhtemelen virüsten kurtulmak için format atmak gibi gereksiz arayışlara yönelebilirsiniz. Öncelikle virüsün ne tür bir virüs olduğunu, özelliklerinin ne olduğunu bulmaya çalışın. Piyasadaki her virüs zarar verir diye bir kural yok. Belki de tamamen zararsız ya da kolayca temizlenebilecek bir virüs için kıymetli verilerinizi kaybedebilirisiniz!
· Sizin için önemli olan tüm programların ve her şeyden önemlisi verilerin yedeğini MUHAKKAK alın. Haydi programlar neyse; ama kişisel verilerinizi tekrar bulma şansınız yoktur!
· Mutlaka write-protect'i açık olan "temiz" bir sistem disketi bulundurun. Mümkünse virüs taraması yapmadan önce sistemi böyle bir disketle açın.
· F-Prot kullanıcısıysanız ve sisteminizde virüs olmamasına rağmen, illa bir "virüs var!" mesajı göreyim, hem de tecrübe kazanmış olurum diyorsanız, alın size bir test virüsü. . . Bir text editörü ile şu satırı yazın:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Dosyaya istediğiniz ismi verin; ama uzantısı COM olsun (ASC-II olarak kaydedin, dosya uzunluğu 68 byte olacaktır). Şimdi taratın bakalım F-Prot ile!
VİRÜS OLDUĞUNU NASIL ANLARIM??. . .
Eğer bu yazıyı 5 yıl önce yazıyor olsa idim yanıtım çok kısa ve basit olurdu. Dosya virüsleri dosya uzunluğunu arttırır, Boot virüsleri ise hafızayı azaltır! Ancak günümüzde "Stealth" virüsler, dosya uzunluğunu artırmayan virüsler, "worm"lar derken virüs teknolojisinin de geliştiğini görüyoruz. Eğer sisteminiz hiçbir neden yokken yavaşlamaya başlamışsa, anlamsız hata mesajları veriyorsa, disk ışık(lar)ı gereğinden fazla yanıyorsa, bazı dosyalar durup dururken kayboluyorsa sisteminizde muhtemelen bir virüs vardır (kesinlikle var demiyorum!). Evet, virüslerden korkmayın; ama korunmayı da ihmal etmeyin virüslerden uzak durun ama virüssüz kalmayın gibi gereksiz ve tuhaf bir sözle yazımı noktalıyor ve size virüssüz günler diliyorum...
"Popüler virüsler nedir, nasıl korunulur?
Tüm merak ettiğiniz yanıtlar bu sayfada!!
Bilgisayarlar hızla hayatımızın bir parçası haline gelirken bu sevimli makinalarla birlikte kimi olumsuzluklar da kapımız çalıyor. Bu davetsiz misafirlerin başında ise bilgisayar virüsleri geliyor; ancak pek çok kişi özellikle de yeni bilgisayar kullanıcıları bu konuda pek bilgili değil. Hatta pek çoğumuz Hollywood yapımı bilimkurgu filmler sonucunda onların canlı organizmalar olduğunu bile düşündük. Fakat bilgisayar virüslerinin canlı olması (ve de kullanıcılara hastalık bulaştırması!) söz konusu değil. Çünkü onlarda sadece küçük birer yazılımdır. Tabii ki bunlar diğer bilgisayar yazılımlarından biraz farklılar. Bu farkların başında kendilerini kopyalamaları geliyor. Tıpkı biyolojik virüslerin DNA'lar ile çoğalmaları gibi bilgisayar virüsleri de kendilerini başka programlara yada boot'a kopyalayarak çoğalırlar. Diğer bir özellikleri ise çalışmaları için kullanıcıya bağlı olmamaları yani aktif bir yapıya sahip olmaları. Böylelikle kullanıcının onayını yada emrini beklemeden hareket ederler. Bilgisayar sistemlerine zarar vermeleri de kullanıcının istemediği zamanlarda istemediği şeyler yapmasıyla olur. Virüsler varlıklarını devam ettirebilmek amacıyla sürekli olarak kendilerini kopyalarlar ve böylelikle tüm dünyadaki bilgisayarlara yayılma şansı bulurlar. Her geçen gün virüslerin sayısı katlanarak artıyor. 1983 yılında bilgisayar virüslerine isim babalığı yapan Friedrich Cohen bile onların gün gelip de onbinlerle ifade edileceğini düşünmemişti herhalde. Ancak bugün sayıları giderek artıyor ve bunun temelinde de psikolojik durumları hala tartışılan bilgisayar programcıları geliyor! Kimileri aşklarını duyurmak, kimileri nükleer denemeleri protesto etmek, kimileri ise sadece eğlence amacıyla virüs yazıyor. Bir bilgisayar virüsü programlamak için sanılanın aksine bilgisayar dehası olmaya gerek yok, sıradan bir programcı hatta programcılığa meraklı 9-10 yaşlarında bir çocuk bile rahatça bir virüs yapabilir. Fakat virüsünün dünyaya yayılıp, adını duyurması virüsün kaynak kodunun (source code) kalitesine bağlıdır.
Virüsleri kabaca dört grupta inceleyebiliriz. File (Dosya), Trojan (Truva), Makro ve Boot virüsleri.
* Boot virüsleri : Disketlerin Boot Sector ya da sabit disklerin Master Boot Sector denilen ilk sektörlerine kendilerini kopyalarlar. Daha sonra kendilerini yine kopyalayarak diğer bilgisayarlara ulaşırlar. Temizlemesi en kolay virüs türüdür.
* Dosya (File) virüsleri : Bunlar ise çalıştırılabilir programlara (uzantıları . exe, com gibi olanlar) bulaşırlar ve bunlardan diğer dosyalara kendilerine kopyalarlar. Böylelikle de bulaştıkları dosyanın uzunluğunu artırırlar; ancak günümüzde dosya uzunluğunu artırmadan da bulaşan virüsler var. Virüs eklentisi genellikle dosyanın sonunda ve nadiren de ortasında olur. Virüs hafızada kalabilir (resident virus) ya da doğrudan çalıştırıldığında (direct action virus) etki gösterebilir. Yada her iki özelliği de kullanabilir.
* Trojan'lar (Truva Atları) : Truva atı olarak nitelendirilen Trojan'lar ise diğer virüslerden farklıdırlar. Aslında bunları virüs kategorisini koymak pek de mantıklı değil. Virüsler yapı itibariyle kendilerini başka yerlere kopyalama, yani "bulaşma" özelliğine sahiptirler. Truva'lar ise genellikle bunu yapmazlar. Son zamanlarda gündemde bir hayli yer edinmeleri ise Internet'in yaygınlaşması ile oldu. Bildiğinizi gibi eski bir öyküye göre Truvalılar'ı yenemeyen Yunanlılar tahtadan dev bir at yaparak bunu savaş tazminatı olarak Truvalılar'a verirler ve kentin kuşatmasını kaldırırlar. Truva atı denilen atın içine gizlenmiş Yunanlı askerler gece olduğunda şehrin kapılarını açarlar ve eğlenceye dalmış olan Truvalıları öldürürler. Şimdi tarihi efsanelerin ne ilgisi var virüslerle demeyin!! Modern çağda siz Truvalılar oluyorsunuz ve Yunanlılar bir sürü Truva tı ile sizin bilgisayarınıza musallat oluyorlar. Truva'lar bir şekilde size ulaştırılır ve çalıştırdığınız andan itibaren bilgisayarınız 2. kısmı elinde bulunan kişinin kontrolü altına girer.
* Makro virüsleri: Word, Excel gibi makro kullanıma olanak tanıyan programların dosyalarına bulaşan virüslerdir. Yapılarını makrolardan aldıkları için bu adla anılırlar. Son dönemdeki pek çok "ünlü" virüs makro virüsleridir.
Bilgisayar virüsleri sisteminize bulaştıktan sonra bilgisayarınızda kuluçkaya yatarak zarar verecekleri zamanı beklerler (çoğunun içlerinde "time-bomb" denilen zamanlama ayarları vardır); ancak bu zararlar tamamen programlara yöneliktir. Yani bilgisayar virüsleri donanım (hardware) parçalarına fiziksel zarar veremezler. Size yapabilecekleri en büyük kötülük programlarınızı, verileriniz silmek olacaktır. Bunun dışında geçici olarak klavyenizi kullanmanızı engelleyebilir, ekrana değişik yazılar yazabilir (çok aç olduğu için sürücünüze hamburger koymanızı istemesi gibi) ya da yazıcınıza sizin istemediğiniz emirler gönderebilirler. Onlardan kurtulmak yerine hiç karşılaşmamayı deneyin!! Bunun için öncelikle sadece orjinal program kullanmaya başlayın yani korsan yazılım (yasadışı programlar) almayın. Çünkü virüslerin büyük bir kısmı bu yasadışı kopyalarla dağılır. Bunun dışında sürücünüzde disket varken bilgisayarınızı reset'lememeniz ya da size ait olmayan disketleri bilgisayarınızda kullanmamanız da bazı önlemler olabilir. Tüm bunları yapmanıza karşın bir gün başınız onlarla derde girerse piyasada rahatlıkla bulabileceğiniz anti-virüs programlarını kullanarak bilgisayarınızı virüsten kurtarabilirisiniz.
MODA VİRÜSLER. . .
Bilgisayar virüslerinin de modası mı olur?" diye şaşırmayın. Her dönem popüler olan ve pek çok kişinin canını yakan virüsler vardır. Mesela Michelangelo, Cansu, Yandan Çarklı, Mumcu, Şair, Crazy bir zamanların gayet moda virüsleriydi. Aslında size musallat olan moda bir virüsse işiniz daha kolay, çünkü neredeyse tüm anti-virüs üreticileri bu virüsü temizleyen yeni sürümlerini anında çıkartırlar. Böylelikle siz de rahatlıkla virüsden kurtulursunuz. Asıl tehlikeli olan kıyıda, köşede kalmış bir virüse ya da moda
Neymiş bakalım bu yeni virüsler: Melissa, Netbus, CIH, Class, Ethan, Back Orifice ve Happy99.
MELISSA
* Nedir? İşte en popüler virüsümüz!! Melissa bir Word 97 makro (macro) virüsü. Oldukça tehlikeli bir virüs, çünkü e-mail yoluyla çok hızlı olarak yayılabiliyor. Word 97 dökümanlarına ve Word 97 ile Word 2000'in NORMAL. DOT dosyasına bulaşıyor. Virüsün kodu Melissa isimli bir makro bulunduğundan bu adla anılıyor.
* Diğer İsimleri? Basında "***** Virüsü" olarak da tanınmasının nedeni pek çok kişiye *****grafik içerikli sitelerden gönderilen e-mail'ler sonucu bulaşmasından kaynaklanıyor. Ayrıca W97M/Melissa, Kwyjibo isimleriyle de tanınıyor.
* Nasıl Bulaşıyor? Melissa virüsü bulaşmış bir Word dökümanını ilk kez çalıştırdığınızda virüs, sistemde MS Outlook olup, olmadığını kontrol ediyor. Eğer varsa adres defterinde (address book) yer alan 50 e-mail hesabına (account) mektup göndererek yayılıyor. Virüs tarafından gönderilen mektupların "subject" kısmı şu şekilde oluyor : "Important Message From {virüsün bulunduğu bilgisayarın sahibinin adı}". Mektubun "body" kısmında yani içeriğinde ise "Here is that document you asked for . . . don't
show anyone else :-)" yazılı. Virüslü Word dökümanu bu mektuba iliştiriliyor ve açıldığı zaman yine 50 kişiye kendisine gönderiyor. Bu böyle döngü içinde geliştiğinden çok kısa bir süre içinde inanılmaz bir hızla yayılabiliyor. E-mail metodu ile kendisini klonlamayı sadece virüslü döküman ilk çalıştırıldığında yapıyor. Eğer bilgisayarınızda virüslü bir döküman varsa Windows Registry'e baktığınız zaman şu satırı görebilirsiniz :
"HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?". Virüs, e-mail ile başka adreslere ulaştıktan sonra bu anahtar değere ". . . by Kwyjibo" ekleniyor. Eğer virüs registry'de bu ibareye rastlarsa e-mail kullanarak kendisini başkalarına göndermiyor. Bir de eğer sistemde Outlook yoksa virüs yine kopyalama işlemine başlamıyor. Bununla birlikte virüsün bulaştığı bilgisayarda açılan tüm Word dosyalarına bulaşıyor (diğer Word 97 virüsleri gibi).
* Etkileri Neler? Yaptığı en önemli iş e-mail yoluyla çok hızlı bir şekilde yayılması. Bunun dışında ayrıca eğer dakika o günkü tarihle uyuşuyorsa (mesela saat 9:30 ise ve günlerden de ayın 30'u ise) metine şöyle bir tümce ekliyor : "Twenty-two points, plus triple-word-score, plus fifty points for
using all my letters. Game's over. I'm outta here. "
* Ne Zaman Ortaya Çıktı? İlk olarak Mart 1999'ta görüldü.
CIH
* Nedir? 32-bit Winwods 95, 98 ve Windows NT dosyalarına (. EXE uzantılılara) bulaşan bir virüstür.
* Diğer İsimleri? Win95/CIH ve Space Filler.
* Nasıl Bulaşıyor? CIH virüsü bulaşmış bir dosya Windows'ta çalıştırıldığında virüs aktif hale gelip, o bilgisayara bulaşıyor ve hafızada kalıyor (memory resident). Bundan sonra, açılan (yani çalıştırılan) ve kopyalanan tüm 32-bit EXE dosyalarına bulaşıyor. Virüsün boyutu oldukça küçük (1000 byte). Virüsün oldukça ilginç bir özelliği var. Bulaştığı dosyaların uzunluğunu değiştirmiyor. 32-bit EXE dosyalarında bulunan boş alanları (PE Format) kendi kodu için kullanıyor. Böylelikle dosya virüslerinin en büyük belirtisi olan dosya uzunluğunun artması olayını devre dışı bırakabiliyor. Eğer kendisini kopyalamak için tek bir boşluk bulamazsa, küçük parçalara bölünerek dosyadaki mevcut tüm boşluklardan yararlanıyor. Virüsün kod kısmında yer alan "CIH" sözcüğünden dolayı bu adla anılıyor.
* Etkileri Neler? Oldukça tehlikeli bir "time-bomb" (zaman bombası) var. Virüs, her ayın 26'sında (bazı varyasyonları sadece Nisan ayında) BIOS flash memory chip'ne zarar verebiliyor. Böylelikle 486 ve üstü bilgisayarları etkileyebiliyor. Eğer chip yazılabilir (write-enabled) ise virüs buraya alakasız şeyler yazıyor. Eğer böyle bir şey gerçekleşirse bilgisayarınız anakart (motherboard) yenilenene ya da chip'te saklanan bilgiler restore edilene dek kullanılmaz oluyor. Sevgili virüsümuz, her türlü BIOS korumasını da aşıyor! Virüs tüm bu gıcıkllığı yapmasının yanı sıra sabit disk'teki (harddisk) bilgileri de okunmaz (unreadable) hale getiriyor. Benim bugüne kadar gördüğüm en TEHLİKELİ ve de ZARARLI virüslerden biri, hatta birincisi!!! CIH, bu günlerde en çok dikkat edilmesi gereken virüs!!!!
* Ne Zaman Ortaya Çıktı? Haziran 1998'de camiaya girdi!
* Varyantları neler? CIH'ın varyantlarını anlatmadan önce sanırım "varyant"ın ne olduğundan bahsetmem gerek. Bir virüs yazmanın zor olmadığını söylemiştim. Bir virüsün koduyla oynayıp ona benzer başka bir virüs yaratmak da zor değil!! Bir virüsün koduna sadık kalınarak (bazı küçük değişikler yaparak tabii) yaratılmış virüslere, ilk virüsün varyantları denir. İşte bizim CIH'ın da üç tane varyanı var: 1. 2, 1. 3 ve 1. 4. 1. 2 ve 1. 3 sadece Nisan 26'da zarar verirken 1. 4 çok daha gaddar!! 1. 4 her ayın 26'sında marifetlerini gösteriyor. Ve işin kötüsü varyant 1. 4, bilgisayar kullanıcıları arasında daha yaygın!
NETBUS
* Nedir? Netbus, klasik anlamda bir virüs değil. Aslında bir "Trojan". Win32 tabanlı olan Netbus, Windows 95, Windows 98 ve Windows NT sistemlerinde etkili olabiliyor. Aktif hale geldiği bilgisayarın başkalarınca yönetilebilmesine olanak sağlar.
* Diğer İsimleri? Backdoor. Netbus.
* Nasıl Bulaşıyor? Genellikle Internet kullanıcıları arasında yaygındır. Çünkü Internet üzerinde dosya alış, verişi yapan kişiler rahatlıkça Netbus'lı bir program download edebilir. Netbus'ı sisteminizde çalıştırdığınızda Windows Registry'e bir kayıt ekleyerek sürekli aktif hale gelir. Ancak kullanıcı bunu göremez. Sadece Netbus'ı çekmekle aktif hale getirmezsiniz. Netbus'ın aktif olması için mutlaka çalıştırılması gerekir.
* Etkileri Neler? Netbus, "remote administration trojan" (uzaktan yönetim truvası) denilen sınıfa girmektedir. Yani başka birisinin, sizin bilgisayarınızı kontrol etmesini sağlar. Eğer Netbus aktifse ve Internet'e bağlıysanız "Netbus Client" programına sahip olan kişi bilgisayarınız sanki onun yanındaymış gibi hemen herşeyi yapabilir: İstediği bilgileri okur (şifreniz dahil!), ekrana istediği bir mesajı yazdırabilir, dosyalarınıza canı ne istiyorsa onu yapabilir, CD sürücünüzü açabilir, mouse'unuzu kontrol edebilir. . . Kısacası ne istiyorsa onu yapar. Bir arkadaşımın ricası üzerine (çalışıp, çalışmadığını merak ediyordu!) Netbus'ı kendi bilgisayarımda çalıştırdım. Bir süre sonra arkadaşım sinir krizleri geçirmemi sağlayacak kadar "pislik" yapmıştı!! Bir de Netbus bulaşan kişinin bundan haberi olmadığını hesaba katarsanız, durumu siz düşünün!!
* Ne Zaman Ortaya Çıktı? Ver 1. 5'i Mart 1998'de, Ver 1. 6'sı Ağustos 1998'de ve Ver 1. 7'si ise Kasım 1998'de doğdu!
* Varyantları neler? Bu afacanın 3 tane sevimli varyantı var.
Netbus Ver 1. 5 (473, 088 byte).
Neetbus Ver 1. 6 (472, 576 byte).
Netbus Ver 1. 7 (494, 592 byte).
Uzunlukları illa bu kadar olacak diye bir kural yok tabii! Netbus başka bir programa enjekte de edilebilir (o programa eklenir, ama siz programı çalıştırdığınızda Netbus'ın da çalıştığına dair bir ipuçu göremezsiniz). Böylelikle fark etmeniz çok zor olur.
Kendim Nasıl Temizleyebilirim? Aslında her virüsü kendi kendinize temizlemeniz mümkün. Ancak bu sizin bilgisayar bilginizle sınırlıdır!! "Kendim Nasıl Temizleyebilirim?" başlığı altında en acemi kullanıcıların bile temizleyebileceği virüsleri/truvaları anlatacağım. Netbus da kolaylıkla kurtulabileceğiniz bir bela! Eğer Windows Registry'i nasıl değiştirebileceğinizi biliyorsanız, Registry'e girip Netbus'ın ekledi satırları kaldırın. Ardından bilgisayarınızı yeniden çalıştırın ve son olarak Netbus dosyasını silin (yerini Registry'de görebilirsiniz). Ayrıca piyasada pek çok Netbus koruyucusu program var. Netbus Protector bunların başında geliyor.
BACK ORIFICE veya BO TROJAN
* Nedir? Tıpkı Netbus gibi Win32 tabanlı bir Truva'dır. Windows 95 ve Windows 98'de çalışır. Netbus gibi Windows NT'de de çalışmaz. BO'nun kullanıcı tarafından en az bir kez çalıştırılmış olması gerekir.
* Diğer İsimleri? BO, Backdoor. BO.
* Nasıl Bulaşıyor? Çalıştırıldığı zaman Windows Registry'e kayıt yaparak sürekli aktif hale gelir. Uzunluğu 124, 928 byte'tır. Tabii ki boyutu bundan fazla da olabilir. Netbus gibi "remote administration trojan"dır. Aktifse ve Internet üzrindeyseniz Back Orifice Client programı olan kişi kontrolü ele alabilir.
* Etkileri Neler? Netbus için yazdıklarım burada da aynen geçerli.
* Ne Zaman Ortaya Çıktı? Ağustos 1998.
* Kendim Nasıl Temizleyebilirim? Netbus için yazdıklarım burada da aynen geçerli.
CLASS
* Nedir? Word 97 dökümanlarına bulaşır (ayrıca Normal. dot). Virüs kodu 2 makrodan oluşmakta. Bu makrolar, bulaştığı dökümanın "ThisDocument" modülünde bulunur. Makrolarının isimleri ise :
"AutoOpen" ve
"ViewVBCode".
Normal. dot'da bu isimler "AutoClose" ve "ToolsMacro" şeklinde de olabilir.
* Diğer İsimleri? W97M/Class, Word97. Class.
* Nasıl Bulaşıyor? Virüs, C sücüsünün root'unda CLASS. SYS isimli bir dosya yaratır. Makrolar bu dosyada yer almaktadır ve başka bir dosyaya bulaşacağı zaman makroları buradan alır. Virüs kodu her bulaştığı zaman farklıdır; çünkü o an ki tarih, saat, kullanıcı adı, kullanılan yazıcı gibi bilgileri de içerir.
* Etkileri Neler? Her ayın 31'inde şu mesajı görüntüler :
This Is Class
o-o-o-o-o-o-o-o-o-o-o-o-o-o
o VicodinES /CB /TNN o
o o-o-o-o-o-o-o-o-o-o-o-o-o
* Ne Zaman Ortaya Çıktı? 1998 Aralık'ı.
* Varyantları neler? Class D ve Class B olmak üzere 2 varyantı söz konusudur. Class D, Haziran'dan Aralık'a her ayın 14'ünde şu mesajı verir :
I Think XXXXXX is a big stupid jerk!
VicodinES Loves You / Class. Poppy
Buradaki xxxxxx kısmına tahmin edeceğiniz gibi kullanıcının adı yazılır! Ayrıca Windows User (kullanıcı) adını rastgele olarak "Dr. Diet Mountain Dew"e çevirir.
Class B de tıpkı D gibidir; ancak isim değiştirme olayını yapmaz.
ETHAN FROME
* Nedir? Word 97 dökümanlarına ve W97'nin "Normal. dot" dosyasına bulaşır. "Document_Close" isimli tek bir makrodan oluşur. Virüslü dosyanın "ThisDocument" modülündedir. Diğer İsimleri?
* Nasıl Bulaşıyor? Root dizinde ETHAN. ___ isimli bir dosya yaratır. Dosya gizli (hidden) modda yaratılır. Eğer "Class. sys" dosyası varsa siler. Kısacası CLASS virüsüne oldukça benzer ve eğer o varsa çalışmasını engeller.
* Etkileri Neler? Virüs rastgele bir kontur çalıştırır ve belirlediği zaman, bulaştığı dosyanın adını "Ethan
Frome", yazarını da "EW/LN/CB" olarak değiştirir.
* Ne Zaman Ortaya Çıktı? Ocak 1999'da çıktı.
HAPPY99
* Nedir? Win32 tabanlı bir Truva'dır. Çalıştırıldığı zaman küçük sayılabilecek bir ekran içerisinde havai fişek efekti gösterir. Tarz olarak Netbus ve BO'ya benzese de amacı onlardan farklıdır.
* Diğer İsimleri? win32. ska. a, ska, wsock32. ska ve ska. exe.
* Nasıl Bulaşıyor? Happy99 isimli (başka bir isim altında da olabilir) programı çalıştırdığınız an aktif olur ve "SKA. EXE" ve "SKA. DLL" isimli iki dosya yaratır. Orjinal WSOCK32. DLL dosyanızı WSOCK32. SKA adı altında kaydeder ve gerçek WSOCK32. DLL yerine modife edilmiş dosyayı geçirir. Eğer o an Wsock32. dll kullanılıyorsa bu değişiklikleri yapamaz; ama Windows Registry'sine girerek bilgisayar ilk boot edilkten sonra bunların yapılmasını sağlar. Uzunulupu 10. 000 byte'dır.
* Etkileri Neler? Happy99 aktif olduktan sonra kullanıcının e-mail ve newsgroup işlemlerini izleyerek onlara SKA. EXE dosyasının bir kopyasını HAPPY99 adı altında gönderir. Her bir adrese sadece bir kere gönderir. Atılan ilk mail'in subject'ini kullanarak ayrı bir mail atar, yani kullanıcının attığı mail'le göndermez Happy99'u. LISTE. SKA adlı dosyada kimlere atıldığı tutulur. Herhangi bir zararı yoktur, sadece yayılır.
* Ne Zaman Ortaya Çıktı? Ocak 1999.
* Kendim Nasıl Temizleyebilirim? Öncelikle Windows\System dizinine girin ve şu dosyaların olup, olmadığına bakın :
1. SKA. EXE
2. SKA. DLL
3. WSOCK32. SKA
Eğer bu dosyalar varsa Happy99'unuz hayırlı, uğurlu olsun!! SKA. EXE, SKA. DLL ve WSOCK32. DLL dosyalarını silin. WSOCK32. SKA dosyasının adını WSOCK32. DLL olarak değiştirin (Internet programlarını bu işlemi yaparken kapalı olsun -browser, e-mail composer gibi-)ve "Bir zamanlar Happy99 diye bir Truva'm vardı, ruhuna el fatiha. . . " deyin!.
İşte "moda" virüslerimiz bunlar. . . Mümkün olduğunca sade; ama aynı zamanda da tüm gerekli detaylı verecek şekilde tanıtmaya çalıştım.
Piyasada pek çok anti-virüs bulunmakta. F-prot, Dr. Solomon, McAffe's Scan,
· Windows için tasarlanmış bir anti-virüs programınız mutlaka olsun; ama en azından bir tane de DOS üzerinde çalışan anti-virüs bulundurun. Düşünün ki bir virüs sonucu Windows'unuza da bulaştı ve Win sürümü anti-virüs programınız sağlıklı olarak çalışmıyor. Böyle bir anda tek kurtuluşunuz DOS anti-virüsü olacaktır.
· Elinizdeki anti-virüs programlarına sonuna dek güvenmeyin. Bugün 23. 000'ün üzerinde virüs var. Sadece 4.000 civarında Macro ve Trojan virüsü söz konusu. Anti-virüs üreticilerinin sitelerini gezerek yeni virüsler hakkında bilgi edinin.
· Sisteminizi boot ederken disket sürücüsünde disket olmamasına dikkat edin. Böylelikle çoğunlukla boot virüslerinin önüne geçersiniz. Eğer boot virüsü olan bir disket varken boot ederseniz, virüs aktif hale gelir ve RAM'de saklanır. Genellikle hafızanın üst kısımlarında saklandıkları için DOS'un gördüğü hafıza miktarı düşecektir (Mesela 640K yerine 639K görürsünüz). Bu şekilde boot virüslerinden haberdar olabilirsiniz. Ancak "stealth" virüsleri de hesaba katmak lazım. . .
· Bilgisayarınızda ilk kez çalıştıracağınız bir programı muhakkak elinizdeki programlarla kontrol edin.
· Eğer tüm çabalarınıza rağmen sisteminize bir virüs bulaşmışsa, yapacağınız ilk şey soğukkanlı olmak! Eğer paniklerseniz muhtemelen virüsten kurtulmak için format atmak gibi gereksiz arayışlara yönelebilirsiniz. Öncelikle virüsün ne tür bir virüs olduğunu, özelliklerinin ne olduğunu bulmaya çalışın. Piyasadaki her virüs zarar verir diye bir kural yok. Belki de tamamen zararsız ya da kolayca temizlenebilecek bir virüs için kıymetli verilerinizi kaybedebilirisiniz!
· Sizin için önemli olan tüm programların ve her şeyden önemlisi verilerin yedeğini MUHAKKAK alın. Haydi programlar neyse; ama kişisel verilerinizi tekrar bulma şansınız yoktur!
· Mutlaka write-protect'i açık olan "temiz" bir sistem disketi bulundurun. Mümkünse virüs taraması yapmadan önce sistemi böyle bir disketle açın.
· F-Prot kullanıcısıysanız ve sisteminizde virüs olmamasına rağmen, illa bir "virüs var!" mesajı göreyim, hem de tecrübe kazanmış olurum diyorsanız, alın size bir test virüsü. . . Bir text editörü ile şu satırı yazın:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Dosyaya istediğiniz ismi verin; ama uzantısı COM olsun (ASC-II olarak kaydedin, dosya uzunluğu 68 byte olacaktır). Şimdi taratın bakalım F-Prot ile!
VİRÜS OLDUĞUNU NASIL ANLARIM??. . .
Eğer bu yazıyı 5 yıl önce yazıyor olsa idim yanıtım çok kısa ve basit olurdu. Dosya virüsleri dosya uzunluğunu arttırır, Boot virüsleri ise hafızayı azaltır! Ancak günümüzde "Stealth" virüsler, dosya uzunluğunu artırmayan virüsler, "worm"lar derken virüs teknolojisinin de geliştiğini görüyoruz. Eğer sisteminiz hiçbir neden yokken yavaşlamaya başlamışsa, anlamsız hata mesajları veriyorsa, disk ışık(lar)ı gereğinden fazla yanıyorsa, bazı dosyalar durup dururken kayboluyorsa sisteminizde muhtemelen bir virüs vardır (kesinlikle var demiyorum!). Evet, virüslerden korkmayın; ama korunmayı da ihmal etmeyin virüslerden uzak durun ama virüssüz kalmayın gibi gereksiz ve tuhaf bir sözle yazımı noktalıyor ve size virüssüz günler diliyorum...