Bilgisayar sistemlerimize zarardan başka bir şey getirmeyen virüslerin nasıl bir çalışma mantığına sahip olduğunu merake diyor musunuz?
Birçoğumuzun sisteminde antivirüs yazılımı mevcuttu. Eğer yoksa da bir an önce edinmeye çalışın zira internet ortamı ne kadar zengin içeriğe ve bilgiye dayalı olsa da, kötü niyetli insanlar da bu ortamın içerisinde yer alıyorlar. Bu kötü niyetli insanların amaçları sizin sisteminizde yer alan çeşitli bilgileri ele geçirmek olabileceği gibi, sadece zarar vermek de olabilir.
Zararlı yazılım deyince ne anlıyorsunuz? Virüs ile birlikte, worm denilen ve Türkçe'ye de solucan olarak çevrilen kod parçacıkları zararlı yazılımların arasına giriyor. Bu ikisi arasındaki fark nedir? Seneler içerisindeki gelişimleri ne şekilde olmuştur? Okuduğunuz makalede bu soruları cevaplayarak, kullanıcıların virüs ve zararlı yazılım mantığını iyice kavramasını amaçladık.
Virüs Mantığı
İlk ev kullanıcıları için bilgisayarlar piyasada yaygınlaştığından beri virüsler de yaygınlaşmaya başladı. Yani tarihleri bilgisayarlar kadar eski denilebilir. Virüs adını da buradan alıyor zaten. Virüsler, bir metabolizmaya bulaştıktan sonra o metabolizmadan başka metabolizmaya geçen (veya kopyalayan) ve bu şekilde yayılan bir yapıdır. Bilgisayar virüsleri de tam olarak bu işlevde olduklarından dolayı virüs adını almışlardır.
Hızla artan tehditleri karşısında sistem uzmanları bu virüsleri sistemden uzaklaştıran ve koruyan çeşitli yazılımlar geliştirmeye başladı. Bunlara da antivirüs adı verildi. Bugünlerde bilgisayar kullanıcılarının büyük bir bölümü virüsleri internet üzerinden kapmaktadır. Flash belleklerden yayılan virüsler de üst düzeyde yaygın olmasına karşın etkisiz olmalarından dolayı kolayca bertaraf edilebiliyorlar.
Bir internet sitesine girdiğinizde, sitenin kodları arasında yer alan bir kod parçacığı, virüsü aktif hale getirip sizden habersiz bir şekilde o virüsü sisteminize yükleyebiliyor. Bir diğer yaygın yol da, kod parçacığının, tarayıcınızdaki açıklardan faydalanarak kayıtlı şifrelerinizi almasıdır. Her ikisi de son derece tehlikeli olmasına karşın, antivirüs yazılımları bu tür tehditleri anında tespit edip gerekeni yapıyorlar ve sisteminizi beladan uzak tutuyorlar.
Enfeksiyonun Taşınımı
Tıpta bir deyim vardır; "Mikroplar zıplayamaz". Örneğin laboratuarda bulunan bir cam tüp içerisindeki bakteriler, zıplayarak tüpten dışarı çıkamazlar. Grip virüsü gibi insanlara etki eden virüsler de aynı şekilde kafalarına göre zıplayıp, dolaşamıyor. Bu tür virüslerin yayılması için hijyen bakımından zayıf bir ortam olması gerekiyor. Buna enfeksiyon taşınımı deniyor. Yani; bir virüs kafasına göre hareket edemez, yayılması için uygun ortamların oluşması gerekiyor.
Benzer şekilde bilgisayar virüsleri de bir sistemden başka sisteme kendi kafalarına göre hareket edemezler. Bu işlem için uygun ortam oluşması gerekiyor. Virüsün yayılması için şartları uygun hale getiren etken de kötü niyetli kullanıcının ta kendisi oluyor. Yani dijital ortamda bir virüsün yayılabilmesi ancak ve ancak bir başka insanın yönlendirmesiyle mümkün olur.
Virüslerin Tarihi
Günümüzde, antivirüs yazılımları sık sık sistemin belleğini (RAM'ini) kontrol ederek, olmaması gereken bir kod parçasının orada olup olmadığını araştırır ve bulursa yok eder. Eskiden ise işler bu şekilde yürümüyordu. Dolayısıyla virüsler ufak kod parçaları sayesinde kendilerine bellekte yer bulabiliyorlardı.
Kalıcı virüsler gibi, bir de kalıcı olmayan virüsler vardır. Bunlar kendilerini çalıştırılabilir uygulamalara saklayarak, o uygulamaların çalıştırılmasını beklemektedirler. Kullanıcı, bu virüslü uygulamalardan birini çalıştırdığında virüsün içerisinde bulunan ve hedef bulucu olarak adlandırılan virüs sistemi, uygulamadan önce çalışmaya başlar ve kendisine bir başka çalıştırılabilir uygulama aramaya başlar. Burada çalıştırılabilir uygulamadan kasıt, .exe uzantılı dosyalardır
1980ler
İlk modern virüsler bilgisayarları vurduğunda takvim yaprakları 1980 yılını gösteriyordu. Enfeksiyon, floppy disketleri aracılığıyla gerçekleşiyordu. Sistemin açılmasını sağlayan sektöre etki eden virüsler, ilk modern virüslere örnek olarak verilebilir. Tanınan ilk virüslerden biri de Elk Cloner Virüsü'dür. 1981 senesinde 15 yaşındaki Rich Skrenta tarafından yazılmış olan virüs, yazıldığı platform olan Apple II sistem disketlerindeki, açılış sektöründe kendine yer edinip saklanıyordu.
Elk Cloner Virüsü'nün çalışma mantığı.
Sistem, virüslü disket aracılığıya yeniden başlatıldığında virüs, işletim sisteminin bir parçası gibi davranıyordu ve o da kendini çalıştırıyordu. Her 50'de 1 açılışta, Elk Cloner ekranda küçük bir şiir yazdırıyordu. Elk Cloner'ın görevi buydu. Sistemi o disketten başlatan bir başka kullanıcı da, virüsü kendi sistemine bulaştırmış oluyordu.
1990lar
1990lı yılların başında, Microsoft Office yazılımı popülerliğe kavuşmaya başladıktan sonra virüs programcıları hedef tahtalarının ortasına Office yazılım paketini koydu. Office'i hedef alan virüsler de kalıcı olmayan virüsler kategorisine giriyordu. Office, bir doküman açtığınız zaman Word Basic'te yazılmış makroları doküman içerisine ekleyebilmenize olanak sağlıyordu. Eğer bu makrolar kötü niyetli programcılar tarafından yazılmış iseler, o zaman başınız dertte demek oluyordu.
Concept Virüsü'nün 1995 yılında çalışmasını sağlayan da buydu. Bu virüs, zamanının en yaygın virüslerinin başında geliyordu. Kendisi Word için yazılmış makro virüs idi. Sosyal iletişim, virüslerin yayılmasında her zaman en iyi dağıtıcı olmuştur. Concept'in de yayılması bu şekilde oldu. Herkes bu ücretsiz makroyu edinmek istedi ve virüs giderek yayılmış oldu.
2000ler
1999 yılına geldiğimizde ise bilişim tarihinin en bilinen virüslerinden birine rastlıyoruz. Melissa virüsünden söz ediyoruz. Makro dil ile hazırlanmış bir başka virüs olan Melissa, toplu mailleşme yoluyla yayılmıştır ve internet mail sistemlerini bir süre geçersiz kılmıştır. İşin ilginç yanı ise, Melissa virüsüne aslında bir virüs bile denilemez. Virüs olarak kodlandığı doğru, fakat hiçbir zaman zarar verme amacı içermiyordu. Makro dil ile yazılan bu virüs, mail sunucularının aşırı yüklenme yaşamasına ve planlanmayan sorunların doğmasına yol açmıştır.
Gerekli önlem alınmadığı için de makroyu çalıştıran herkeste aynı sorun görülmüştür. Gerçek virüsler, tek bir sistemdeki dosyalara bulaşırken, Melissa, herhangi bir insan müdahalesi bulunmadan kendini bir başka bilgisayara kopyalayabiliyordu. Aynı teknikle birlikte 2000li yılların başında I Love You virüsü yayılmaya başlamıştı. Bu virüsün özelliği, en popüler virüslerden biri olmasıdır ve yayıldığı sistemlerde değişiklikler yapmasıyla tanınır.
Hedef bulucu, programcısının kendisinde tanımladığı çeşitli teknikleri kullanarak kendisine, yayılacak yeni bir sistem aramaya başlar. Örneğin Outlook Express'inizde kayıtlı elektronik posta adreslerine ulaşan virüs, bu adreslere otomatik posta yollatarak yayılabilir. Melissa da tam olarak bunu yapıyordu. Bazı hedef bulucular ise, kendilerine rastgele bir IP aralığı tanımlayarak, yine rastgele olarak bu aralıktaki IP'lere sızmayı deniyordu. Eğer ağ içerisinde o IP'de bir istemci bulunuyorsa, geçmiş olsun dileklerini kabul etmeye hazır demekti.
Solucan Virüs Farkı
Bir solucan, yeni bir bilgisayara bulaştı mı, hedefine doğru ilerlemeye başlar. Bunu sağlayan ise yine programcısının yazdığı kodlardır. Bu tür solucanlar son derece zararlıdır. Örneğin kredi kartı detaylarını çalmak için bu tür solucanlar kullanılır. 2004 senesindeki Witty solucanı da oldukça yıkıcı bir etkiye sahipti. Bulaştığı bilgisayarın sabit diskindeki çeşitli bölümleri silen Witty de, unutulmayan zararlı yazılımlar arasındaki yerini aldı.
Virüs yazarlarının aksine, solucan yazarlarının işi daha kolaydı. 1990ların başında üretilen yeni modüller aracılığıyla, güncellemeler üzerinden etkili olan solucanlar oldukça baş ağrıttı. Sonra da botnet solucanı doğdu.
Antivirüs'ünüzü Test Edin
Yeni bir antivirüs yazılımı kurduğunuzda, veya mevcut olanı güncellediğinizde o yazılımı test etmeniz gerekir. Bu şekilde düzgün çalışıp çalışmadığını anlayabilirsiniz ancak. Fakat kasten de sisteminize virüs bulaştırmak pek tavsiye edilen bir yöntem değil. Neyse ki sisteminizdeki antivirüsü test etmenin daha basit yollara başvurabiliyoruz. Antivirüs yazılımlarını test etmek için çeşitli sahte virüsler mevcut.
EICAR virüsü tamamen iyi niyetle yazılmış, herhangi bir zararı bulunmayan ve amacı sadece antivirüs yazılımınızı test etmek olan bir kod parçası. Virüs sisteme bulaştığında antivirüs yazılımının davranışına göre testi gerçekleştirmiş oluyorsunuz. Antivirüs yazılımınız başarılıysa bu tehdidi silmeyi teklif ediyor. EICAR, Avrupa Bilgisayar ve Antivirüs Araştırmaları Enstitüsü'nün baş harflerinden oluşmaktadır. Orijinal adı: "European Institute for Computer Antivirus Research".
Virüsün tek yaptığı boş bir metin belgesi açmak. Onun virüs olmasını sağlayan etken ise, içerisinde barındırdığı ve onun virüs olmasını sağlayan kod parçası. Antivirüs yazılımlarının veritabanlarında bulunan bu kod parçacığı, tespit edildiği anda antivirüs yazılımının kullanıcıyı uyarmasını sağlıyor. O kod parçacığı ise şu şekilde;
EICAR adlı zararsız test virüsünü buradan indirebilirsiniz.