Bilgisayar virüslerinin kısa tarihi

lk kez 1982`de ortaya çıkan bilgisayar virüsleri, her yıl bir milyondan fazla PC`ye zarar
veriyor.


İlk bilgisayar virüsü 1982'de Apple marka bir bilgisayarda ortaya çıktı.

Dört yıl sonra ABD'de Delaware üniversitesindeki PC kullanıcıları Brain virüsüyle karşılaştı.

Pakistan'dan geldiği düşünülen bu virüsü, "I love you", "Pokemon" adları verilen diğerleri izledi.

Symantec anti-virüs araştırma merkezi SARC'ın son tahminlerine göre, bilgisayar virüsleri her yıl bir milyondan fazla PC kullanıcısını etkiliyor.

Büyük şirketlere saldırı

Uzun zamandır gündemde olan bilgisayar virüsleriyle ilgili en şiddetli haberlerden biri Şubat 2000`de gündeme geldi.

Amazon, Buy, CNN, eBay, E-Trade, Yahoo ve Zdnet gibi büyük sitelerin hack edildiklerini açıklamaları virüs dünyasını karıştırdı.

Hack edilen sitelerin herbiri sistemlerini çökerten virüs saldırılarına maruz kalmışlar, 45 dakika ile üç saat arasında erişimleri engellenmişti.

Ünlü siteler bu sabotajı kolay atlattılar. Kısa bir süre için erişimi engellenen internet sayfalarını normal hale getirmeleri çok vakit almadı. Ancak üç ay sonra yeni bir saldırı ile karşı karşıya geldiler. Bu kez dünya çapında milyonlarca bilgisayar zarar gördüğü daha kuvvetli bir virüz saldırısı söz konusuydu.

4 Mayıs 2000 sabahı, Avrupa güvenlik uzmanları çılgın bir hızla yayılan bir virüsün alarmını verdi. Microsoft'un Outlook Express programında hayata geçen "I love you" virüsü, kendi kendini kullanıcının adres defterindeki isimlere göndererek hızla yayılıyor, resim ve ses dosyalarını silmeden işlevsiz hale getiriyordu.

Virüs saldırılarıyla ilgili en ciddi yorumlar bazı medya kuruluşları, yasal otoriteler ve güvenlik uzmanlarından geldi.

Şubat saldırısından etkilenen şirketler, yıllık raporlarını açıklarken, uğradıkları saldırı konusunda herhangi bir saptamaya değinme gereği duymadı. Analaşılan o ki, bu sabotaj şirketlerin bütçelerinde kayda değer bir etkiye yol açmamıştı.

En çok müşteri etkilendi

Virüs saldrılarında müşterilere ait hiçbir veri zarar görmedi. Sistemi çökerten saldırılar, şirket bilgilerini çalma kapasitesine sahip değildi. Sadece müşteriyi endişelendirdi. Bir süre için kitap siparişi verememek, online açık arttırmalara katılamamak ya da online bir makaleyi okuyamamak alışık olunan bir durum olsa da, müşteri kaygısız kalmadı.

Söz konusu virüs saldırısı, biraz heyecan yaratmak, biraz da ziyaretçilerin morallerini bozmak için tasarlanmış bir eylemdi. Birçokları bu hareketi "dijital grafiti" adını verebileceğimiz bir "vandalizm hareketi" olarak yorumladı.

Uzmanlar, bu tür hareketlerin, gerçek yaşamdaki mağazalar için hesap edilebilir maliyet faktörleri olduğunu söylüyor. Uzmanlara göre, her mağaza sahibi bu tür darbeleri tamamen saf dışı bırakmanın mümkün olmadığını, sadece pragmatik hesap yöntemleri kullanarak maliyeti en aza indirebileceklerini bilir.

"I love you" virüsü ise biraz daha farklıydı. Virüsün görüldüğü ilk gün, güvenlik uzmanları yaratabileceği finansal zararı önceden tahmin etmişlerdi. ICSA ve Computer Economics adlı iki danışmanlık firmasının tahminleri dört gün içinde bu virüsün manşete taşınacağı yönündeydi. Tahminler ayrıca, virüsten bir milyondan fazla bilgisayarın etkileneceği yönündeydi hatta virüsün yayılması tamamlandığında, Computer Economics'in belirttiği rakam 45 milyondu. Gerçek rakamlar ise bu tahminlerin altında çıktı.

Virüslere karşı sigorta

Merkezi Londra`da bulunan Willis Corroon sigorta şirketi danışmanlarından Oliver Prior'a göre şimdiye kadar gerçekleşen virüs saldırıları beklentilerin aksine çok büyük kayıplara yol açmadı ve kimse sigorta tazminatını istemedi.

Virüs saldırlarına karşı sigorta yapan sigorta şirketleri 1980'lerden beri faaliyet gösteriyor ve bu şirketler daha çok bankalar tarafınfan kullanılıyor. ABD'deki bankaların yüzde 70'inin virüs saldrılarına karşı sigortaları var. Prior'a göre şimdiye kadar kimsenin tazminat istememesinin nedeni, kayıpların ortalama 100 bin ile 1 milyon dolar arasında, yani kayda değer rakalar olmaması.

Aslında bankalar şimdiye kadar çok da ciddi virüs saldırılarıyla karşı karşıya da kalmadı. Prior's göre, şirketlerin anti-virüs uygulamalarına sahip oldukları takdirde, "Virüsler zarar veriyor ama finansal kayıplara yol açmıyor".

Bilgisayar virüsleri kronolojisi:

1982: Apple bilgisayarda ilk virüs ortaya çıktı

1983: Fred Cohen bilgisayar virüsünün içeriğini tanımladı.

1986: Dosyalara zarar veren Brain isimli ilk PC virüsü bulundu

1987: Eylül 1987: Yılbaşı ağacı (Christmas Tree) Exec virüsü IBM sistemlerine yayıldı.

1988: Brain virüsünü tanımlamaya ve ortadan kaldırmaya yarayan ilk antivirüs programı yazıldı.

1989: Verileri yok eden ve hızlı yayılan ilk virüs olan Dark Avenger ortaya çıktı

1990: Üreme özelliği olan ilk virüs bulundu.

1991: Michelangelo virüsü bulundu. Mart ayında bu virüs için bir el kitabı yayınlandı.

1992: Michelangelo 6 Mart'ta aktif hale geçti ancak büyük hasar yaratmadı.

1993: Anti-virüs endüstrisi mevcut virüslerin bir listesini yayımladı.

1994: Bir programcı virüs yaymak için interneti kullandı.

1995: MS Word dosyalarına bulaşan ilk makro virüs bulundu.

1996: Windows 95 ve Excel için ilk virüsler ortaya çıktı

1997: İnternet chat kullanıcıları arasında yayılan bir virüs bulundu

1998: Virüs bulaşmış bilgisayarlara erişimi engelleyen yazılım yayınlandı.

İlk MS Access virüsü ortaya çıktı.

AOL kullanıcılarının erişimini engelleyen ve e-mail adreslerine zarar veren Trojan horse virüsü bulundu.

1999: Word dosyalarına giren ve kendini outlook adres defterinde bulunan ilk 50 kişiye gönderen Melissa virüsü tüm dünyada yayıldı.

İsrail'de, MS Outlook ile Melissa virüsü kadar hızlı yayılan Explore Zip kurdu bulundu.
Remote access virüsünün, Windows NT altında çalışan yeni versiyonu geliştirildi.

Kasım'da e-malille yayılan ve visualise modunda aktif hale geçen bir virüs bulundu.

2000: Tüm dünyada Y2K virüsü korkusu yaşandı ancak beklenen zarar görülmedi.
Haziran'da çok hızlı yayılan "I love you" virüsü ortaya çıktı. Virüsün ardından pek çok kopyası da yayıldı.

Ağustos'ta "I love you" virüsü gibi Outlook Express ile yayılan bir e-mail eki olarak pokemon virüsü ortaya çıktı.

Eylül'de PDA'lara etki eden İsveç menşeyli ilk Trojan horse virüsü bulundu.

Genel Virüs Bilgileri

Bilgisayarınızın, sizin isteğiniz ve bilginiz dışında zararlı bir işlem yapmasını sağlayan program parçacığına virüs denilmektedir.
İlk virüs, bir firmanın yaptığı programın disketle çoğaltılması sırasında telif haklarının değiştirilmesini sağlıyordu (1986 - Brain). Bundan sonra başlıca
Chernobyl (CIH) (1998),
Melissa (1999),
Navidad (2000),
Nimda/Sircam/CodeRed (2001) gibi virüsler bilgisayar dünyasında aktif halde görülmüştür.

Ocak 2002 tarihinde alınan verilere göre 70.000 adet aktif virüs vardır. Çeşitler arasında en büyük oran macro (26.1%) ve truva atı (trojan - 26.1% ) virüslerinde bulunmakla birlikte, bulaşma oranı açısından bakıldığında sistem tarafından çalıştırılabilir dosyalarla bulaşan virüsler (79%) açık farkla önde yer almakta ve her ay bulunan virüs sayısı sürekli artmaktadır.. Günümüzde virüsler yayılma yolu olarak genelde Windows işletim sistemlerinde otomatik olarak çalıştırılabilen dosya eklentilerini seçiyorlar.
Yazılan her virüs tehlikeli değildir. Bir virüsün etkin halde olduğunu anlamak için bir çok anti-virüs yazılımı sitesini gezip, bu sitelerin notlama sitemine göre yorum yapmak gerekmektedir. Bu siteler arasında: McAfee - Northon - Trend Micro - Sophos yer almaktadır.

Virüslerin Bulaşma Yöntemleri:
Geçmişten bu güne en yaygın şekilde virüs bulaşma yöntemleri sırası ile:
a-Disket, CD
b-E-posta
c-Ağ paylaşımı
d-Internet'ten indirilen programlar olarak görünmektedir. Bunlar içinde günümüzde en yaygın olan, e-posta ve Internet'ten indirilen dosyalar üzerinden bulaşma yöntemleri üstünde biraz daha durmakta yarar var:

1.E-posta ile Virüs Bulaşması
E-posta ile virüs bulaşması, e-postaların çalıştırılabilir eklentileri sayesinde olur. Virüsün aktif hale gelmesi için eklentileri açmamak her zaman bir koruma sağlamamaktadır. Bazı e-posta okuyucu programlar belli formattaki eklentileri otomatik olarak çalıştırmaktadır. Bu sayede virüs kullanıcıdan habersiz bilgisayara girip programın gereği olan işlemleri yapabilmektedir (örnek: Outlook / Outlook Express Bubbleboy). Gerekli işletim sistemi güncellemeleri (Windows işletim sistemi için

bağlantıyı göster (facebook ile) bağlantıyı göster (klasik üye girişi ile) adresinden yararlanabilirsiniz) yapıldıktan sonra virüs bu tür açıklardan yararlanıp kullanıcıdan habersiz bulaşma şansını yitirmektedir. Bu habersiz bulaşma yapısı aslında e-posta ile virüs bulaşma konusunun sadece ufak bir bölümüdür. Esas kısmı kullanıcının sistem tarafından çalıştırılabilir dosyaları (.bat, .exe, .scr, .pif, vb) e-posta ile alması ve onu bilgisayarına çekmeden ya da çekerek çalıştırması ile sisteme virüs bulaştırmasıdır. Bu şekilde, kullanıcının bireysel hatasından kaynaklanarak sisteme virüs bulaşması daha sıklıkla karşılaşılan bir durumdur.

2. WWW'den Virüs Bulaşması
WWW'den virüs bulaşması Internetten indirilen dosyalarla olmaktadır. Bu konuyu da yine kullanıcının bilinçli olarak indirdiği dosyalar ve kullandığı web-tarayıcısının (Internet Explorer, Netscape) otomatik olarak indirdiği dosyalar ile virüs bulaşması diye ikiye ayırabiliriz. Birinci durumda kullanıcı bilinçli olarak Internetten bir dosyayı bilgisayarına çeker ve o dosya içeriğinde virüs varsa çalıştırdığında sisteme virüs bulaşır. Bunu engellemenin yolu kullanıcıların bilinçlenmesidir. İkinci durum ise biraz daha karmaşık. Bu kısmı da Java-Script ve ActiveX olarak ikiye ayırmak gerekmektedir: kullanarak görüntülenen www sayfalarından virüsün bulaşması.

a. Java Script:
Java apletler sayesinde www sayfaları etkileşimli hale gelmiştir (ufak animasyonlar, vb). Günümüzde tüm web tarayıcıları Java'yı desteklemektedir. Burada yaşanan sorun, bahsedilen apletlerin güvenilir olmayan sitelerden de indirilebilmesinden kaynaklanmaktadır. Bunun için sandbox adında bir teknoloji ile güvenlik önlemi alınmıştır. Sandbox tarafından çalıştırılan aplet bilgisayardaki dosyaları ne okuyabiliyor ne de yazabiliyor. Buraya kadar anlatılanlar bu sistemin güvenli olduğu izlenimini veriyor. Ama sorun sandbox teknolojisinin karmaşık yapısından dolayı meydana gelmektedir. Bazen gözden kaçırılmış bir açık sayesinde virüsler bilgisayarda kod çalıştırabiliyor. Örnek olarak bir çok gizli pencere açıp sistemin kaynaklarını tüketebiliyor.

b. ActiveX:
Windows apletleridir. web sayfalarındaki animasyonları vb. göstermek için kullanılan bir yapıdır. Bilgisayara .dll (Dynamic Link Library) uzantısında dosyalar indirirler. Bu dosyaların sistemde her türlü yetkiye sahip olması, virüse en kolay ve en güçlü şekilde sisteme hakim olma şansı tanımaktadır. MS Internet Explorer'ın çok sayıda güvenlik güncellemesi bu nedenle yazılmıştır. Yapıdaki güvenlik sistemi Authenticode system and Code Signing olarak adlandırılmaktadır. Web sayfalarından DLL indirirken güvenli olarak tanımlanmış olması esasına dayanıyor. Ancak kullanılan www tarayıcısının ayarları en güvensiz seviyedeyse otomatik olarak sitedeki .dll uzantılı dosyayı bilgisayara indirir. Bu dosya command.com dahil bir çok komutu çalıştırma yetkisine sahiptir. Tedbir olarak MS Internet Explorer ayarlarındaki güvenlik seviyesinin en azından Medium olarak ayarlanması gerekmektedir.

Internet Solucanları:
Diğer yolların yanında işletim sistemlerinin ve çalışan servislerin güvenlik açıklarını kullanarak kendiliğinden bulaşan virüslerdir ( CodeRed, Nimda). Bu virüsler aşağıda yer alan sonuçlara yol açabilir:

Web sunucu program zarar görebilir. (Örnek: IIS)
Diskte kayıtlı bilgiler silinebilir.
Web sayfası içeriğini değiştirebilir.
Gereksiz ağ trafiği yaratabilir.
E-posta, tftp, port tarama.
Backdoor / Trojan yerleştirebilir.

En önemli örnekleri arasında milyonlarca dolarlık zarara neden olan Nimda ve Melissa yer almaktadır. Bu virüslerden Nimda'yı (W32/Nimda@MM) biraz daha ayrıntılı inceleyelim: 2001 yılı Ekim ayında ortaya çıkmıştır. IIS (Internet Information Server) web sunucularına 2001 Ağustosda bulunan bir açıktan yararlanarak bulaşmaktadır. Outlook Express e-posta istemcisinin güvenlik açığından yararlanarak e-posta eklentisinin isteminiz dışı çalışması ile bulaşmaktadır. Internet Explorerın virüslü web sayfasından readme.eml dosyasını indirmesi ve çalıştırması ile bulaşmaktadır. Görüldüğü gibi internet solucanları bir çok programın açıklarından faydalanarak kendiliğinden bulaşmaktadır.

Truva Atları (Trojan)
Kendi kendine yayılmayan, arka planda çalışan program parçacıklarıdır. E-posta ile gelen çalıştırılabilir eklentiler ya da ICQ vb. programlar yoluyla, çalıştırılabilir dosya alışverişi ile bulaşmaktadırlar.(Back Orifice, Sub Seven). Program çalışmaya başladıktan sonra bilgisayara uzaktan erişimle kötü niyetli bir kişi istediği programı yüklemek, başka bilgisayarlara saldırmak gibi haklara sahip olabilmektedir.

Virüs Çeşitleri
1. HOAX
Virüs olmadığı halde sisteminizdeki bir dosyanın virüs olduğu bilgisini içeren ve silmeniz gerektiğini söyleyen yanıltıcı mesajlardır (Sulfnbk HOAX, Taliban HOAX).

2. BIOS & CMOS Setting Virus
Bilgisayarın açılmasını veya açılış ünitesinin (disket, CD, HDD) sırası gibi BIOS ayarlarını etkileyen virüslerdir (Troj/KillCMOS, W95/CIH-10xx).

3. Visual Basic Script (VBS) Virus & Worm
Visual Basic dilinde yazılmış ufak kodlardır. Bir web sayfasına veya e-postanın içine gömülmüş olabilirler. Kullandığınız tarayıcı / e-posta okuyucu programın güvenlik açıklarından yararlanarak bilgisayara bulaşırlar (VBS/Numgame)

4. Windows İşletim Sisteminin Özelliklerine Bağlı Virüsler
a. Win32 Virus & Worm
Windows işletim sistemlerinde çalıştırabilir virüslerdir. Kullanılan programın güvenlik açıklarından yararlanırlar (Web sunucu veya tarayıcı). Örnek olarak W32/Magister, W32/Nimda verilebilir.

b. W95/98/ME Virus
Sadece Windows 95/98/ME işletim sistemlerini etkileyen virüslerdir. BIOS'u değiştirebilir ya da sistemi çalışmaz hale getirebilirler (CIH/10-xx, W95/Babylonia)

c. WinNT/2K/XP Virus
Windows NT/2000/XP işletim sistemlerinin ya da bu işletim sistemlerinde kullanılan diğer programların güvenlik açıklarından yararlanarak bulaşırlar. Dosya sisteminin özelliklerine bağımlı olduklarından sadece NTFS kullanan sistemlerde etkindirler (W2K/Stream, WNT/RemExp).

5. Macro Virus
Makro programlarıdır. Microsoft Office uygulamalarında kullanılan belgelerin içerisine gömülü olan makrolardır. Program veya komut çalıştırma yetkisi olduğundan çok zaralı olabilirler. İsimlendirme olarak
Wm: Windows Macro virüsü
w97m: MS Word Macro virüsü
pp97m: MS PowerPoint Macro virüsü
xm97m: MS Excel Macro virüsü geliştirilmiştir ( örnek: Wm/Nuclear).

Yeni Internet Araçlarında Virüsler
Cep telefonu, Palm, PDA (Personal Digital Assistant) gibi PC dışındaki Internet ulaşım araçlarında da artık virüs korkusu baş göstermektedir. 2000 yılının başında VBS/Timo, Palm/Liberty isimli iki virüs PDA'leri etkilemiştir. Bu araçlar arasında cep telefonları en az tehlikeye sahip olsalar da kullanacakları e-posta okuma programları nedeniyle sorun yaşayabileceklerdir.
Gelecekte bu araçları virüsten koruma yöntemleri arasında, virüs tarama programları en etkili yöntem olarak görünmektedir.

Virüsler Nereye Ne Yazar?
İlk açılışta çalışmak için genellikle Windows Registry (kayıt) ayarlarını değiştiriler. Bu bilgilere müdahale ederken iki defa düşünmek gerektiğini unutmamalısınız. Start | Run | regedit yazıp Enter tuşuna basılınca resimdeki ekran açılır.
Burada, aşağıdaki konumlara kendi program adlarını yazarak açılışta başlamalarını sağlamaktadırlar.

HKEY_LOCAL_MACHINE Software MicrosoftWindows CurrentVersion
RunServices
RunServicesOnce
Run
RunOnce
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion
Run
RunOnce
RunServices


Virüslerden Korunma
Bir antivirüs programı kurun ve güncel tutun. Güncellemesi yapılmamış bir antivirüs programı yeni virüslere karşı etkisiz kalmaktadır. İşletim sisteminizi güncel tutun. Windows işletim sistemlerinin güncelleştirmeleri için aşağıdaki linkten yararlanabilirsiniz.

bağlantıyı göster (facebook ile) bağlantıyı göster (klasik üye girişi ile) MS Outlook ya da Outlook Express yerine Netscape Messenger, Webmail, Pine gibi programları kullanın. Gerekmedikçe dosya paylaşımı yapmayın. Paylaştırmanız şart ise şifreli ve salt okunur paylaşım kullanın. Sunucu (server) nitelikli işletim sistemleri kurmayın. Web sunucusu olarak güncellenmemiş IIS kullanmayın. Microsoft Security Bulletin takibini aşağıdaki adresten yapın:

bağlantıyı göster (facebook ile) bağlantıyı göster (klasik üye girişi ile) Boot işleminin kesinlikle sabit diskten olmasına özen gösterin. Çok önemli bilgilerinizin yedeğini alın. Ofis programlarında bilmediğiniz makroları çalıştırmayın. Alternatif Ofis programları kullanın (örneğin OpenOffice):

bağlantıyı göster (facebook ile) bağlantıyı göster (klasik üye girişi ile) E-posta ile gelen çalıştırılabilir dosyaları sadece e-postayı gönderen kişinin gönderdiğinden emin olduğunuz durumlarda çalıştırın.

Virüslerin Tespiti
Antivirüs programları bilgisayara kurulduktan sonra aktif şekilde düzenli güncellemeleri yapıldığı sürece en etkili virüs tespiti yöntemidir. Ancak günümüzde daha farklı yaklaşımlar da olduğu için onlardan da bahsedilmelidir. Ardından antivirüs programlarının yapısından ve çalışma prensiplerinden bahsedilecektir.

· Online Tarayıcılar:
“Online tarayıcılar” antivirüs programına bütçe ayırmak istemeyen ve sürekli olmasa da bilgisayarında tarama yapmak istiyen kullanıcılar için antivirüs programları yazan şirketlerin sunduğu bir hizmettir. Bilgisayardaki tüm dosyaları uzaktan tarayan bir yapısı vardır. Bilgisayardan bilgi alıyor mu? konusunda sorular olsada, sonuçları başarılı sayılmaktadır.
Aşağıdaki bağlantılar izlenerek online virüs taraması yaptırılabilir:
http/www.symantec.com/avcenter --> Check for Security Risk -->Scan for virus


bağlantıyı göster (facebook ile) bağlantıyı göster (klasik üye girişi ile) --> VirusScan Online

· Antivirüs Programlarının Yapıları
Scanners:
Virüsleri izlerine göre arayıp bulurlar ve imha ederler. Güncelleme gerektiren bu tarama sistemi kullanıcı açısından en rahat ve kullanışlı olanıdır.

Checksummers:
Standart işletim sistemi dosyalarının boyut değişikliklerini virüs olarak yorumlarlar. Sistem dosyalarında yapılacak değişiklikleri iyi bilen bir kullanıcı için faydalı bir yapıdır.

Heuristics:
Virüslerin karakteristik yapısı bu programlarda genel hatlarıyla tanımlanır. Ancak son nesil virüsler burada kullanılan mantıkları çözerek yazıldığından bazen yetersiz kalmaktadır.

Antivirüs Programı Çalışma Yöntemi
Virüs örüntüsü (virus pattern) virüsü tanımlayan kısa “binary” koddur. Antivirüs programları bilgisayardaki tüm dosyalarda tarayıcısı yardımıyla virüs örüntüsünü arar. Virüsü bulduğunda; karşılaşılan durum için veritabanında tanımlanmış olan işlemleri yapar. Bu nedenle güncellenmiş bir antivirüs programı yeni çıkan virüslere karşı kullanıcının elindeki tek savunmadır.