|
Yeni Virusler: Bilgi & Tanim
S.A
Arkadaslar Bu bölümde bundan sonra yeni çikan virusler hakkinda bilgi verecegiz. Sisteme nasil sizarlar, Zararlari nelerdir, En önemlisi Nasil Silinirler. Forum düzenini saglamak için lütfen bu kurala uyalim! Saygilar! elimdekileri sizle paylaşayım |
ISIM: NetSky.B
ALIAS: I-Worm.Moodown.B, W32/Netsky.B@mm, Moodown.B Tanim Moodown.B (Diger Adi: NetSky.B) solucani ilke kez 18 Subat 2004\'de görüldü. Bu virus Emaillerle birlikte Zip dosyasi olarak gelmekte, ve kendini sistemde ki tum paylasima açik dizin ve sürücülere kopyalamaktadir. Silme Yöntemi Nasil silinecigi hakkinda bilgi: |
Yaygin olarak kullanilan Anti-Virüs Programlari:
Norton Anti-virüs McAfee Antivirüs AVP Panda Anti-virüs Titanium F-prot Anti-virüs programlari hakkinda bilgi edinebileceginiz siteler: |
Troj/Prorat-D
Tanim Troj/Prorat-D trojani sisteminize uzaktan erisim saglanmasina neden olur. Troj/Prorat-D trojani kendi kopyalarini Windows System veya System32 dizinlerine FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE ve WSERVICE.EXE isimlerinden biri seklinde kaydeder. Troj/Prorat-D Kendisini çalistirmak için se registry de ekte belirtilen yerlere kendini yerlestirir : HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ Windows Reg Services = C:\<Windows System>\<DosyaAdi> HKCU\Software\Microsoft\Windows\CurrentVersion\Run \ Windows Reg Services = C:\<Windows System>\<DosyaAdi> HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell = Explorer.exe C:\<Windows System>\<DosyaAdi> HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run\ Windows Reg Services = C:\<Windows System>\<DosyaAdi> DirectX for Microsoft Windows = C:\<Windows System>\<DosyaAdi> HKLM\Software\Microsoft\Active Setup\Installed Components\ [A75aed00-d7bf-11d1-9947-00c0Cf98bbc9]\ StubPath = C:\<Windows System>\<DosyaAdi> HKLM\Software\Microsoft\Active Setup\Installed Components\ [5Y99AE78-58TT-11dW-BE53-Y67078979Y]\ StubPath = C:\<Windows System>\<DosyaAdi> Ayni zamanda dosyasinida bilgisayariniza indirir. Bu dosyada kendinisi Windows dizininde WINLOGON.EXE olarak degistirir ve WINKEY.DLL dosyasini kontrolu altina alarak registryde HKCU\Software\Microsoft DirectX\WinSettings\Troj/Prorat-C is embedded within WINKEY.DLL satirini ekler. Bununlada yetinmeyerek SYSTEM.INI ve WIN.INI dosyalarinda [boot] ve [windows] bolumlerinde dosya yoluna ait düzenlemeler yapar Örnek: Dosya : SYSTEM.INI Bölüm : boot Parametre : shell (Yeni) Deger : EXPLORER.EXE C:\<Windows System>\<DosyaAdi> Dosya : WIN.INI Bölüm : windows Parametre : run (Yeni) Deger : C:\<Windows System>\<DosyaAdi> Bunlar gibi bizim bilmedigimiz baska zararlarida olabilir. Korunmak için Virus programlarini update edebilirsiniz. Saygilar! |
Witty virüsü ISS ürünlerindeki ICQ parse açığını kullanıyor.
Virüs kendisini UDP port 4000 kaynak portundan rastgele bir hedef porta gidecek şekilde IP adreslerine gönderiyor. Virüs sadece hafızada duruyor, etkilenen bilgisayarda dosyalar yaratmıyor fakat sabit disklerde rastgele sektörlerin üzerine yazıyor. Bunun sonucunda da sistem düzgün çalışamıyor ve reboot işleminde mavi ekran\'a (BSoD) yol açabiliyor. Kaynakça: Etkilenen Sistemler Etkilenenler: BlackICE™ Agent for Server 3.6 ebz, ecd, ece, ecf BlackICE PC Protection 3.6 cbz, ccd, ccf BlackICE Server Protection 3.6 cbz, ccd, ccf RealSecure® Network 7.0, XPU 22.4 ve 22.10 RealSecure Server Sensor 7.0 XPU 22.4 ve 22.10 RealSecure Desktop 7.0 ebf, ebj, ebk, ebl RealSecure Desktop 3.6 ebz, ecd, ece, ecf RealSecure Guard 3.6 ebz, ecd, ece, ecf RealSecure Sentry 3.6 ebz, ecd, ece, ecf |
I-Worm.Cult
Bu worm bulaşmış olduğu mail adreslerini ve kazaa nın dosya paylaşım ağını kullanıyor ve üstüne üstlük backdoor bileşenleri içeriyor. Worm .exe uzantılı olup 13kb civarında Worm kendi çoğaltıp ismini winupdate.exe diye değiştiriyor ve regedit ayarlarını ona gore düzenliyor. örnek: HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce Microsoft auto update = winupdate.exe HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Microsoft auto update = winupdate.exe Bunun yanında kendi için registry key oluşturup bunu içinde saklıyor. örnek: HKLMSOFTWAREMicrosoftWDXDriver stv1= stv2= stv3= stv4= xdvd= Gösterdiği sahte uyarı mesajı ise; Application Error The instruction at |0x776456de| referenced memory at |0x623525dg3|. The memory could not be |read| Click on OK to terminate the application Mail dağılımındaki mesaj örneği: Konu: Hi, I sent you an eCard from BlueMountain.com Mesaj: To view your eCard, open the attachment If you have any comments or questions, please visit Thanks for using BlueMountain.com. Eklenmiş dosya: BlueMountaineCard.pif Worm sadece eklenmiş dosya açılırsa bulaşıyor ve kendini sisteme yayıyor. Kazaa daki dağılma örneği: Worm kendini windows a Kazaa adlı bir alt klasör diye tanımlayıp kendini kopyalıyor. Kopyalarının örnek isimler: "SMS_sender.exe" "DivX 5.03 Codecs.exe" "Download accelarator.exe" "PaintShop Pro 7 Crack_By_Force.exe" "ZoneAlarm Pro KeyGen.exe" Bu sahte Kazaa klasörü, Kazaa dosya paylaşımı için açılıyor ve su sayede diğer KAzaa kullanıcılarına yayılıyor Backdoor uygulaması IRC kanalına bağlanıp sahibinden gönderilen bazı komutları dinliyor örnek komutlar: - sistem bilgileri hakkında ayrıntılı rapor - URL den dosya yüklenmesi - dosya çalıştırma - gibi ... |
Yeni Posta Kurdu: Netsky.V
Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor. Sophos’un antivirüs uzmanları Windows işletim sistemi kullanıcılarının en yeni güvenlik güncellemelerini yüklemeleri konusunda uyarıyor. Bu uyarının nedeni ise yayılmak için Internet Explorer’daki bir güvenlik açığını kullanan “Netsky.V” ismindeki yeni posta kurdu. Netsky, daha önceki versiyonlarından farklı olarak bir e-postadaki dosya eklentisinde yayılmıyor. Zararlı bunun yerine kurt kodunu, daha önceden bulaştığı başka bir bilgisayardan yüklemeye çalışıyor. Bunun için de üreticinin geçtiğimiz Ekim ayında yayınladığı bir yama ile kapattığı Microsoft browserındaki bir güvenlik açığını kullanıyor. Kurt, yayılmak için bulaştığı bilgisayardaki posta adreslerini arıyor ve posta göndermek için de kendi SMTP motorunu kullanıyor. Sophos’un açıklamalarına göre virüslü e-postalar “Converting message. Please wait” veya “Please wait while loading failed message” gibi metinler içeriyor. Ayrıca bu zararlı, bulaştığı bilgisayarları kullanarak 22 ile 29 Nisan tarihleri arasında çeşitli paylaşım aracı istemcisi sunucularına saldırı yapacak. Özellikle , ve adresleri, çok sayıda sorgu gönderilerek yani “distributed Denial of Service” saldırısı ile çökertilmeye çalışılacak. |
Backdoor.Mosuck
Bu Backdoor’u tamamen silmek icin symantec tarafindan bir Tool gelistirilmistir. Backdoor zararlarini hepimiz biliyoruz. Burda anlatmaya gerek yok. Tool burdaki linktedir. |
Dikkat Yeni Virüs: W32/Bagle.z@MM
Virüs Belirtileri: Makinede TCP port 2535’in açılması/dinlenmesi. Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı Risk Seviyesi: Orta Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı Diğer isimleri: WORM_BAGLE.X (Trend Micro) Etkilediği sistemler: Windows 95, 98, ME, NT, 2000 ve XP Virüs Belirtileri: Makinede TCP port 2535’in açılması/dinlenmesi. Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı Risk Seviyesi: Orta Makinadan sahte gönderen adresine sahip (virüsün şifre korumalı zip dosya içerisinde ek dosya olarak bulunduğu) epostaların gönderilmesi Registry’de Run anahtarında drvsys.exe’nin varlığı Diğer isimleri: WORM_BAGLE.X (Trend Micro) Etkilediği sistemler: Windows 95, 98, ME, NT, 2000 ve XP Bu toplu eposta atma solucanı (worm) aşağıdaki karakteristiklere sahip: * Mesajları göndermede kendi SMTP motorunu kullanıyor * Bulaştığı makinadan eposta adreslerini topluyor * Sahte From: (Gönderen) adresi oluşturuyor * Ek dosya şifreli bir zip dosyası olabiliyor (Şifre mesajın gövdesinde bulunuyor) * Uzaktan erişim bileşeni içeriyor (Virüs yazarını otomatik haberdar ediyor) * Kendi kopyalarını içinde shar kelimesi içeren klasörlere kopyalıyor (bazı genel peer-to-peer dosya paylaşım yazılımları bu tip klasörler kullanıyor. ör: KaZaa, Bearshare, Limewire) Çözüm: Virüsün sisteminize bulaştığından şüpheleniyorsanız ve sisteminizde bir antivirüs yazılımı yüklü değilse Network Associates’in color=#0000ffStinger aracını indirirek sisteminizi tarayabilirsiniz. Veya Trend Micro’nun ücretsiz online antivirüs tarama/temizleme aracı HouseCall’u kullanabilirsiniz: color=#0000ffhttp://housecall.trendmicro.com/housecall/start_corp.asp Antivirüs yazılımı kullananlar güncelleme yaptıktan sonra sistemlerini tarayabilirler. |
W32/Sasser.worm (Yüksek Risk)
Bu kendini yayan virüs Microsoft’un LSASS güvenlik açığını ( MS04-011) kullanıyor. Solucan avserve.exe dosyası ile yayılıyor. Diğer worm’ların (solucan) aksine eposta ile yayılmıyor. Makineye bulaşması için kullanıcı müdahelesi gerektirmiyor. Solucan etkilenen sistemlerin virüslü kodu indirerek çalıştırmasını sağlıyor. Semptomları: Virüs kendisini Windows klasörüne avserve.exe olarak kopyalıyor ve açılışta kendisinin otomatik olarak çalıştırılması için aşağıdaki registry anahtarını yaratıyor: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun "avserve.exe" = C:WINDOWSavserve.exe Solucan açık için rastgele IP adreslerini tarıyor. TCP port 5554’de FTP sunucusu olarak çalışıyor ve TCP port 9996’da remote shell açıyor. C sürücüsünün kök dizininde win.log isminde bir dosya yaratıyor. Bu dosya yerel makinenin IP adreslerini içeriyor. Virüsün kopyaları Windows System klasöründe #_up.exe olarak yaratılıyorlar. örnek: c:WINDOWSsystem3211583_up.exe c:WINDOWSsystem3216913_up.exe c:WINDOWSsystem3229739_up.exe Solucanın yan etkilerinden biri LSASS.EXE’nin çökmesi ve sonucunda makinenin reboot etmesi. Diğer İsimleri: W32.Sasser.Worm (Symantec) W32/Sasser.A (F-Secure) Çözüm: Microsoft Güvenlik Bülteni MS04-011’de belirtilen yamalar geçilmeli: Antivirüs yazılımları güncellenmeli. Antivirüs yazılımına sahip olmayanlar NAI firmasının Stinger aracını indirerek sistemlerini tarayabilirler ya da Trend Micro’nun ücretsiz online virüs tarama sayfasından sistemlerini tarayabilirler. Manuel korunma için ağ sınırlarında TCP portları 139, 445, 5554 ve 9996 bloklanmalı. Kaynakça: |
Sasser’ın izinden Dabber
İnternetten yayılan Sasser virüsündeki bir açıktan istifade eden yeni bir internet virüsü ortaya çıktı. Dabber adı verilen virüs, Sasser’daki FTP sunucusundaki bir açığı kullanarak Sasser’dan sonra binlerce bilgisayara bulaştı. Uzmanlar, Dabber’ın bir başka virüsün açığını kullanarak yayılan ilk virüs olduğunu belirtiyorlar. Chicago merkezli güvenlik şirketi LURHQ, Dabber’ın Sasser ile beraber yayıldığını bildirdi. Dabber bilgisayara bulaştığında, önce Sasser’i devre dışı bırakıyor, Windows’a kendini yüklüyor ve ‘arkakapı’ açıyor. kaynakça : |
TrojanProxy.Win32.Bobax.a
+ bu trojen bulastıgı bilgisayarları bir proxy server gibi kullanıyor + Microsoft LSASS acıgını kullanarak yayılıyor. + bu torjen Microsoft Visula C++ da yazılmıs olup, bOdy kısmı şifrelenmiştir. + Windows altında calısmakta olup, 20480 byte buyukluğundedir. acıldıgı zaman şifreli bOdy kısmını acar ve kendini gecici klasore (temp) ~xxxx.tmp olarak kopyalar burdaki xxxx rastgele uretilmiş hexadecimal sayılardan olusur. bu dll torjenin asıl bolumu olup bu dll paketi UPX kullanır ve boyutu 17920 byte kadardır. acıldıktan sonra bu dll kendini windows dizinine kopyalar ve rastgele uretilmiş isimler kullanır. bilgisayar hafızasında 00:24:03:54A9D mutex i yaratır, ve sistemde hazır durumda bekler. ve registry e otomatik calısan soyle bir anahtar koyar [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServices] "[Rastgele anahtar adı]" = "[dosyayı calıstırmak için gerekli yol]" anahtar adı rastgele olup, hexadecimaldir. Trojan netten ; kendini guncelliyecek bilgileri, kurban bilgisayara netten her hangi bir program indirim, acmayı, net yardımı ile Microsoft LSASS acıgı olan diğer bilgisayarlara yayılmayı, kurban bilgisayardan gereksiz emaillar gondermeyi, ve son olarak kurban bilgisayar hakkında bilgi edinmeyi sağlar. |
Plexus.a Worm u hakkında
MS Visual C++ da Mydoom un yeniden geliştirilmiş hali olan bu worm (FSG ile sıkıstırılmıs hali 16208 byte yada 57856) 3 farklı yol ile yayılıyor, birincisi emailların yanında ataclanmıs olarak, diğeri dosya paylaşımı bulunan ağlarda sonuncu olarakta LSASS ve RPC DCOM acıgını kullarak (aynı Sasser ve Lovesan da oldugu gibi) ve ana kodları encrypted edilmiştir. Plexus bir kez acıldıktan sonra kendini Windows/System32 e upu.exe, ve regadit e de [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun] "NvClipRsv"=[acılacak dosya yolu] olarak kopyalar ve yazar.Ve kendini sisteme tanıtmak için ’expletus’ adında bir tanıtıcı kullanır. Örnekler ++ Yerel ağ ve dosya paylaşımı bulunan ağlarda AVP5.xcrack.exe hx00def.exe ICQBomber.exe InternetOptimizer1.05b.exe Shrek_2.exe UnNukeit9xNTICQ04noimageCrk.exe YahooDBMails.exe Kendini bu isimlerle ağ uzerinde ulasım izni olan yerlere kopyalar ++ MS Windows ve LSASS acıklarında Bunu anlatmaya gerek yok cunku MS Windows bunun patch ini çıkarttı. Bu worm Mydoom un geliştirilmişi oldugu için burdan yayılması soz konusu değil ++ Email eklentileri halinde Bu uzantılı lokal disk içinde arar htm, html, php, tbb, txt Ve bu dosyalarda bulunan tum email adreslerine kendi kopyasını gonderir. Worm un bulastıgı mail su sablonları içerebilir; *** Olasılık 1 Mesaj baslıgı RE: order Mesaj icerigi Hi. Here is the archive with those information, you asked me. And don’t forget, it is strongly confidencial!!! Seya, man. P.S. Don’t forget my fee Eklenmiş dosya SecUNCE.exe *** Olasılık 2 Mesaj baslıgı For you Mesaj icerigi Hi, my darling Look at my new screensaver. I hope you will enjoy... Your Liza Eklenmiş dosya AtlantI.exe *** Olasılık 3 Mesaj baslıgı Hi, Mike Mesaj icerigi My friend gave me this account generator for I wanna share it with you And please do not distribute it. It’s private. Eklenmiş dosya Agen1.03.exe *** Olasılık 4 Mesaj baslıgı Good offer Mesaj icerigi Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me... Eklenmiş dosya demo.exe *** Olasılık 5 Mesaj baslıgı RE: Mesaj icerigi Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve Eklenmiş dosya release.exe ++ Trojan olarak özelliği 1250 nollu portu virus yazarına acarak, sahibine dosya yukleme yada acma hakkı saglar. kaynakca : |
W32/Zafi.b@MM
Belirtileri: * Güvenlik yazılımlarının çalışmasında problemler * Ağ trafiği * Sistem yavaşlaması Bu virüs/solucan kendisini toplu-eposta atarak yayıyor. Eposta mesajlarını kendi SMTP motorunu kullanarak ve From: adreslerini sahte eposta adreslerinden oluşturarak gönderiyor. Ayrca kendisini yerel sistemde (klasör isminde ’share’ veya ’upload’ geçen) klasörlere kopyalayarak P2P ile de yayılıyor. Çalıştırıldığında kendisini %windowsklasörü%system32 klasörüne rastgele dosya isimleri ile .EXE ve .DLL uzantıları ile kopyalıyor. ör: C:WINNTsystem32jrbtgmqi.exe C:WINNTsystem32enfrbatm.dll Makine her açıldığında otomatik olarak çalışabilmesi için registry’ye aşağıdaki anahtarı ekliyor: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun "_Hazafibb" = %windir%System32jrbtgmqi.exe Çözüm: Sisteminizde virüs olduğundan şüpheleniyorsanız NAI firmasının ücretsiz aracı Stinger ile sisteminizi taratabilirsiniz. Antivirüs yazılımı kullanıcıları en son virüs veritabanına güncellemeli ve sistemlerini taratmalılar. kaynakca: |
Mydoom virüsüne önlem alın
Symantec, en tehlikeli virüslerin kategorisini 5 olarak değerlendirildiği sıralamada 4. kategori olarak nitelenen W32.Mydoom.M@mm virüsünün, 26 Temmuz’da yayılmaya başladığını açıkladı. Etkilediği sistemlerdeki tüm e-posta adreslerine kendini gönderen virüsün bat, .cmd, .com, .exe, .pif, .scr, or .zip uzantılı bir de eki bulunuyor. Aynı mesajın içinde .doc, .txt, .htm, or .html uzantılı ikinci bir dosya da bulunabiliyor. Virüs etkilendiği sistemlerde arka kapılar açarak sistemlerin hacker saldırılarına açık hale getiriyor. Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP sistemlerinde etkili olan bu solucan, Symantec’in Worm Blocking fonksiyonuna sahip ürünleri kullanan kullanıcıları etkilemiyor. web sitesinden indirilecek virüs temizleme aracıyla bu virüsten etkilenen kullanıcılar sistemlerini temizleyebilirler. kaynak: |
W32/Bagle.ad@MM (Orta Risk)
W32/Bagle.ad@MM önceki Bagle varyantları gibi bulaştığı bilgisayarda bir arkakapı açarak uzaktan erişilebilmesini sağlıyor. Virüs kendisini topladığı eposta adreslerine göndererek ve Kazaa, Bearshare ve Limewire gibi popüler dosya-paylaşımı uygulamaları ile yayıyor. Ayrıca bulaştığı makinadaki Antivirüs ve güvenlik duvarı yazılımlarını kapatmaya çalışıyor. Not: Sizden virüslü eposta geldiğine dair uyarı aldığınızda bu size virüs bulaştığı anlamına gelmiyor -- virüs genelde gönderen adresini (from) topladığı eposta adreslerinden oluşturuyor. örnek : Gönderen (FROM): değişiyor (spoof ediliyor). Konu (SUBJECT): değişiyor (örnekler : Re: Msg reply, Re: Hello, Re: Yahoo!) Mesaj (BODY): Çeşitli metodlar ile oluşturuyor. Ek dosya (ATTACHMENT): Değişiyor. Şifrenin mesaj gövdesinde belirtildiği şifre korumalı bir zip dosyası olabiliyor. Örneğin: Information, Details, text_document Sonuç : Bilgisayarınız 1234 nolu TCP portunu dinler. Yukarıda belirtilen özelliklere sahip gönderilen epostalar. Registry’de değişiklikler. Detaylar için aşağıdaki bağlantıya tıklayın. |
VİRÜS SÖZLÜĞÜ
· Dosyaya Bulaşan Virüsler: Bu virüsler .COM ve .EXE uzantılı dasyaların kaynak koduna kendilerinin de bir kopyasını eklerler.Bazı durumlarda .SYS, .DRV, .BIN, .OVL ve .OVY uzantılı dosyalara bulaşırlar.Bazen bellekteki virüs bulaşmak için dosyanın açılmasını beklemez,sadece açıldığı zaman örneğin DOS’ta DIR çekildiği zaman hepsine bulaşır.Dosyaya bulaşan virüslerin çoğu EXE dosyanın başlangıç kodunu alır ve dosya içinde başka bir yere yazar.Dosya çalıştırıldığında önce virüs harekete geçer,başlangıç kodunu çalıştırır ve sanki herşey yolunda gidiyormuş gibi görünür.Bazıları .exe uzantılı dosya ile aynı isimde ama uzantısı .com olan bir dosya yaratarak içine kendini kopyalar.DOS tabanlı işletim sistemleri önce .com uzantılı dosyaya bakacağı için farkına varmadan virüsü çalıştırmış olursunuz. · BOOT SEKTÖRÜ Virüsleri: Sabit disk ya da diskette olsun A,B,C,D,E olarak bildiğimiz mantıksal bölümlerinin her birinin bir boot sektörü vardır.Bu disk ya da disketten bilgisayar açılmıyorsa da durum değişmez,illa boot edilen bir disket olması şart değil.Boot sektöründe disketin formatı ve depolanmış verilerin bilgileriyle DOS’un sistem dosyalarını yükleyen boot programı bulunur.Meşhur "Non-system Disk or Disk Error" mesajını bu program,sistem dosyalarını bulamadığı zaman gönderir.Bir boot sektör virüsü sistem dosyalarını bozduğunda da bu mesajı alırsınız.1996 yılına kadar en yaygın virüs tipi bunlardı.Boot disketinden belleğe geçer ve yazma koruması olmayan her türlü diskete eriştiği anda bulaşarak kabus görmeye başlarsınız. · MASTER BOOT RECORD Virüsleri: Sabit disklerin ilk fiziksel sektörlerinde diskin Master Boot Record’u ve Partition tablosu vardır.Master Boot Record’un içindeki Master Boot programı partition tablosundaki değerleri okur ve boot edilebilir partition’ın başlangıç yerini öğrenir.Sisteme o adrese git ve bulduğun ilk program kodunu çalıştır komutunu gönderir.Bu virüslerde tıpkı boot sektör virüslerinde olduğu gibi bulaşırlar.Virüslü bir disketten makineyi açarken virüslü boot sektör programı okunur ve çalıştırılır, virüs belleğe yerleşir ve sabit diskin MBR’ını (Master Boot Record) bozar.Her disk ve disketin bir boot sektörü olduğuna göre sistem disketi olmayan veri disketlerinden de bulaşma ihtimali vardır. · MULTi-PARTITE Virüsler: Bu tür virüsler yukarıda belirtilen iki tür virüsün kombinasyonudur.Bu tür virüslere daha · az rastlanıyor ancak gün geçtikçe rastlanma oranıda artıyor.Hem MBR,hem boot sektörü ve çalışabilir dosyaları bozarak yayılma kuvvetlerini ve şanslarını arttırıyorlar. · MAKRO Virüsleri: Son zamanlarda ortalığı kasıp kavuran virüs çeşiti bu.Adındanda anlaşılacağı gibi Microsoft Word ve Exel gibi önemli uygulama programlarının makro dilleri kullanılarak yazılıyorlar.Makro’lar veri dosyalarında kaydedildiği için virüslü belge açıldığında virüsün makro kodu çalışmaya başlayarak ne yapabilirse yapabiliyor.İlk olarak 1995 yılında görülen bu virüs türü Microsoft Word’ün şablon belgelerini bozuyordu.Bir yıl içinde tarihin en yaygın ve başarılı virüs türü haline geldi.Bu başarıda en büyük neden Word’un çok yaygın kullanılan bir uygulama olmasında ve insanların Internet üzerinde birbirleri ile bol miktarda Word belgesi göndermesidir.Makro virüslerinin ilkinin adı WM.Concept idi.Kendisi pek zararlı olmayan bu virüs bir makro ile de virüs yapılabileceğini ispatlaması açısından önem taşır.WM.Concept virüsünün kaynak kodu gizli değildi, bu yüzden yeni makro virüsü yazmak isteyenler alıp üzerinde küçük değişiklikler yaparak tekrar ortalığa yaydılar.Birkaç ay içinde yüzlerce makro virüsü tespit edildi ve kayıtlara geçirildi. · Bilgisayar Virüsü: İlk kez Fred COHEN tarafından 1984 yılında kullanılmış bir terim.Bilgisayar virüsü başka programa yapışan küçük bir programdır,kendisini kopyalayarak diğer yazılımlara saldırır. · Worm: Worm çoğu zaman başlıbaşına bir programdır,bellekteki ve disketteki eriştiği bölgelerin verilerini bozar.İçinde gömülüp saklanacağı ev sahibi programa ihtiyaç duymaması özelliği ile diğer virüslerden ayrılır. · Trojan Horse: Truva atı...Masum görünüşlü bir programın farklı şeyler de yapması.Bazen gerçekten masum programların bug’ları da aynı etkiyi yapabilir.Çoğunlukla kendilerini kopyalayarak çoğalmazlar. · Zaman Ayarlı Bomba: Mantıksal bomba da denilir, belli bir olay gerçekleştikten sonra örneğin ayın 13’ü Cuma gününe denk gelmişse zarar verici faaliyetine başlar. · Boot Sektör Virüsü: Disklerin partition tablosunda veya boot sektöründe saklanan ve sistem çalıştığı anda faaliyete geçen virüs.En yaygın olanları arasında Pakistani Brain virüsü ile Stoned/Marijuana virüsü sayılabilir. · Uygulama Programı Virüsü: En bulaşıcı olan virüs çeşitidir.Çoğunlukla .com ve .exe uzantılı olan her türlü çalışabilir dosyaya bulaşırlar.En yaygın olanı Jerusalem virüsüdür. · Gizlenen Virüsler: Dosya büyüklüğündeki artışı ya da tarih ve zaman bilgilerini gizleyerek yakalanmalarını güçleştirmeye çalışırlar. · Dark Avenger Mutation Engine: Genellikle virüs yazanların kullandığı bir polimorfik kriptolama programı.Virüs bu programla kriptolanınca anti-virüs programına kolay yakalanmıyor. · Makro Virüsleri: Word ya da Exel dosyalarına bir makro gibi gömülerek yaşayan virüs.Dosya açıldığında uygulamanın standart makrolarından birinin yerine yerleşiyor ve gelen her belgeye bulaşıyo |
Bilgisayar Virüsleri
Bilgisayar virüsleri, çalıştığında bilgisayarınıza değişik şekillerde zarar verebilen bilgisayar programlarıdır. Eğer bu programlar ya da virüs kodları, herhangi bir şekilde çalıştırılırsa, programlanma şekline göre bilgisayarınıza zarar vermeye başlar. Ayrıca, tüm virüs kodları (bilinen adıyla virüsler), bir sistemde aktif hale geçirildikten sonra, çoğalma özelliğine sahiptir. Bilgisayar virüslerinin popüler bulaşma yollarından birisi, virüs kapmış bilgisayar programlarıdır. Bu durumda, virüs kodu bir bilgisayar programına, virüsü yazan (ya da yayan) kişi tarafından eklenir. Böylece, virüslü bu programları çalıştıran kullanıcıların bilgisayarları "potansiyel olarak" virüs kapabilirler. Özellikle internet üzerinde dosya arşivlerinin ne kadar sık kullanıldığını düşünürsek, tehlikenin boyutlerını daha da iyi anlayabiliriz. Virüslenmiş program çalıştırıldığında, bilgisayar virüs kodu da, genellikle, bilgisayarınızın hafızasına yerleşir ve potansiyel olarak zararlarına başlar. Bazı virüsler, sabit diskinizin ya da disketlerinizin "boot sector" denilen ve bilgisayar her açıldığında ilk bakılan yer olan kısmına yerleşir. Bu durumda, bilgisayarınız her açıldığında "virüslenmiş" olarak açılır. Benzer şekilde, kendini önemli sistem dosyalara (MSDOS ve Windows için COMMAND.COM gibi) kopyalayan virüsler de vardır. Genellikle her virüsün Cansu, Stoned, Michaelangelo, Brain, Einstein gibi bir adı vardır. Virüs Çeşitleri Dosyalara bulaşan virüsler, genellikle, kullanıcının çalıştırdığı programlara bulaşır. Bazen, başka tür sistem dosyalarına da (.OVL, .DLL, .SYS gibi) bulaşabilirler. Programların virüslenmesi iki yolla olur; ya virüs kodu bilgisayarın hafızasına yerleşmiştir ve her program çalıştırılışında o programa bulaşır, ya da hafızaya yerleşmeden sadece "virüslü program her çalıştırılışında" etkisini gösterebilir. Ancak, virüslerin çoğu, kendini bilgisayarın hafızasına yükler. Diğer bir grup ise bilgisayarın ilk açıldığında kontrol ettiği özel sistem alanlarına (boot sector) ve özel sistem dosyalarına (command.com gibi) yerleşirler. Bazı virüsler, her iki şekilde de zarar verebilir. Bazı virüsler, virüs arama programları tarafından saptanmamak için bazı gizlenme teknikleri kullanırlar (stealth virüsleri). Bazı tür virüsler ise, çalıştırıldığında kendine benzer başka virüsler üretir (polymorphic virüsler). Virüslerin Zararları Bilgisayar virüsleri, Ekranınıza can sıkıcı mesajlar çıkararak çalışmanızı bölebilir/engelleyebilir. Bilgisayarınızın hafızasını ve/veya disk alanını kullanarak bu kaynaklara verimli olarak erişiminizi engelleyebilir. Kullandığınız dosyaların içeriklerini bozabilir/silebilir. Kullandığınız bilgisayar programlarını bozabilir, çalışmalarını yavaşlatabilir. Sabit diskinizin tamamını ya da önemli dosyaların olduğu kısımlarını silebilir. Virüsler, yalnızca PC’lere bulaşmaz; ancak en çok Dos ve Windows işletim sistemi ile çalışan PC’lere bulaştırlar. Macintosh virüsleri de bir hayli yaygındır. Unix işletim sistemi ile çalışan bilgisayarlarda, virüs bulaşma vakaları oldukça azdır. Yayılma Yolları Eskiden en popüler virüs bulaşma yolu, bir bilgisayardan diğerine "disket" ile dosya aktarımı idi. Günümüzde ise, bilgisayar ağlarının oldukça yoğun kullanılması, herkese açık (anonim) dosya arşivleri ve internet üzerindeki popüler etkileşimli ortamlar (IRC, ICQ, Web gibi) virüslü programların yayılması için oldukça uygun ortamlardır. Ayrıca, e-mail yoluyla gelen programların kontrolsüz çalıştırılması da bir başka potansiyel tehlike olarak karşımızdadır. Truva Atı (Trojan Horse) Truva atı da aslında virüs ile eşdeğer. Tek farkı, ilk anda aldığınız programın yararlı birşeyler yaptığını sanıyorsunuz ancak zararlı olduğunu daha sonra anlıyorsunuz. Sözgelimi, sadece bir virüs bulaştırmak için yazılmış oyun programları vardır. Düzyazı Dosyaları Güvende Bazı virüsler, doğrudan data dosyalarını bozabilirler. Birçok virüs, .DAT, .OVR, .DOC gibi çalıştırılabilir olmayan dosyaları hedef alıp bozabilmektedir. Ancak bilgisayar virüsleri de bir çeşit bilgisayar program olduğundan, virüsün yayılabilmesi için mutlaka virüs kodunun çalışması lazım. Bu yüzden, sözgelimi bir düzyazı içeren dosyanın (text) virüs taşıma ihtimali yok. Makro Virüsü Bazı programların, uygulama ile birlikte kullanılan "kendi yardımcı programlama dilleri" vardır. Sözgelimi, popüler bir kelime işlemci olan "MS Word", "Macro" adı verilen yardımcı paketlerle yazı yazma sırasında bazı işleri otomatik ve daha kolay yapmanızı sağlayabilir. Programların bu özelliğini kullanarak yazılan virüslere, "macro virüsleri" adı verilir. Bu virüsler, sadece hangi macro dili ile yazılmışlarsa o dosyaları bozabilirler. Bunun en popüler ve tehlikeli örneği "Microsoft Word" ve "Excel" macro virüsleri. Bunlar, ilgili uygulamanın macro dili ile yazılmış bir şekilde, bir word ya da excel kullanarak hazırladığınız dökümana yerleşir ve bu dökümana her girişinizde aktif hale geçer. Macro virüsleri, ilgili programların kullandığı bazı tanımlama dosyalarına da bulaşmaya (normal.dot gibi) çalışır. Böylece o programla oluşturulan her döküman virüslenmiş olur. Virüslerin Tespiti Eğer bilgisayarınıza virüs bulaşmışsa, bu durumda bilgisayarınızda olağan dışı bazı durumlar gözlemleyebilirsiniz. Bazı virüsler, isimleri ile ilgili bir mesajı ekranınıza getirebilir. Bazıları, makinanızın çalışmasını yavaşlatabilir ya da kullanılabilir hafızanızı azaltır. Bu son iki sebep, sırf virüs yüzünden olmasa da gene de şüphelenmekte fayda var. Bilgisayarınızın virüs kapıp kapmadığını saptayan "anti-virüs" programları da var. Bu programlar, bilgisayarınızın virüs kapabilecek her tarafını (hafıza, boot sector, çalıştırılabilir programlar, dökümanlar) tararlar. Bu programlar, kendi veritabanlarındaki virüslerin imzalarını (virüsün çalışmasını sağlayan bilgisayar programı parçası) bilgisayarınızda ararlar. Programlarınızı, virüs olabilecek zararlı kodlara karşı analiz edebilirler. Günümüzdeki popüler anti-virüs programlarının veri tabanlarında onbinlerce virüs imzası ve bunların varyantları vardır. Bu veri tabanları, yeni çıkan virüsleri de ekleyerek sık aralıklarla güncellenir. Bütün virüs programları 3 temel işleve sahiptir; virüs arama-bulma, temizleme ve bilgisayarınızı virüslerden korumak için bir koruyucu kalkan oluşturma (virus shielder). Virüs kalkanları, bilgisayarınız her açıldığında kendiliğinden devreye giren ve her yeni program çalıştırdığınızda, bilgisayarınıza kopyaladığınızda bunları kontrol eden ve tanımlayabildiği virüs bulursa sizi uyaran ve virüs temizleme modülünü harekete geçirebilen araçlardır. E-Postalar Sadece düz yazı içeren bir e-postayı okumakla sisteminize virüs bulaşmaz. Eğer aldığınız e-posta ile birlikte bir "attachment" (eklenmiş dosya) varsa (eklenmiş dosya, herhangi bir çalıştırılabilir (executible) dosya olabilir), mailinizi okuyup gelen dosyayı diskinize saklamakla "o dosya virüslü dahi olsa" yine virüs bulaşmaz. Tabii, eklenmiş dosyayı çalıştırırsanız ve o dosya da virüslü ise, sisteminize virüs bulaşabilir. Web Siteleri Web sayfalarını oluşturmada kullanılan HTML, sabit diske yazma/silme gibi işlemlerin yapılmasına izin vermez. Bunun yanında, web sayfalarında çok kullanılan Java ve JavaScript ile yazılmış web uygulamaları da diskinize kesinlikle hiçbirşey yazmaz, hiçbirşeyi silmez. Ancak, rastladığınız programları alıp, kontrolsüz çalıştırırsanız o zaman durum değişir. umarım faydalı olur |
W32/MyDoom-R
İsmi : MyDoom-R Bulaştığı Sistem : Windows98/2000/me/Xp İlk Görüldüğü Tarih : 9 Ağustos 2004 Saat : 01:51:34 Açıklama : Klasik MyDoom virüsleri gibi E-mail ile coğalıyor. Bilgisayalarinizin Exe. dosyalarına bula$ıyor ve sistemi kullanılamaz hale getiriyor. AntiVirüs : Henüz AntiVirüs’ü yok. Kaynak : Sophos |
W32/Forbot-K
Virüsün ismi : W32/Forbot-K Bulaştığı sistemler : Network(ağlar) Web’den download,Chat programlari. Bulaştığı İşletim Sistemi : Windows (XP’ye de bulaşıyor) İlk görüldüğü zaman : 25 August 2004 08:03:50 (GMT) Bilgi : Bu Virüsün ayni isim ve uzantıda daha öncede yayılmı$tır. Bir Çok Network’a bula$mı$tır. Trojan yaymaktadır. Kaynak : Sophos |
Virüsün ismi : W32/Rbot-HE
Diğer ismi : Backdoor.Rbot.gen Yayılması : Network sistemler Çalıştığı sistem : Windows Yan Etkileri : =>> İnternet’den yaptığınız download’larda bilgisayarınıza zararlı code’ler indiriyor ve siz farkında olmuyorsunuz. =>> W32/Rbot-HE IRC ’deki acıkları bulup sizin network sisteminize bula$abiliyor. Bilgisayarınızın sistem dosyalarına zararlı code’ler (kodlar) bula$tırıyor. =>> sisteminizin güvenlik seviyesini düşürür. İlk Görüldüğü Zaman : 25 August 2004 20:24:44 Yayılması Seviyesi : Normal Kaynak : Sophos |
Virüsün ismi : W32/Rbot-HC
Diğer ismi : Backdoor.Rbot.gen Yayılması : Network sistemler İlk görüldüğü zaman : 25 August 2004 15:25:51 Çalıştığı sistem : Windows Yan etkileri : =>> Yukarıda yazdığım W32/Rbot-HE virüsünün bir deği$ik $eklidir. Çalı$ması ve yayılması aynıdır. =>> Sırayla tekrarlayacak olursak : Internet üzerinden yaptığınız download’larla bilgisayarınıza zararlı code’ler (kodlar) indirir böylece kendini çoğaltır. =>> Sisteminizi yava$latır. Yayılma seviyesi : Aktif - Normal |
hım gzl bilgi saol
|
Virüsün ismi : W32/Forbot-E
Diğer ismi : WORM_SDBOT.SR Backdoor.Win32.Agent.cf Yayılması : Network sistemler Çalıştığı sistem : Windows İlk görüldüğü zaman : 26 August 2004 05:32:11 Etkileri : =>> Internet’den download yaptığınız zaman bilgisayarınızda arka kapılar acar böylelikle daha çabuk yayılır. =>> Kendini registry’e kaydeder. =>> Sisteminizin yava$lamasına neden olur. =>> Sisteminizin güvenliğini azaltır. Kaynak : Sophos |
Virüs nedir ? Trojan (Truva ati) nedir ?)
Virüsler, kendi kodlarını başka programlara veya program niteliği olan dosyalara bulaştırabilme özelliği olan (kendi kodunu kopyalayabilen) bilgisayar programlarıdır. Bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar. Belli bir amaca yönelik olarak yazılmış, zarar vermeye yönelik olabilecekleri gibi eğlence amacıyla da yazılmış olabilirler. Truva atları, virüslerden oldukça farklı bir yapıya sahiptir.Asla başka programlara bulaşmazlar. Belli olaylara bağlı olarak tetiklenen bir rutindirler. Kendilerini kopyalayamadıkları için bazı programların içine bilinçli olarak yerleştirilirler. Trojanlar, ilgi çeken, utility gibi programların içine yerleştirilirler. Trojan kodu, trojanın içine gizlendi?i programın yazarı tarafından yazılımı? olabilecegi gibi sonradan da programa eklenmemi ? olabilir.Trojanlar aslında kopya koruma amacıyla hazırlanırlar. Virüsler çoğunlukla Assembly gibi düşük seviyeli bir programlama dili ile yazılırlar.Bunun asıl 2 sebebi vardır. 1- Assembli’in çok güçlü bir dil olması 2- Yazılan programların derlendikten sonraki dosya boylarının çok küçük olması Bu özelliklerin her ikisi de virüs yazarlarının assembly dilini kullanması için yeterli ve gerekli sebeplerdir. Virüsleri özelliklerine göre sınıflandırma pek mümkün olmasa da aşağıdaki şekildeki gibi bir sınıflandırma yapmak yanlış olmayacaktır.Ancak pek çok virüs, pek çok özelliği bünyesinde barındırabilir.Bağlanmama hızını arttırabilmek amacıyla yapılan bu durum sonucu virüs, boot sektörlere, mbr kayıtlarına, programlara bulaşabilir. şimdi de bu virüs türlerinin izleyişlerine bakalım 1 - Disk virüsleri : a- Boot b- MBR 2 - Dosya virüsleri : a- Program (TSR ve nonTSR) b- Makro virüsleri 3- FlashBIOS virüsleri 1 - DiSK ViRÜSLERI Disk virüsleri, adından da anlaşılacağı üzere, disk ve/veya disketler üzerinde iletişim sistemi için özel anlamı olan bölgelere (boot sektör, MBR) yerle?en virüslerdir. Disk virüsleri, hakkında en çok yanlış bilginin olduğu virüs türüdür.Boot ve MBR virüsleri, aşağıda da göreceksiniz gibi işletim sisteminden önce hafızaya yüklenir.Bu yüzden işletim sistemini kolaylıkla atlatıp, Yukarıdaki şekilde de görüleceği gibi disk virüslerini boot ve MBR (partition) virüsleri olarak 2 gruba ayırtabiliriz . BOOT Virüsleri Boot virüslerinin ne olduğuna geçmeden önce boot sektör nedir, disk üzerinde nerede bulunur, önce bunlara bir bakalım; Boot sektör, bir diskin veya disketin işletim sistemini yüklemeye yarayan 1 sektör (512 byte) uzunlu?undaki bir programdır.Boot sektörler, disketlerde 0.cy iz, 0.cy kafa,1.ci sektör üzerinde bulunur. Hard disklerde ise boot sektörü 0.ci iz, 1.ci kafa ve 1.ci sektör üzerinde bulunur.Boot sektör, açılış için gerekli sistem dosyalarının yükleyen programdır.Aynı zamanda disk (veya disket) ile ilgili bilgileri saklar.DOS buradaki bilgileri kullanarak cılider hesaplarını yapar. Normal koşullarda, bilgisayar başlatabilecek durumdaki bir sistem disketini (virüssüz) sürücüye takip bilgisayarı açtığımızda da, bilgisayar ilk olarak disket sürücüye bakar.E?er sürücüde bir disket var ise bu disketin boot sektörü hafızanın 0000:7C00 (hex) adresine okunur ve okunan boot sektör çalıştırılır.Boot sektör, işletim sistemini yükleyerek denetimi işletim sistemine bırakır.Eğer bilgisayarı boot edecek disket bir boot virüsü içeriyorsa o zaman durum değişir.Bilgisayar, boot sektörü yine 0000:7C00 adresine okur ve akışı bu adrese yönlendirir.Disketten okunan boot kaydı, yapı olarak değiştirildiğinden dolayı, 0000:7C00’daki kod virüsü hafıza içine yükleyip, hafızadaki konumunu garanti altına alacaktır.Virüs aktivitesi için gerekli interrupt servislerini de kontrol altına aldıktan sonra orjinal boot kaydını okuyarak işletim sisteminin yüklenmesini saklayacaktır. MBR (Partition) Virüsleri MBR virüsleri esas olarak, boot virüslerinden pek de farklı değildir.Ancak can alıcı bir nokta vardır ki, bu boot ve mbr virüsleri arasındaki en önemli noktadyr. Hard diskler kapasite olarak çok farklı ve büyük kapasitede olduklarından diskin DOS’a tanıtılması amacıyla MBR - Master Boot Record (Ana açılı kaydı) denilen özel bir açılış programı içerirler.Bu kod diskin 0.cy iz, 0.cy kafa ve 1.ci sektörü üzerinde bulunur.Yani disketlerde boot sektörün bulunduğu konum, hard diskler için MBR yeridir.Master boot record, hangi disk partitionundan bilgisayarın açılacağını gösterir.Bu yüzden çok önemlidir.E?er bilgisayar hard diskten boot ediliyorsa, o takdirde mbr ve partition table okunur.Aktif partitiona ait boot sektör okunur.Bundan sonrası boot sektör kısmındaki sistemin aynısıdır. 2 - DOSYA ViRÜSLERi Dosya virüsleri açıkça anlaşılacağı gibi hedefi dosyalar olan virüslerdir.Dosya virüsleri çoğunlukla COM, EXE, SYS olmak üzere OVL, OVR, DOC, XLS, DXF gibi değişik tipte kütüklere bulaşabilirler. Makro virüsleri Makro virüsleri Word, Excel gibi programların makro dilleri ile (mesela VBA - Visual Basic for Applications) yazılırlar.Aktif olmaları bazı uygulamalara (word, excel vs) basit olduğundan program virüslerine oranla çok daha az etkilidirler. Program virüsleri Program virüsleri, DOS’un çalıştırılabilir dosya uzantıları olan COM ve EXE türü programlar başta olmak üzere SYS, OVL, DLL gibi değişik sürücü ve kütüphane dosyalarını kendilerine kurban olarak seçip bu dosyalara bulaşabilirler.Dosya virüsleri bellekte sürekli kalmayan (nonTSR) ve bellekte yerle?ik duran (TSR) olarak 2 tipte yazılırlar. nonTSR (Bellekte sürekli kalmayan) virüsler Bellekte sürekli olarak kalmazlar.Kodları oldukça basittir.Bellekte sürekli kalmayan virüsler sadece virüslü bir program çalıştırıldığında başka programlara bulaşabilirler.Virüslü program çalıştırıldığında programın başında program kontrolünü virüs koduna yönlendirecek bir takım komutlar bulunur.Virüs kontrolü bu şekilde ele aldıktan sonra virüs kendisine temiz olarak nitelendirilen virüssüz programlar aramaya koyulur.Bulduğu temiz programların sonuna kendi kodunu ekler ve programın başına da virüsün kontrolü ele alabilmesi için özel bir atlama komutu yerleştirir ve kendisine yeni kurban programlar arar.Virüs bulaşma i?ini bitirdikten sonra çalıştırmak istediğimiz program ile ilgili tüm ayarları düzenleyerek kontrolü konak programa devreder. TSR (Bellekte sürekli kalan) virüsler TSR virüsler yapı olarak TSR olmayan virüslerden çok farklıdır.TSR virüsler, 2 temel bölümden olu?urlar.1.ci bölüm; Virüsün çalışmasy için gerekli ayarlamaları yapar ve TSR olacak kodu aktifleştirir.2.bölüm TSR olan kodun kendisidir ve TSR virüslerin hayati önemdeki bölümüdür.Bu tip virüsler, çalışmak için sadece TSR olmakla kalmazlar.Aynı zamanda çeşitli Interruptlary (kesilmeleri) kontrol altına alırlar.Böylece DOS üzerinden yapılan işlemleri bile kontrol altına alabilirler.Örnek vermek gerekirse; TSR bir virüs DIR, COPY gibi DOS komutları ile yapılan -daha doğrusu yapılmak istenen- işlemleri kontrol altına alabilir.Kullanıcı DIR komutunu kullandığında dosya boylarının 0 olarak gösterilmesi, dosya boylarının eksik gösterilmesi gibi işlemler TSR bir virüs için çok kolaydır. 3 - FlashBIOS Virüsleri FlashBIOS virüsleri tekrar yazılabilir özellikteki BIOS chiplerine bulaşırlar Trojanın ismi : Troj/Agent-BX Diğer(takma) ismi : BackDoor.Agent.bx Çalıştığı sistem : Windows İlk görüldüğü zaman : 26 August 2004 09:21:07 Etkileri : =>> Bilgisayarınızda açıklar yaratır. =>> Bilgisayarınızdaki verileri deği$tirir. =>> Bilgisayarınızdaki bilgileri çalar. =>> Bilgisayarınıza uyumsuz veriler ekler. =>> Kendini registry’e kaydeder. =>> Sisteminizin güvenliği azaltır. Yayılma Seviyesi :Aktif - Normal Kaynak : Sophos |
Virüsün ismi : W32/Sdbot-OC
Diğer(takma) ismi : Worm.Win32.Donk.d WORM_SDBOT.SE Yayıldığı sistem : Network Çalıştığı sistem : Windows İlk görüldüğü zaman : 26 Ağustos 2004 15:00:44 Etkileri : =>> Bilgisayarınızdaki Anti-Virüs programının çalı$masını engeller,kapatır. =>> Bilgisayarınızda kendini çoğaltır ve açık kapılar yaratır. =>> Arama motorlarını kullanarak E-mail ile kendini çoğaltır. =>> Internet’den download ederek bilgisayarınıza zararlı kod(code)’ler indirir. =>> Kendini Registry’e kaydeder. =>> Sisteminizin güvenliğini azaltır. Risk seviyesi : Aktif - Normal |
W32.Kwbot.G.Worm
Tip:solucan Bulaştıgı boyut:250,500 bytes Etkiledigi sistemler:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me Etkilemedigi sistemler:Windows 3.x, Macintosh, OS/2, UNIX, Linux İlk görüldügü tarih:30 nisan 2003 genellikle exe uzantılı dosyalarda bulunmaktadır.. kaynak:sarc Virüsün ismi : W32/MyDoom-V Diğer(takma) ismi : .:: WORM_MYDOOM.GEN ::. I-Worm.Mydoom-t ::. W32/Mydoom.v@MM ::. Yayıldığı sistem : E-mail Çalıştığı sistem : Windows (2000/Xp) İlk görüldüğü zaman : 9 Eylül 2004 saat : 21:29:50 Seviyesi : Aktif - Normal Etkileri(kurdun): =>> Internet’den bilgisayariniza zararlı kod(code)ler indirir. Böylece bilgisayarinizda aciklar yaratır. =>> E-mail’inizde ki$ilere E-mail atarak kendini cogaltır. =>> Kendini registry’e kaydeder. =>> E-mail’inizin düzgün cali$masini engeller. Kaynak : Sophos |