1. Bilgisayar virüsü nedir? Nasıl bulaşır?
Bilgisayar virüsleri, aslinda "çalıştığında bilgisayarınıza değişik şekillerde zarar verebilen" bilgisayar programlarıdır. Eğer bu programlar (ya da virüs kodları) herhangi bir şekilde çalıştırılırsa, programlanma şekline göre bilgisayarınıza zarar vermeye başlar. Ayrıca, tüm virüs kodları (bilinen adıyla virüsler) bir sistemde aktif hale geçirildikten sonra çoğalma (bilgisayarınızdaki diğer dosyalara yayılma, ağ üzerinden diğer bilgisayarlara bulaşma vb gibi) özelliğine sahiptir.
Bilgisayar virüslerinin popüler bulaşma yollarından birisi "virüs kapmış bilgisayar programları" dır. Bu durumda, virüs kodu bir bilgisayar programına (söz gelimi, sık kullandığınız bir kelime işlemci ya da beğenerek oynadığınız bir oyun programı) virüsü yazan (ya da yayan) kişi tarafından eklenir. Böylece, virüslü bu programları çalıştıran kullanıcıların bilgisayarları "potansiyel olarak" virüs kapabilirler. Özellikle internet üzerinde dosya arşivlerinin ne kadar sık kullanıldığını düşünürsek tehlikenin boyutlerını daha da iyi anlayabiliriz.
Virüslenmiş program çalıştırıldığında bilgisayar virüs kodu da, genellikle, bilgisayarınızın hafızasına yerleşir ve potansiyel olarak zararlarına başlar. Bazı virüsler, sabit diskinizin ya da disketlerinizin "boot sector" denilen ve bilgisayar her açıldığında ilk bakılan yer olan kısmına yerleşir. Bu durumda, bilgisayarınız her açıldığında "virüslenmiş" olarak açılır. Benzer şekilde, kendini önemli sistem dosyalarının (MSDOS ve windows için COMMAND.COM gibi) peşine kopyalayan virüsler de vardır.
Genellikle her virüsün bir adı vardır (Cansu, Stoned, Michaelangelo, Brain, Einstein vb gibi).
--------------------------------------------------------------------------
2. Kaç çeşit bilgisayar virüsü vardır?
Bilgisayar virüslerini, genel olarak 2 grupta toplamak mümkün:
Dosyalara bulaşan virüsler
Bilgisayarın sistem alanlarına bulaşan virüsler
İlk gruba girenler, genellikle, kullanıcının çalıştırdığı programlara (söz gelimi, dos için .EXE ve .COM) bulaşır. Bazen, başka tür sistem dosyalarına da (.OVL, .DLL, .SYS gibi) bulaşabilirler. Programların virüslenmesi iki yolla olur: Ya virüs kodu bilgisayarın hafızasına yerleşmiştir ve her program çalıştırılışta o programa bulaşır; ya da hafızaya yerleşmeden sadece "virüslü program her çalıştırılışında" etkisini gösterebilir. Ancak, virüslerin çoğu kendini bilgisayarın hafızasına yükler.
İkinci gruba giren virüsler ise, bilgisayarın ilk açıldığında kontrol ettiği özel sistem alanlarına (boot sector) ve özel sistem dosyalarına (command.com gibi) yerleşirler.
Bazı virüsler ise her iki şekilde de zarar verebilir.
Bazı virüsler, virüs arama programları tarafından saptanmamak için bazı "gizlenme" teknikleri kullanırlar (Stealth Virüsleri). Bazı tür virüsler ise, çalıştırıldığında kendine benzer başka virüsler üretir (Polymorphic virüsler). (Bu tip virüslein ilk örneklerinden olan Dark Avanger ve Cascade bilgisayar sistemlerine ciddi zararlar vermişlerdir).
3. Bilgisayar virüslerinin olası zararları nelerdir?
Bilgisayar virüsleri,
Ekranınıza can sıkıcı mesajlar çıkararak çalışmanızı bölebilir/engelleyebilir.
Bilgisayarınızın hafızasını ve/veya disk alanını kullanarak bu kaynaklara verimli olarak erişiminizi engelleyebilir.
Kullandığınız dosyaların içeriklerini bozabilir/silebilir.
Kullandığınız bilgisayar programlarını bozabilir, çalışmalarını yavaşlatabilir.
Sabit diskinizin tamamını ya da önemli dosyaların olduğu kısımlarını silebilir.
--------------------------------------------------------------------------
4. Virüsler sadece PC'lere mi bulaşır?
Hayır, sadece PC'lere bulaşmaz; ancak en çok dos ve windows işletim sistemi ile çalışan PC'lere bulaştığını söyleyebiliriz. Macintosh virüsleri de bir hayli yaygındır. Unix işletim sistemi ile çalışan bilgisayarlarda virüs bulaşma vakaları oldukça azdır.
--------------------------------------------------------------------------5. Dünyada kaç tane virüs var?
Buna kolayca cevap vermek güç. Muhtemelen 10binlerce..
--------------------------------------------------------------------------
6. Virüsler nasıl bu kadar hızlı yayılıyor?
Eskiden en popüler virüs bulaşma yolu, bir bilgisayardan diğerine "disket" ile dosya aktarımı idi. Günümüzde ise, bilgisayar ağlarının oldukça yoğun kullanılması, herkese açık (anonim) dosya arşivleri ve internet üzerindeki popüler etkileşimli ortamlar (IRC, ICQ, Web gibi) virüslü programların yayılması için oldukça uygun ortamlardır. Ayrıca, e-mail yoluyla gelen programların kontrolsüz çalıştırılması da bir başka potansiyel tehlike olarak karşımızdadır.
--------------------------------------------------------------------------
7. "Truva atı" (Trojan Horse) nedir? Bir virüsten farkı var mı?
Truva atı da aslında "virüs" ile eşdeğer. Tek farkı, ilk anda aldığınız programın yararlı birşeyler yaptığını sanıyorsunuz ancak zararlı olduğunu daha sonra anlıyorsunuz. Söz gelimi, sadece bir virüs bulaştırmak için yazılmış bir oyun programı. Oyunu çalıştırıp oynuyorsunuz; ve sonra ..........
8. Virüsler programların yanında veri dosyalarını da bozabilir mi?
Bazı virüsler, doğrudan data dosyalarını bozabilirler. Birçok virüs, .DAT, .OVR, .DOC gibi çalıştırılabilir olmayan dosyaları hedef alıp bozabilmektedir. Ancak bilgisayar virüsleri de bir çeşit "bilgisayar programları" olduğundan, virüsün yayılabilmesi için mutlaka virüs kodunun çalışması lazım. Bu yüzden, söz gelimi bir düzyazı içeren dosyanın (text) virüs taşıma ihtimali yok.
--------------------------------------------------------------------------
9. Macro virüsü nedir?
Bazı programların, uygulama ile birlikte kullanılan "kendi yardımcı programlama dilleri" vardır. Söz gelimi, popüler bir kelime işlemci olan "MS Word", "Macro" adı verilen yardımcı paketlerle yazı yazma sırasında bazı işleri otomatik ve daha kolay yapmanızı sağlayabilir. Programların bu özelliğini kullanarak yazılan virüslere "macro virüsleri" adı verilir. Bu virüsler, sadece hangi macro dili ile yazılmışlarsa o dosyaları bozabilirler. Bunun en popüler ve tehlikeli örneği "Microsoft Word" ve "Excel" macro virüsleri. Bunlar, ilgili uygulamanın macro dili ile yazılmış bir şekilde, bir word ya da excel kullanarak hazırladığınız dökümana yerleşir ve bu dökümana her girişinizde aktif hale geçer. Macro virüsleri, ilgili programların kullandığı bazı tanımlama dosyalarına da bulaşmaya (normal.dot gibi) çalışır. Böylece o programla oluşturulan her döküman virüslenmiş olur. Microsoft Office (word, excel vb) macro virüsleri ile başetmek ve korunmak için, [Bu Adresi (link) Görme Yetkiniz Yok BEDAVA'ya Üye Ol Sitemizden Faydalan....] adresinde gerekli bilgiler bulunabilir.
--------------------------------------------------------------------------
10. Bilgisayarımın virüs kapıp kapmadığını nasıl anlarım? Bunu saptayan programlar var mı?
Eğer bilgisayarınıza virüs bulaşmışsa, bu durumda bilgisayarınızda "olağan dışı" bazı durumlar gözlemleyebilirsiniz. Bazı virüsler, isimleri ile ilgili bir mesajı ekranınıza getirebilir. Bazıları makinanızın çalışmasını yavaşlatabilir, ya da kullanılabilir hafızanızı azaltır. Bu son iki sebep sırf virüs yüzünden olmasa da gene de şüphelenmekte fayda var.
Bilgisayarınızın virüs kapıp kapmadığını saptayan "anti-virüs" programları da var. Bu programlar, bilgisayarınızın virüs kapabilecek her tarafını (hafıza, boot sector, çalıştırılabilir programlar, dökümanlar vb) tararlar. Bu programların virüs saptama yöntemleri 2 türlüdür:
Kendi veritabanlarındaki virüslerin imzalarını (virüsün çalışmasını sağlayan bilgisayar programı parçası) bilgisayarınızda ararlar.
Programlarınızı, virüs olabilecek zararlı kodlara karşı analiz edebilirler.
Günümüzdeki popüler anti-virüs programlarının veri tabanlarında 1000lerce virüs imzası ve bunların varyantları vardır. Bu veri tabanları, yeni çıkan virüsleri de ekleyerek sık aralıklarla güncellenir. Bütün virüs programları 3 temel işleve sahiptir :
Virüs Arama, bulma (virus scanner)
Bulunan virüsü temizleme (virus cleaner)
Bilgisayarınızı virüslerden korumak için bir koruyucu kalkan oluşturma (virus shielder)
Virüs kalkanları, bilgisayarınız her açıldığında kendiliğinden devreye giren, ve her yeni program çalıştırdığınızda, bilgisayarınıza kopyaladığınızda (başka bir bilgisayardan, internet üzerinden, disketten vb) bunları kontrol eden ve tanımlayabildiği virüs bulursa sizi uyaran ve virüs temizleme modülünü harekete geçirebilen araçlardır.
Bazı popüler anti virüs programları, üretici şirketler ve web adresleri şunlardır :
McAfee Associates, Inc
IBM Anitvirus
Norton Antivirus
F-Prot
Thunderbyte Antivirus
Bu programlar genellikle "shereware" dir. Bazılarının kısıtlı kullanımlı "freeware" sürümleri de vardır. Macintosh, OS/2 ve Windows için bu tip programları yerel Raksnet Tucows arşivinden de alabilirsiniz. Adresi [Bu Adresi (link) Görme Yetkiniz Yok BEDAVA'ya Üye Ol Sitemizden Faydalan....]
11. Bilgisayarım virüslendi. Nasıl temizleyeceğim?
Bir programın virüslü olduğundan şüpheleniyorsanız, bu durumda, öncelikle sakin olun. Yapacağınız ilk iş, o an kullandığınız tüm uygulamaları kapatmak, yaptığınız işleri saklamak. Ardından, bir antivirüs programı ile bilgisayarınızı (gerekirse disket(lerin)izi tarayın. Her zaman için, kullandığınız antivirüs programının yeni bir sürümünü elde etmeye çalışın.
Eğer bilgisayarınızın sistem alanları da etkilenmişse, bu durumda bilgisayarınızı kapatın. Ardından, bilgisayarınızı "temiz bir sistem disketi" ile açın. Bu yüzden, herzaman böyle bir disket bulundurmak faydalı olacaktır (windows95 için Rescue Disk). Daha sonra, bir virüs tarama/temizleme programı ile bilgisayarınızı tarayın.
--------------------------------------------------------------------------
12. Virüslerden korunma yolları nelerdir?
En iyi korunma yolu, şüpheli programları, güvenmediğiniz internet sitelerinden aldığınız programları hemen kontrol etmeden çalıştırmamak. Dışardan bir program aldığınızda "MUTLAKA BIR VIRUS TARAYICI ILE" kontrol edin. Sonra çok başınız ağrıyabilir.
Ancak, bu korunma önlemi de yetmeyebilir. Virüsler yanında, çalıştırdığınızda bilgisayarınızın önemli dosyalarını silen, disklerinizi formatlamaya çalışan ve ilk anda yararlı gibi görünen (söz gelimi ilk anda bir oyun programı olduğunu sanırsınız) programlar da var. Bu programlar, genellikle, illegal programların bulunduğu birtakım kontrolsüz FTP sitelerinde, web sitelerinde bulunmaktadır. Bu tip programların dağıtıldığı önemli yerleden biri de haber gruplarıdır (usenet news). Aldığınız bir mailin sonuna eklenen ve "lutfen ilişikteki kısa programı çalıştırın, size çok güzel bir yeni yıl kutlaması mesajı veriyor" gibi bir mesaj görür, eklenmiş programı alır ve çalıştırırsanız başınız muhtemelen dertte olacak demektir. Programı alırsınız, içinden hiç virüs çıkmaz. Ama, aldığınız program, çalıştırıldığında, aslında makinanıza ciddi zararlar veren bir algoritmayı doğrudan çalıştırıyor olabilir. Bu yüzden, çok dikkatli olmak lazım. Son pişmanlık fayda etmiyor.
Önemli dosyalarınızın (sistem dosyaları, önemli kişisel dosyalar vb) yedeklerini almaya çalışın. Ve de şüpheli birşekilde aldığınız bir programı hemen silin.
Bilgisayarınıza, eğer imkanınız varsa, bir virüs koruyucu kalkan programı yükleyin. Bu da, sizi bir miktar koruyacaktır. Bu programların seçenekleri ile biraz oynayarak tam kullanımını öğrenin. Bazıları, disk formatlama, dosya silme vb gibi konularda kullanıcıyı uyaran özelliklere sahiptir.
--------------------------------------------------------------------------13. Internet'ten aldığım e-posta'dan bilgisayarım virüs kapabilir mi?
Bu soruya günümüzde kolayca "hayır" demek ne yazık ki tam mümkün değil. e-posta programları ve protokoller çok gelişti. Ama gene de, e-mail ile virüs bulaşmasının çok çok zor olduğunu söyleyebiliriz. Öncelikle,
Sadece düz yazı içeren bir e-postayı okumakla sisteminize virüs filan bulaşmaz.
Eğer aldığınız e-posta ile birlikte bir "attachment (eklenmiş dosya)" varsa (eklenmiş dosya, herhangi bir çalıştırılabilir (executible) dosya olabilir), mailinizi okuyup gelen dosyayı diskinize saklamakla "o dosya virüslü dahi olsa" yine virüs bulaşmaz. Tabii, eklenmiş dosyayı çalıştırırsanız ve o dosya da virüslü ise, sisteminize virüs bulaşabilir. Bu tamamen sizin sorumluluğunuz.
Yıllar içinde mail programları oldukça gelişmiştir. bazı özel tekniklerle, mail içine "doğrudan çalıştırılabilir kod" ekleme olanağı vermektedir. Daha çok yeni olan bu kullanım, tüm potansiyel virüs saldırılarına açıktır. Dolayısıyla, size gelen bir maili okumadan önce, "konusuna" ve "kimden gönderildiğine" ayrıca "uzunluğuna" bakıp ona göre bir karar verebilirsiniz. Kullandığınız mail programı, bazı seçeneklerini değiştirirseniz, maili okumak için açtığınız anda, sizin onayınızı almadan, aslında bir program olan ilgili kod çalışmaya başlayabilir.
--------------------------------------------------------------------------14. Internet'teki web sitelerine girdiğimde bilgisayarım virüs kapabilir mi?
Hayır, bulaşmaz. web sayfalarını oluşturmada kullanılan HTML, sabit diske yazma/silme vb yapılmasına izin vermez. Bunun yanında, web sayfalarında çok kullanılan Java ve JavaScript ile yazılmış web uygulamaları da diskinize kesinlikle hiçbirşey yazmaz, hiçbirşeyi silmez. Bu yüzden, gönül rahatlığı ile web üzerinde dolaşabilirsiniz. Ancak, rastladığınız programları alıp kontrolsüz çalıştırırsanız o zaman durum değişir!
--------------------------------------------------------------------------
15. Internet'teki bir dosya arşivinden aldığım programlar virüslü olabilir mi? Bunlar ne kadar güvenli?
Güvenilir dosya arşivlerinden alınan programlarda virüs olması ihtimali yok denecek kadar azdır. Bunlar genellikle, popüler bilgisayar dergilerinin arşiv siteleri; tanınmış yazılım şirketleri, yansıları dünyanın pek çok yerinde tutulan Simtel, Cica, Tucows, Winsite gibi sitelerdir. Zaten bir siteye girdiğinizde o sitenin muhteviyatı size bazı ipuçları verir. Eğer illegal programların ve "crack" olarak adlandırılan bazı programların olduğu bir sitede iseniz virüslü program alma ihtimaliniz son derece yüksek!!!
--------------------------------------------------------------------------
16. Virüsler ile ilgili internet'te ne gibi kaynaklara erişebilirim?
Usenet hiyerarşisi içince, comp.virus ve bu öbeğe ait FAQ dökümanı işinize yarayabilecek tonlarca bilgi içerir. Bu dökümanlara,,[Bu Adresi (link) Görme Yetkiniz Yok BEDAVA'ya Üye Ol Sitemizden Faydalan....] topluca erişebilirsiniz
--------------------------------------------------------------------------
17. Virüsleri kimler yazar?
Bilgisayar kullanan 100milyonlarca kişi arasından, doğal olarak, böyle kötü niyetli kişiler çıkıyor. Virüs yazan kişiler, genellikle iyi programlama ve bilgisayar donanım bilgisi olan, ve bu bilgilerini dışa vurmak için "kötü yollar" seçen insanlardır.
GENEL VİRÜSLER
Disk virüsleri: Bu virüsler Windows gibi isletim sistemleri yerine direkt olarak hafızaya
yerlesirler.
Dosya virüsleri: Direkt olarak dosyaları hedef alan virüslerdir ve genelde COM, EXE,
SYS olarak sisteme yerlesirler.
Makro virüsler: Word, Excel gibi programlarla yazılmıs dosyaların açılmasıyla faaliyete
geçen virüslerdir. (Örnek: Melissa virüsü)
Program virüsleri: Dos altında bulunan COM, EXE gibi dosyalara bulasırlar ve bu
dosyaların çalıstırılabilme özelligi sayesinde bellege hükmederler.
Bios virüsleri: Bios virüsleri tekrar yazılabilir bioslara bulasırlar.
CIH (Cernobil) VİRÜSÜ
CIH (Cernobil), virüsü sadece Windows95 ve Windows98 altında çalısan, bulasıcı ve
çok yaygın bir bilgisayar virüsüdür.
CIH Dos, NT , OS/2 gibi isletim sistemlerinde çalısmaz.
CIH isimli Cernobil diye bilinen virüsün diger isimleri ise söyledir:
PE_CIH, CIHV, SPACEFILLER, WIN32.CIH, CHERNOBYL, TSHERNOBYL,
TSERNOBYL
a- CIH virüsünün tarihi:
Bu virüs Haziran 1998de Tayvan'da çok yaygın olarak bulundu. Virüsü yazan kisi,
yerel bir internet konferansında virüsü faydalı bir program diye gönderdi. Bir hafta içinde
virüs, Avusturya, Avustralya, _srail, _ngiltere'de bulundu. Ayrıca bir çok ülkede de tespit
edildi (_sviçre, _sveç, USA,Rusya, Sili).
b- CIH virüsü nasıl çalısır, bulasır?
CIH virüsü, sadece Windows95 ve Windows98 executable ( .EXE uzantılı)
dosyalarına bulasır. Virüslü bir .exe dosyası çalıstırılıp virüs hafızada aktif oldugu zaman
sistemde çalıstırılan diger WIN95/98 .exe dosyalarına bulasmaya çalısır. Virüs kesinlikle
DOS da aktif degildir, sadece windows da çalısabilir. Eger bilgisayarı DOS modunda
(Command Prompt Only - Sadece Komut _slemi) açarsanız virüs hafızaya yüklenmez. Eger
Windows’dan DOS'a çıkarsanız (Restart Computer in MSDOS mode) virüs hafızadan çıkar.
Virüslü bir .exe dosyası ya baska bir arkadasınızdan veya dısardan bir disketle,cd-romla veya
internetten çektiginiz veya emailinizde size gönderilen bir .exe dosyası varsa ve bu .exe
dosyasını çalıstırırsanız size bulasır.
Bunların dısında baska bir sekilde bulasmaz.
Virüsde bazı programlama hataları oldugu için bazı bilgisayarlarda virüslü dosya çalıstırıldıgı
zaman sistem kilitleniyor.
Virüs sadece ayın belli tarihlerinde aktif oluyor. Bu virüsün 3 tane farklı tipi vardır:
Uzunluk _çerdigi Yazı Aktif olma tarihleri Yaygın mı?
1003 CCIH 1.2 TTIT Nisan 26 Evet
1010 CCIH 1.3 TTIT Nisan 26 Hayır
1019 CCIH 1.4 TATUNG Her ayın 26sinda Evet
Yukarıdaki tabloyu açıklayalım:
Uzunluk: Virüsün kapladıgı yer. Çok ilginçtir, bu virüsün bu kadar yayılma
sebeplerinden birisi de virüsün bir dosyaya bulastıgı zaman dosyanın boyutlarını
arttırmamasıdır. Virüs, dosyalardaki kullanılmayan boslukları bulup kendisini parça parça bu
bosluklara kaydetmektedir. Bu sekilde insanların gözünden kaçabilmektedir. Bu virüs aynı
zamanda türünün ilk örnegidir.
_çerdigi Yazı: Virüsün bulastıgı dosyalara yazdıgı bir yazı.
Aktif olma tarihleri: Virüs bu tarihler haricinde bulasmak dısında hiçbir islem
yapmamaktadır. Bu tarihlerde ise sisteme hasar verecektir.
Yaygın mı: Bu virüsün diger ülkelerde de yaygın olup olmayan türleri. Çok ilginçtir bugüne
kadar bize ulasan virüslerin çogu 1.3 türü idi. Sanırız Türkiye’de daha çok 1.3 türündeki virüs
yaygın.
c- Virüsün verdigi zararlar nelerdir?
Virüs iki türlü hasar vermektedir:
a) Flash BIOS’LAR: Özelliklerde Pentium ve Pentium-II islemcilerin kullanıldıgı
anakartlarda bulunan Flash Bios özelligi bilgisayarınızın yeni çıkan islemcileri desteklemesi
ve BIOS’larda olabilecek (2000 yılı gibi) yazılım hatalarına karsı yenilemenizi saglar. Bir
program ile bu BIOSların en son versiyonlarını internetten çekip Flash Biosa yazabildiginiz
gibi bu virüs de Flash Biosa yazabiliyor. Flash Biosu anlamsız ise yaramayan datalarla
dolduran bu virüs bilgisayarın ilk açılmasını saglayan bu kritik yazılımı ise yaramaz hale
getiriyor ve bilgisayarınızda kapkara bir ekranla bas basa kalıyorsunuz.
b) Harddiskler: Virüs harddisklerin MBR (Partition) ve Boot diye bilinen iki bölgesindeki
bilgilerin üzerine yazmakta ve onları da ise yaramaz bilgilerle doldurmaktadır. Bu durumda
harddisk saglam olsa bile , harddiske sistemin erismesinde gerekli olan bu yerlerdeki yanlıs
datalar bilgisayarınızın harddiskteki dosyalara erismesini engellemektedir.
Özellikle direkt biosdan erisim sistemi kullanan bu virüs BIOSlardaki virüs
korumasını da asmaktadır.
Ayrıca virüs rasgele bir sekilde disketteki dosyalara hasar da verebilmektedir. Bunun
yanısıra, virüsün harddiskin ilk 1Mblık alanını sildigi ve FAT (Dosya Tablosu) yapısını
bozdugu da bilinmektedir. Bu durumda ise bilgileri kurtarmak imkansız denilebilir. Ancak
Norton Utilities programlarından Unformat ile Ontrack firmasının Tiramisu programları bir
umut ısıgı olabilir.
Norton Utilities internet sayfasına [Bu Adresi (link) Görme Yetkiniz Yok BEDAVA'ya Üye Ol Sitemizden Faydalan....] adresinden erisebilirsiniz.
Ontrack firmasının internet sayfasına [Bu Adresi (link) Görme Yetkiniz Yok BEDAVA'ya Üye Ol Sitemizden Faydalan....] adresinden erisebilirsiniz.
Virüs bu bahsedilen konular dısında hiç bir seye zarar vermez. Maalesef medyada
çıkan bazı haberler bizi bu konuda sizleri uyarma ihtiyacına yönlendirdi. Cdromların
epromlarının bozulması, SMS mesajları ile Cep telefonlarının bozulması gibi bir çok asılsız
haberlere lütfen inanmayınız.
Sadece size anlattıgımız gibi Flash bios ve harddiskdeki bilgilere zarar vermektedir.
d- Bu virüsden nasıl kurtulunur?
Bu konuyu iki sekilde ele alacagız.
a) Bilgisayarı hasar görmemis ama virüs olma ihtimali olanlar:
- Flash Bios:
Virüs tarafından flash biosu silinen kullanıcılara tavsiyemiz yeni bir anakart almadan
önce, flash bioslarını tamir ettirmeye çalısmalarıdır. Bu maliyeti yok denecek kadar az ama
bilgili eleman isteyen bir konudur.(Maalesef ülkemiz bilgisayar konusunda çok cahildir...)
Öncelikle Flash BIOS ufak bir programdır.
Eger elinizde daha önceden kaydetmis oldugunuz anakartınıza ait Flash Bios dosyası
varsa bu dosyadaki dataları bir eprom programlayıcısı olan bir elektronikçide bios çipinize
geri yükletebilirsiniz. Eger çipi siz söküp elektronikçiye götürecekseniz dikkatli olun.
Sökerken çipin bacakları hasar görebilir. Bu islem çok dikkatli yapılmalıdır. Bazı anakartların
Bios çipleri de sökülememektedir, bu durum daha ilerde ele alınacaktır.
Bu sitelerde BIOS update bölümünde gerekli talimatlarla birlikte en yeni Bios sürümlerini
bulabilirsiniz.
Eger baska bir tanıdıgınızda aynı bilgisayardan veya aynı anakarttan varsa onların
bilgisayarları saglam ise asagıdaki bios programları ile hem markasını ögrenebilir hem de
biosunu bir diskete kopyalayabilirsiniz.
Bu sekilde elinizde Biosunuzun bir kopyası olacak ve bunu bir elektronikçide bir
eprom programlayıcısı ile geri yükleyebileceksiniz. Bu islemi gerçeklestirmis arkadasları
tanıyorum kesinlikle mümkün ve basarılı sonuç veren bir islemdir.
Flash Biosun sökülemedigi eski anakartlarda ise durum biraz vahimdir.
Anlatacagım teknigin islerligi konusunda hiçbir garanti veremem , anlatacaklarım yukarda adı
geçen anakart sitelerinden alınmıstır. Ben hiç denemede bulunmadım bu yüzden ise yarayıp
yaramayacagını da bilemiyorum.
_htiyacınız olan :
1- ISA ekran kartı (Asusda optional demis yani gerekmeyebilir de ama emin degilim)
2- Çalısır durumda bir Floppy drive
3- _çinde sistem dosyaları , gerekli bios programları olan , flash biosunuz kopyasını da içeren
bir disket.
Config.sys koymayın, sistem dosyalarınız win95 sistem dosyalarından ziyade dos 6.22
olsun çünkü daha az hafıza kaplıyorlar. Gigabyte anakartların bios sayfalarında özellikle
windows95 sistem dosyalarını kullanmayın deniliyor. Gerekli programları ve sistem
disketinin bir kopyasını bu sayfada bulabilirsiniz. Tavsiyem autoexec.bat dosyasını öyle bir
ayarlayın ki kullanıcının hiç bir sey yapmasına gerek kalmadan , bootlayıp flash biosunuzu
otomatik geri yüklemesi...
Nasıl yapılacak?
1- Sistemdeki anakarta takılı butun kartları çıkarın sadece ISA ekran kartı kalsın.
2- Hazırladıgınız disketi (gerekli programları asagıdaki bölüme koyduk) floppy drive takın.
3- Sistemi power tusuna basın
4- Umarım ise yarar
5- Disketi çıkarmayı unutmayın.
Harddiskler:
CIH virüsü ile erisilmez durumdaki harddiskleri geri kazanmak için , diskeditor
denilen programlara ihtiyacınız var. Bu tür programlar, Norton Diskeditor, Winhex gibi
programlar kullanabilirsiniz.
En iyisi aynı harddiske sahip olan birinden partition ve bootları bir diskete kopyalayıp
kendi harddiskinize geri yüklemek.
Fakat dikkat etmeniz gereken önemli bir nokta, harddisklerin aynı formata ve
büyüklüklere sahip olmasıdır.
Örnegin , 6.4gb bir harddiskiniz var , bunu 2 partitiona ayırıp c ve d sürücüleri olarak
2 tane 3.2gb bir sekilde formatlarsanız ve gidip de sadece 6.4 gb olarak formatlanan bir
harddiske geri yüklerseniz, o zaman harddiski bilgisayara yanlıs tanıtmıs olursunuz ve
dosyalarınıza erisemezsiniz. Asagıda 2.1 gb ve 10.2 gblık quantum harddisk partition ve
bootlarını koyuyorum , dikkat bunların ikisi de sadece tek partitionlı harddiskler içindir, eger
harddiskinizi böldüyseniz bunları kullanmayın, bu harddisklerin FAT yapıları FAT32
biçimindedir, sakın FAT16 olan harddisklerde kullanmayın ve son olarak , olabilecek
hasarlardan dolayı biz sorumlu degiliz.
Eger bu yöntemler ise yaramaz ise, Norton Disk Doctor gibi programları tavsiye
ederim. Özellikle NDD / rebuild komutu harddiskte partition aratıp geri yükleyebilmektedir.
Dikkat edilmesi gereken bir nokta da, FAT32 denilen 2.1gbdan büyük harddisklerin tek parça
olarak formatlanmasını saglayan Microsoftun Windows95 OSR2 ve Windows98 de
destekledigi FAT sistemini Norton Utilities 2.0 For Windows ve üstü desteklemektedir.
(Norton Utilities For Windows ile dos programları da gelmektedir).
Ayrıca internette bir çok disk editör programlar bulunmaktadır, haksız rekabet gibi bir olay
olmasın diye Winhex isimli bir programın da ismini vereyim.
Biz hiç bir yazılım firması ile çalısmıyor, hiç bir sahsi çıkar iliskimiz de yoktur.
Tekrar ediyoruz, bu sayfada bilgiler ve programlardan dolayı olusacak hiçbir hasar
bizim sorumlulugumuzda degildir.
Umarım bu sayfadaki bilgiler isinize yaramıstır , bize virüsle ilgili merak ettiginiz
baska bir sey varsa email atarak sorabilirsiniz, genelde cevapları bu sayfaya ilave edecegiz.
e- Programlar:
1- Flash Bios programları: Bu programlar ile biosunuzu yedekleyebilir , yedeklerden geri
yükleyebilir veya yenileyebilirsiniz.
Asus Board Sayfasında bir çok FLASH BIOS programı var, hepsini
koyamayacagımdan size tavsiyem [Bu Adresi (link) Görme Yetkiniz Yok BEDAVA'ya Üye Ol Sitemizden Faydalan....] adresine gidip oradan gerekli dosyaları
almanızdır.
ctbios.zip - Bu programı çalıstırdıgınızda, bilgisayarınızın bios markasını ve internet
sayfalarını gösterir.
2- Harddisk programları:
system.zip - DOS 6.22 sistem disketi image dosyası, winimage gibi bir program ile bir
diske aktarın.
w98sys.zip - Windows 98 sistem disketi image dosyası, cd-romlarınızı da otomatik
olarak sisteme tanıtmaktadır.
q10.zip - Quantum Fireball 10.2Gb EL model harddisk partition ve boot image
dosyası, (FAT32 formatlı, tek partition, sakın baska türlü formatlanmıs harddisklere bunu geri
yüklemeyin).
3- Antivirus programları:
kill_cih.exe - Bu program windowsda aktif olan CIH virüsünün çalısmasını durdurur ,
hafızadan(memoryden) siler , ama harddiskten de temizlemeniz gerekir. Bu program sadece
virüsü durdurup antivirüs programlarının rahatça çalısmalarını saglar.
fp-307b.zip - F-prot antivirüsün en son dos versiyonu CIH dahil bir çok virüsü temizler,
üstelik bedava.
BABYLONİA VİRÜSÜ
Babylonia Windows’un hafızasına yerlesen bir kurt (worm) olup otomatik güncelleme
yetenegi vardır. Windows çalıstırılabilir dosyalarına ve yardım dosyalarına bulasır.
WSOCK32LL dosyasını degistirerek Internet’e baglanır ve kendinin yeni versiyonlarını
yükler.
Virüs sadece Win9x isletim sistemlerine bulasabilir. I-Worm.Happy/SKA worm,
WinHLPemo, Win95/CIH gibi virüslerin özelliklerini kullanır.
Bulasmıs bir dosyanın çalıstırılmasıyla virüs aktif hale geçer. Kendini bir sistem sürücüsü
olarak sisteme yerlestirir(VxD) . Disk erisim fonksiyonlarını kontrol eder. Diske yazılan ve
diskten okunan dosyaların sonuna kendi kodunu ekler. Bu dosyaların boyutları
büyüyebilecegi gibi virüsün kullandıgı özel bir yöntem nedeniyle aynı da kalabilir.
4 Kb uzunlugunda C:\BABYLONIA.EXE dosyasını olusturur. Bu dosya virüsün bazı
ek fonksiyonlarını içerir.
Windows yardım dosyalarına bulasarak her yardım dosyası çalıstırıldıgında virüs
kodunun çalıstırılmasına neden olur.
FUNLOVE VİRÜSÜ
FunLove hafızada yerlesebilen Win32 virüsüdür. Kasım 1999'da ABD, _ngiltere ve
Çek Cumhuriyeti gibi ülkelserde yaygın olarak görünmüstür.
Funlove sifreli veya polimorfik bir virüs degildir. Virüs yerel ve ag sürücüsündeki PE
EXE (Windows çalıstırılabilir) dosyalara bulasır.
Virüs, bulasmıs bir dosya çalıstırıldıgındawindows SYSTEM klasöründe FLCSS.EXE
dosyası olusturur, kodunu oraya yazar ve olusturulan dosyayı çalıstırır. Bu dosya virüs
damlatıcısı olur- virüs tarafından gizli bir Windows dosyası (Windows 9x altında) veya
servisi(Windows NT altında) olarak baslatılır.
FLCSS.EXE dosyası olusturulurken hata olusursa damlatıcı dosya virüsü kendi
bulastırma fonksiyonunu kullanarak bulasmıs konukçu dosyadan yayar ve virüs yayan
fonksiyon arka planda ayrı bir "thread" olarak çalıstıgından programın çalısmasında gözle
görünür bir gecikme yasanmaz.
Bulasma fonksiyonu C:'den Z:'ye kadar olan bütün yerel sürücüleri taradıktan sonra ag
kaynaklarını da tarar ve çalıstırılabilir PE dosyalara ( .OCX, .SCR, veya .EXE uzantılı )
bulasır. Virüs kodunu dosyanın en sonuna yazar. Dosyanın basına da 8 baytlık bir kod
ekleyerek program basladıgında virüs kodunun çalıstırılmasına neden olur. Bundan sonra
programın ana kodunun çalıstırılmasına geçilir.
Virüs, agdaki bilgisayarlardan sadece mevcut bulasmıs bilgisayarın yazma hakkı
olanlara bulasabilir. Bu virüsün yayılmasını önemli ölçüde azaltır.
Virüs, bulasacagı dosyaları kontrol ederek adının ilk 4 harfi asagıdakilerden biri olanlara
bulasmaz:
ALER AMON _AVP AVP3 AVPM F-PR NAVW SCAN SMSS DDHE DPLA
MPLA
Virüs ayrıca NTLDR ve WINNT\System32\ntoskrnl.exe dosyalarını Bolzano
virüsünün degistirdigi sekilde degistirir. Bu dosyalar artık kullanılamaz hale gelir ve yedekten
geri yüklenmeleri gerekir.
Virüs sadece asagıdaki metni içerir:
~Fun Loving Criminal~
Bu metin DOS'un 'This program cannot be run in DOS mode.' metninin kayıtlı oldugu
yerdedir. Program DOS ortamında çalıstırılmaya çalıstıgınızda bu kısa mesajını verir ve
sistemi yeniden baslatır.
MY PİCS VİRÜSÜ
MyPics kurt(worm)u bir Visual Basic uygulaması olup bir eposta eki olarak gelir.
‘'Here's some pictures for you!’ (Sizin için birkaç resim!) mesajını içeren epostanın konusu
yoktur. Virüs kendini sistemde C:\ Pics4You.EXE olarak kurar ve Windows kaydını
degistirerek windows her açıldıgında bu virüsün çalısmasına neden olur. MSVBVM50LL
dosyasına ihtiyaç duyar. Eger bu dosya sisteminizde yoksa virüs yayılamaz. Virüs
aktiflestiginde kendini 50 kullanıcıya bir defada gönderebilmektedir. Eposta adresleri ise
Outlook Adres Defterinden seçilmektedir.
Virüsün tehlikeli bir yapısı vardır. 1 Ocak 2000 tarihinde virüs aktiflesip CBIOS.COM
programını çalıstırarak CMOS’taki bilgileri yok eder. Ayrıca AUTOEXEC.BAT dosyasını
degistirerek sabit sürücülerden C: ve D:’yi sistemin sonraki açılısında biçimlendirir. (format)
PRI VİRÜSÜ
W97M/Pri polimorfik Word 97 makro virüsüdür.
Bulasmıs bir belge açıldıgında aktiflesir. Genel sablonun virüse bulasıp bulasmadıgını
kontrol eder eger bulasmamıssa kendini degistirerek bu dosyaya kopyalar.
Virüs genel sablona bulasmıssa diger dokümanlar kapanırken onlara da bulasır. Ayrıca
"Tools/Macros/Visual Basic Editor" mönüsü kullanılamaz hale getirilir.
Virüs zamanı kontrolü eder ve eger saat ve dakika birbirine esitse degisik renklerde on
geometrik sekil mevcut dokümana eklenir.
TÜREVİ: Pri.B
Bu türevi W97M/Pri.A ile birbirine çok benzer ancak birkaç küçük fark vardır.
Bu türevi "Tools/Macros/Visual Basic Editor" mönüsüne küçük bir kod ekleyerek
Word'den çıkısta dokümanların kaydedilmemesine neden olur.
Virüs ayrıca on geometrik sekil yerine herhangi bir sayıda geometrik sekil
olusturabilir.
TÜREVİ: Pri.Q
TAKMA ADI: Prilissa, Melissa.W, Melissa.AG, W97M.Antisocial.G
Bu türevi W97M/Melissa virüsünden çalınmıs toplu email atma özelligini ve zararlı
kodları da içerir.
Kod 25 Aralıkta aktiflesir. Kod "C:\Autoexec.bat" dosyasını degistirerek sonraki
sistem baslangıcında "C:" sürücüsünün formatlanmasına neden olur. Buna ragmen virüs
Windows NT'de çalısmaz. "Autoexec.bat" ayrıca asagıdaki mesajı içerir:
Vine...Vide...Vice...Moslem Power Never End...
Your Computer Have Just Been Terminated By -= CyberNET =- Virus !!!
VirüsAutoexec.bat dosyasını degistirdiginde asagıdaki mesajı verir:
Vine...Vide...Vice...Moslem Power Never End...
You Dare Rise Against Me...The Human Era is Over,
The CyberNET Era Has Come !!!
Virüs o anki dokümana degisik renk ve sayıda geometrik sekiller ekler.
Virüs daha sonra her adres defterindeki ilk 50 alıcıya kendini postalar. Mesaj asagıdaki
gibidir:
Subject: Message From (Kullanıcı adı)
Body: This document is very Important
and you've GOT to read this !!!
Mesajda _ngilizce olarak " Bu doküman çok önemli ve okumak zorundasınız" denmektedir.
Burada "Kullanıcı Adı" virüs bulasmıs kurbanın adı ile degistirilir. Mesaj ayrıca
virüsün bir kopyasını yollamıstır.
Virüs ayrıca email gönderme isinin sona erdigini anlamak için windows kaydını
asagıdaki gibi degistirir:
HKEY_CURRENT_USER\Software\Microsoft\Office\CyberN ET degeri yerine su
deger yazılır:
(C)2000 - Indonesia by AnomOke!
Virüs kendini postaladıktan sonra bir doküman açıldıgında veya kapandıgında virüs
çogalmaya devam eder.
Virüs, gömülü virüs koruma sistemini devre dısı bırakır ve Dosya menüsündeki son
açılan dosyaları saklar. Ayrıca "Tools/Macros/Macro" ve "Tools/Macros/Visual Basic Editor"
mönülerini kullanılamaz hale getirir.
SUPPL VİRÜSÜ
W97M/Suppl, 17 Eylül 1999'da birçok haber grubuna postalanmıs bir mail kurtudur.
Kendini Suppl.doc adlı bir dosya eki ile e-mail kurdu olarak yayar. Suppl zararlı bir yapıya
sahiptir.
TÜREV_: Suppl.A _lisikteki Word 97 belgesi açıldıgında makro kodu çalıstırılır. Aktif
belgeyi
Windows klasörüne "Anthrax.ini" olarak kopyalar. Daha sonra "Suppl.doc" belgesinin
sonuna ekli olan "Wsock32.dll" dosyasının bulasmıs bir versiyonunu açar. Sistem tekrar
baslatılmadan önce Windows klasöründe görünen üç dosya olusturulmustur:
"DLL.lzh", "DLL.tmp" ve "wininit.ini".
Sistem tekrar basladıktan sonra "DLL.tmp", "Wsock32.dll" ile, orijinal "Wsock32.dll"
dosyası "Wsock33.dll" ile degistirilir. "DLL.lzh" (sıkıstırılmıs ".dll") ve "wininit.ini"
dosyaları silinir.
Daha sonra Suppl kendini virüs bulasmıs kullanıcı makinesinden gönderilen her
SMTP email mesajının sonuna "Suppl.doc" olarak ekler. Suppl bir hafta aktif kaldıktan sonra
bütün yerel ve uzak sürücülerde yer alan asagıdaki uzantılara sahip dosyaları siler:
DOC,XLS,TXT,RTF,DBF,ZIP,ARJ,RAR
THUS VİRÜSÜ
W97M/Thus çok tehlikeli bir Word 97 makro virüsüdür.
TÜREV_: Thus.A
Bulasmıs bir dosya açıldıgında W97M/Thus.A virüsü evrensel sablona ve o an açık
olan bütün Word belgelerine bulasır. Bundan sonra her olusturulan,açılan veya kapanan
belgeye bulasır.
Virüs, daha önce bulastıgı belgeleri "Thus_001" isaretini arayarak belirler. Bu nedenle
virüs "Thus" diye adlandırılmıstır. Ayrıca "Thursday" takma adıyla da bilinmektedir. Virüs,
etkisini 13 Aralıkta "C:" dizinindeki bütün dosyaları silerek gösterir. 6000'den fazla
bilgisayara kısa sürede yayılan bu virüs özellikle ABD, _ngiltere, Fransa ve Almanya daki
finans sektörünün bilgisayarlarına bulastı. Böylece tehlikeli virüsler sınıfına girdi.
MELİSSA VİRÜSÜ
Bilinen diger isimleri: Simpsons, Kwyjibo, Kwejeebo, Mailissa
Varlıgı ilk olarak 26 Mart 1999 günü fark edilen bu bilgisayar virüsü, fark edildigi
andan sadece bir kaç saat sonrasında 100.000 bilgisayara bulasmıstır. Bu, daha önceki tüm
virüslerden çok daha hızlı bir yayılma hızıdır.
Melissa virüsü kendisini bir kullanıcıdan bir diger kullanıcının e-mail hesabına
kopyalayarak yayılmaktadır. Virüs etkisini, kullanıcının dokümanlarına “Simpsonslar” isimli
TV dizisinden sözler ekleyerek ve daha da kötüsü kullanıcı farkında olmadan önemli
dokümanlarını e-mail yoluyla baskalarına göndererek göstermektedir.
Virüsün fark edildigi 26 Mart günü A.B çapında hızla yayılarak Microsoft ve
Intel’in de içinde bulundugu bir çok sirketin mail sistemlerine girmistir. Microsoft firması,
virüsün sirket içerisinde daha fazla yayılmasını önleyebilmek için tüm mail sistemini
kapatmak zorunda kalmıstır.
E-mail’le kendisini yayma yöntemini kullanan virüsler arasında bugüne kadar en
büyük basarıya ulasan virüstür.
W97M/Melissa virüsünü içeren ilk e-mail bir haber öbegine
gönderildiginde iletiyi alan kullanıcıların, içinde bulunan dokümanı (LISTOC) Microsoft
Word ile açmasıyla, içinde bulunan macro çalısır ve her kullanıcının adres defterinde bulunan
50 kullanıcıya kendisini postalar. Böylece Melissa’nın süratli yolculugu baslamıs olur.
Virüsü içeren e-mail su sekilde iletilmektedir:
From: (virüsün bulastıgı kisi)
Subject: Important Message From (virüsün bulastıgı kisi)
To: (virüsün bulastıgı kisinin adres defterinden 50 kisinin ismi)
Here is that document you asked for ... don't show anyone else
Attachment: LISTOC
Dikkat edilmesi gereken bir nokta, e-mail içine ilistirilmis dokümanın ille de
“LISTOC” olması gerekmez.
Çogu Internet kullanıcısı tanıdıgı kisilerden gelen e-mail’lerin ekindeki dosyaları
açma egilimindedirler. Melissa virüsünün basarısı da bu egiliminden kaynaklanmaktadır.
Kendini 50 kullanıcıya gönderdikten sonra virüs, bulastıgı makinada bulunan diger
dokümanlara da bulasmaya devam eder. Bu dokümanlar da çalıstırıldıklarında macro etkin
olacagından kullanıcının önemli dokümanlarının da dısarıya gönderilmesi gibi bir tehlike de
söz konusudur.
W97M/Melissa virüsü, Microsoft Word 97, Microsoft Word 2000 ve Microsoft
Outlook 97 veya 98 e-mail istemcileri ile çalısır. Virüsün size bulasması için ille de Outlook
kullanıyor olmanız gerekmez, fakat virüs sizin bilgisayarınızdan dısarıya kendisini daha fazla
yaymak için Outlook istemcisine ihtiyaç duyar.
Melissa virüsü, Word 95 ve Outlook Express programlarını kullanarak bulasamaz.
Melissa’nın etkileyebildigi isletim sistemleri Windows 95, 98, NT ve Macintosh
OS’tur.
Bilgisayarınızda Outlook yoksa ya da Internet baglantınız yoksa bile virüs kendisini
makinadaki diger dokümanlara bulasarak yayılmasını yerel olarak devam ettirecektir.
Office programının kullandıgı “Normal.dot” isimli sablonun Melissa ve diger macro
virüslerinden etkilenmesini engellemek için Microsoft’un ürettigi ücretsiz koruma
programını: adresinden
edinebilirsiniz.
Macro virüslerinden sakınmanın bir yolu da, Microsoft Word ve Microsoft Excel
programlarında macro virüs korumasını açık tutmaktır. Bu koruma macro içeren dökümanları
açarken asagıdaki sekilde bir diyalog kutusu çıkarır. Eger içerisinde ne oldugunu bilmediginiz
dökümanları açarken bu diyalo kutusu ile karsılasırsanız, "Do not open" seçerek macronun
çalısmasını ve virüsün etkin hale gelmesini önleyebilirsiniz.
İZMARİT VİRÜSÜ
Bugünlerde internette hangi sieye girseniz virüs kapıyorsunuz. Ama antivirüs
yazılımları sirketi Symantec'in açıklamalarına göre Babylonia adı verilen virüs, daha
öncekilere hiç benzemiyor. Çünkü Babylonia'nın en büyük özeligi, bir bilgisayara "izmarit"
adı verilen kısmı girdikten sonra "evini" arıyor ve geri kalan parçaları bilgisayara yüklüyor.
"izmarit", 2000 yılı probelemini gidermek için kullanılan bir tamirat programı olarak
gözüküyor. Bilgisayara sinsice giren "izmarit", internete baglanılınca kendiliginden -evi olan -
Japonya'daki bir siteyi arayıp, kardeslerini yanına çagırıyor.
Su ana kadar bu virüsün bulastıgı bildirilen bilgisayarların sayısı oldukça az. Bunun da
sebebi, exlore.zip gibi e-posta yoluyla bulasmaması. Bu virüsün dosyaları silmeye ya da
kopyalamaya kalkısmadıgı açıklandı. Ama virüsün tüm özellikleri henüz tespit edilemedi.
Virüs, özellikle IRC odalarında kurbanlarına ulasıyor.
KRİZ VİRÜSÜ
Kriz, bilgisayarın bellegine yerlesen çok safhalı bir virüstür. Win32 sistemleri altında
çogalır ve .EXE ve .SCR uzantılı PE EXE dosyalarına (tasınabilir çalıstırılabilirler) bulasır.
Ayrıca KERNEL32LL (Virüsün daima bellekte yerlesik kalmasını saglayan Windows
çekirdek kütüphanesi.) dosyasına da bulasır.
Virüs bir dosyaya bulasacagı zaman dosyanın sonunda yeni bir bölüm açar ve kodunu
sifreleyip oraya yazar.
Bulasmıs bir dosyayı belirlemek için virüs PE dosyasının baslıgında ayrı bir bölgeye
yazılmıs ‘666’ dizinini kullanır. Bulasmadan önce, virüs, dosya isimlerini kontrol ederek
asagıdaki isimli dosyalara bulasmaz:
AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE,
AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE,
NAVRUNR.EXE, NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE,
NSPLUGIN.EXE, SCAN.EXE, SMSS.EXE
KERNEL32LL’e bulasırken kendi Export Table’ını (export edilen fonksiyon listesi) yamar
ve birçok fonksiyonun adreslerini degistirerek bir sonraki Windows baslangıcında bu
fonksiyonlara erisimi kontrol altına alır.
Böylelikle virüs dosya erisimlerini takip eder ve bu fonksiyonların çagrıları yoluyla
ulasılan dosyalara bulasma imkanı bulur.
Virüs 16 KERNEL32 fonksiyonunu izleyebilir: dosya açma, kopyalama, silme, dosya
özelliklerini sorgulama ve degistirme, yeni bir islem olusturma ve digerleri...
KERNEL32LL kütüphanesine bulasmak için (bu kütüphaneye Windows açıkken
salt-okunur modda ulasılabilir) virüs dosyayı geçici bir isimde kopyalar (bu versiyonu
KRIZED.TT6 olarak \Windows\System\ klasörüne kopyalar) ve bulasır. Sonra wininit.ini
dosyası olusturarak Windows'un bir sonraki baslangıçta KERNEL32LL dosyasını bulasmıs
kopyasıyla degistirmesine neden olur.
Virüs 25 Aralıkta aktiflesen tehlikeli bir yapıya sahiptir. Herhangi bir dosyaya
bulasırken CMOS bellegini öldürür ve sabit disklerdeki bütün dosyaların üzerine yazar. Daha
sonra Flash BIOS’u CIH’ın (Diger adıyla Chernobyl ) kullandıgı yöntemle hasara ugratır.
Virüs bir çok metin yazısı içerir, ekrana hiç getirilmeyen bir siir de bunlara dahil.
ETHAN FROME VİRÜSÜ
* Nedir? Word 97 dökümanlarına ve W97'nin "Normal. dot" dosyasına bulasır.
"Document_Close" isimli tek bir makrodan olusur. Virüslü dosyanın "ThisDocument"
modülündedir. Diger _simleri?
* Nasıl Bulasıyor? Root dizinde ETHAN. ___ isimli bir dosya yaratır. Dosya gizli (hidden)
modda yaratılır. Eger "Class. sys" dosyası varsa siler. Kısacası CLASS virüsüne oldukça
benzer ve eger o varsa çalısmasını engeller.
* Etkileri Neler? Virüs rastgele bir kontur çalıstırır ve belirledigi zaman, bulastıgı dosyanın
adını "Ethan Frome", yazarını da "EW/LN/CB" olarak degistirir.
* Ne Zaman Ortaya Çıktı? Ocak 1999'da çıktı.
HAPPY99 VİRÜSÜ
Nedir? Win32 tabanlı bir Truva'dır. Çalıstırıldıgı zaman küçük sayılabilecek bir ekran
içerisinde havai fisek efekti gösterir. Tarz olarak Netbus ve BO'ya benzese de amacı onlardan
farklıdır.
Diger _simleri? win32. ska. a, ska, wsock32. ska ve ska. exe.
Nasıl Bulasıyor? Happy99 isimli (baska bir isim altında da olabilir) programı çalıstırdıgınız
an aktif olur ve "SKA. EXE" ve "SKA. DLL" isimli iki dosya yaratır. Orjinal WSOCK32.
DLL dosyanızı WSOCK32. SKA adı altında kaydeder ve gerçek WSOCK32. DLL yerine
modife edilmis dosyayı geçirir. Eger o an Wsock32. dll kullanılıyorsa bu degisiklikleri
yapamaz; ama Windows Registry'sine girerek bilgisayar ilk boot edilkten sonra bunların
yapılmasını saglar. Uzunulupu 10. 000 byte'dır.
Etkileri Neler? Happy99 aktif olduktan sonra kullanıcının e-mail ve newsgroup islemlerini
izleyerek onlara SKA. EXE dosyasının bir kopyasını HAPPY99 adı altında gönderir. Her bir
adrese sadece bir kere gönderir. Atılan ilk mail'in subject'ini kullanarak ayrı bir mail atar, yani
kullanıcının attıgı mail'le göndermez Happy99'u. LISTE. SKA adlı dosyada kimlere atıldıgı
tutulur. Herhangi bir zararı yoktur, sadece yayılır.
cok tesekkurler vırus konusu cok kapsamlı ve ayrıntılı bır konudur
guzel anlatılmıs tebrıkler
__________________
BIRAZ BURUK BIR DUYGU YUKLENIRSE YUREGINE, GOZLERIN ZAMAN ZAMAN TAKILIRSA UZAKLARA, KULAKLARIN ZAMANSIZ DELI GIBI CINLARSA, BILKI BIRYERLERDE OZLENMISSINDIR
Bilgisayar Virüsleri (Güzel Konu)
Normal
