Bir virüsün ne olduğunu, nasıl yayıldığını ve farklı varyasyonları anlamak, virüs tehditlerine karşı savunma yapabilmek için önemli bir adımdır. Kurumunuz için bir virüs tarayıcı satın almakla ilgili akıllıca kararlar vermek için bir virüs tarayıcısının nasıl çalıştığını da anlamanız gerekir.
Virüs Nedir?
Çoğu insan bilgisayar virüslerine aşinadır, ancak ne olduğunun açık bir tanımına sahip olmayabilir. Bilgisayar virüsü kendi kendini kopyalayan bir programdır. Yani bilgisayarınızda kullanmış olduğunuz hesap makinesi, paint gibi yazılımlarla aynı şekilde üretilir. Farkı ise fayda sağlamak yerine zarar vermekle başlar. Bir virüsün dosyaları silmek veya sistem ayarlarını değiştirmek gibi başka olumsuz işlevleri de olacaktır. Bununla birlikte, bir virüs tanımlayan en önemli anlatım, “kendini çoğaltma ve hızlı yayılma” aktiviteleridir. Genellikle bu büyüme, kendi başına, enfekte olmuş bir ağ için büyük bir sorun olabilir. Aşırı ağ trafiğine yol açarak kurum ağının düzgün çalışmasını engelleyebilir.
Solucan (Worm) Nedir?
Worm adını verdiğimiz solucan, özel bir virüs türüdür. Bazı metinler solucanları ve virüsleri ayırt etmek için büyük çaba gösterirken, bazı kaynaklar solucanı bir virüsün alt kümesi olarak ele alır. Solucan adını verdiğimiz Wormlar insan müdahalesi olmadan yayılabilen bir virüs türüdür. Başka bir deyişle, bir virüs bir makineye bulaşmak için bir insan eylemi gerektirir (bir dosyayı indirmek, bir e-posta eki açmak gibi). Ancak bir solucan bu etkileşim olmadan kendi başına da bilgisayarlara yayılabilir. Son yıllarda, solucan yayılılımları, virüsten daha yaygın hale gelmiştir. Bugün “virüs” olarak adlandırılanların çoğu aslında bir Worm türü olduğunu görmekteyiz.
Virüs Nasıl Yayılır?
Virüslerle savaşmanın en iyi yolu yayılmalarını sınırlamaktır. Bu yüzden nasıl yayıldıklarını anlamanız çok çok önemlidir. Bir virüs genellikle iki farklı yöntemle yayılır. En yaygın ve en basit yöntem, e-posta adres defterinizi okumak ve adres defterinizdeki herkese e-posta göndermektir. İkinci yöntem ise, bilgisayarınızın bağlı olduğu bir ağdaa bağlantıları taramak ve daha sonra kendini, erişebildiğiniz diğer makinelere kopyalamaktır. Bu aslında bir virüsün yayılmasının en etkili yoludur. Ancak diğer yönteme göre daha fazla programlama becerisi gerektirir. Günümüz dünyasında virüs yayılmalarını engellemek için enfekte olan bilgisayarlar ağdan yalıtılmaktadır.
Birinci yöntem, virüs yayılımı için açık ara en yaygın yöntemdir. Microsoft Outlook, bu tür virüs saldırılarıyla en sık kullanılan tek e-posta programıdır. Bunun nedeni, Outlook’un yaygın olarak kullanılmasıdır. Yani bir güvenlik açığı olması değildir.
Bir virüsün yayılabilmesinin diğer yolu, etkilenen sistemin bağlı olduğu ağı taramak ve tespit edilen / erişilen cihazlara kopyalamaktır. Bu tür kendiliğinden yayılma kullanıcı etkileşimi gerektirmez. Bu nedenle bir sistemi enfekte etmek için bu yöntemi kullanan program bir solucan olarak sınıflandırılır.
Bir virüsün karşınıza çıkma şekli ne olursa olsun, sisteminize girdikten sonra yayılmaya çalışacak ve birçok durumda sisteminize zarar vermeye odaklanacaktır. Bir virüs sisteminize girdikten sonra, herhangi bir yasal programın yapabileceği her şeyi yapabilir. Virüsün dosyaları silebileceği, sistem ayarlarını değiştirebileceği veya başka zararlara neden olabileceği anlamına gelir. Virüs saldırıları tehdidi abartılamaz. Bazı yeni virüs yayılmaları, virüsten koruma tarayıcıları ve güvenlik duvarları gibi mevcut güvenlik yazılımlarını devre dışı bırakacak kadar ileri teknolojiler de kullanmaktadır.
Rombertik
Rombertik 2015 yılında kaosa neden olan bir virüstü. Internet Explorer, Firefox ve Chrome kullanan kişileri hedefleyerek gizli bilgileri çalmak için tasarlanmış bir casus yazılımdır. İlk olarak Cisco Talos Güvenlik ve İstihbarat Grubu araştırmacıları tarafından duyurulmuştu.
Bu kötü amaçlı yazılım, web sitelerinin kullanıcı kimlik bilgilerini okumak için tarayıcıyı kullanmaktaydı. Bir e-postaya ek olarak kendini kopyalamakta ve göndermekteydi. Belki daha da kötüsü, bazı durumlarda Rombertik sabit sürücüdeki ana önyükleme kaydının üzerine kendini yazmakta ve makineyi önyükleme yaptırmıyor, kullanıcının ana dizinindeki dosyaları şifrelemeye başlıyordu.
Shamoon
Shamoon, 2012 yılında enerji sektöründe Microsoft Windows çalıştıran bilgisayarları hedeflemek için tasarlanmış bir bilgisayar virüsüdür. W32.DistTrack olarak da bilinen Shamoon, Symantec, Kaspersky Lab ve Seculert tarafından 16 Ağustos 2012’de keşfedilmiştir.
Microsoft Windows’un son 32-bit NT çekirdek sürümlerini hedefleyen modüler bir bilgisayar virüsüdür. Aslında enerji şirketlerindeki sistemleri hedefleyen bir veri çalma programıydı. Diğer bir Shamoon çeşidi ise 2017’de tekrar ortaya çıktı. Gameover Zeus, Mirai, Linux Encoder 1, Cat RAT ve daha pek çok virüs, solucan ve kötü amaçlı yazılımın da olduğunu hatırlatmak isteriz.
Fidye Zararlıları
Birçok kişi fidye zararlılarını ilk kez 2103’te CrytpoLocker’ın ortaya çıkmasıyla tartışmaya başlarken, fidye zararlısı bundan çok daha uzun zaman önce keşfedilmişti. Bilinen ilk fidye yazılımı, yalnızca zayıf simetrik şifreli dosya adlarını şifreleyen 1989 PC Cyborg Trojan‘dı.
En önemlisi ise 2017’nin başında, WannaCry fidye zararlısıydı. İngiltere’deki sağlık sistemlerine büyük zararlar verdi. Bad Rabbit bilgisayar virüsü 2017’nin sonlarına yayıldı. Bu virüs de bir fidye zararlısıydı. Rusya ve Ukrayna’da ortaya çıktı ardından tüm dünyaya hızla yayıldı.
Virüs Türleri Nelerdir?
Birçok virüs türü vardır. Bir virüs ya yayılma yöntemiyle ya da hedef bilgisayardaki faaliyetleriyle sınıflandırılabilir.
Makro Virüsü: Microsoft Office dahil olmak üzere birçok ofis ürünü, kullanıcıların makro adı verilen mini programlar yazmasına izin verir. Bu makrolar virüs olarak da yazılabilir. Makro virüsler, burada ortaya çıktı ve ofis belgelerindeki makrolara bulaşıyordu.
Microsoft Outlook, bir programcının Visual Basic for Applications (VBA) adlı Visual Basic programlama dilinin bir alt kümesini kullanarak komut dosyaları yazabileceği şekilde tasarlanmıştır. Bu komut dosyası dili aslında tüm Microsoft Office ürünlerinde yerleşik olarak bulunur. Programcılar ayrıca yakından ilişkili VBScript dilini de kullanabilirler. Her iki dili de öğrenmek oldukça kolaydır. Bir komut dosyası bir e-postaya eklenmişse ve alıcı Outlook kullanıyorsa, komut dosyası bu sayede çalıştırılabilir. Bu yürütme, adres defterinin taranması, adreslerin aranması, e-posta gönderilmesi, e-postanın silinmesi ve daha fazlası dahil olmak üzere çok sayıda işlem yapmasına izin vermektedir. Birçok kurumda makro virüslerine karşı güvenlik önlemi vardır ve günümüzde office programları makroları varsayılan olarak devre dışı bırakır.
Boot Sektörü Virüsü: Adından da anlaşılacağı gibi, bir önyükleme sektörü virüsü, işletim sistemi yerine sürücünün önyükleme sektörüne bulaşır. Çoğu antivirüs yazılımı işletim sisteminde çalıştığından bu alanı tespit etmekte zorlanır veya ortadan kaldırılmasını zorlaştırır.
Çok bölümlü Virüsler: Çok bölümlü virüsler bilgisayara çeşitli şekillerde saldırır. Örneğin, sabit diskin önyükleme sektörüne veya daha fazla dosyaya bulaşabilme potansiyeline sahiptir.
Bellekte Yerleşik Virüsler: Bellekte yerleşik virüs kendini kurar ve bilgisayarın önyüklenmesinden kapatıldığı zamana kadar kendini RAM’de saklar. RAM’de elektrik olduğu sürece de silinmez. Diske format atsanız dahi, RAM üzerinden kendini tekrar tekrar kopyalayabilir.
Zırhlı Virüsler: Zırhlı bir virüs analiz edilmesini zorlaştıran teknikler kullanır. Kod karışıklığı böyle bir yöntemdir. Kod, virüs incelenmelerine karşı karmaşık şekilde yazılır. Sıkıştırılmış kod, virüsü korumak için başka bir yöntemdir. Amaç analiz yapılmasını zorlaştırmak ve engellemektir.
Gizli Virüsler: Birkaç tür gizli virüs vardır. Gizli bir virüs kendini virüsten koruma uygulamalarına karşı gizlemeye çalışır. Bu sayede kullandığı tekniklerle gizlenerek yayılırlar.
Seyrek Bulaşıcı Virüsler: Seyrek bulaşıcı bir virüs, kötü amaçlı faaliyetlerini yalnızca ara sıra gerçekleştirerek algılamadan kaçmaya çalışır. Özellikle de gelişmiş antivirüs uygulamalarına yakalanmamak için kullanılan tekniklerden biridir. Seyrek aktivitelerle kullanıcı kısa bir süre semptomları görecek, daha sonra bir süre hiçbir semptom görmeyecektir. Bazı durumlarda seyrek bulaşıcı belirli bir programı hedefler, ancak virüs yalnızca hedef programın yürüttüğü belirlenen limitlerle yürütülür. Hatta aktivitesini keserek uykuda bekleme özellikleri de vardır.
Şifreli Virüsler: Bazen bir virüs, zayıf bir şifrelemeyle bile, bir antivirüs programının tanımasını önleyecek kadar kendini şifreleyebilir. Sonra bir saldırı başlatma zamanı geldiğinde virüsün şifresi çözülür ve aktivitesine devam eder.
Polimorfik Virüsler: Bir polimorfik virüs, virüsten koruma yazılımı tarafından algılanmamak için biçimini zaman zaman değiştirir. Bunun daha gelişmiş bir şekline metamorfik virüs denir; kendini tamamen değiştirebilir.