ODTÜ-BİDB 1964 ODTÜ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI Bilişim Teknolojileri Güvenliği Ekibi Kullanıcı Destek Grubu VİRÜSLER

İçindekiler: Virüs tanımı Tarihe ve günümüze genel bir bakış ODTÜ-BİDB 1964 Virüs tanımı Tarihe ve günümüze genel bir bakış Bulaşma şekilleri ve etkileri Internet solucanı (worm) ve truva atı (trojan) Virüs çeşitleri Windows Registry’de değişiklik yaptıkları yerler Virüslerden korunma Antivirüs programları

Virüs Nedir? ODTÜ-BİDB 1964 Bilgisayarınızın, sizin isteğiniz ve bilginiz dışında zararlı bir işlem yapmasını sağlayan program parçacığıdır.

Biraz Tarihçe ODTÜ-BİDB 1964 İlk virüs, bir firmanın yaptığı programın disketle çoğaltılması sırasında telif haklarının değiştirilmesini sağlıyordu. (1986 - Brain) 1998 Chernobyl (CIH) 1999 Melissa 2000 Navidad 2001 Nimda/Sircam/CodeRed

Günümüzde Virüsler 70.000 tane virüs var (Ocak 2002). ODTÜ-BİDB 1964 70.000 tane virüs var (Ocak 2002). Çeşitler arasında en büyük oran macro (26.1%) ve truva atı (trojan - 26.1% ) virüslerinde. En çok bulaşma oranı sistem tarafından çalıştırılabilir virüslerde (79%). Her ay bulunan virüs sayısı sürekli artıyor.

Tehlikeli Virüsler Üretilen her virüs tehlikeli olamaz ODTÜ-BİDB 1964 Üretilen her virüs tehlikeli olamaz Wild list : http://www.wildlist.org Virüsle ilgili en az iki rapor gelene kadar Wildlist’e alınmaz Tek raporda gözlem listesine alınır.

Virüslerin Bulaşma Yöntemleri: ODTÜ-BİDB 1964 Disket, CD E-posta Ağ paylaşımı Internet’ten indirilen programlar yoluyla

Virüslerin Etkileri: Gereksiz mesajlar görüntüleyebilir (W97M/Jerk) ODTÜ-BİDB 1964 Gereksiz mesajlar görüntüleyebilir (W97M/Jerk) İşletim sistemi zarar görebilir Diskte kayıtlı bilgiler silinebilir (Navidad) Diskteki bilgiye erişim engellenebilir Flash – BIOS silinebilir (CIH) Kontrol dışı e-posta gönderebilir (Sircam) Gereksiz ağ trafiği yaratabilir (Nimda)

E-posta ile Bulaşmaları ODTÜ-BİDB 1964 Eklentileri sayesinde e-posta ile virüs bulaşır: Eklentideki dosyayı çalıştırarak Dosya kendi kendine e-posta görüntüleyici tarafından çalıştırılabilir (Outlook / Outlook Express – Bubbleboy)

WWW’den Bulaşmaları ODTÜ-BİDB 1964 Internet’ten indirilen virüslü bir program aracılığı ile bulaşabilir. Ziyaret edilen www sitesinin görüntülenmesi ile de bulaşabilir; JS/CoolSite-A  ActiveX JS/Coolnow-A  Java Script

Internet Solucanları (Worm) ODTÜ-BİDB 1964 Diğer yolların yanında işletim sistemlerinin ve çalışan servislerin güvenlik açıklarını kullanarak “kendiliğinden” bulaşan program parçacığıdır. ( CodeRed, Nimda)

Sonuçları: Web sunucu program zarar görebilir ODTÜ-BİDB 1964 Web sunucu program zarar görebilir Diskte kayıtlı bilgiler silinebilir Web sayfası içeriğini değiştirebilir Gereksiz ağ trafiği yaratabilir e-mail, tftp, port tarama Backdoor / Trojan yerleştirebilir

Internet Solucanları (Worm) ODTÜ-BİDB 1964 Melissa worm : 1998 yılında milyonlarca bilgisayarı etkiledi. Nimda worm : 2001 Ekim ayında milyarlarca dolarlık zarara neden oldu.

(Love Letter/Melissa) ODTÜ-BİDB 1964 60,000 Polymorphic viruses (Tequila) Zombies Mass Mailer viruses (Love Letter/Melissa) Denial-of-Service (Yahoo!, eBay) Blended Threats (CodeRed, Nimda) Number of Known Threats Network Intrusions Viruses 1990 - 2001 Source: Symantec Inc.

Örnek İnceleme: W32/Nimda@MM ODTÜ-BİDB 1964 2001 Ekim’inde ortaya çıktı. IIS web sunucusu için 2001 Ağustos’unda bulunan bir açıktan yararlanarak bulaşır. OE’in açığından yararlanarak e-posta eklentisinin isteminiz dışı çalışması ile bulaşır. IE’ın virüslü www sayfasından readme.eml dosyasını indirimesi ve çalıştırması ile bulaşır.

Truva Atları (Trojan) ODTÜ-BİDB 1964 Kendi kendine yayılmayan, arka planda çalışan program parçacıkları, e-posta ile gelen eklentiler ya da ICQ vb. programlar yoluyla, çalıştırılabilir dosya alışverişi ile bulaşırlar.(Back Orifice, Sub Seven).

Virüs Çeşitleri: ODTÜ-BİDB 1964 Access 97 macro virus AppleScript Worm Batch file worm BIOS Chain letter CMOS settings Companion virus Corel Script virus DOS Boot Sector virus DOS executable file virus Dropper Excel formula/macro virus False alarm JavaScript virus/worm Joke/Junk Macintosh file virus/worm Macromedia Flash infector Master Boot Sector virus Mid infecting mIRC or pIRCH script worm Office 97 macro virus Misunderstanding PalmOS based executable virus PowerPoint 97 macro virus Scare Test file Trojan virus hoax Visual Basic Script virus/worm Win32 executable file virus/worm Windows 9x/ME executable file virus Windows NT/2000 executable file virus Word 97/2000 macro virus/worm Kaynak: Sophos Antivirus

BIOS & CMOS Setting Virus ODTÜ-BİDB 1964 Bilgisayarın açılmasını veya açılış ünitesinin (disket, CD, HDD) sırası gibi BIOS ayarlarını etkileyen virüslerdir. Troj/KillCMOS, W95/CIH-10xx.

Windows İşletim Sistemine Yönelik Virüsler ODTÜ-BİDB 1964 Tüm Windows işletim sistemlerine yönelik (Win32) Win9x sistemlerine yönelik (W95 / W98) Win2000/NT sistemlerine yönelik (W2k/WNT)

Win32 Virus & Worm ODTÜ-BİDB 1964 Windows işletim sistemlerinde çalıştırılır programlardır. Kullanılan programın açıklarından yararlanır. (Web sunucu veya tarayıcı) W32/Magister, W32/Nimda

WinNT/2k Virüs ODTÜ-BİDB 1964 Windows NT/2000 işletim sistemlerinin ya da kullanılan diğer programların güvenlik açıklarından yararlanarak bulaşır. Bilinen virüs sorunlarını yaratır. Dosya sisteminin özelliklerine bağımlıdır. W2K/Stream, WNT/RemExp

Macro Virus Macro programlarıdır. ODTÜ-BİDB 1964 Macro programlarıdır. Microsoft Office uygulamalarında kullanılan belgelerin içerisine gömülür. Program veya komut çalıştırma yetkisi olduğundan bilinen virüs etkilerine sahiptir. Wm, w97m, pp97m, xm97m. Wm/Nuclear.

Yeni Internet Araçlarında Virüsler ODTÜ-BİDB 1964 Cep telefonu, Palm, PDA (Personal Digital Assistant) VBS/Timo, Palm/Liberty Gelecekteki korunma yöntemleri: Virus tarama programları

Virüsler Nereye Ne Yazar? ODTÜ-BİDB 1964 İlk açılışta çalışmak için genelde Windows Registry (kayıt) ayarlarıyla oynarlar: Uyarı: Registry ayarlarına gerekmedikçe müdahele etmeyiniz!

Virüsler Nereye Ne Yazar? ODTÜ-BİDB 1964 HKEY_LOCAL_MACHINE\ Software\ Microsoft\Windows\ CurrentVersion\ RunServices RunServicesOnce Run RunOnce HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\

Shell Spawning ODTÜ-BİDB 1964 HKEY_CLASSES_ROOT\ exefile\shell\open\command @="\"%1\" %*“ comfile\shell\open\command @="\"%1\" %*“ batfile\shell\open\command @="\"%1\" %*“ htafile\Shell\Open\Command @="\"%1\" %*“ piffile\shell\open\command @="\"%1\" %*“ [HKEY_LOCAL_MACHINE\Software\CLASSES\ Olması gereken değer "%1 %*", ama değer  “virus.exe %1 %*“ olarak değiştirlirse exe/pif/com/bat/hta her çalıştırıldığında virus.exe çalışır.

Virüslerden Korunma Antivirüs programı kurun ve güncel tutun. ODTÜ-BİDB 1964 Antivirüs programı kurun ve güncel tutun. İşletim sisteminizi güncel tutun: http://windowsupdate.microsoft.com MS Outlook veya Outlook Express yerine Netscape Messenger, Webmail, Pine. Gerekmedikçe dosya paylaştırmayın. Paylaştırmanız şart ise “salt okunur” paylaşım kullanın. Sunucu (server) nitelikli işletim sistemleri kurmayın.

Virüslerden Korunma ODTÜ-BİDB 1964 Web sunucusu olarak yaması yapılmamış IIS kullanmayın. Microsoft Security Bulletin takibini yapın: http://www.microsoft.com/security Boot işleminin kesinlikle sabit diskten olmasına özen gösterin. Çok önemli bilgilerinizin yedeğini alın.

Virüslerden Korunma ODTÜ-BİDB 1964 Dosyalarınızı macro çalışmasına izin vermeyecek şekilde kaydedin. *.doc*.rtf *.xls  *.csv Alternatif Office programları kullanın (StarOffice): ftp://ftp.metu.edu.tr/pub/mirrors/staroffice/ Çalıştırılabilir dosyaları sadece e-postayı gönderen kişinin gönderdiğinden emin olduğunuz durumlarda çalıştırın.

Virüslerin Tespiti Online virüs tarayıcıları: ODTÜ-BİDB 1964 Online virüs tarayıcıları: http/www.symantec.com/avcenter  Check for Security Risk  Scan for virüs http://www.mcafee.com  VirüsScan Online

Antivirüs Programları ODTÜ-BİDB 1964 Scanners: Virüsleri izlerine göre arayıp bulurlar ve sonra da imha ederler. Checksummers: Dosyalardaki boyut değişikliklerinin farkına varıp virüs olarak algılarlar. Heuristics: Virüslerin karakteristik yapısı bu programlarda genel hatlarıyla tanımlanır.

Antivirüs Programları ODTÜ-BİDB 1964 Virüs örüntüsü (virus pattern) virüsü tanımlayan kısa binary koddur. Antivirüs programları tüm dosyalarınızda tarayıcısı yardımıyla virüs örüntüsünü arar. Virüsü bulduğunda; Karşılaşılan durum için veritabanında tanımlanmış olan işlemleri yapar.