Bilgisayar Virüsü Sınıflandırma

**Prof. Dr. Sinsi** · 08-20-2012

Sınıflandırma
Virüs tipleri birçok alt bölümde incelenebilir

Ana sınıflama bölümleri şunlardır:
Dosya virüsleri
Dosya virüsleri, asalak ya da yürütülebilir virüsler olarak da bilinen ve kendilerini yürütülebilir dosyalara (sürücü ya da sıkıştırılmış dosyalara) tutturan ve konak program çalıştırıldığında etkinleşen kod parçaçıklarıdır

Etkinleştikten sonra , virüs kendini diğer program dosyalarına tutturarak yayılabilir ve programlandığı şekilde kötü niyetli faaliyet gösterebilir

Birçok dosya virüsü kendilerini sistem hafızasına yükleyip sürücüdeki diğer programları araştırarak yayılır

Bulduğu programların kodlarını virüsü içerecek ve gelecek sefer program çalıştığında virüsü de etkinleştirecek şekilde değiştirir

Virüs tüm sisteme ya da bulaştığı programı ortak kullanan sistemlerin tüm alanlarına yayılana dek defalarca bunu yapar

Yayılmalarının yanı sıra bu virüsler hemen ya da bir tetikleyici vasıtasıyla etkinleşen tahrip edici bir tür bileşeni bünyelerinde barındırırlar

Tetikleyici özel bir tarih , virüsün belirli bir kopyalama sayısına ulaşması ya da önemsiz herhangi bir şey olabilir

Randex, Meve and MrKlunky dosya virüslerine verilebilecek birkaç örnektir

Önyükleme sektörü virüsleri
Önyükleme sektörü sabit diske ait tüm bilgilerin saklandığı ve bir program vasıtası ile işletim sisteminin başlatılmasını sağlayan yerdir

Virüs , her açılışta hafızaya yüklenmeyi garantilemek amacıyla kodlarını önyükleme sektörüne yerleştirir

Bu , belki de , günümüzde sayıca azalmalarının da nedeni olmuştur

Programların disketler ile bir bilgisayardan diğerine taşındığı dönemlerde önyükleme virüsleri büyük bir hızla yayılıyordu

Ancak CD-ROM devrinin başlamasıyla , CD-ROM içerisindeki bilgilerin değiştilemez ve kod eklenemez olmasından ötürü, bu tür virüslerin yayılımı durdu

Önyükleme virüsleri hala var olsa da yeni çağ zararlı yazılımlarına nispeten çok nadirler

Yaygın olmamalarının diğer bir sebebi ise işletim sistemlerinin artık önyükleme sektörlerini koruma altına almasıdır

Polyboot

B ve AntiEXE önyükleme virüslerine örnektirler

Çok parçalı virüsler
Çok parçalı virüsler önyükleme sektörü ve dosya virüslerinin birleşimidir

Bu virüsler CD/DVD ya da disket gibi virüsle enfekte olmuş ortamlar ile gelir ve hafızaya yerleşirler

Akabinde sabit diskin önyükleme sektörüne taşınırlar

Sektörden de sabit diskteki yürütülebilir dosyalara (exe) bulaşır ve tüm sistem boyunca yayılırlar

Günümüzde çokparçalı virüsler pek bulunmamakta, fakat en parlak çağlarında, farklı bulaşma tekniklerini birleştirmelerinin sağladığı kabiliyetler büyük problemlere neden olmaktaydı

En bilinen çok parçalı virüs Ywinz'dir

Makro virüsler
Makro virüsler, makrolar içeren çeşitli program ya da uygulamalarca yaratılmış dosyalara bulaşan virüslerdir

Microsoft Office programınca üretilen Word belgeleri, Excel elektronik çizelgeleri, PowerPoint sunumları, Access veritabanları, Corel Draw, AmiPro uygulamalarınca yaratılmış dosyalar vs

etkilenen dosya tipleri arasındadır

Makro virüsler işletim sisteminin değil ait olduğu uygulamanın dilinde yazıldığından platform bağımsızdırlar ve uygulamayı çalıştırabilen tüm işletim sistemleri (Windows, Mac vb

) arasında da yayılabilirler

Uygulamalardaki makro dillerinin süreki artan kabiliyetleri ve ağlar üzerinde yayılma olasılıkları bu türden virüsleri büyük tehdit haline getirmektedir

İlk makro virüsü Microsoft Word için yazılmış ve 1995 Ağustos'unda tespit edilmişti

Bugun binlerce makro virüsü bulunmakta

Relax, Melissa

A ve Bablas makro virüs örnekleridir

Çoğalma bakımından worm(solucan)lara benzerler ama işlev yönünden farklılık gösterirler

Ağ virüsleri
Ağ virüsleri, yerel ağlarda ve hatta İnternet üzerinde hızla yayılmak konusunda çok beceriklidir

Genelde paylaşılan kaynaklar, paylaşılan sürücüler ya da klasörler üzerinden yayılırlar

Bir kez yeni bir sisteme bulaştıklarında, ağ üzerindeki potansiyel hedefleri araştırarak saldırıya açık sistemleri belirlemeye çalışırlar

Savunmasız sistemi bulduklarında ağ virüsü sisteme bulaşır ve benzer şekilde tüm ağa yayılmaya çalışırlar

Nimda ve SQLSlammer kötü nam salmış ağ virüslerindendir

Eşlik virüsleri
Eşlik virüsleri , konak dosyalarına tutunmuş değillerdir ancak MS-DOS'u suistimal edebilirler

Bir eşlik virüsü geçerli

EXE (uygulama ) dosyalarına ait isimleri kullanan genelde

COM nadiren

EXD uzantılı yeni dosyalar yaratmaktadır

Eğer kullanıcı belirli bir programı çalıştırmak için komut konsoluna sadece programın ismini yazıp

EXE uzantısını yazmayı unutursa DOS, ismi ve uzantıları aynı olan dosyalardan uzantısı sözlükte önde görünen dosyanın çalıştırılmak istendiğini varsayıp virüsü yürütecektir

Örneğin kullanıcı dosya adı

COM (virüs dosyası) ve dosya adı

EXE (yürütme dosyası) adlı iki dosyaya sahip olsun ve komut satırına sadece dosya adı yazmış bulunsun

Uzantılar incelendiğinde sonuç olarak dosya adı

com yani virüs dosyası yürütülecektir

Virüs yayılacak ve atanmış diğer görevleri yaptıktan sonra kendisiyle aynı isime sahip

exe dosyasını çalıştıracaktır

Böylece kullanıcı büyük ihtimalle virüsün ayırdına varamayacaktır

Bazı eşlik virüslerinin Windows 95 altında ve Windows NT'deki DOS öykünücüleri üzerinde çalışabildiği bilinmektedir

Yol eşlik virüsleri geçerli sistem dosyaları ile aynı ada sahip dosyalar oluşturur ve dizin yolu içinde bulunan eski virüsleri yenileri ile değiştirir

Bu virüsler MS-DOS komut istemini kullanmayan Windows XP'nin kullanıma sunulması ile giderek seyrekleşmişlerdir

Yazılım bombaları
Yazılım bombaları, gerekli şartlar oluşana dek atıl durumda kalan ve özel bir kodu işleyen yazılımlardır

Şartların olgunlaşması kullanıcıya mesajlar göstermek ya da dosyaları silmek gibi belirli fonksiyonları tetikleyecektir

Yazılım bombaları bağımsız programların içerisinde barınabildikleri gibi virüs ya da solucanların parçaları da olabilirler

Belirli sayıdaki konağı etkiledikten sonra etkinleşen yazılım bombaları örnek olarak verilebilir

Saatli bombalar, yazılım bombalarının alt kümeleri olup belirli tarih ya da zamanda etkinleşecek şekilde programlanmışlardır

Saatli bombalara ünlü Friday the 13th virüsü örnek verilebilir

Cross-site scripting virüsleri
Bir cross-site scripting virüsü (XSSV) çoğalabilmek için cross-site betik açıklarını kullanan virüslerdir

Bir XSSV yayılabilmek için web uygulamaları ve web tarayıcılarına ihtiyaç duyduğundan simbiyoz tip virüstür

Aslında xss bir virüs değil, sistem açığıdır

Php tabanlı sitelerde görülür

id= değişkeninden sonra kullanılan zararlı kod ile açık çağrılır

Açık bulunursa site adminine açıklı link yollanması ile cookieleri çalınabilir

Bu açık hotmailde de vardır bu yüzden mail güvenliği açısından gelen her adres açılmamalıdır
Sentineller
Sentineller oldukça gelişkin virüs tipi olup yaracısına bulaştığı bilgisayarları uzaktan kullanma yetkisi verir

Sentineller bot , zombi ya da köle adı verilen bilgisayarların oluşturduğu ve Hizmeti engelleme saldırısı gibi kötü niyetli amaçlarda kullanılacak geniş ağlar yaratmada kullanılırlar

Virüslerin, makinenize bulaşma ya da makinenizde etkin halde olmadan saklanma yolları pek çoktur

Ancak etkin olsun ya da olmasın virüslerin başıboş bırakılması çok tehlikelidir ve ivedi şekilde sorun halledilmelidir

Kaynak : Wikipedia

08-20-2012	#1
Prof. Dr. Sinsi	Bilgisayar Virüsü Sınıflandırma Sınıflandırma Virüs tipleri birçok alt bölümde incelenebilir Ana sınıflama bölümleri şunlardır: Dosya virüsleri Dosya virüsleri, asalak ya da yürütülebilir virüsler olarak da bilinen ve kendilerini yürütülebilir dosyalara (sürücü ya da sıkıştırılmış dosyalara) tutturan ve konak program çalıştırıldığında etkinleşen kod parçaçıklarıdır Etkinleştikten sonra , virüs kendini diğer program dosyalarına tutturarak yayılabilir ve programlandığı şekilde kötü niyetli faaliyet gösterebilir Birçok dosya virüsü kendilerini sistem hafızasına yükleyip sürücüdeki diğer programları araştırarak yayılır Bulduğu programların kodlarını virüsü içerecek ve gelecek sefer program çalıştığında virüsü de etkinleştirecek şekilde değiştirir Virüs tüm sisteme ya da bulaştığı programı ortak kullanan sistemlerin tüm alanlarına yayılana dek defalarca bunu yapar Yayılmalarının yanı sıra bu virüsler hemen ya da bir tetikleyici vasıtasıyla etkinleşen tahrip edici bir tür bileşeni bünyelerinde barındırırlar Tetikleyici özel bir tarih , virüsün belirli bir kopyalama sayısına ulaşması ya da önemsiz herhangi bir şey olabilir Randex, Meve and MrKlunky dosya virüslerine verilebilecek birkaç örnektir Önyükleme sektörü virüsleri Önyükleme sektörü sabit diske ait tüm bilgilerin saklandığı ve bir program vasıtası ile işletim sisteminin başlatılmasını sağlayan yerdir Virüs , her açılışta hafızaya yüklenmeyi garantilemek amacıyla kodlarını önyükleme sektörüne yerleştirir Bu , belki de , günümüzde sayıca azalmalarının da nedeni olmuştur Programların disketler ile bir bilgisayardan diğerine taşındığı dönemlerde önyükleme virüsleri büyük bir hızla yayılıyordu Ancak CD-ROM devrinin başlamasıyla , CD-ROM içerisindeki bilgilerin değiştilemez ve kod eklenemez olmasından ötürü, bu tür virüslerin yayılımı durdu Önyükleme virüsleri hala var olsa da yeni çağ zararlı yazılımlarına nispeten çok nadirler Yaygın olmamalarının diğer bir sebebi ise işletim sistemlerinin artık önyükleme sektörlerini koruma altına almasıdır PolybootB ve AntiEXE önyükleme virüslerine örnektirler Çok parçalı virüsler Çok parçalı virüsler önyükleme sektörü ve dosya virüslerinin birleşimidir Bu virüsler CD/DVD ya da disket gibi virüsle enfekte olmuş ortamlar ile gelir ve hafızaya yerleşirler Akabinde sabit diskin önyükleme sektörüne taşınırlar Sektörden de sabit diskteki yürütülebilir dosyalara (exe) bulaşır ve tüm sistem boyunca yayılırlar Günümüzde çokparçalı virüsler pek bulunmamakta, fakat en parlak çağlarında, farklı bulaşma tekniklerini birleştirmelerinin sağladığı kabiliyetler büyük problemlere neden olmaktaydı En bilinen çok parçalı virüs Ywinz'dir Makro virüsler Makro virüsler, makrolar içeren çeşitli program ya da uygulamalarca yaratılmış dosyalara bulaşan virüslerdir Microsoft Office programınca üretilen Word belgeleri, Excel elektronik çizelgeleri, PowerPoint sunumları, Access veritabanları, Corel Draw, AmiPro uygulamalarınca yaratılmış dosyalar vs etkilenen dosya tipleri arasındadır Makro virüsler işletim sisteminin değil ait olduğu uygulamanın dilinde yazıldığından platform bağımsızdırlar ve uygulamayı çalıştırabilen tüm işletim sistemleri (Windows, Mac vb) arasında da yayılabilirler Uygulamalardaki makro dillerinin süreki artan kabiliyetleri ve ağlar üzerinde yayılma olasılıkları bu türden virüsleri büyük tehdit haline getirmektedir İlk makro virüsü Microsoft Word için yazılmış ve 1995 Ağustos'unda tespit edilmiştiBugun binlerce makro virüsü bulunmakta Relax, MelissaA ve Bablas makro virüs örnekleridirÇoğalma bakımından worm(solucan)lara benzerler ama işlev yönünden farklılık gösterirler Ağ virüsleri Ağ virüsleri, yerel ağlarda ve hatta İnternet üzerinde hızla yayılmak konusunda çok beceriklidir Genelde paylaşılan kaynaklar, paylaşılan sürücüler ya da klasörler üzerinden yayılırlar Bir kez yeni bir sisteme bulaştıklarında, ağ üzerindeki potansiyel hedefleri araştırarak saldırıya açık sistemleri belirlemeye çalışırlar Savunmasız sistemi bulduklarında ağ virüsü sisteme bulaşır ve benzer şekilde tüm ağa yayılmaya çalışırlar Nimda ve SQLSlammer kötü nam salmış ağ virüslerindendir Eşlik virüsleri Eşlik virüsleri , konak dosyalarına tutunmuş değillerdir ancak MS-DOS'u suistimal edebilirler Bir eşlik virüsü geçerli EXE (uygulama ) dosyalarına ait isimleri kullanan genelde COM nadiren EXD uzantılı yeni dosyalar yaratmaktadır Eğer kullanıcı belirli bir programı çalıştırmak için komut konsoluna sadece programın ismini yazıp EXE uzantısını yazmayı unutursa DOS, ismi ve uzantıları aynı olan dosyalardan uzantısı sözlükte önde görünen dosyanın çalıştırılmak istendiğini varsayıp virüsü yürütecektir Örneğin kullanıcı dosya adıCOM (virüs dosyası) ve dosya adıEXE (yürütme dosyası) adlı iki dosyaya sahip olsun ve komut satırına sadece dosya adı yazmış bulunsun Uzantılar incelendiğinde sonuç olarak dosya adıcom yani virüs dosyası yürütülecektir Virüs yayılacak ve atanmış diğer görevleri yaptıktan sonra kendisiyle aynı isime sahip exe dosyasını çalıştıracaktır Böylece kullanıcı büyük ihtimalle virüsün ayırdına varamayacaktır Bazı eşlik virüslerinin Windows 95 altında ve Windows NT'deki DOS öykünücüleri üzerinde çalışabildiği bilinmektedir Yol eşlik virüsleri geçerli sistem dosyaları ile aynı ada sahip dosyalar oluşturur ve dizin yolu içinde bulunan eski virüsleri yenileri ile değiştirir Bu virüsler MS-DOS komut istemini kullanmayan Windows XP'nin kullanıma sunulması ile giderek seyrekleşmişlerdir Yazılım bombaları Yazılım bombaları, gerekli şartlar oluşana dek atıl durumda kalan ve özel bir kodu işleyen yazılımlardır Şartların olgunlaşması kullanıcıya mesajlar göstermek ya da dosyaları silmek gibi belirli fonksiyonları tetikleyecektir Yazılım bombaları bağımsız programların içerisinde barınabildikleri gibi virüs ya da solucanların parçaları da olabilirler Belirli sayıdaki konağı etkiledikten sonra etkinleşen yazılım bombaları örnek olarak verilebilir Saatli bombalar, yazılım bombalarının alt kümeleri olup belirli tarih ya da zamanda etkinleşecek şekilde programlanmışlardır Saatli bombalara ünlü Friday the 13th virüsü örnek verilebilir Cross-site scripting virüsleri Bir cross-site scripting virüsü (XSSV) çoğalabilmek için cross-site betik açıklarını kullanan virüslerdir Bir XSSV yayılabilmek için web uygulamaları ve web tarayıcılarına ihtiyaç duyduğundan simbiyoz tip virüstür Aslında xss bir virüs değil, sistem açığıdır Php tabanlı sitelerde görülürid= değişkeninden sonra kullanılan zararlı kod ile açık çağrılır Açık bulunursa site adminine açıklı link yollanması ile cookieleri çalınabilir Bu açık hotmailde de vardır bu yüzden mail güvenliği açısından gelen her adres açılmamalıdır Sentineller Sentineller oldukça gelişkin virüs tipi olup yaracısına bulaştığı bilgisayarları uzaktan kullanma yetkisi verir Sentineller bot , zombi ya da köle adı verilen bilgisayarların oluşturduğu ve Hizmeti engelleme saldırısı gibi kötü niyetli amaçlarda kullanılacak geniş ağlar yaratmada kullanılırlar Virüslerin, makinenize bulaşma ya da makinenizde etkin halde olmadan saklanma yolları pek çoktur Ancak etkin olsun ya da olmasın virüslerin başıboş bırakılması çok tehlikelidir ve ivedi şekilde sorun halledilmelidir Kaynak : Wikipedia