Bilgisayar Virüsü Çoğalım Stratejileri

**Prof. Dr. Sinsi** · 08-20-2012

Çoğalım stratejileri
Bir virüsün kendini çoğaltabilmesi için virüsün yürütülmeye ve hafızaya yazılmaya izinli olması gerekir

Bundan ötürü birçok virüs kendilerini geçerli programların yürütülebilir dosyalarına tuttururlar

Eğer bir kullanıcı virüs bulaşmış programı başlatmaya kalkarsa, ilk olarak virüsün kodu çalıştırılır

Virüsler yürütüldüklerinde gösterdikleri davranışlara göre iki çeşide ayrılırlar

Yerleşik olmayan virüsler hemen tutunacakları başka konaklar ararlar, bu hedeflere bulaşır ve nihayetinde bulaştıkları programa kontrolü bırakırlar

Yerleşik virüsler yürütülmeye başladıklarında konak aramazlar

Bunun yerine yürütümle birlikte kendilerini hafızaya yükler ve kontrolü konak programa bırakırlar

Bu virüsler arka planda etkin kalarak, virüs bulaşmış program dosyalarına erişen her programın dosyalarına ya da işletim sisteminin kendisine bulaşırlar

Yerleşik olmayan virüsler
Yerleşik olmayan virüslerin keşfedici modül ile çoğaltıcı modülden oluştukları düşünülebilir

Keşfedici modül virüsün bulaşması için kullanılacak yeni dosyalar aramakla yükümlüdür

Keşfedici modülün karşılaştığı her yürütülebilir dosyaya çoğaltıcı modül çağrılmak suretiyle virüs bulaştırılır

Basit virüsler için çoğaltıcının görevleri şunlardır:

1

Yeni bir dosya aç
2

Dosyaya önceden virüs bulaştırılıp bulaştırılmadığını kontrol et (eğer bulaştırlımış ise keşfedici modüle geri dön)
3

Virüs kodunu yürütülebilir dosyaya tuttur

4

Yürütülebilir dosyanın başlangıç noktasını kaydet

5

Yürütülebilir dosyanın başlangıç noktasını yeni eklenen virus kodunun başlatma alanına yönlendir

6

Eski başlatma alanını virüs yürütülür yürütülmez o alana yayılacak şekilde virüse kaydet

7

Yürütülebilir dosyadaki değişiklikleri kaydet

8

Virüs bulaşmış dosyayı kaydet

9

Çoğaltıcı modülün virüs bulaştıracaği dosyalar bulabilmesi için keşfedici modüle geri dön

Yerleşik virüsler
Yerleşik virüsler yerleşik olmayan virüslerdeki örneğine benzer bir çoğaltıcı modül içerirler

Ancak yerleşik virüslerde çoğaltıcı modülü çağıran keşfedici modül bulunmamaktadır

Onun yerine, virüs yürütüldüğü vakit çoğaltıcı modül hafızaya yüklenir ve böylece işletim sistemi belirli tip bir görevi her seferinde uygularken çoğaltıcı modülün de yürütülmesi sağlanır

Örneğin işletim sistemi bir dosyayı her seferinde yürütürken çoğaltıcı modül çağrılabilir

Bu durumda virüs bilgisayarda yürütülmekte olan tüm uygun programlara bulaşabilir

Yerleşik virüsler, bazen hızlı bulaşıcılar ve yavaş bulaşıcılar olmak üzere alt kategorileri ayrılabilirler

Hızlı bulaşıcılar olabildiğince çok dosyayı infekte etmeye çalışırlar

Örneğin, hızlı bulaşıcı ulaşılan her potansiyel konak dosyasına virüs bulaştırabilir

Bu durum antivirüs programları için özel bir problem oluşturmaktadır, çünkü virüs tarayıcısı sistem genelinde tarama yaptığında sistemdeki tüm potansiyel konak dosyalarına erişecektir

Eğer virüs tarayıcısı sistem hafızasında virüsün bulunduğunu tespit edemez ise virüs, virüs tarayıcısını arkadan takip ederek tarama için erişilen tüm dosyalara bulaşacaktır

Hızlı bulaşıcılar, sisteme yüksek hızda yayılmalarına bel bağlarlar

Bu metodun sakıncası virüsün birçok dosyaya bulaşması ve kendisinin tespitini bir anlamda kolaylaştırmasıdır

Çünkü sistem hafızasını işgal eden virüsler giderek makineyi yavaşlatacak ve şüphe uyandıran eylemler gerçekleştirerek antiviruüs yazılımları tarafından fark edileleceklerdir

Yavaş bulaşıcılar ise konak dosyalarını nadiren infekte edecek şekilde tasarlanmışlardır

Örneğin, bazı yavaş bulaşıcılar sadece kendilerini kopyaladıklarında dosyalara tutunurlar

Yavaş bulaşıcılar aktivitelerini sınırlayarak tespit edilmekten sakınmaya çalışırlar

Bilgisayarı fark edilebilir şekilde yavaşlatmaları olası değildir ve şüphe uyandıran davranışları tespit eden antivirüs yazılımlarını tetiklememek için ellerinden geleni ardlarına koymazlar

Yavaş bulaşma ile tüm sisteme yayılma yaklaşımı bu tür viruslerin amaçlarına ulaşmalarına imkan vermemiştir

Kaynak : Wikipedia

08-20-2012	#1
Prof. Dr. Sinsi	Bilgisayar Virüsü Çoğalım Stratejileri Çoğalım stratejileri Bir virüsün kendini çoğaltabilmesi için virüsün yürütülmeye ve hafızaya yazılmaya izinli olması gerekir Bundan ötürü birçok virüs kendilerini geçerli programların yürütülebilir dosyalarına tuttururlar Eğer bir kullanıcı virüs bulaşmış programı başlatmaya kalkarsa, ilk olarak virüsün kodu çalıştırılır Virüsler yürütüldüklerinde gösterdikleri davranışlara göre iki çeşide ayrılırlar Yerleşik olmayan virüsler hemen tutunacakları başka konaklar ararlar, bu hedeflere bulaşır ve nihayetinde bulaştıkları programa kontrolü bırakırlar Yerleşik virüsler yürütülmeye başladıklarında konak aramazlar Bunun yerine yürütümle birlikte kendilerini hafızaya yükler ve kontrolü konak programa bırakırlar Bu virüsler arka planda etkin kalarak, virüs bulaşmış program dosyalarına erişen her programın dosyalarına ya da işletim sisteminin kendisine bulaşırlar Yerleşik olmayan virüsler Yerleşik olmayan virüslerin keşfedici modül ile çoğaltıcı modülden oluştukları düşünülebilir Keşfedici modül virüsün bulaşması için kullanılacak yeni dosyalar aramakla yükümlüdür Keşfedici modülün karşılaştığı her yürütülebilir dosyaya çoğaltıcı modül çağrılmak suretiyle virüs bulaştırılır Basit virüsler için çoğaltıcının görevleri şunlardır: 1 Yeni bir dosya aç 2 Dosyaya önceden virüs bulaştırılıp bulaştırılmadığını kontrol et (eğer bulaştırlımış ise keşfedici modüle geri dön) 3 Virüs kodunu yürütülebilir dosyaya tuttur 4 Yürütülebilir dosyanın başlangıç noktasını kaydet 5 Yürütülebilir dosyanın başlangıç noktasını yeni eklenen virus kodunun başlatma alanına yönlendir 6 Eski başlatma alanını virüs yürütülür yürütülmez o alana yayılacak şekilde virüse kaydet 7 Yürütülebilir dosyadaki değişiklikleri kaydet 8 Virüs bulaşmış dosyayı kaydet 9 Çoğaltıcı modülün virüs bulaştıracaği dosyalar bulabilmesi için keşfedici modüle geri dön Yerleşik virüsler Yerleşik virüsler yerleşik olmayan virüslerdeki örneğine benzer bir çoğaltıcı modül içerirler Ancak yerleşik virüslerde çoğaltıcı modülü çağıran keşfedici modül bulunmamaktadır Onun yerine, virüs yürütüldüğü vakit çoğaltıcı modül hafızaya yüklenir ve böylece işletim sistemi belirli tip bir görevi her seferinde uygularken çoğaltıcı modülün de yürütülmesi sağlanır Örneğin işletim sistemi bir dosyayı her seferinde yürütürken çoğaltıcı modül çağrılabilir Bu durumda virüs bilgisayarda yürütülmekte olan tüm uygun programlara bulaşabilir Yerleşik virüsler, bazen hızlı bulaşıcılar ve yavaş bulaşıcılar olmak üzere alt kategorileri ayrılabilirler Hızlı bulaşıcılar olabildiğince çok dosyayı infekte etmeye çalışırlar Örneğin, hızlı bulaşıcı ulaşılan her potansiyel konak dosyasına virüs bulaştırabilir Bu durum antivirüs programları için özel bir problem oluşturmaktadır, çünkü virüs tarayıcısı sistem genelinde tarama yaptığında sistemdeki tüm potansiyel konak dosyalarına erişecektir Eğer virüs tarayıcısı sistem hafızasında virüsün bulunduğunu tespit edemez ise virüs, virüs tarayıcısını arkadan takip ederek tarama için erişilen tüm dosyalara bulaşacaktır Hızlı bulaşıcılar, sisteme yüksek hızda yayılmalarına bel bağlarlar Bu metodun sakıncası virüsün birçok dosyaya bulaşması ve kendisinin tespitini bir anlamda kolaylaştırmasıdır Çünkü sistem hafızasını işgal eden virüsler giderek makineyi yavaşlatacak ve şüphe uyandıran eylemler gerçekleştirerek antiviruüs yazılımları tarafından fark edileleceklerdir Yavaş bulaşıcılar ise konak dosyalarını nadiren infekte edecek şekilde tasarlanmışlardır Örneğin, bazı yavaş bulaşıcılar sadece kendilerini kopyaladıklarında dosyalara tutunurlar Yavaş bulaşıcılar aktivitelerini sınırlayarak tespit edilmekten sakınmaya çalışırlar Bilgisayarı fark edilebilir şekilde yavaşlatmaları olası değildir ve şüphe uyandıran davranışları tespit eden antivirüs yazılımlarını tetiklememek için ellerinden geleni ardlarına koymazlar Yavaş bulaşma ile tüm sisteme yayılma yaklaşımı bu tür viruslerin amaçlarına ulaşmalarına imkan vermemiştir Kaynak : Wikipedia