Zararlı yazılım nedir?

Bilgisayar ortamına kullanıcının bilgisi/onayı dışında aktarılmış (Maalesef çoğu zaman onaylayan kullanıcıdır.), mevcut kullanıcı dosyaları, yazılım ve/veya işletim sisteminin bütünlüğünü, erişilebilirliğini, gizliliğini tehdit eden yetkisiz kod parçaları ve yazılımlar genel olarak zararlı kod/yazılım olarak isimlendirilirler. Yayılma yöntemine, yapısına ve amacına göre sınıflandırılırlar.

Virüsler:

Bilgisayar virüsleri, bilgisayarın işlemlerine müdahale etmek, verileri kaydetmek, bozmak veya silmek ya da internet yoluyla diğer bilgisayarları etkilemek amacıyla tasarlanan yazılım programlarıdır. Virüsler çoğu zaman işlemleri yavaşlatır ve başka sorunlara neden olur. Örneğin Word dosyalarına eklenmiş kötü amaçlı makrolar diğer Word dosyalarına bulaşabilir, ya da bir boot sector virüsü disketten boot sektörüne kendini kopyalayarak işletim sisteminin açılmasını engelleyebilir. Virüsler bilgisayar kullanıcısını rahatsız edecek mesajlar gösterebilir, dosyaları kullanılmaz hale getirebilir, kişisel bilgileri başkalarına gönderebilir ya da işletim sistemini çalışmaz hale getirebilir.Virüsler bir dosyanın açılması, bir programın çalıştırılması, boot sector virüs içeren bir CD’nin bilgisayar açılırken takılı olması ya da e-postalara eklenmiş dosyaların açılması ile bilgisayara bulaşabilir. Virüsler antivirüs programları tarafın tespit edilmemek için değişik karıştırma, şifreleme, değişme vb. yöntemleri kullanmaktadır. Virüsler genel olarak 5 ana kategoriye ayrılırlar;

1- Dosya Virüsleri

Word, Excel veya oyun programları gibi çalıştırılabilir programlara kendilerini eklerler.Bir programa bulaştıktan sonra diğer programlara bulaşabilirler. Jerusalem ve Cascade virüsleri bu tür virüslere örnektir.

2- Boot Sector Virüsleri

Boot sector virüsleri sabit diskin Master Boot Record (MBR), boot sector kısımlarını yada floppy disket, CD, flash disk gibi taşınabilir medyalara bulaşırlar. Boot sektör sabit disk sürücünün başlangıç kısmında bulunan ve disk / drive yapısı hakkında bilgileri içeren kısımdır. Açılış sektörü bilgisayar üzerine kurulu işletim sisteminin başlatılabilmesi için gerekli programları içerir. MBR disk üzerinde özel bir bölgede bulunur, bilgisayar BIOS boot programının yer bilgisini tutar ve çalıştırma komutunu içerir. Sistem açılışı esnasında taşınabilir disk takılı konumda ise sisteme boot sector virüsleri bulaşabilir (Taşınabilir diskte boot sector virüsü olması durumunda). Boot sector virüsleri sistemi çalışmaz konuma getirebilir. Belirtileri sistem açılışında görülen hata mesajları ya da sistemin açılamaması olabilir. Form, Michelangelo ve Stoned boot sector virüslerine örnektir.

3- Multipartite Virüsleri

Boot sektör ve File Infector virüslerinin özelliklerini taşır. Flip ve Invader bu tür virüslere örnektir.

4- Makro Virüsler

Makro virüsler en yaygın ve etkili virüs türüdür. Bu tür virüsler kendilerini makro (kompleks, tekrarlanan işlemleri otomatize eden betikler) kullanımına izin veren Word, Excel vb. programların açtığı dokümanlara kopyalarlar. Makro virüsler bu tür programların makro programlama dili yeteneklerini kullanarak yayılırlar ve programlandıkları işlevi gerçekleştirirler. Bir makro virüs bulaştığında ilgili programın yeni dokümanlar oluştururken ya da mevcut dokümanları açarken kullandığı taslak doküman (template) virüslü hale gelir. Concept, Marker, ve Melissa virüsleri bilinen makro virüslere örnektir.

5- Betik Virüsler

Makro virüslere benzerdirler, temel farkları makro virüsler belli bir program tarafından kullanılan betiklerden oluşurken, betik virüsleri işletim sistemi tarafından çalıştırılan servislerin çalıştırabildiği betiklerden oluşur. Örneğin Windows Scripting Host servisi VBScript’le yazılan betikleri çalıştırmaktadır. Bu tür virüslere örnekler First ve LoveStages virüsleridir.



Solucan (Worm):

Worm’lar bir dosyaya bulaşmak için host programa ihtiyaç duymayan zararlı kodlara verilen isimdir. Solucanlar yayılmak için kullanıcının dosyayı açmasına ihtiyaç duymadan yayılabilirler. Bu nedenle tüm sisteme kısa sürede yayılma olanağına sahiptirler. Solucanlar bilinen açıklıkları (işletim sistemi, uygulama açıklıkları) ya da konfigürasyon hatalarını (güvenlik önlemi alınmamış paylaşımlar gibi) kullanırlar. Sistem ya da ağ kaynaklarını tüketmek ya da sisteme izinsiz giriş için arka kapılar oluşturmak amacıyla kullanılırlar. İki çeşit solucan bulunmaktadır:

1- Ağ Solucanları

İşletim sisteminin/uygulamaların ağ servislerinde bulunan açıklıkları kullanarakyayılırlar. Solucan bir sisteme bulaştıktan sonra aynı servisi kullanan diğer sistemleritarar ve bu sistemlere bulaşmaya çalışır. Kullanıcının yapacağı işlemlere bağımlı olmadığı için diğer zararlı kod/yazılımlara göre daha hızlı yayılırlar. Sasser ve Witty bu tür solucanlara örnektir.

2- E-posta Solucanları

E-posta ile yayılan virüslere benzerler, fakat e-posta solucanları bulaştıktan sonra sistemde kayıtlı e-posta adreslerini arar ve kopyalarını bu adreslere gönderir. Bu türsolucanlar e-posta sunucusunun servis dışı kalmasına sebep olabilir veya ağ performansını düşürebilir. Beagle, Mydoom ve Netsky bu tür solucanlara örnektir.



Truva Atı (Trojan Horse)

Eğlenceli ya da faydalı bir program gibi gözüken, ancak maksadı hedef sisteme zarar vermek olan programlardır. Truva atları virüs ve solucanların aksine yayılma özelliğine sahip değildir ve kullanıcı tarafından faydalı olduğu düşünülerek bilgisayara kurulur. Truva atları kurulduğunda mevcut sistem dosyalarını değiştirebilir, kendi dosyalarını oluşturabilir, saldırgana arka kapı (Backdoor) açabilir, kullanıcın kişisel bilgilerini toplayabilir. Truva atlarının varlığı antivirüs/spyware türü programlarla tespit edilmekle beraber, bilgisayarın CPU, RAM ya da ağ kullanımındaki beklenmedik değişiklikler Truva atının varlığına işarettir. Truva atlarına şu örnekler verilebilir:

Sistemde kullanılan şifreleri toplayan bir oyun programı.
İşlemleri listelemek için kullanılan programın zararlı programların listelenmesini engellemesi
Erişim kontrol programının şifreleri saldırgan için saklaması
Sözlük olduğu sanılan programın sistem dosyalarını silmesi vb.

SubSeven, BackOrifice ve OptixPro bilinen truva atlarına birkaç örnektir.



Zararlı Mobil Kodlar

Mobil kod, uzaktaki bir bilgisayardan ağ üzerinden gönderilen, gönderildiği bilgisayarda kullanıcının müdahalesine gerek kalmaksızın çalıştırılabilen kodlara verilen isimdir. Değişik işletim sistemlerinde ve birçok uygulama üzerinde çalıştırılabilmektedirler. Saldırganlar tarafından yazılan zararlı mobil kodlar sistemlere doğrudan saldırmakdışında, virüs, solucan, truva atı vb. zararlı kod/yazılım yüklemek için de kullanılırlar.Virüs ve solucanlardan farklı olarak sistem/ağ üzerinde yayılmazlar veya dosyalara bulaşmazlar. Sistemlere, mobil kodlara verilen varsayılan hakları kullanarak saldırırlar. Mobil kodlar için kullanılan popüler programlama dilleri Java, ActiveX, JavaScript ve VBScript’tir. En çok bilinen mobil kod Nimda’dır, JavaScript kullanılmıştır.



Casus Yazılımlar

Casus yazılım, izniniz olmadan, yeterli uyarıda bulunmadan veya size denetim olanağı vermeden kendini bilgisayarınıza yükleyebilen veya çalıştırabilen yazılımlardır. Casus yazılımlar bilgisayarınızı etkiledikten sonra herhangi bir belirti göstermeyebilir, ancak çoğu kötü amaçlı veya istenmeyen program bilgisayarınızın çalışma biçimini etkileyebilir. Örneğin, casus yazılım internet faaliyetinizi izleyebilir veya sizinle ilgili bilgi (örneğin, kimliğinizle ilgili bilgiler veya başka önemli bilgiler) toplayabilir, bilgisayarınızdaki ayarları değiştirebilir veya bilgisayarınızın yavaş çalışmasına neden olabilir.Casus yazılımlar genel olarak yazılımlar 3'e ayrılır.



1- Arka Kapı (Backdoor)

Arka kapı, belli bir TCP ya da UDP portundan gelecek saldırı amaçlı komutlar içindinleme yapan zararlı programlara verilen isimdir. Arka kapılar çoğunlukla istemci/sunumcu yapısında çalışmaktadır. Sunumcu bileşeni saldırılan bilgisayara yüklenmekte, istemci bileşeni ise saldırganın uzaktaki bilgisayarından çalıştırılarak sunumcuya bağlanılmaktadır. Bağlantı sonucunda saldırgan saldırılan bilgisayar üzerinde belli ölçülerde kontrol elde edebilmektedir: Dosya transferi, şifrelerin ele geçirilmesi, istenilen komutların çalıştırılması (Uzaktan Yönetim Amaçlı araçlar: SubSeven, BackOrifice, ve NetBus), başka bilgisayarlara, sistemlere devre dışı bırakma saldırılarıyapabilme (Zombies ya da Bot olarak da adlandırılırlar, Trinoo ve Tribe Flood Network) vb.

2- Keylogger

Keylogger kullanıcının klavyede dokunduğu tuşları kaydeden programlara verilen isimdir. Bu tür programlar aracılığıyla yazılan e-postalar, kullanılan kullanıcı isimleri/şifreleri, hazırlanan dokümanlar, kredi kartı bilgileri vb. kritik bilgiler gizlice kaydedilir ve saldırgan tarafından e-posta, dosya transferi vb. yollarla elde edilebilir. KeySnatch, Spyster ve KeyLoggerPro keylogger programlarına örnektir.

3- Rootkit

İşletim sistemi dosyalarını değiştirerek sistemin saldırganın amacı doğrultusundaçalışmasını sağlayan dosyalar toplamına verilen isimdir. Rootkit tarafından sistemüzerinde yapılan değişiklikler ile rootkitin varlığının tespiti zorlaştırılır. Örneğin rootkite ait dosyaların ya da ilgili işlemlerin listelenmesi engellenir. Rootkitler sisteme arka kapı, keylogger gibi saldırı araçları kurulması için kullanılabilir. LRK5, Knark, Adore ve Hacker Defender rootkitlere örnektir.