Similar topics
Arama
En son konular
Reklam Alanı
Mayıs 2024
| Ptsi | Salı | Çarş. | Perş. | Cuma | C.tesi | Paz |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
Bilgisayar Virüsü Nedir? Nasıl Bulaşır? Nasıl Korunulur?
1 sayfadaki 1 sayfası
Bilgisayar Virüsü Nedir? Nasıl Bulaşır? Nasıl Korunulur?
tarafından MASKE Perş. Mart 31, 2011 2:12 pm
Bilgisayar virüsleri, aslinda "çalıştığında bilgisayarınıza değişik şekillerde zarar verebilen" bilgisayar programlarıdır. Eğer bu programlar (ya da virüs kodları) herhangi bir şekilde çalıştırılırsa, programlanma şekline göre bilgisayarınıza zarar vermeye başlar. Ayrıca, tüm virüs kodları (bilinen adıyla virüsler) bir sistemde aktif hale geçirildikten sonra çoğalma (bilgisayarınızdaki diğer dosyalara yayılma, ağ üzerinden diğer bilgisayarlara bulaşma vb gibi) özelliğine sahiptir.
Bilgisayar virüslerinin popüler bulaşma yollarından birisi "virüs kapmış bilgisayar programları" dır. Bu durumda, virüs kodu bir bilgisayar programına (söz gelimi, sık kullandığınız bir kelime işlemci ya da beğenerek oynadığınız bir oyun programı) virüsü yazan (ya da yayan) kişi tarafından eklenir. Böylece, virüslü bu programları çalıştıran kullanıcıların bilgisayarları "potansiyel olarak" virüs kapabilirler. Özellikle internet üzerinde dosya arşivlerinin ne kadar sık kullanıldığını düşünürsek tehlikenin boyutlerını daha da iyi anlayabiliriz.
Virüslenmiş program çalıştırıldığında bilgisayar virüs kodu da, genellikle, bilgisayarınızın hafızasına yerleşir ve potansiyel olarak zararlarına başlar. Bazı virüsler, sabit diskinizin ya da disketlerinizin "boot sector" denilen ve bilgisayar her açıldığında ilk bakılan yer olan kısmına yerleşir. Bu durumda, bilgisayarınız her açıldığında "virüslenmiş" olarak açılır. Benzer şekilde, kendini önemli sistem dosyalarının (MSDOS ve windows için COMMAND.COM gibi) peşine kopyalayan virüsler de vardır.
Genellikle her virüsün bir adı vardır (Cansu, Stoned, Michaelangelo, Brain, Einstein vb gibi).
------------------------------------------------------------------------------------------------------
Dosyalara bulaşan virüsler
Bilgisayarın sistem alanlarına bulaşan virüsler
İlk gruba girenler, genellikle, kullanıcının çalıştırdığı programlara (söz gelimi, dos için .EXE ve .COM) bulaşır. Bazen, başka tür sistem dosyalarına da (.OVL, .DLL, .SYS gibi) bulaşabilirler. Programların virüslenmesi iki yolla olur: Ya virüs kodu bilgisayarın hafızasına yerleşmiştir ve her program çalıştırılışta o programa bulaşır; ya da hafızaya yerleşmeden sadece "virüslü program her çalıştırılışında" etkisini gösterebilir. Ancak, virüslerin çoğu kendini bilgisayarın hafızasına yükler.
İkinci gruba giren virüsler ise, bilgisayarın ilk açıldığında kontrol ettiği özel sistem alanlarına (boot sector) ve özel sistem dosyalarına (command.com gibi) yerleşirler.
Bazı virüsler ise her iki şekilde de zarar verebilir.
Bazı virüsler, virüs arama programları tarafından saptanmamak için bazı "gizlenme" teknikleri kullanırlar (Stealth Virüsleri). Bazı tür virüsler ise, çalıştırıldığında kendine benzer başka virüsler üretir (Polymorphic virüsler). (Bu tip virüslein ilk örneklerinden olan Dark Avanger ve Cascade bilgisayar sistemlerine ciddi zararlar vermişlerdir).
Bir virüs Word ya da Excel gibi her gün kullandığınız programlara yerleşerek de çoğalabilir, disketlerin boot sektörüne kendini yazarak da. Virüsü kapmış dosya çalıştırıldığında veya bilgisayar virüslü disketten açıldığında virüs icraatına başlar. Genellikle yaptığı ilk iş gidip belleğe yerleşmek ve enfekte etmek için orada sinsi sinsi kurban beklemek olur. Bir sonraki çalışan program ya da takılan bir sonraki disket virüsün hedefi olur. Çoğu virüs belli bir tarihe gelindiğinde ya da virüslü program belli sayıda çalıştırıldığında üremenin dışında bir faaliyete daha başlar. Bu, ekrana bir mesaj ya da resim çıkarmak gibi masum yaramazlık sayılabilecek bir faaliyet de olabilir, ekran ayarlarınızı değiştirerek ya da sistem performansını yavaşlatarak orta seviye zarar veren bir faaliyet de olabilir, sistem çökmelerine, veri kaybına ve dosyaların hasar görmesine yol açan insafsız bir faaliyet de olabilir.
DOSYAYA BULAŞAN VİRÜSLER
Bu virüsler .COM ve .EXE uzantılı dosyaların kaynak koduna kendilerinin de bir kopyasını eklerler. Bazı durumlarda .SYS, .DRV, .BIN, .OVL ve .OVY uzantılı dosyalara da bulaşırlar. Bazen bellekteki virüs bulaşmak için dosyanın açılmasını beklemek zorunda kalmaz, sadece açıldığı zaman örneğin DOS'ta DIR çekildiği zaman hepsine bulaşır. Erişebildiği dizindeki tüm dosyalara doğrudan bulaşabilen virüsler de bulunuyor. Dosyaya bulaşan virüslerin çoğu EXE dosyanın başlangıç kodunu alır ve dosya içinde başka bir yere yazar. Dosya çalıştırıldığında önce virüs harekete geçer, başlangıç kodunu çalıştırır ve sanki her şey yolunda gidiyormuş gibi görünür. Bazıları .exe uzantılı dosya ile aynı isimde ama soyadı .com olan bir dosya yaratarak içine kendi kodunu kopyalar. DOS tabanlı işletim sistemleri önce .com uzantılı dosyaya bakacağı için farkında olmadan virüsü çalıştırmış olursunuz.
BOOT SEKTÖRÜ VİRÜSLERİ
İster sabit diskte ister diskette olsun A, C, D, E olarak bildiğimiz mantıksal bölümlerinin her birinin bir boot sektörü vardır. Bu disk ya da disketten bilgisayar açılamıyorsa da durum değişmez, illa boot edilen bir disk olması şart değil. Boot sektöründe diskin formatı ve depolanmış verilerin bilgileriyle DOS'un sistem dosyalarını yükleyen boot programı bulunur. Meşhur "Non-system Disk or Disk Error" mesajını bu program, sistem dosyalarını bulamadığı zaman gönderir. Bir boot sektör virüsü sistem dosyalarını bozduğunda da bu mesajı alırsınız. 1996 yılına kadar en yaygın virüs tipi bunlardı. Boot disketinden belleğe geçer ve yazma koruması olmayan her türlü diskete eriştiği anda bulaşır.
MASTER BOOT RECORD VİRÜSLERİ
Sabit disklerin ilk fiziksel sektörlerinde (Side Ø, Track Ø, Sector 1) diskin Master Boot Record'u ve Partition Tablosu vardır. Master Boot Record'un içindeki Master Boot programı partition tablosundaki değerleri okur ve boot edilebilir partition'ın başlangıç yerini öğrenir. Sisteme o adrese git ve bulduğun ilk program kodunu çalıştır komutunu gönderir. Bu virüsler de tıpkı boot sektör virüslerinde olduğu gibi bulaşırlar. Virüslü bir disketten makineyi açarken virüslü boot sektör programı okunur ve çalıştırılır, virüs belleğe yerleşir ve sabit diskin MBR'ını (Master Boot Record) bozar. Her disk ve disketin bir boot sektörü olduğuna göre sistem disketi olmayan veri disketlerinden de bulaşma ihtimali vardır.
MULTİ-PARTITE VİRÜSLER
Multi-partite virüsler yukarıda sözedilen iki tür virüsün kombinasyonudur. Bu tür virüslere daha az rastlanıyor ama rastlanma oranı da giderek artıyor. Hem MBR, hem boot sektörü ve çalıştırılabilir dosyaları bozarak yayılma şanslarını artırıyorlar.
MAKRO VİRÜSLERİ
Son zamanlarda en çok rastlanan virüs tipi bu. Adından da anlaşılacağı gibi bu tür virüsler Microsoft Word ve Excel gibi popüler uygulama programlarının makro dilleri kullanılarak yazılıyorlar. Makro'lar veri dosyalarında kaydedildiği için virüslü bir belge açıldığında virüsün makro kodu çalışmaya başlayarak ne yapacaksa yapıyor. İlk olarak 1995 yılında görülen bu virüs türü Microsoft Word'ün şablon belgelerini bozuyordu. Bir yıl içinde tarihin en yaygın ve başarılı virüs türü haline geldi. Bu başarıda en büyük pay Word'un çok yaygın kullanılan bir uygulama olmasında ve insanların Internet üzerinden birbirlerine bol miktarda Word belgesi göndermesinde gizli. Makro virüslerinden ilkinin adı WM.Concept idi.
I LOVE YOU
Artık bilinen bir gerçek var ki, bir virüsün popüler olabilmesi için verdiği zarardan çok, yayılma hızı ön planda yeralıyor. Çokda ayrıcalıklı bir koda sahip olmayan bu virüs Aşk kelimesi sayesinde umulandan daha hızlı yayılmıştır. Tabiki kendini yaymak için kullandağı programların açıklarınıda unutmamak gerek.
Gazetelerden okuduğumuz kadarıyla şu sıralar Iloveyou virüsünü yazan 23 yaşındaki kişinin gerçekten kodu yazan kişi olmadığı tartışması sürmekte, kimilerine göre böyle bir kodu üretmek 23 yaşındaki bir insan için imkansızmış. Diğer bir tartışma konusu ise kodu yazan kişinin bile bu denli büyük bir zarara yol açacağını tahmin etmemiş olmasıymış. (Dünyada bu kadar saf insan olduğunu hesaba katmamış olabilir)
Aslında zarara uğrayanlar şahıslar değil firmalar, burdan şu sonuç çıkıyor, bilgisayar başındaki kullanıcıların bilinçsiz ve vurdum duymaz olmaları. Bunun en güzel örneği ise Japonya. Virüs dünya basınında birinci haber konusu olduğunda, Japonlar resmi tatil yapıyorlardı, ama ne oldu işbaşı yaptıkları gün bildikleri halde gelen mesajı açtılar ve dosyayıda tereddüt etmeden çalıştırdılar. Virüsün çalıştırıldığı bilgisayar aslında internete o an açık değilse söylenenin aksine o denli büyük zararlar vermediği.
Virüsün en fazla yapabildiği e-mail aracılıyla kendini baska insanlara göndermek. Mp3 ve Jpg dosyalarını silmek. Eğer internet açık ise mIRC üstünden kendini başkalarına göndermek ve kendi sitesine bağlanıp WIN-BUGSFIX.exe adlı asıl iş bitirici dosyayı indirmek.
Çözümleri:
Yetenekten yoksun, ancak bu tip işlere özenen bazı kişilerde aynı virüsün Subject kısımını değiştirerek aynı virüsü başkalarını göndermeye devam ediyorlar, eğer aşağıdaki başlıklarda bir mesaj alırsanız dikkat edin.
SUBJECT : ILOVEYOU
SUBJECT : Susitikim shi vakara kavos puodukui...
SUBJECT : fwd: Joke
SUBJECT : same as A
SUBJECT : Mothers Day Order Confirmation
SUBJECT : Dangerous Virus Warning
SUBJECT : Virus ALERT!!!
SUBJECT : same as A
SUBJECT : Important! Read carefully!!
SUBJECT : How to protect yourself from the IL0VEY0U bug!
SUBJECT : I Cant Believe This!!!
SUBJECT : Thank You For Flying With Arab Airlines
Gelelim virüs'den kurtulma yollarına, eğer bu tip mesajlar alırsanız hiç terettüd etmeden inbox'ınızdan hatta delete item'dan bu mesajı silmeniz (unutmayın gelen mesajı açmadan ve eklenmiş olan dosyayı çalıştırmadığınız sürece virüs size zarar veremez).
Eğer merakınız ağır basmış ve mesajı açıp dosyayı çalıştırmışsanız bedava programlar bölümünden temin edebilieceğiniz antiIloveyou programını çekip sisteminizi temizlemeniz gerekmetedir.
Win9x.CIH
Sizlere virüsler özellikle Win9x.CIH virüsü hakkında bilgi vermek istiyorum.
Bu virüs son günlerde pek çoğumuzun başını ağrıtıyor.Virüs, bulaştığı programlarda herhangi bir boy uzamasına sebep olmadığından detaylı bir inceleme yapmadan virüsü tespit edebilmek zor.Win9x.CIH virüsünün 1-2 bugı var.Bu buglardan faydalanarak sisteminizde bu virüsü kolayca tespit edebilirsiniz. Aklıma ilk gelen şu; Mesela CD sürücünüzden bir dosyayı sabit diskinize kopyalamak isterseniz, dosya hatalı kopyalanıyor, kopyalama işlemi sonucunda dosyanın çalışmadığını görüyorsunuz.
Şu virüsün özelliklerine bir bakalım
Bulaştığı Dosyalar 32 bit Portable Executable
Virüs bulaştıktan sonra dosyadaki boy uzaması 0 byte
Çalıştığı işletim sistemleri Windows 9x (NT'de çalışmıyor)
Varyant sayısı 3
Virüs yukarıda da belirttiğim Win9x.CIH virüsü NT sistemlerinde çalışmaz, kodu NT altında çalışacak şekilde değildir.Win9x.CIH virüsününün bilinen 3 varyantı da yakın tarihlerde yazılmıştır ve yaklaşık olarak 1000 byte civarındadır. Bütün varyantlar, şifrelenmiş bir metin içerir.Aşağıdaki tabloda bunları görebilirsiniz.
Uzunluk Metin Tetiklenme tarihi
1003 CCIH 1.2 TTIT 26 Nisan
1010 CCIH 1.3 TTIT 26 Haziran
1019 CCIH 1.4 TATUNG Her ayın 26.cı günü
Win9x.CIH, yukarıdaki tabloda görebileceğiniz tarihlerde aktifleşir.Virüs aktifleştiğinde, hard-disk üzerindeki verilerin üzerine yazmaya başlar.Bunun yanısıra virüs sistemdeki FlashBIOS çipini resetlemeye çalışır. Virüs, FlashBIOS'a ulaşmak için direkt erişim portlarını, diske erişebilmek içinse VxD direkt disk erişimini (IOS_SendCommand) kullanır. Günümüzdeki makinalarda FlashBIOS olduğunu düşünürsek olayın ciddiyeti ortaya çıkar. FlashBIOS çiplerinin kontrol edilmesi, board üzerindeki jumperlar tarafından disable/enable edilebilse de, genelde bu ayar enabled şeklindedir.Yani virüs aktifleştiğinde rahatça FlashBIOS çipinizi uçurabilir, FlashBIOS çipinin uçması demek aynı zamanda makinanın da uçması demek.Bilgisayarın boot edilmesi için BIOS programı gereklidir.Virüs te BIOS programını uçurduğu için sistemi açmak mümkün olmaz..(Burayı anladınız sanırım)
Şimdi virüslerle ilgilenenlerin bu virüsle ilgili merak ettiklerini düşündüğüm 'nasıl oluyor da virüsün bulaştığı programın boyu uzamıyor' konusuna bakalım.
Bunun için öncelikle PE tipi programların yapıları hakkında az çok bilgi sahibi olmak gerek. PE header Windows 95/98/NT sistemlerinde kullanılıyor. Bu tip dosyaların 003Ch ofsetlerinde PE header'ın EXE dosya içindeki konumu yer alır.Buradaki ofset adresine bakarsak burada PE karakterlerini görürüz.Buradan itibaren PE header yer alır. PE header yapı itibarıyle pek çok boşluklu alanlar içerebilir ki hemen hemen bütün PE tipi programlarda görüleceği üzere PE headerın hemen ardında epeyce bir bölüm boştur.Win9x.CIH, kodunu bu gibi kodu için yeterli boş olanlara yazar. Bunun sonucunda virüslü programlarda herhangi bir boy uzaması olmaz.
Win9x.CIH virüsünün bulaştığı bir programı, temiz bir makinada çalıştırdığınızda, virüslü program Int 03'ü çağırır ve DR0 (Debug register0) yazmacına bakar. DR0 yazmacında sıfırdan farklı bir değer varsa virüs daha önce hafızaya yüklendirğini anlar ve kontrolü ana programa bırakır.Eğer DR0 yazmacında sıfır değeri gelmiş ise virüs Int 03'ü Interrupt Kesilme tablosuna direkt müdahele ederek kontrol altına alır. Int 03 genelde debuggerların breakpoint noktalarında program çalışmasına ara vermek için kullandıkları bir kesilmedir. Virüs bu sayede kodunun disassembly edilmesini engellemeye çalışır, bu aynı zamanda virüs kodunun CPU Supervisor seviyesinde çalıştırılmasını sağlar.
Virüslerden korunmak için iyi bir anti-virüs programını bilgisayarınızda bulundurun. En iyi virüs programı olan Avp anti-virüs programını programlar bölümünde yer almaktadır. Bu programla tam bir koruma sağlayabilirsiniz.
Win9x.CIH virüsü gerçekten çok tehlikeli bir virüs.27 Nisan/Haziran veya bir 27sinin sabahı kalktığınızda saçınızı başınızı yolmamak için bu virüsü ciddiye alın derim.
Çernobil Virüsünün Bilgisayara Etkisi ve çözüm yolları
Teknolojinin her dakika geliştiği günümüz de ,art niyetli ve bilgisayar sistemlerini çok iyi şekilde tanıyan bir takım şahıslar dijital katliam olarak nitelendirilebilecek ÇERNOBİL (CHERNOBYL / WINCIH) virüsünü yaratmıştır.
Daha önce bu tür bir virüs ile bilgisayar dünyası hiç karşılaşmamıştır.Bu virüs daha önceki yıllarda yazılan milyonlarca bilgisayar virüslerinden farklı olarak yeni teknoloji anakartlarda ki FLASH BIOS dediğimiz elektronik eleman içindeki bilgiyi sıfırlamakta , yani silmektedir.Öncelikle her türlü makinada Harddisk dediğimiz ,bilgilerinizi kaydettiğiniz aygıtı silmektedir.Bunun sonucunda tüm bilgileriniz silinmektedir.
Not : Virüs sadece Windows 95 veya Windows 98 işletim sistemini kullanan bilisayarlara zarar vermektedir.NT işletim sistemine zarar verememektedir.
I LOVE YOU
Artık bilinen bir gerçek var ki, bir virüsün popüler olabilmesi için verdiği zarardan çok, yayılma hızı ön planda yeralıyor. Çokda ayrıcalıklı bir koda sahip olmayan bu virüs Aşk kelimesi sayesinde umulandan daha hızlı yayılmıştır. Tabiki kendini yaymak için kullandağı programların açıklarınıda unutmamak gerek.
Gazetelerden okuduğumuz kadarıyla şu sıralar Iloveyou virüsünü yazan 23 yaşındaki kişinin gerçekten kodu yazan kişi olmadığı tartışması sürmekte, kimilerine göre böyle bir kodu üretmek 23 yaşındaki bir insan için imkansızmış. Diğer bir tartışma konusu ise kodu yazan kişinin bile bu denli büyük bir zarara yol açacağını tahmin etmemiş olmasıymış. (Dünyada bu kadar saf insan olduğunu hesaba katmamış olabilir)
Aslında zarara uğrayanlar şahıslar değil firmalar, burdan şu sonuç çıkıyor, bilgisayar başındaki kullanıcıların bilinçsiz ve vurdum duymaz olmaları. Bunun en güzel örneği ise Japonya. Virüs dünya basınında birinci haber konusu olduğunda, Japonlar resmi tatil yapıyorlardı, ama ne oldu işbaşı yaptıkları gün bildikleri halde gelen mesajı açtılar ve dosyayıda tereddüt etmeden çalıştırdılar. Virüsün çalıştırıldığı bilgisayar aslında internete o an açık değilse söylenenin aksine o denli büyük zararlar vermediği.
Virüsün en fazla yapabildiği e-mail aracılıyla kendini baska insanlara göndermek. Mp3 ve Jpg dosyalarını silmek. Eğer internet açık ise mIRC üstünden kendini başkalarına göndermek ve kendi sitesine bağlanıp WIN-BUGSFIX.exe adlı asıl iş bitirici dosyayı indirmek.
Çözümleri:
Yetenekten yoksun, ancak bu tip işlere özenen bazı kişilerde aynı virüsün Subject kısımını değiştirerek aynı virüsü başkalarını göndermeye devam ediyorlar, eğer aşağıdaki başlıklarda bir mesaj alırsanız dikkat edin.
SUBJECT : ILOVEYOU
SUBJECT : Susitikim shi vakara kavos puodukui...
SUBJECT : fwd: Joke
SUBJECT : same as A
SUBJECT : Mothers Day Order Confirmation
SUBJECT : Dangerous Virus Warning
SUBJECT : Virus ALERT!!!
SUBJECT : same as A
SUBJECT : Important! Read carefully!!
SUBJECT : How to protect yourself from the IL0VEY0U bug!
SUBJECT : I Cant Believe This!!!
SUBJECT : Thank You For Flying With Arab Airlines
Gelelim virüs'den kurtulma yollarına, eğer bu tip mesajlar alırsanız hiç terettüd etmeden inbox'ınızdan hatta delete item'dan bu mesajı silmeniz (unutmayın gelen mesajı açmadan ve eklenmiş olan dosyayı çalıştırmadığınız sürece virüs size zarar veremez).
Eğer merakınız ağır basmış ve mesajı açıp dosyayı çalıştırmışsanız bedava programlar bölümünden temin edebilieceğiniz antiIloveyou programını çekip sisteminizi temizlemeniz gerekmetedir
Kendisi pek zararlı olmayan bu virüs bir makro ile de virüs yapılabileceğini ispatlaması açısından önemli sayılmalı. WM.Concept virüsünün kaynak kodu gizli değildi, bu yüzden yeni makro virüsü yazmak isteyenler alıp üzerinde küçük değişiklikler yaparak tekrar ortalığa saldılar. Birkaç ay içinde yüzlerce makro virüsü tespit edildi ve kayıtlara geçirildi.
--------------------------------------------------------------------------------------------------------
Bilgisayar virüslerinin olası zararları nelerdir?
Virüsler, bilgisayarlarda genel bazı etkilere sebep olurlar.Eğer bilgisayarınızda aşağıdaki etkilerden biri veya birkaçı varsa sisteminizi bir virüs taramasından geçirebilirsiniz;
* Sistem hızında yavaşlama : Sistem hızında meydana gelen ani hız düşüşleri virüs etkinliklerinden kaynaklanabilir.Ancak bu durum Windows'un registry kaydının aşırı dolu olmasından da kaynaklanabilir.
* Programların diske erişim süresinin ve/veya yüklenmelerinin daha uzun sürede gerçekleşmesi : Dosya virüsleri bir program yüklenmek istendiğinde o programı kontrol eder, virüssüz ise o programa bulaşır.TRAKIA.1070 (Yandan Çarklı) gibi bazı virüsler aktif dizindeki EXE veya COM uzantılı dosyaların hepsine birden bulaşmak isteyebilir.Bu da yüklenme hızındaki düşüşe neden olur.
* Bilgisayarın sebepsiz yere kilitlenmesi veya resetlenmesi : İyi kodlanmamış TSR virüsler veya virüsün programcısı tarafından sistemin sık sık kilitlenmesi veya resetlenmesi öngülmüş olabilir.
* Anormal mesajlar : Eğlence amacıyla yazılmış virüsler veya özel bir amaçla yazılmış virüsler belli zamanlarda veya bazı özel durumlarda garip mesajlar verirler.
* Dosyaların garip bir şekilde yok olması ve(ya) dosya özniteliklerinin (attribute) değişmesi : Bazı virüsler dosyaları silerler.Bazı virüsler de daha önceden bulaşıp bulaşmadıklarını anlamak için dosyaların öznitelik bilgilerinde değişiklik yaparlar.
* Yazma-korumalı bir diskte okuma işlemi yaparken "Write protection" hatası : İyi yazılmamış virüsler write-protected disklerdeki programlara bulaşmak istediklerinde genelde bu hataya düşerler.
* Disk haritasını gösteren programlar ile diske baktığınızda daha önceden olmayan bozuk alanlar : Genellikle boot/mbr virüsleri sakladıkları alanları korumak için kullandıkları bu alanları bozuk olarak işaretler.
-------------------------------------------------------------------------------------------------------
Virüs Çeşitleri
Dünyada Bir cok çeşit virüs vardır.Bazıları Şunlardır;
O97M.Tristate
Virüsün Adı: O97M.Tristate
Takma Adı: O97M.Triplicate
Ne kadar alanı etkiliyor?: 1 VBA5 modülü
Nerelerde etkili?: MS Word 97, MS Excel 97, MS PowerPoint 97 dosyaları
Yaygınlık: Az
İlk Rastlandığı Yer: ABD
Türü: Makro
VİRÜS yazanlar arasında bu virüs gibi farklı farklı uygulamalarda etkili olabilen virüsler giderek moda oldu. Bu virüs Excel'de Book1 adlı bir dosya yoksa MS Excel'in başlangıç dizinine bu isimde bir belge yazıyor. PowerPoint'in Şablonlar dizinine "Blank Presentation.POT" adlı bir belge yazıyor. Benzer bir şekilde Word'un normal.dot'unun sahtesini yapıyor. Bu şablonlarda virüslü kod gömülü. Virüs tarama programları şimdilik PowerPoint'deki zararı onaramıyorlar. İş başa düşüyor. Virüslü sunumu açıp, Görünüm menüsünden Asıl Slayt'ı seçin. Slaytın kenarına tıklayıp Otomatik Şekil Nesnesini seçin ve silin. Visual Basic editörü ya da proje gezgini yardımıyla "Triplicate" adlı bir dosya var mı diye bakın, varsa onu da silin. Dosya/Aç menüsünden şablonlara gidip "Blank Presentation.POT" adlı bir dosyaya rastlarsanız onu da silin. Geçmiş Olsun.
W97M.Nono.A
Virüsün Adı: W97M.Nono.A
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 1 VBA Modülü;
Nerelerde etkili?: MS Word 97 belgesi
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Makro
SİSTEMDEN sizin adınızın ve soyadınızın baş harflerini alarak bu isimde bir Visual Basic Uygulaması (VBA) modülü yazıyor. Bunu NORMAL.DOT başta olmak üzere şablonlara yazmaya yöneliyor. Bunu yaparken C:\FALSE.BAT veya C:\TRUE.BAT adında geçici bir yığın dosyası yaratıyor. Her saatin 30'uncu dakikasında durum çubuğundan ":-) VicodinES" yazısı geçiyor ve yukarıdaki çubukta dosya adı yerine "Microsoft Word Loves " yazıyor.
Yeni virüs tarayıcıları bu virüsün hakkından geliyorlar. Ama yine de Normal.dot'u silmeniz gerekiyor. Adınızın baş harflerinden yapılmış dosya ile false ve true yığın dosyaları artık zarar veremiyor ama silmek daha güvenli. Araçlar/Seçenekler menüsüne gidip virüsün iptal ettiği seçenekleri tekrar aktif hale getirmeniz de gerekiyor.
X97M.Sugar
Virüsün Adı: X97M.Sugar
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: MS Excel 97 tablosu
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Makro
ADININ şeker gibi olduğuna bakmayın, bu virüs bütün Excel tablolarına virüslü kod gömüyor. Kullanıcı adı ile aynı olan bir geçici klasör yaratıp, örneğin C:\Ahmet SARI adlı geçici klasöre ismi rastgele oluşturulmuş metin dosyaları yazarak orada çalışıyor. Office\XLSTART klasörüne virüslü bir "BOOK1." dosyası yazıyor. Eğer kullanıcı VBA modülüne rastlarsa bu modüle de Auto_Close alt fonksiyonunu ekliyor. Çalışmak için kullandığı geçici metin dosyasını kazara ya da bilinçli olarak silerseniz kızıyor, "Why Did You Remove Sugar?" diye bir mesaj gönderiyor. MS Excel'in Makro virüslerinden korunma özelliğini de kapatıyor. Bunu tuhaf bir şekilde epey dolaylı bir yoldan yapıyor. Word'e bir AutoExec makrosu ekliyor ve çalıştırıyor. Bu AutoExec makrosu Windows Registry'sine giderek Excel'in makro virüs koruma özelliğinde bulunan değeri siliyor. Artık Excel makrolu belgeleri açarken virüs olabilir uyarısı yapamaz hale geliyor.
Bu virüsü temizlemek için XLSTART klasöründeki "BOOK1." dosyasını silmeniz gerek. Virüs tarama programlarından bazıları dosyayı onarabiliyorlar ama silmek çok daha güvenli. Eğer virüs bir kullanıcı modülüne Auto_Close eklemişse bunu farketmeniz o kadar kolay olmayabilir. Virüs tarama programları önce onarmayı deneyecek onaramazlarsa sileceklerdir.
Eğer o modülün bir yedeği varsa üstüne yazdırmak iyi bir çözüm, yoksa elle de düzeltebilirsiniz. Son olarak kök dizindeki kendi adınızla aynı olan klasörü silip, Araçlar/Seçenekler menüsünden Excel'in makro virüslerinden korunma özelliğini yeniden aktif hale getirmeniz gerekiyor.
W97M.Cali.A
Virüsün Adı: W97M.Cali.A
Takma Adı: W97M/Caligula
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: MS Word 97 belgesi
Yaygınlık: Az
İlk Rastlandığı Yer: ABD
Türü: Makro
W97M.CALİ.A makrosu bir belge ya da şablona Caligula adlı bir Visual Basic modülü ekliyor. Bunu yaparken "C:\IO.VXD" adlı geçici bir metin dosyası yaratarak onu kullanıyor. Gizlenebilmek için epey dolaplar çeviriyor. Dosya menüsünden Şablon, Araçlar menüsünden Özelleştir, Makro ve Visual Basic Editörü seçenekleri ile Görünüm menüsünden Araç Çubukları ve Durum çubuğu seçeneklerini etkisiz hale getiriyor. Böylelikle kullanıcının belgedeki makro ve VBA modüllerini kontrol etmesini zorlaştırıyor. Bu durumda Word makrolu belgeleri açarken uyarı vermiyor. Ayın 31'i ise virüslü dosyaları kapatırken şu mesajı alıyorsunuz: "WM97/Caligula (c) Opic [CodeBreakers 1998] : No cia, No nsa, No satellite, Could map our veins." Virüsün yorum satırına "Sende silah varsa ve karşındakinde yoksa ancak o zaman güvende olursun" diye yazmışlar. Virüsün yarattığı "C:\IO.VXD" ve "C:\CDBRK.VXD" geçici metin dosyalarını silmek şart değil ama iyi olur. Normal.dot'u silip Word'un otomatik olarak yaratacağı yeni Normal.dot'u kullanırsanız virüsten kurtuluyorsunuz.
W97M.Ethan.A
Virüsün Adı: W97M.Ethan.A
Takma Adı: Ethana
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: MS Word 97 belgesi
Yaygınlık: Sık
İlk Rastlandığı Yer: Avrupa
Türü: Makro
W97M.ETHAN.A makrosu virüs kodunu "ThisDocument" adlı MS Word 97 şablonu VBA modülünün başına yazıyor. Bu modül varsayılan bir modül olduğu için araçlar menüsünün makro listesinde bulunmaz. Faaliyeti sırasında gizli bir sistem dosyası olarak işaretlenmiş "C:\ETHAN.___" adlı geçici metin dosyasını yaratır. Word dosyalarınızın başlığı, yazarı ve anahtar sözcükleri artık sizin adınız değil virüsü yazanın adı haline gelir, bu yüzden virüslü bir belgeyi ayırdetmek kolaydır. Anti-virüs programları ile "ThisDocument" modülünü onarmayı deneyin, eğer bu modülü daha önce kendiniz değiştirerek özelleştirmişseniz yeni baştan değerleri girmeniz gerekecek.
W97M.Marker
Virüsün Adı: W97M.Marker
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 1 VBA5 modülü
Nerelerde etkili?: Microsoft Word 97 belgeleri
Yaygınlık: Sık
İlk Rastlandığı Yer: Kanada
Türü: Makro
W97M.MARKER çok yaygın bir makro virüsü. Bu yazıda sözü geçen diğer virüsler gibi son bir-iki ay içinde üretilmiş değil, birkaç ay daha eski. W97M.Class virüsüne benziyor, faaliyeti sırasında "HSF****.SYS" adlı (buradaki dört yıldız yerine rastgele üretilmiş dört rakam düşünün) bir metin dosyası yaratıyor. Word 97'nin kaydettiği kullanıcı bilgilerini, yani adınızı çalıştığınız yerin adını alıp ayın 1'inde bir FTP sitesine bir kereliğine gönderiyor. Bu durumda "HKEY_CURRENT_USER\Software\Mi crosoft\MS Setup (ACME)\User Info" registry key'indeki "LogFile" değeri TRUE olarak değiştiriliyor, yani kullanıcı bilgilerinizin yeniden Internet'e gönderilmesi engelleniyor. İsterseniz Windows'un REGEDIT programını kullanarak bunu düzeltebilirsiniz. Bir de geçici metin dosyaları c:\netldx.vxd ile HSF****.SYS'yi silebilirsiniz. Bunların dişinda aktif olarak korunmaktan başka yapabileceğiniz bir şey yok. Bu virüs çok garip, bir kere çalışıyor, adınızı çalıyor, başka bir şey yapmıyor.
W97M.Pri
Virüsün Adı: W97M.Pri
Takma Adı: W97M.PSD
Ne kadar alanı etkiliyor?: 1 VBA5 Modülü
Nerelerde etkili?: Microsoft Word 97 belgeleri
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Makro
W97M.PRI, polymorphic bir makro virüsü. Çoğu Word makrosu gibi Normal.dot'a virüs bulaştırıyor, belge kapatırken diğer belgelere de bulaşıyor. Word'un makro korunma özelliğini kapatarak gizlenmeye çalışıyor. Tarih ve saat aynı rakamı gösteriyorken yani örneğin 4 Nisan'da saat 4:44:44'te 70 tane rastgele biçimlendirilmiş ve renklendirilmiş Otomatik şekil nesnesi yaratıyor. İşin ilginç tarafı bu virüs MS Word 2000'de de çalışacak şekilde tasarlanmış. MS Word 2000'in güvenlik ayarlarını en düşük düzeye indirerek kendi güvenliğini artırıyor. Ancak temizlenmesi çok kolay, Normal.dot'u siliyorsunuz, W97M.Pri sizlere ömür.
PictureNote.Trojan
Virüsün Adı: PictureNote.Trojan
Takma Adı: Trojan Horse, Backdoor.Note, Picture.exe, URLSnoop
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Trojan Horse
PICTURENOTE.TROJAN, adından da anlaşıldığı gibi bir truva atı. Virüs gibi üreme yeteneği yok. Internet üzerinden e-mail'e ilişik olarak çok sayıda kullanıcıya gönderilmiş. İlişik programın adı PICTURE.EXE. Bu program çalıştırıldığında kendisini WINDOWS dizinine NOTE.EXE adıyla kopyalıyor. Bu dizindeki WIN.INI dosyasını değiştirerek "run" parametresini NOTE.EXE programını çalıştırmak üzere yeniden ayarlıyor. Windows'u tekrar açtığınızda NOTE.EXE çalışıyor ve bilgisayarınızda America Online kullanıcı bilgilerini aramaya başlıyor, bu yüzden ABD dışında pek bir şansı yok. Amaç AOL kullanıcılarının şifrelerini çalmak.
W97M.Class
Virüsün Adı: W97M.Class
Takma Adı: Class.Poppy
Ne kadar alanı etkiliyor?: 1 VBA5 modülü
Nerelerde etkili?: Microsoft Word 97 belgeleri
Yaygınlık: Sık
İlk Rastlandığı Yer: Aynı anda birçok yer
Türü: Makro
VİRÜS tarihinde görülen ilk makronun yeniden gözden geçirilmiş ve "düzeltilmiş" yeni versiyonu. Word 97'nin şablonlarına virüslü kod ekleyerek çalışıyor. Araçlar menüsünden Makro seçeneğini etkisiz hale getirerek gizlenmeye çalışıyor. Eski versiyonları yılın belli bir gününde mesaj verirlerdi, yeni versiyonu ise Win95 registry ayarlarıyla oynayarak kayıtlı sahibinin yerine virüsü yazanın adını yazıyor. Sisteminizde C:\CLASS.SYS veya C:\CLINTON.SYS isimli dosyalara rastlarsanız silmeniz gerekiyor. Virüsün değişik sürümlerine göre verdiği mesajlar değişiyor. Bunlar arasında, "I think is a big stupid jerk!", "Monica Blows Clinton! -=News@11=-", "Today is Clinton & Monica F___-Fest Day!" sayılabilir.
JavaApp.BeanHive
Virüsün Adı: JavaApp.BeanHive
Takma Adı: BeanHive
Nerelerde etkili?: Java appletleri ve uygulamaları
Yaygınlık: Az
Hedef Platform: Java destekleyen tüm platformlar
Harekete Geçme Tarihi: Yok
İŞTE Java tarihinde ikinci virüs de göründü. Bu virüs biraz komik. Çünkü bazı yeni teknolojileri kullanarak epey şeytanlıklar yapmak üzere tasarlanmış ama yapılan kod hataları yüzünden yüzde doksan çalışmayı başaramıyor. Ancak tam istediği koşullar (muhtemelen yazıldığı sistemdeki koşullar) gerçekleşince çalışıyor. Java appletlerini ve uygulamalarını virüslemek üzere tasarlanmış.
İlk Java virüsü olan Strange Brew'dan temel bir farkı var. Strange Brew kullanıcıya sormadan yerel dosyalara erişmeye çalışıyordu ve çoğu durumda sistemdeki sanal Java makinesi (JVM) tarafından durduruluyordu. JVM'nin güvenlik tedbirleri ancak kullanıcının izniyle gevşetilebildiği için BeanHive kullanıcıdan izin istetiyor, eğer verirse ne ala, vermezse ısrar etmeyip vazgeçiyor. Bu virüs eğer virüsü yazanın Web sayfasını ziyaret ederseniz bulaşıyor. Çok sayıda bug'a sahip bir virüs olması bizim açımızdan iyi, ama Java programcılığıyla uğraşanlar deney yapmak için bu virüsle uğraşırlarsa Java dosyaları büyük ihtimalle zarar görüyor.
Happy99.Worm
Virüsün Adı: Happy99.Worm
Takma Adı: Trojan.Happy99, I-Worm.Happy
Yaygınlık: Sık
İlk Rastlandığı Yer: Avrupa
Türü: Worm
SON zamanlarda Win.CIH'tan sonra adı en çok duyulan Happy99. Bu program bir virüs değil, bir worm. İlk kez haber gruplarında görülmüş, oraya post edilen makalelere ilişik olarak Happy99.exe adıyla ortaya çıkmış.
Çalıştırıldığında üzerinde "Happy New Year 1999 !!" yazan ve havayi fişek patlamaları gösteren bir pencere açılıyor. Program kendisini SKA.EXE adıyla kopyalayıp, Windows'un sistem dizinine SKA.DLL adlı bir kütüphane linki dosyası yazıyor. Yine Windows'un Sistem dizinindeki WSOCK32.DLL dosyasının üzerinde değişiklikler yapıyor, orijinal halini ise WSOCK32.SKA adlı başka bir dosyaya kopyalıyor. WSOCK32.DLL dosyası Windows 95 ve 98'de Internet bağlantısını kontrol eder. Üzerinde yapılan değişiklik sayesinde her Internet'e bağlanma ya da dosya gönderme girişimi olduğunda worm harekete geçiyor. Worm'un SKA.DLL'i yükleniyor. SKA.DLL yazdığınız e-mail ya da başka türden bir mesajın aynısını yaratarak arkasına UUENCODE ile kriptolanmış olarak HAPPY99.EXE programını da iliştirerek gönderiyor. Worm, WSOCK32.DLL dosyasını değiştirmeye çalışırken, bu DLL kullanımdaysa yani kullanıcı Internet'e bağlı ise o zaman da registry'lere şunu giriyor: HKEY_LOCAL_
MACHINE\Software\Microsoft\Win dows\CurrentVersion\RunOnce=SK A.EXE Bu kez de Windows'un bir sonraki açılışında bu satırın gereği yapılıyor, ve Worm işe başlıyor.
Belki de en garantili yöntem, bu worm'u elle temizlemek. Bunu yapmak için önce WINDOWS\SYSTEM\SKA.EXE'yi silin. Tabii ki WINDOWS\SYSTEM\SKA.DLL'i de silin. Sonra WINDOWS\SYSTEM\ dizininde WSOCK32.DLL dosyasının adını WSOCK32.BAK olarak değiştirin. Yine WINDOWS\SYSTEM\ dizinindeki WSOCK32.SKA dosyasının adını WSOCK32.DLL olarak değiştirin. Bu isim değiştirmeleri Internet'e bağlıyken yapamazsınız, Windows Wsock32.dll dosyasını kullandığı için buna izin vermez, aklınızda bulunsun. Son olarak, muhtemelen bir e-mail mesajına ilişik olarak aldığınız ve adı HAPPY99.EXE olan dosyanın da gözünün yaşına bakmayın.
Bu deneyim bize bir kez daha gösteriyor ki, güvenilir bir kaynaktan gelmeyen, e-mail'e iliştirilmiş her türlü .doc, .xls, .ppt, ve .exe gibi dosyalar açılmayacak, çalıştırılmayacak.
HTML.Enel.3787
Virüsün Adı: HTML.Enel.3787
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 3787 byte
Nerelerde etkili?: HTM, HTML, ve HTT uzantılı dosyalar
Yaygınlık: Az
İlk Rastlandığı Yer: Belli Değil
Türü: HTML dosyalarına VBScript kodu gömüyor
Hedef Platform: Internet Explorer 4.0 ve yukarısı
Harekete Geçme Tarihi: Belli Değil
HTML.ENEL.3787 virüsü HTML dosyalarına bulaşan bir VBScript. Internet Explorer 4.0 ve yukarısında çalışıyor. Bilgisayarınızda C:\WINDOWS\WEB, C:\InetPub\wwwroot, ve C:\MyDocu~1 (Belgelerim) klasörlerine bakarak .asp, .htt ve .aspl uzantılı dosya arıyor. Bu virüsü ziyaret ettiğiniz bir Web sayfasından kapıyorsunuz ama Explorer'ın varsayılan güvenlik ayarlarına göre kapmadan önce mutlaka bir uyarı alıyorsunuz ve uzaktan registry ayarlarınıza dokunamıyor. Sisteminize girmeyi başarabilmişse bulabildiği Web belgelerinin altına virüslü kodu ekleyerek faaliyetine başlıyor. Virüslenmiş Web belgesini açtığınızda durum çubuğunda "HTML.Worm v0.2 /1nternal" yazısı çıkıyor ve sayfanın her 15 çağrılışından birinde sizi virüs yazarının sitesine yönlendiriyor.
VBS.Rabbit
Virüsün Adı: VBS.Rabbit
Takma Adı: VBScript.Rabbit
Ne kadar alanı etkiliyor?: 546, 587, veya 651 byte
Nerelerde etkili?: Visual Basic Script (VBS) dosyaları
Yaygınlık: Az
İlk Rastlandığı Yer: Belli Değil
Türü: Visual Basic Script
WINDOWS 95 ilk çıktığında DOS virüslerinin sonu geldi sanılmıştı. Ama ne yazık ki işletim sisteminden bağımsız olarak her PC'de ortalığı tarümar etmeye devam ettiler. Giderek Makro virüsleri en yaygın tehdit haline geldi.
Bu arada Windows 98'in standart bir özelliği olarak gelen, Windows 95 ve Internet Explorer 4 için ise download edilebilen bir modül olan Windows Scripting Host (WSH) ortamı makro virüsü yazanlar için eşsiz bir araç oldu. Windows Scripting, DOS'un yığın dosyalarını andırıyor. Zaten DOS ortamında da cscript.exe ile Windows'da ise wscript.exe ile çalıştırılıyor.
Sadeleştirerek özetlemek gerekirse WSH, VB Script, Java Script gibi bir ActiveX arayüzü destekleyen dil ile Windows'un dosyalara erişim, kısayollar, çevirmeli ağ, registry gibi özellikleri arasında bir yorumlayıcı işlevi görüyor. Yani yöntem açısından en yeni virüs tehdidi bu. Bu virüs bilgisayarda bulabildiği tüm VBS uzantılı dosyalara virüslü kod ekliyor. Her ayın 15'inde "VBSv v2.0 by Lord Natas/CodeBreakers" mesajı vererek virüsü yazanın Web sitesine yönlendiriyor.
HTML.Prepend
Virüsün Adı: HTML.Prepend
Takma Adı: HTML.Internal
Ne kadar alanı etkiliyor?: 1670 byte
Nerelerde etkili?: HTM, ve HTML uzantılı dosyalar
Yaygınlık: Az
İlk Rastlandığı Yer: Belli Değil
Türü: HTML dosyalarına VBScript kodu gömüyor
Hedef Platform: VBScript çalıştırabilen browser'lar
Harekete Geçme Tarihi: Belli Değil
HTML.PREPEND virüsü HTML dosyalarına bir VB script ekleyerek yayılıyor. Bilinen diğer iki HTML virüsü ile bunu yazan aynı kişi. Bu virüsü Internet'ten kapma ihtimali yok. Virüslü dosya yerel olarak çalıştırıldığında virüs faaliyete geçiyor. Yani kodundan yararlanmak için save ettiğiniz bir HTML dosyasını üzerinde değişiklik yapmak üzere açtığınız anda (tabi eğer browser'ınızın güvenlik ayarlarını düşük düzeyde tutuyorsanız) iş bitiyor. Diskinizdeki 6 HTML dosyasına daha bulaşarak yayılıyor, kök dizindeyse ya da yayılırken kök dizine gelirse uslu durup bir şey yapmıyor. Virüslü dosyayı çalıştırdığınızda durum çubuğunda "HTML.Prepend /1nternal" yazısı çıkıyor.
XM.Compat
Virüsün Adı: XM.Compat
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: Microsoft Excel 5/7/95 tabloları
Yaygınlık: Sık
İlk Rastlandığı Yer: Avustralya
Keys: Makro, Polymorphic
BU polymorphic makro virüsü, MS Excel tablolarına rastgele bir isimle VBA modülü ekliyor. Dosyayı kapatırken virüs faaliyetine başlıyor. Excel'in eklenti kütüphanesine OFF97COM.XLA isimli bir dosya ekliyor, kallavi bir isme sahip olan bu dosyanın açıklaması olarak da "Allows Excel 5/7 users to share files with Excel 97 users" yazarak işe yarar bir şey zannedilmesini sağlamaya çalışıyor.
Üzerinde çalıştığınız tablo dışında başka bir tabloyu alıyor, bu tablonun içinden bir hücreye sayısal bir değer yazıp bu değeri yüzde 5 ile çarpmaya başlıyor, bu işlemi 1000 kerelik bir döngüye sokuyor. Bir anti-virüs programı kullanarak temizlediğinizde de bu kez Excel eklentilerimden birini bulamıyorum diye mızıklanmaya başlıyor. Bunu araçlar menüsünden eklentilere gidip düzeltebiliyorsunuz.
Win95.CIH
Virüsün Adı: Win95.CIH
Takma Adı: Win95/CIH, CIH.Spacefiller, PE_CIH.
Ne kadar alanı etkiliyor?: Bilinen üç çeşidi: 1003, 1019, 1010 byte.
Nerelerde etkili?: Windows 9x dosya sistemi API'leri
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: PE kısmını kullanan fragmente olmuş boşluk virüsü
Verdiği Zarar: Sabit disklerin ilk 2048 sektörünü bozup kendi bilgilerini yazıyor ve kısmen Flash BIOS boot bloğunu bozuyor.
Temizleme: Temiz bir sistem disketiyle açıp, virüslü dosyaları silerek, yedeklerini yerlerine koymak
Harekete Geçme Tarihi: Her ayın 26'sı, 26 Nisan, 26 Haziran
WIN95.CIH virüsünü duymayan yoktur. Bu virüsün 4 türü var. İki tanesi Nisan'ın 26'sında aktif hale geliyor, bir tanesi Haziran'ın 26 sında aktif hale geliyor diğeri ise her ayın 26'sında aktif hale geliyor. Ne yazık ki hepsi de bilgisayarınızı çalışamayacak hale getiriyor, eğer BIOS'unuz FLASH BIOS ise durum daha da vahim, bu virüs diğer virüslerden farklı olarak BIOS'unuza bulaşıyor, zaten BIOS'unuz FLASH değilse bile sabit diskinizin ilk 2048 sektörünü mahvederek gene yapacağını yapıyor. Bu virüsten kurtulmanız için gerekli programları Internet'ten bulabilirsiniz. Öncelikle Kill_Cih programını çekerek o an bellekte aktif olan virüsü temizleyin ve sonra da W9X adlı virüs programı ile virüsün bulaştığı tüm dosyalarınızı aşılayın, geçmiş olsun. Bu temizleme programlarını bulabileceğiniz sitelerin adresleri şöyle:
http://www.amonra.net
http://i.am/amonra
http://freehosting.at.webjump.com/po/poira-webjump/
Win95.CIH virüsü Portable Executable (PE) Windows 95 ve 98 .exe dosyalarında kullanılmayan boş alanları bulup kendini parçalayarak parçalarını buralara yerleştiriyor. FlashBIOS'u sildiği zaman çoğunlukla yeni BIOS chip'i almak zorunda kalıyorsunuz. Sabit diskin sistem alanını bozduğunda da büyük ihtimalle verilerinizi kurtaramıyorsunuz.
Bu virüsten korunmak çok önemli. Yukarıda adı geçen virüslerin çoğundan daha eski olduğu için geçen yılın Ağustosundan sonra üretilmiş her antivirüs programı işe yarıyor. Eğer bu programları bulamazsanız ayın 26'sında bilgisayarınızı açmayın.
W95.Marburg.A / W95.Marburg.B
Virüsün Adı: W95.Marburg.A / W95.Marburg.B
Takma Adı: Yok
Ne kadar alanı etkiliyor?: Yaklaşık 7900 byte
Nerelerde etkili?: 32-Bit Windows .EXE dosyaları
Yaygınlık: Sık
İlk Rastlandığı Yer: Avrupa
Türü: 32 bit Windows virüsü, Direct Action
Hedef Platform: Windows 95
Harekete Geçme Tarihi: Sisteme girdikten üç ay sonra
W95.MARBURG virüsü 32-bit bir Windows virüsü ve hem Windows 95/98 hem de Windows NT .exe ve .scr dosyalarını etkiliyor. Ama NT'de çoğalamıyor. Eğer dosyanın adı "PAND", "F-PR", veya "SCAN" ile başlıyorsa ya da dosya adında V harfi varsa arkasına bakmadan kaçıyor ve başka bir dosyaya sataşıyor.
Bunun sebebi şu; anti-virüs yazılım paketleri kendi bütünlüklerini sürekli denetlerler ve en küçük bir değişiklik farkederlerse hemen alarma geçerler. Marburg bununla yetinmeyip anti-virüs programların bazı dosyalarını silmeye de çalışıyor. Bu sayede onları etkisiz hale getirmek istiyor. Virüslü uygulama virüsü kaptıktan üç ay sonra çalıştığında Windows'un standart error ikonu yani kırmızı bir yuvarlak üstünde beyaz bir çarpı işareti beliriyor, bir de ekran kızamık olmuş gibi beneklerle kaplanıyor.
JavaApp.Strange Brew
Virüsün Adı: JavaApp.Strange Brew
Takma Adı: Yok
Ne kadar alanı etkiliyor?: Yaklaşık 3890 byte
Nerelerde etkili?: Java .class dosyaları
Yaygınlık: Az
Türü: Direct action
Hedef Platform: Java destekleyen tüm platformlar
Harekete Geçme Tarihi: Yok
STRANGE BREW tarihin ilk Java virüsü. Bilgisayar bilimcilerin tabiriyle "parazit" bir virüs. Yani bir programa yapışıyor ve programın çalışmasını bozmuyor. Strange Brew, Java ".class" dosyalarında yaşıyor. Java olduğu için her platforma girip çalışabiliyor. Meşhur W95.CIH sadece Windows 95 ve 98'de çalışabiliyor ama bu Unix falan anlamıyor, giriyor. Web browserlarının varsayılan güvenlik ayarları girmesine izin vermiyor. Olur da girerse görünür bir zarar vermek yerine durmadan çoğalıyor. İyi tasarlanmamış bir program olduğu ve bug'ları olduğu için arada çöküyor. Çöktüğü zaman Java uygulamasını ya da sanal makinesini de geçici olarak çökertiyor. Bir kez çöktükten sonra artık kaynak kodunu bulamadığı için yayılması duruyor.
Kısa Bir Sözlük
Bilgisayar Virüsü - İlk kez Fred Cohen tarafından 1984 yılında kullanılmış bir terim. Bilgisayar virüsü başka bir programa yapışan küçük bir programdır, kendisini kopyalayarak diğer yazılımlara saldırır.
Worm - Worm çoğu zaman başlıbaşına bir programdır, bellekteki ve diskteki eriştiği bölgelerin verilerini bozar. İçine gömülüp saklanacağı bir evsahibi programa ihtiyaç duymaması ile virüslerden ayrılır.
Trojan horse - Truva atı. Masum görünüşlü bir programın farklı şeyler de yapması. Bazen gerçekten masum programların bug'ları da aynı etkiyi yapabilir. Çoğunlukla kendilerini kopyalayarak çoğalmazlar.
Zaman ayarlı bomba - Mantıksal bomba da denilir, belli bir olay gerçekleştikten sonra örneğin ayın 13'ü Cuma gününe denk gelmişse zarar verici faaliyetine başlar.
Boot sektör virüsü - Disklerin partition tablosunda veya boot sektöründe saklanan ve sistem çalıştırıldığında faaliyete geçen virüs. En yaygın olanları arasında Pakistani Brain virüsü ile Stoned/Marijuana virüsü sayılabilir.
Uygulama Programı virüsü - En bulaşıcı olan virüsler bunlardır. Çoğunlukla .com ve .exe uzantılı olan her türlü çalışabilir dosyaya bulaşırlar. En yaygın olanı Jerusalem virüsüdür.
Gizlenen virüsler - Dosya büyüklüğündeki artışı ya da tarih ve zaman bilgilerini gizleyerek yakalanmalarını güçleştirmeye çalışırlar.
Dark Avenger Mutation Engine - Genellikle virüs yazanların kullandığı bir polimorfik kriptolama programı. Virüs bu programla kriptolanınca anti-virüs programlarına kolay yakalanmıyor.
Makro virüsleri - Word ya da Excel dosyalarına bir makro gibi gömülerek yaşayan virüs. Dosya açıldığında uygulamanın standart makrolarından birinin yerine yerleşiyor ve gelen her belgeye bulaşıyor.
---------------------------------------------------------------------------------------------------------
Bilgisayar virüslerinin popüler bulaşma yollarından birisi "virüs kapmış bilgisayar programları" dır. Bu durumda, virüs kodu bir bilgisayar programına (söz gelimi, sık kullandığınız bir kelime işlemci ya da beğenerek oynadığınız bir oyun programı) virüsü yazan (ya da yayan) kişi tarafından eklenir. Böylece, virüslü bu programları çalıştıran kullanıcıların bilgisayarları "potansiyel olarak" virüs kapabilirler. Özellikle internet üzerinde dosya arşivlerinin ne kadar sık kullanıldığını düşünürsek tehlikenin boyutlerını daha da iyi anlayabiliriz.
Virüslenmiş program çalıştırıldığında bilgisayar virüs kodu da, genellikle, bilgisayarınızın hafızasına yerleşir ve potansiyel olarak zararlarına başlar. Bazı virüsler, sabit diskinizin ya da disketlerinizin "boot sector" denilen ve bilgisayar her açıldığında ilk bakılan yer olan kısmına yerleşir. Bu durumda, bilgisayarınız her açıldığında "virüslenmiş" olarak açılır. Benzer şekilde, kendini önemli sistem dosyalarının (MSDOS ve windows için COMMAND.COM gibi) peşine kopyalayan virüsler de vardır.
Genellikle her virüsün bir adı vardır (Cansu, Stoned, Michaelangelo, Brain, Einstein vb gibi).
------------------------------------------------------------------------------------------------------
Dosyalara bulaşan virüsler
Bilgisayarın sistem alanlarına bulaşan virüsler
İlk gruba girenler, genellikle, kullanıcının çalıştırdığı programlara (söz gelimi, dos için .EXE ve .COM) bulaşır. Bazen, başka tür sistem dosyalarına da (.OVL, .DLL, .SYS gibi) bulaşabilirler. Programların virüslenmesi iki yolla olur: Ya virüs kodu bilgisayarın hafızasına yerleşmiştir ve her program çalıştırılışta o programa bulaşır; ya da hafızaya yerleşmeden sadece "virüslü program her çalıştırılışında" etkisini gösterebilir. Ancak, virüslerin çoğu kendini bilgisayarın hafızasına yükler.
İkinci gruba giren virüsler ise, bilgisayarın ilk açıldığında kontrol ettiği özel sistem alanlarına (boot sector) ve özel sistem dosyalarına (command.com gibi) yerleşirler.
Bazı virüsler ise her iki şekilde de zarar verebilir.
Bazı virüsler, virüs arama programları tarafından saptanmamak için bazı "gizlenme" teknikleri kullanırlar (Stealth Virüsleri). Bazı tür virüsler ise, çalıştırıldığında kendine benzer başka virüsler üretir (Polymorphic virüsler). (Bu tip virüslein ilk örneklerinden olan Dark Avanger ve Cascade bilgisayar sistemlerine ciddi zararlar vermişlerdir).
Bir virüs Word ya da Excel gibi her gün kullandığınız programlara yerleşerek de çoğalabilir, disketlerin boot sektörüne kendini yazarak da. Virüsü kapmış dosya çalıştırıldığında veya bilgisayar virüslü disketten açıldığında virüs icraatına başlar. Genellikle yaptığı ilk iş gidip belleğe yerleşmek ve enfekte etmek için orada sinsi sinsi kurban beklemek olur. Bir sonraki çalışan program ya da takılan bir sonraki disket virüsün hedefi olur. Çoğu virüs belli bir tarihe gelindiğinde ya da virüslü program belli sayıda çalıştırıldığında üremenin dışında bir faaliyete daha başlar. Bu, ekrana bir mesaj ya da resim çıkarmak gibi masum yaramazlık sayılabilecek bir faaliyet de olabilir, ekran ayarlarınızı değiştirerek ya da sistem performansını yavaşlatarak orta seviye zarar veren bir faaliyet de olabilir, sistem çökmelerine, veri kaybına ve dosyaların hasar görmesine yol açan insafsız bir faaliyet de olabilir.
DOSYAYA BULAŞAN VİRÜSLER
Bu virüsler .COM ve .EXE uzantılı dosyaların kaynak koduna kendilerinin de bir kopyasını eklerler. Bazı durumlarda .SYS, .DRV, .BIN, .OVL ve .OVY uzantılı dosyalara da bulaşırlar. Bazen bellekteki virüs bulaşmak için dosyanın açılmasını beklemek zorunda kalmaz, sadece açıldığı zaman örneğin DOS'ta DIR çekildiği zaman hepsine bulaşır. Erişebildiği dizindeki tüm dosyalara doğrudan bulaşabilen virüsler de bulunuyor. Dosyaya bulaşan virüslerin çoğu EXE dosyanın başlangıç kodunu alır ve dosya içinde başka bir yere yazar. Dosya çalıştırıldığında önce virüs harekete geçer, başlangıç kodunu çalıştırır ve sanki her şey yolunda gidiyormuş gibi görünür. Bazıları .exe uzantılı dosya ile aynı isimde ama soyadı .com olan bir dosya yaratarak içine kendi kodunu kopyalar. DOS tabanlı işletim sistemleri önce .com uzantılı dosyaya bakacağı için farkında olmadan virüsü çalıştırmış olursunuz.
BOOT SEKTÖRÜ VİRÜSLERİ
İster sabit diskte ister diskette olsun A, C, D, E olarak bildiğimiz mantıksal bölümlerinin her birinin bir boot sektörü vardır. Bu disk ya da disketten bilgisayar açılamıyorsa da durum değişmez, illa boot edilen bir disk olması şart değil. Boot sektöründe diskin formatı ve depolanmış verilerin bilgileriyle DOS'un sistem dosyalarını yükleyen boot programı bulunur. Meşhur "Non-system Disk or Disk Error" mesajını bu program, sistem dosyalarını bulamadığı zaman gönderir. Bir boot sektör virüsü sistem dosyalarını bozduğunda da bu mesajı alırsınız. 1996 yılına kadar en yaygın virüs tipi bunlardı. Boot disketinden belleğe geçer ve yazma koruması olmayan her türlü diskete eriştiği anda bulaşır.
MASTER BOOT RECORD VİRÜSLERİ
Sabit disklerin ilk fiziksel sektörlerinde (Side Ø, Track Ø, Sector 1) diskin Master Boot Record'u ve Partition Tablosu vardır. Master Boot Record'un içindeki Master Boot programı partition tablosundaki değerleri okur ve boot edilebilir partition'ın başlangıç yerini öğrenir. Sisteme o adrese git ve bulduğun ilk program kodunu çalıştır komutunu gönderir. Bu virüsler de tıpkı boot sektör virüslerinde olduğu gibi bulaşırlar. Virüslü bir disketten makineyi açarken virüslü boot sektör programı okunur ve çalıştırılır, virüs belleğe yerleşir ve sabit diskin MBR'ını (Master Boot Record) bozar. Her disk ve disketin bir boot sektörü olduğuna göre sistem disketi olmayan veri disketlerinden de bulaşma ihtimali vardır.
MULTİ-PARTITE VİRÜSLER
Multi-partite virüsler yukarıda sözedilen iki tür virüsün kombinasyonudur. Bu tür virüslere daha az rastlanıyor ama rastlanma oranı da giderek artıyor. Hem MBR, hem boot sektörü ve çalıştırılabilir dosyaları bozarak yayılma şanslarını artırıyorlar.
MAKRO VİRÜSLERİ
Son zamanlarda en çok rastlanan virüs tipi bu. Adından da anlaşılacağı gibi bu tür virüsler Microsoft Word ve Excel gibi popüler uygulama programlarının makro dilleri kullanılarak yazılıyorlar. Makro'lar veri dosyalarında kaydedildiği için virüslü bir belge açıldığında virüsün makro kodu çalışmaya başlayarak ne yapacaksa yapıyor. İlk olarak 1995 yılında görülen bu virüs türü Microsoft Word'ün şablon belgelerini bozuyordu. Bir yıl içinde tarihin en yaygın ve başarılı virüs türü haline geldi. Bu başarıda en büyük pay Word'un çok yaygın kullanılan bir uygulama olmasında ve insanların Internet üzerinden birbirlerine bol miktarda Word belgesi göndermesinde gizli. Makro virüslerinden ilkinin adı WM.Concept idi.
I LOVE YOU
Artık bilinen bir gerçek var ki, bir virüsün popüler olabilmesi için verdiği zarardan çok, yayılma hızı ön planda yeralıyor. Çokda ayrıcalıklı bir koda sahip olmayan bu virüs Aşk kelimesi sayesinde umulandan daha hızlı yayılmıştır. Tabiki kendini yaymak için kullandağı programların açıklarınıda unutmamak gerek.
Gazetelerden okuduğumuz kadarıyla şu sıralar Iloveyou virüsünü yazan 23 yaşındaki kişinin gerçekten kodu yazan kişi olmadığı tartışması sürmekte, kimilerine göre böyle bir kodu üretmek 23 yaşındaki bir insan için imkansızmış. Diğer bir tartışma konusu ise kodu yazan kişinin bile bu denli büyük bir zarara yol açacağını tahmin etmemiş olmasıymış. (Dünyada bu kadar saf insan olduğunu hesaba katmamış olabilir)
Aslında zarara uğrayanlar şahıslar değil firmalar, burdan şu sonuç çıkıyor, bilgisayar başındaki kullanıcıların bilinçsiz ve vurdum duymaz olmaları. Bunun en güzel örneği ise Japonya. Virüs dünya basınında birinci haber konusu olduğunda, Japonlar resmi tatil yapıyorlardı, ama ne oldu işbaşı yaptıkları gün bildikleri halde gelen mesajı açtılar ve dosyayıda tereddüt etmeden çalıştırdılar. Virüsün çalıştırıldığı bilgisayar aslında internete o an açık değilse söylenenin aksine o denli büyük zararlar vermediği.
Virüsün en fazla yapabildiği e-mail aracılıyla kendini baska insanlara göndermek. Mp3 ve Jpg dosyalarını silmek. Eğer internet açık ise mIRC üstünden kendini başkalarına göndermek ve kendi sitesine bağlanıp WIN-BUGSFIX.exe adlı asıl iş bitirici dosyayı indirmek.
Çözümleri:
Yetenekten yoksun, ancak bu tip işlere özenen bazı kişilerde aynı virüsün Subject kısımını değiştirerek aynı virüsü başkalarını göndermeye devam ediyorlar, eğer aşağıdaki başlıklarda bir mesaj alırsanız dikkat edin.
SUBJECT : ILOVEYOU
SUBJECT : Susitikim shi vakara kavos puodukui...
SUBJECT : fwd: Joke
SUBJECT : same as A
SUBJECT : Mothers Day Order Confirmation
SUBJECT : Dangerous Virus Warning
SUBJECT : Virus ALERT!!!
SUBJECT : same as A
SUBJECT : Important! Read carefully!!
SUBJECT : How to protect yourself from the IL0VEY0U bug!
SUBJECT : I Cant Believe This!!!
SUBJECT : Thank You For Flying With Arab Airlines
Gelelim virüs'den kurtulma yollarına, eğer bu tip mesajlar alırsanız hiç terettüd etmeden inbox'ınızdan hatta delete item'dan bu mesajı silmeniz (unutmayın gelen mesajı açmadan ve eklenmiş olan dosyayı çalıştırmadığınız sürece virüs size zarar veremez).
Eğer merakınız ağır basmış ve mesajı açıp dosyayı çalıştırmışsanız bedava programlar bölümünden temin edebilieceğiniz antiIloveyou programını çekip sisteminizi temizlemeniz gerekmetedir.
Win9x.CIH
Sizlere virüsler özellikle Win9x.CIH virüsü hakkında bilgi vermek istiyorum.
Bu virüs son günlerde pek çoğumuzun başını ağrıtıyor.Virüs, bulaştığı programlarda herhangi bir boy uzamasına sebep olmadığından detaylı bir inceleme yapmadan virüsü tespit edebilmek zor.Win9x.CIH virüsünün 1-2 bugı var.Bu buglardan faydalanarak sisteminizde bu virüsü kolayca tespit edebilirsiniz. Aklıma ilk gelen şu; Mesela CD sürücünüzden bir dosyayı sabit diskinize kopyalamak isterseniz, dosya hatalı kopyalanıyor, kopyalama işlemi sonucunda dosyanın çalışmadığını görüyorsunuz.
Şu virüsün özelliklerine bir bakalım
Bulaştığı Dosyalar 32 bit Portable Executable
Virüs bulaştıktan sonra dosyadaki boy uzaması 0 byte
Çalıştığı işletim sistemleri Windows 9x (NT'de çalışmıyor)
Varyant sayısı 3
Virüs yukarıda da belirttiğim Win9x.CIH virüsü NT sistemlerinde çalışmaz, kodu NT altında çalışacak şekilde değildir.Win9x.CIH virüsününün bilinen 3 varyantı da yakın tarihlerde yazılmıştır ve yaklaşık olarak 1000 byte civarındadır. Bütün varyantlar, şifrelenmiş bir metin içerir.Aşağıdaki tabloda bunları görebilirsiniz.
Uzunluk Metin Tetiklenme tarihi
1003 CCIH 1.2 TTIT 26 Nisan
1010 CCIH 1.3 TTIT 26 Haziran
1019 CCIH 1.4 TATUNG Her ayın 26.cı günü
Win9x.CIH, yukarıdaki tabloda görebileceğiniz tarihlerde aktifleşir.Virüs aktifleştiğinde, hard-disk üzerindeki verilerin üzerine yazmaya başlar.Bunun yanısıra virüs sistemdeki FlashBIOS çipini resetlemeye çalışır. Virüs, FlashBIOS'a ulaşmak için direkt erişim portlarını, diske erişebilmek içinse VxD direkt disk erişimini (IOS_SendCommand) kullanır. Günümüzdeki makinalarda FlashBIOS olduğunu düşünürsek olayın ciddiyeti ortaya çıkar. FlashBIOS çiplerinin kontrol edilmesi, board üzerindeki jumperlar tarafından disable/enable edilebilse de, genelde bu ayar enabled şeklindedir.Yani virüs aktifleştiğinde rahatça FlashBIOS çipinizi uçurabilir, FlashBIOS çipinin uçması demek aynı zamanda makinanın da uçması demek.Bilgisayarın boot edilmesi için BIOS programı gereklidir.Virüs te BIOS programını uçurduğu için sistemi açmak mümkün olmaz..(Burayı anladınız sanırım)
Şimdi virüslerle ilgilenenlerin bu virüsle ilgili merak ettiklerini düşündüğüm 'nasıl oluyor da virüsün bulaştığı programın boyu uzamıyor' konusuna bakalım.
Bunun için öncelikle PE tipi programların yapıları hakkında az çok bilgi sahibi olmak gerek. PE header Windows 95/98/NT sistemlerinde kullanılıyor. Bu tip dosyaların 003Ch ofsetlerinde PE header'ın EXE dosya içindeki konumu yer alır.Buradaki ofset adresine bakarsak burada PE karakterlerini görürüz.Buradan itibaren PE header yer alır. PE header yapı itibarıyle pek çok boşluklu alanlar içerebilir ki hemen hemen bütün PE tipi programlarda görüleceği üzere PE headerın hemen ardında epeyce bir bölüm boştur.Win9x.CIH, kodunu bu gibi kodu için yeterli boş olanlara yazar. Bunun sonucunda virüslü programlarda herhangi bir boy uzaması olmaz.
Win9x.CIH virüsünün bulaştığı bir programı, temiz bir makinada çalıştırdığınızda, virüslü program Int 03'ü çağırır ve DR0 (Debug register0) yazmacına bakar. DR0 yazmacında sıfırdan farklı bir değer varsa virüs daha önce hafızaya yüklendirğini anlar ve kontrolü ana programa bırakır.Eğer DR0 yazmacında sıfır değeri gelmiş ise virüs Int 03'ü Interrupt Kesilme tablosuna direkt müdahele ederek kontrol altına alır. Int 03 genelde debuggerların breakpoint noktalarında program çalışmasına ara vermek için kullandıkları bir kesilmedir. Virüs bu sayede kodunun disassembly edilmesini engellemeye çalışır, bu aynı zamanda virüs kodunun CPU Supervisor seviyesinde çalıştırılmasını sağlar.
Virüslerden korunmak için iyi bir anti-virüs programını bilgisayarınızda bulundurun. En iyi virüs programı olan Avp anti-virüs programını programlar bölümünde yer almaktadır. Bu programla tam bir koruma sağlayabilirsiniz.
Win9x.CIH virüsü gerçekten çok tehlikeli bir virüs.27 Nisan/Haziran veya bir 27sinin sabahı kalktığınızda saçınızı başınızı yolmamak için bu virüsü ciddiye alın derim.
Çernobil Virüsünün Bilgisayara Etkisi ve çözüm yolları
Teknolojinin her dakika geliştiği günümüz de ,art niyetli ve bilgisayar sistemlerini çok iyi şekilde tanıyan bir takım şahıslar dijital katliam olarak nitelendirilebilecek ÇERNOBİL (CHERNOBYL / WINCIH) virüsünü yaratmıştır.
Daha önce bu tür bir virüs ile bilgisayar dünyası hiç karşılaşmamıştır.Bu virüs daha önceki yıllarda yazılan milyonlarca bilgisayar virüslerinden farklı olarak yeni teknoloji anakartlarda ki FLASH BIOS dediğimiz elektronik eleman içindeki bilgiyi sıfırlamakta , yani silmektedir.Öncelikle her türlü makinada Harddisk dediğimiz ,bilgilerinizi kaydettiğiniz aygıtı silmektedir.Bunun sonucunda tüm bilgileriniz silinmektedir.
Not : Virüs sadece Windows 95 veya Windows 98 işletim sistemini kullanan bilisayarlara zarar vermektedir.NT işletim sistemine zarar verememektedir.
I LOVE YOU
Artık bilinen bir gerçek var ki, bir virüsün popüler olabilmesi için verdiği zarardan çok, yayılma hızı ön planda yeralıyor. Çokda ayrıcalıklı bir koda sahip olmayan bu virüs Aşk kelimesi sayesinde umulandan daha hızlı yayılmıştır. Tabiki kendini yaymak için kullandağı programların açıklarınıda unutmamak gerek.
Gazetelerden okuduğumuz kadarıyla şu sıralar Iloveyou virüsünü yazan 23 yaşındaki kişinin gerçekten kodu yazan kişi olmadığı tartışması sürmekte, kimilerine göre böyle bir kodu üretmek 23 yaşındaki bir insan için imkansızmış. Diğer bir tartışma konusu ise kodu yazan kişinin bile bu denli büyük bir zarara yol açacağını tahmin etmemiş olmasıymış. (Dünyada bu kadar saf insan olduğunu hesaba katmamış olabilir)
Aslında zarara uğrayanlar şahıslar değil firmalar, burdan şu sonuç çıkıyor, bilgisayar başındaki kullanıcıların bilinçsiz ve vurdum duymaz olmaları. Bunun en güzel örneği ise Japonya. Virüs dünya basınında birinci haber konusu olduğunda, Japonlar resmi tatil yapıyorlardı, ama ne oldu işbaşı yaptıkları gün bildikleri halde gelen mesajı açtılar ve dosyayıda tereddüt etmeden çalıştırdılar. Virüsün çalıştırıldığı bilgisayar aslında internete o an açık değilse söylenenin aksine o denli büyük zararlar vermediği.
Virüsün en fazla yapabildiği e-mail aracılıyla kendini baska insanlara göndermek. Mp3 ve Jpg dosyalarını silmek. Eğer internet açık ise mIRC üstünden kendini başkalarına göndermek ve kendi sitesine bağlanıp WIN-BUGSFIX.exe adlı asıl iş bitirici dosyayı indirmek.
Çözümleri:
Yetenekten yoksun, ancak bu tip işlere özenen bazı kişilerde aynı virüsün Subject kısımını değiştirerek aynı virüsü başkalarını göndermeye devam ediyorlar, eğer aşağıdaki başlıklarda bir mesaj alırsanız dikkat edin.
SUBJECT : ILOVEYOU
SUBJECT : Susitikim shi vakara kavos puodukui...
SUBJECT : fwd: Joke
SUBJECT : same as A
SUBJECT : Mothers Day Order Confirmation
SUBJECT : Dangerous Virus Warning
SUBJECT : Virus ALERT!!!
SUBJECT : same as A
SUBJECT : Important! Read carefully!!
SUBJECT : How to protect yourself from the IL0VEY0U bug!
SUBJECT : I Cant Believe This!!!
SUBJECT : Thank You For Flying With Arab Airlines
Gelelim virüs'den kurtulma yollarına, eğer bu tip mesajlar alırsanız hiç terettüd etmeden inbox'ınızdan hatta delete item'dan bu mesajı silmeniz (unutmayın gelen mesajı açmadan ve eklenmiş olan dosyayı çalıştırmadığınız sürece virüs size zarar veremez).
Eğer merakınız ağır basmış ve mesajı açıp dosyayı çalıştırmışsanız bedava programlar bölümünden temin edebilieceğiniz antiIloveyou programını çekip sisteminizi temizlemeniz gerekmetedir
Kendisi pek zararlı olmayan bu virüs bir makro ile de virüs yapılabileceğini ispatlaması açısından önemli sayılmalı. WM.Concept virüsünün kaynak kodu gizli değildi, bu yüzden yeni makro virüsü yazmak isteyenler alıp üzerinde küçük değişiklikler yaparak tekrar ortalığa saldılar. Birkaç ay içinde yüzlerce makro virüsü tespit edildi ve kayıtlara geçirildi.
--------------------------------------------------------------------------------------------------------
Bilgisayar virüslerinin olası zararları nelerdir?
Virüsler, bilgisayarlarda genel bazı etkilere sebep olurlar.Eğer bilgisayarınızda aşağıdaki etkilerden biri veya birkaçı varsa sisteminizi bir virüs taramasından geçirebilirsiniz;
* Sistem hızında yavaşlama : Sistem hızında meydana gelen ani hız düşüşleri virüs etkinliklerinden kaynaklanabilir.Ancak bu durum Windows'un registry kaydının aşırı dolu olmasından da kaynaklanabilir.
* Programların diske erişim süresinin ve/veya yüklenmelerinin daha uzun sürede gerçekleşmesi : Dosya virüsleri bir program yüklenmek istendiğinde o programı kontrol eder, virüssüz ise o programa bulaşır.TRAKIA.1070 (Yandan Çarklı) gibi bazı virüsler aktif dizindeki EXE veya COM uzantılı dosyaların hepsine birden bulaşmak isteyebilir.Bu da yüklenme hızındaki düşüşe neden olur.
* Bilgisayarın sebepsiz yere kilitlenmesi veya resetlenmesi : İyi kodlanmamış TSR virüsler veya virüsün programcısı tarafından sistemin sık sık kilitlenmesi veya resetlenmesi öngülmüş olabilir.
* Anormal mesajlar : Eğlence amacıyla yazılmış virüsler veya özel bir amaçla yazılmış virüsler belli zamanlarda veya bazı özel durumlarda garip mesajlar verirler.
* Dosyaların garip bir şekilde yok olması ve(ya) dosya özniteliklerinin (attribute) değişmesi : Bazı virüsler dosyaları silerler.Bazı virüsler de daha önceden bulaşıp bulaşmadıklarını anlamak için dosyaların öznitelik bilgilerinde değişiklik yaparlar.
* Yazma-korumalı bir diskte okuma işlemi yaparken "Write protection" hatası : İyi yazılmamış virüsler write-protected disklerdeki programlara bulaşmak istediklerinde genelde bu hataya düşerler.
* Disk haritasını gösteren programlar ile diske baktığınızda daha önceden olmayan bozuk alanlar : Genellikle boot/mbr virüsleri sakladıkları alanları korumak için kullandıkları bu alanları bozuk olarak işaretler.
-------------------------------------------------------------------------------------------------------
Virüs Çeşitleri
Dünyada Bir cok çeşit virüs vardır.Bazıları Şunlardır;
O97M.Tristate
Virüsün Adı: O97M.Tristate
Takma Adı: O97M.Triplicate
Ne kadar alanı etkiliyor?: 1 VBA5 modülü
Nerelerde etkili?: MS Word 97, MS Excel 97, MS PowerPoint 97 dosyaları
Yaygınlık: Az
İlk Rastlandığı Yer: ABD
Türü: Makro
VİRÜS yazanlar arasında bu virüs gibi farklı farklı uygulamalarda etkili olabilen virüsler giderek moda oldu. Bu virüs Excel'de Book1 adlı bir dosya yoksa MS Excel'in başlangıç dizinine bu isimde bir belge yazıyor. PowerPoint'in Şablonlar dizinine "Blank Presentation.POT" adlı bir belge yazıyor. Benzer bir şekilde Word'un normal.dot'unun sahtesini yapıyor. Bu şablonlarda virüslü kod gömülü. Virüs tarama programları şimdilik PowerPoint'deki zararı onaramıyorlar. İş başa düşüyor. Virüslü sunumu açıp, Görünüm menüsünden Asıl Slayt'ı seçin. Slaytın kenarına tıklayıp Otomatik Şekil Nesnesini seçin ve silin. Visual Basic editörü ya da proje gezgini yardımıyla "Triplicate" adlı bir dosya var mı diye bakın, varsa onu da silin. Dosya/Aç menüsünden şablonlara gidip "Blank Presentation.POT" adlı bir dosyaya rastlarsanız onu da silin. Geçmiş Olsun.
W97M.Nono.A
Virüsün Adı: W97M.Nono.A
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 1 VBA Modülü;
Nerelerde etkili?: MS Word 97 belgesi
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Makro
SİSTEMDEN sizin adınızın ve soyadınızın baş harflerini alarak bu isimde bir Visual Basic Uygulaması (VBA) modülü yazıyor. Bunu NORMAL.DOT başta olmak üzere şablonlara yazmaya yöneliyor. Bunu yaparken C:\FALSE.BAT veya C:\TRUE.BAT adında geçici bir yığın dosyası yaratıyor. Her saatin 30'uncu dakikasında durum çubuğundan ":-) VicodinES" yazısı geçiyor ve yukarıdaki çubukta dosya adı yerine "Microsoft Word Loves " yazıyor.
Yeni virüs tarayıcıları bu virüsün hakkından geliyorlar. Ama yine de Normal.dot'u silmeniz gerekiyor. Adınızın baş harflerinden yapılmış dosya ile false ve true yığın dosyaları artık zarar veremiyor ama silmek daha güvenli. Araçlar/Seçenekler menüsüne gidip virüsün iptal ettiği seçenekleri tekrar aktif hale getirmeniz de gerekiyor.
X97M.Sugar
Virüsün Adı: X97M.Sugar
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: MS Excel 97 tablosu
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Makro
ADININ şeker gibi olduğuna bakmayın, bu virüs bütün Excel tablolarına virüslü kod gömüyor. Kullanıcı adı ile aynı olan bir geçici klasör yaratıp, örneğin C:\Ahmet SARI adlı geçici klasöre ismi rastgele oluşturulmuş metin dosyaları yazarak orada çalışıyor. Office\XLSTART klasörüne virüslü bir "BOOK1." dosyası yazıyor. Eğer kullanıcı VBA modülüne rastlarsa bu modüle de Auto_Close alt fonksiyonunu ekliyor. Çalışmak için kullandığı geçici metin dosyasını kazara ya da bilinçli olarak silerseniz kızıyor, "Why Did You Remove Sugar?" diye bir mesaj gönderiyor. MS Excel'in Makro virüslerinden korunma özelliğini de kapatıyor. Bunu tuhaf bir şekilde epey dolaylı bir yoldan yapıyor. Word'e bir AutoExec makrosu ekliyor ve çalıştırıyor. Bu AutoExec makrosu Windows Registry'sine giderek Excel'in makro virüs koruma özelliğinde bulunan değeri siliyor. Artık Excel makrolu belgeleri açarken virüs olabilir uyarısı yapamaz hale geliyor.
Bu virüsü temizlemek için XLSTART klasöründeki "BOOK1." dosyasını silmeniz gerek. Virüs tarama programlarından bazıları dosyayı onarabiliyorlar ama silmek çok daha güvenli. Eğer virüs bir kullanıcı modülüne Auto_Close eklemişse bunu farketmeniz o kadar kolay olmayabilir. Virüs tarama programları önce onarmayı deneyecek onaramazlarsa sileceklerdir.
Eğer o modülün bir yedeği varsa üstüne yazdırmak iyi bir çözüm, yoksa elle de düzeltebilirsiniz. Son olarak kök dizindeki kendi adınızla aynı olan klasörü silip, Araçlar/Seçenekler menüsünden Excel'in makro virüslerinden korunma özelliğini yeniden aktif hale getirmeniz gerekiyor.
W97M.Cali.A
Virüsün Adı: W97M.Cali.A
Takma Adı: W97M/Caligula
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: MS Word 97 belgesi
Yaygınlık: Az
İlk Rastlandığı Yer: ABD
Türü: Makro
W97M.CALİ.A makrosu bir belge ya da şablona Caligula adlı bir Visual Basic modülü ekliyor. Bunu yaparken "C:\IO.VXD" adlı geçici bir metin dosyası yaratarak onu kullanıyor. Gizlenebilmek için epey dolaplar çeviriyor. Dosya menüsünden Şablon, Araçlar menüsünden Özelleştir, Makro ve Visual Basic Editörü seçenekleri ile Görünüm menüsünden Araç Çubukları ve Durum çubuğu seçeneklerini etkisiz hale getiriyor. Böylelikle kullanıcının belgedeki makro ve VBA modüllerini kontrol etmesini zorlaştırıyor. Bu durumda Word makrolu belgeleri açarken uyarı vermiyor. Ayın 31'i ise virüslü dosyaları kapatırken şu mesajı alıyorsunuz: "WM97/Caligula (c) Opic [CodeBreakers 1998] : No cia, No nsa, No satellite, Could map our veins." Virüsün yorum satırına "Sende silah varsa ve karşındakinde yoksa ancak o zaman güvende olursun" diye yazmışlar. Virüsün yarattığı "C:\IO.VXD" ve "C:\CDBRK.VXD" geçici metin dosyalarını silmek şart değil ama iyi olur. Normal.dot'u silip Word'un otomatik olarak yaratacağı yeni Normal.dot'u kullanırsanız virüsten kurtuluyorsunuz.
W97M.Ethan.A
Virüsün Adı: W97M.Ethan.A
Takma Adı: Ethana
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: MS Word 97 belgesi
Yaygınlık: Sık
İlk Rastlandığı Yer: Avrupa
Türü: Makro
W97M.ETHAN.A makrosu virüs kodunu "ThisDocument" adlı MS Word 97 şablonu VBA modülünün başına yazıyor. Bu modül varsayılan bir modül olduğu için araçlar menüsünün makro listesinde bulunmaz. Faaliyeti sırasında gizli bir sistem dosyası olarak işaretlenmiş "C:\ETHAN.___" adlı geçici metin dosyasını yaratır. Word dosyalarınızın başlığı, yazarı ve anahtar sözcükleri artık sizin adınız değil virüsü yazanın adı haline gelir, bu yüzden virüslü bir belgeyi ayırdetmek kolaydır. Anti-virüs programları ile "ThisDocument" modülünü onarmayı deneyin, eğer bu modülü daha önce kendiniz değiştirerek özelleştirmişseniz yeni baştan değerleri girmeniz gerekecek.
W97M.Marker
Virüsün Adı: W97M.Marker
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 1 VBA5 modülü
Nerelerde etkili?: Microsoft Word 97 belgeleri
Yaygınlık: Sık
İlk Rastlandığı Yer: Kanada
Türü: Makro
W97M.MARKER çok yaygın bir makro virüsü. Bu yazıda sözü geçen diğer virüsler gibi son bir-iki ay içinde üretilmiş değil, birkaç ay daha eski. W97M.Class virüsüne benziyor, faaliyeti sırasında "HSF****.SYS" adlı (buradaki dört yıldız yerine rastgele üretilmiş dört rakam düşünün) bir metin dosyası yaratıyor. Word 97'nin kaydettiği kullanıcı bilgilerini, yani adınızı çalıştığınız yerin adını alıp ayın 1'inde bir FTP sitesine bir kereliğine gönderiyor. Bu durumda "HKEY_CURRENT_USER\Software\Mi crosoft\MS Setup (ACME)\User Info" registry key'indeki "LogFile" değeri TRUE olarak değiştiriliyor, yani kullanıcı bilgilerinizin yeniden Internet'e gönderilmesi engelleniyor. İsterseniz Windows'un REGEDIT programını kullanarak bunu düzeltebilirsiniz. Bir de geçici metin dosyaları c:\netldx.vxd ile HSF****.SYS'yi silebilirsiniz. Bunların dişinda aktif olarak korunmaktan başka yapabileceğiniz bir şey yok. Bu virüs çok garip, bir kere çalışıyor, adınızı çalıyor, başka bir şey yapmıyor.
W97M.Pri
Virüsün Adı: W97M.Pri
Takma Adı: W97M.PSD
Ne kadar alanı etkiliyor?: 1 VBA5 Modülü
Nerelerde etkili?: Microsoft Word 97 belgeleri
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Makro
W97M.PRI, polymorphic bir makro virüsü. Çoğu Word makrosu gibi Normal.dot'a virüs bulaştırıyor, belge kapatırken diğer belgelere de bulaşıyor. Word'un makro korunma özelliğini kapatarak gizlenmeye çalışıyor. Tarih ve saat aynı rakamı gösteriyorken yani örneğin 4 Nisan'da saat 4:44:44'te 70 tane rastgele biçimlendirilmiş ve renklendirilmiş Otomatik şekil nesnesi yaratıyor. İşin ilginç tarafı bu virüs MS Word 2000'de de çalışacak şekilde tasarlanmış. MS Word 2000'in güvenlik ayarlarını en düşük düzeye indirerek kendi güvenliğini artırıyor. Ancak temizlenmesi çok kolay, Normal.dot'u siliyorsunuz, W97M.Pri sizlere ömür.
PictureNote.Trojan
Virüsün Adı: PictureNote.Trojan
Takma Adı: Trojan Horse, Backdoor.Note, Picture.exe, URLSnoop
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Trojan Horse
PICTURENOTE.TROJAN, adından da anlaşıldığı gibi bir truva atı. Virüs gibi üreme yeteneği yok. Internet üzerinden e-mail'e ilişik olarak çok sayıda kullanıcıya gönderilmiş. İlişik programın adı PICTURE.EXE. Bu program çalıştırıldığında kendisini WINDOWS dizinine NOTE.EXE adıyla kopyalıyor. Bu dizindeki WIN.INI dosyasını değiştirerek "run" parametresini NOTE.EXE programını çalıştırmak üzere yeniden ayarlıyor. Windows'u tekrar açtığınızda NOTE.EXE çalışıyor ve bilgisayarınızda America Online kullanıcı bilgilerini aramaya başlıyor, bu yüzden ABD dışında pek bir şansı yok. Amaç AOL kullanıcılarının şifrelerini çalmak.
W97M.Class
Virüsün Adı: W97M.Class
Takma Adı: Class.Poppy
Ne kadar alanı etkiliyor?: 1 VBA5 modülü
Nerelerde etkili?: Microsoft Word 97 belgeleri
Yaygınlık: Sık
İlk Rastlandığı Yer: Aynı anda birçok yer
Türü: Makro
VİRÜS tarihinde görülen ilk makronun yeniden gözden geçirilmiş ve "düzeltilmiş" yeni versiyonu. Word 97'nin şablonlarına virüslü kod ekleyerek çalışıyor. Araçlar menüsünden Makro seçeneğini etkisiz hale getirerek gizlenmeye çalışıyor. Eski versiyonları yılın belli bir gününde mesaj verirlerdi, yeni versiyonu ise Win95 registry ayarlarıyla oynayarak kayıtlı sahibinin yerine virüsü yazanın adını yazıyor. Sisteminizde C:\CLASS.SYS veya C:\CLINTON.SYS isimli dosyalara rastlarsanız silmeniz gerekiyor. Virüsün değişik sürümlerine göre verdiği mesajlar değişiyor. Bunlar arasında, "I think is a big stupid jerk!", "Monica Blows Clinton! -=News@11=-", "Today is Clinton & Monica F___-Fest Day!" sayılabilir.
JavaApp.BeanHive
Virüsün Adı: JavaApp.BeanHive
Takma Adı: BeanHive
Nerelerde etkili?: Java appletleri ve uygulamaları
Yaygınlık: Az
Hedef Platform: Java destekleyen tüm platformlar
Harekete Geçme Tarihi: Yok
İŞTE Java tarihinde ikinci virüs de göründü. Bu virüs biraz komik. Çünkü bazı yeni teknolojileri kullanarak epey şeytanlıklar yapmak üzere tasarlanmış ama yapılan kod hataları yüzünden yüzde doksan çalışmayı başaramıyor. Ancak tam istediği koşullar (muhtemelen yazıldığı sistemdeki koşullar) gerçekleşince çalışıyor. Java appletlerini ve uygulamalarını virüslemek üzere tasarlanmış.
İlk Java virüsü olan Strange Brew'dan temel bir farkı var. Strange Brew kullanıcıya sormadan yerel dosyalara erişmeye çalışıyordu ve çoğu durumda sistemdeki sanal Java makinesi (JVM) tarafından durduruluyordu. JVM'nin güvenlik tedbirleri ancak kullanıcının izniyle gevşetilebildiği için BeanHive kullanıcıdan izin istetiyor, eğer verirse ne ala, vermezse ısrar etmeyip vazgeçiyor. Bu virüs eğer virüsü yazanın Web sayfasını ziyaret ederseniz bulaşıyor. Çok sayıda bug'a sahip bir virüs olması bizim açımızdan iyi, ama Java programcılığıyla uğraşanlar deney yapmak için bu virüsle uğraşırlarsa Java dosyaları büyük ihtimalle zarar görüyor.
Happy99.Worm
Virüsün Adı: Happy99.Worm
Takma Adı: Trojan.Happy99, I-Worm.Happy
Yaygınlık: Sık
İlk Rastlandığı Yer: Avrupa
Türü: Worm
SON zamanlarda Win.CIH'tan sonra adı en çok duyulan Happy99. Bu program bir virüs değil, bir worm. İlk kez haber gruplarında görülmüş, oraya post edilen makalelere ilişik olarak Happy99.exe adıyla ortaya çıkmış.
Çalıştırıldığında üzerinde "Happy New Year 1999 !!" yazan ve havayi fişek patlamaları gösteren bir pencere açılıyor. Program kendisini SKA.EXE adıyla kopyalayıp, Windows'un sistem dizinine SKA.DLL adlı bir kütüphane linki dosyası yazıyor. Yine Windows'un Sistem dizinindeki WSOCK32.DLL dosyasının üzerinde değişiklikler yapıyor, orijinal halini ise WSOCK32.SKA adlı başka bir dosyaya kopyalıyor. WSOCK32.DLL dosyası Windows 95 ve 98'de Internet bağlantısını kontrol eder. Üzerinde yapılan değişiklik sayesinde her Internet'e bağlanma ya da dosya gönderme girişimi olduğunda worm harekete geçiyor. Worm'un SKA.DLL'i yükleniyor. SKA.DLL yazdığınız e-mail ya da başka türden bir mesajın aynısını yaratarak arkasına UUENCODE ile kriptolanmış olarak HAPPY99.EXE programını da iliştirerek gönderiyor. Worm, WSOCK32.DLL dosyasını değiştirmeye çalışırken, bu DLL kullanımdaysa yani kullanıcı Internet'e bağlı ise o zaman da registry'lere şunu giriyor: HKEY_LOCAL_
MACHINE\Software\Microsoft\Win dows\CurrentVersion\RunOnce=SK A.EXE Bu kez de Windows'un bir sonraki açılışında bu satırın gereği yapılıyor, ve Worm işe başlıyor.
Belki de en garantili yöntem, bu worm'u elle temizlemek. Bunu yapmak için önce WINDOWS\SYSTEM\SKA.EXE'yi silin. Tabii ki WINDOWS\SYSTEM\SKA.DLL'i de silin. Sonra WINDOWS\SYSTEM\ dizininde WSOCK32.DLL dosyasının adını WSOCK32.BAK olarak değiştirin. Yine WINDOWS\SYSTEM\ dizinindeki WSOCK32.SKA dosyasının adını WSOCK32.DLL olarak değiştirin. Bu isim değiştirmeleri Internet'e bağlıyken yapamazsınız, Windows Wsock32.dll dosyasını kullandığı için buna izin vermez, aklınızda bulunsun. Son olarak, muhtemelen bir e-mail mesajına ilişik olarak aldığınız ve adı HAPPY99.EXE olan dosyanın da gözünün yaşına bakmayın.
Bu deneyim bize bir kez daha gösteriyor ki, güvenilir bir kaynaktan gelmeyen, e-mail'e iliştirilmiş her türlü .doc, .xls, .ppt, ve .exe gibi dosyalar açılmayacak, çalıştırılmayacak.
HTML.Enel.3787
Virüsün Adı: HTML.Enel.3787
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 3787 byte
Nerelerde etkili?: HTM, HTML, ve HTT uzantılı dosyalar
Yaygınlık: Az
İlk Rastlandığı Yer: Belli Değil
Türü: HTML dosyalarına VBScript kodu gömüyor
Hedef Platform: Internet Explorer 4.0 ve yukarısı
Harekete Geçme Tarihi: Belli Değil
HTML.ENEL.3787 virüsü HTML dosyalarına bulaşan bir VBScript. Internet Explorer 4.0 ve yukarısında çalışıyor. Bilgisayarınızda C:\WINDOWS\WEB, C:\InetPub\wwwroot, ve C:\MyDocu~1 (Belgelerim) klasörlerine bakarak .asp, .htt ve .aspl uzantılı dosya arıyor. Bu virüsü ziyaret ettiğiniz bir Web sayfasından kapıyorsunuz ama Explorer'ın varsayılan güvenlik ayarlarına göre kapmadan önce mutlaka bir uyarı alıyorsunuz ve uzaktan registry ayarlarınıza dokunamıyor. Sisteminize girmeyi başarabilmişse bulabildiği Web belgelerinin altına virüslü kodu ekleyerek faaliyetine başlıyor. Virüslenmiş Web belgesini açtığınızda durum çubuğunda "HTML.Worm v0.2 /1nternal" yazısı çıkıyor ve sayfanın her 15 çağrılışından birinde sizi virüs yazarının sitesine yönlendiriyor.
VBS.Rabbit
Virüsün Adı: VBS.Rabbit
Takma Adı: VBScript.Rabbit
Ne kadar alanı etkiliyor?: 546, 587, veya 651 byte
Nerelerde etkili?: Visual Basic Script (VBS) dosyaları
Yaygınlık: Az
İlk Rastlandığı Yer: Belli Değil
Türü: Visual Basic Script
WINDOWS 95 ilk çıktığında DOS virüslerinin sonu geldi sanılmıştı. Ama ne yazık ki işletim sisteminden bağımsız olarak her PC'de ortalığı tarümar etmeye devam ettiler. Giderek Makro virüsleri en yaygın tehdit haline geldi.
Bu arada Windows 98'in standart bir özelliği olarak gelen, Windows 95 ve Internet Explorer 4 için ise download edilebilen bir modül olan Windows Scripting Host (WSH) ortamı makro virüsü yazanlar için eşsiz bir araç oldu. Windows Scripting, DOS'un yığın dosyalarını andırıyor. Zaten DOS ortamında da cscript.exe ile Windows'da ise wscript.exe ile çalıştırılıyor.
Sadeleştirerek özetlemek gerekirse WSH, VB Script, Java Script gibi bir ActiveX arayüzü destekleyen dil ile Windows'un dosyalara erişim, kısayollar, çevirmeli ağ, registry gibi özellikleri arasında bir yorumlayıcı işlevi görüyor. Yani yöntem açısından en yeni virüs tehdidi bu. Bu virüs bilgisayarda bulabildiği tüm VBS uzantılı dosyalara virüslü kod ekliyor. Her ayın 15'inde "VBSv v2.0 by Lord Natas/CodeBreakers" mesajı vererek virüsü yazanın Web sitesine yönlendiriyor.
HTML.Prepend
Virüsün Adı: HTML.Prepend
Takma Adı: HTML.Internal
Ne kadar alanı etkiliyor?: 1670 byte
Nerelerde etkili?: HTM, ve HTML uzantılı dosyalar
Yaygınlık: Az
İlk Rastlandığı Yer: Belli Değil
Türü: HTML dosyalarına VBScript kodu gömüyor
Hedef Platform: VBScript çalıştırabilen browser'lar
Harekete Geçme Tarihi: Belli Değil
HTML.PREPEND virüsü HTML dosyalarına bir VB script ekleyerek yayılıyor. Bilinen diğer iki HTML virüsü ile bunu yazan aynı kişi. Bu virüsü Internet'ten kapma ihtimali yok. Virüslü dosya yerel olarak çalıştırıldığında virüs faaliyete geçiyor. Yani kodundan yararlanmak için save ettiğiniz bir HTML dosyasını üzerinde değişiklik yapmak üzere açtığınız anda (tabi eğer browser'ınızın güvenlik ayarlarını düşük düzeyde tutuyorsanız) iş bitiyor. Diskinizdeki 6 HTML dosyasına daha bulaşarak yayılıyor, kök dizindeyse ya da yayılırken kök dizine gelirse uslu durup bir şey yapmıyor. Virüslü dosyayı çalıştırdığınızda durum çubuğunda "HTML.Prepend /1nternal" yazısı çıkıyor.
XM.Compat
Virüsün Adı: XM.Compat
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: Microsoft Excel 5/7/95 tabloları
Yaygınlık: Sık
İlk Rastlandığı Yer: Avustralya
Keys: Makro, Polymorphic
BU polymorphic makro virüsü, MS Excel tablolarına rastgele bir isimle VBA modülü ekliyor. Dosyayı kapatırken virüs faaliyetine başlıyor. Excel'in eklenti kütüphanesine OFF97COM.XLA isimli bir dosya ekliyor, kallavi bir isme sahip olan bu dosyanın açıklaması olarak da "Allows Excel 5/7 users to share files with Excel 97 users" yazarak işe yarar bir şey zannedilmesini sağlamaya çalışıyor.
Üzerinde çalıştığınız tablo dışında başka bir tabloyu alıyor, bu tablonun içinden bir hücreye sayısal bir değer yazıp bu değeri yüzde 5 ile çarpmaya başlıyor, bu işlemi 1000 kerelik bir döngüye sokuyor. Bir anti-virüs programı kullanarak temizlediğinizde de bu kez Excel eklentilerimden birini bulamıyorum diye mızıklanmaya başlıyor. Bunu araçlar menüsünden eklentilere gidip düzeltebiliyorsunuz.
Win95.CIH
Virüsün Adı: Win95.CIH
Takma Adı: Win95/CIH, CIH.Spacefiller, PE_CIH.
Ne kadar alanı etkiliyor?: Bilinen üç çeşidi: 1003, 1019, 1010 byte.
Nerelerde etkili?: Windows 9x dosya sistemi API'leri
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: PE kısmını kullanan fragmente olmuş boşluk virüsü
Verdiği Zarar: Sabit disklerin ilk 2048 sektörünü bozup kendi bilgilerini yazıyor ve kısmen Flash BIOS boot bloğunu bozuyor.
Temizleme: Temiz bir sistem disketiyle açıp, virüslü dosyaları silerek, yedeklerini yerlerine koymak
Harekete Geçme Tarihi: Her ayın 26'sı, 26 Nisan, 26 Haziran
WIN95.CIH virüsünü duymayan yoktur. Bu virüsün 4 türü var. İki tanesi Nisan'ın 26'sında aktif hale geliyor, bir tanesi Haziran'ın 26 sında aktif hale geliyor diğeri ise her ayın 26'sında aktif hale geliyor. Ne yazık ki hepsi de bilgisayarınızı çalışamayacak hale getiriyor, eğer BIOS'unuz FLASH BIOS ise durum daha da vahim, bu virüs diğer virüslerden farklı olarak BIOS'unuza bulaşıyor, zaten BIOS'unuz FLASH değilse bile sabit diskinizin ilk 2048 sektörünü mahvederek gene yapacağını yapıyor. Bu virüsten kurtulmanız için gerekli programları Internet'ten bulabilirsiniz. Öncelikle Kill_Cih programını çekerek o an bellekte aktif olan virüsü temizleyin ve sonra da W9X adlı virüs programı ile virüsün bulaştığı tüm dosyalarınızı aşılayın, geçmiş olsun. Bu temizleme programlarını bulabileceğiniz sitelerin adresleri şöyle:
http://www.amonra.net
http://i.am/amonra
http://freehosting.at.webjump.com/po/poira-webjump/
Win95.CIH virüsü Portable Executable (PE) Windows 95 ve 98 .exe dosyalarında kullanılmayan boş alanları bulup kendini parçalayarak parçalarını buralara yerleştiriyor. FlashBIOS'u sildiği zaman çoğunlukla yeni BIOS chip'i almak zorunda kalıyorsunuz. Sabit diskin sistem alanını bozduğunda da büyük ihtimalle verilerinizi kurtaramıyorsunuz.
Bu virüsten korunmak çok önemli. Yukarıda adı geçen virüslerin çoğundan daha eski olduğu için geçen yılın Ağustosundan sonra üretilmiş her antivirüs programı işe yarıyor. Eğer bu programları bulamazsanız ayın 26'sında bilgisayarınızı açmayın.
W95.Marburg.A / W95.Marburg.B
Virüsün Adı: W95.Marburg.A / W95.Marburg.B
Takma Adı: Yok
Ne kadar alanı etkiliyor?: Yaklaşık 7900 byte
Nerelerde etkili?: 32-Bit Windows .EXE dosyaları
Yaygınlık: Sık
İlk Rastlandığı Yer: Avrupa
Türü: 32 bit Windows virüsü, Direct Action
Hedef Platform: Windows 95
Harekete Geçme Tarihi: Sisteme girdikten üç ay sonra
W95.MARBURG virüsü 32-bit bir Windows virüsü ve hem Windows 95/98 hem de Windows NT .exe ve .scr dosyalarını etkiliyor. Ama NT'de çoğalamıyor. Eğer dosyanın adı "PAND", "F-PR", veya "SCAN" ile başlıyorsa ya da dosya adında V harfi varsa arkasına bakmadan kaçıyor ve başka bir dosyaya sataşıyor.
Bunun sebebi şu; anti-virüs yazılım paketleri kendi bütünlüklerini sürekli denetlerler ve en küçük bir değişiklik farkederlerse hemen alarma geçerler. Marburg bununla yetinmeyip anti-virüs programların bazı dosyalarını silmeye de çalışıyor. Bu sayede onları etkisiz hale getirmek istiyor. Virüslü uygulama virüsü kaptıktan üç ay sonra çalıştığında Windows'un standart error ikonu yani kırmızı bir yuvarlak üstünde beyaz bir çarpı işareti beliriyor, bir de ekran kızamık olmuş gibi beneklerle kaplanıyor.
JavaApp.Strange Brew
Virüsün Adı: JavaApp.Strange Brew
Takma Adı: Yok
Ne kadar alanı etkiliyor?: Yaklaşık 3890 byte
Nerelerde etkili?: Java .class dosyaları
Yaygınlık: Az
Türü: Direct action
Hedef Platform: Java destekleyen tüm platformlar
Harekete Geçme Tarihi: Yok
STRANGE BREW tarihin ilk Java virüsü. Bilgisayar bilimcilerin tabiriyle "parazit" bir virüs. Yani bir programa yapışıyor ve programın çalışmasını bozmuyor. Strange Brew, Java ".class" dosyalarında yaşıyor. Java olduğu için her platforma girip çalışabiliyor. Meşhur W95.CIH sadece Windows 95 ve 98'de çalışabiliyor ama bu Unix falan anlamıyor, giriyor. Web browserlarının varsayılan güvenlik ayarları girmesine izin vermiyor. Olur da girerse görünür bir zarar vermek yerine durmadan çoğalıyor. İyi tasarlanmamış bir program olduğu ve bug'ları olduğu için arada çöküyor. Çöktüğü zaman Java uygulamasını ya da sanal makinesini de geçici olarak çökertiyor. Bir kez çöktükten sonra artık kaynak kodunu bulamadığı için yayılması duruyor.
Kısa Bir Sözlük
Bilgisayar Virüsü - İlk kez Fred Cohen tarafından 1984 yılında kullanılmış bir terim. Bilgisayar virüsü başka bir programa yapışan küçük bir programdır, kendisini kopyalayarak diğer yazılımlara saldırır.
Worm - Worm çoğu zaman başlıbaşına bir programdır, bellekteki ve diskteki eriştiği bölgelerin verilerini bozar. İçine gömülüp saklanacağı bir evsahibi programa ihtiyaç duymaması ile virüslerden ayrılır.
Trojan horse - Truva atı. Masum görünüşlü bir programın farklı şeyler de yapması. Bazen gerçekten masum programların bug'ları da aynı etkiyi yapabilir. Çoğunlukla kendilerini kopyalayarak çoğalmazlar.
Zaman ayarlı bomba - Mantıksal bomba da denilir, belli bir olay gerçekleştikten sonra örneğin ayın 13'ü Cuma gününe denk gelmişse zarar verici faaliyetine başlar.
Boot sektör virüsü - Disklerin partition tablosunda veya boot sektöründe saklanan ve sistem çalıştırıldığında faaliyete geçen virüs. En yaygın olanları arasında Pakistani Brain virüsü ile Stoned/Marijuana virüsü sayılabilir.
Uygulama Programı virüsü - En bulaşıcı olan virüsler bunlardır. Çoğunlukla .com ve .exe uzantılı olan her türlü çalışabilir dosyaya bulaşırlar. En yaygın olanı Jerusalem virüsüdür.
Gizlenen virüsler - Dosya büyüklüğündeki artışı ya da tarih ve zaman bilgilerini gizleyerek yakalanmalarını güçleştirmeye çalışırlar.
Dark Avenger Mutation Engine - Genellikle virüs yazanların kullandığı bir polimorfik kriptolama programı. Virüs bu programla kriptolanınca anti-virüs programlarına kolay yakalanmıyor.
Makro virüsleri - Word ya da Excel dosyalarına bir makro gibi gömülerek yaşayan virüs. Dosya açıldığında uygulamanın standart makrolarından birinin yerine yerleşiyor ve gelen her belgeye bulaşıyor.
---------------------------------------------------------------------------------------------------------
Trojan Nedir?
Trojan (Truva atı); iki kısımdan olusan ve bilgisayarları uzaktan kumanda etme amaçıyla yazılmış programlardır.Bu program sayesinde windows kullanmaya yeni baslayan bir insan bile bilgisayarınızda bir cok yetkiye sahip olabilir.(Bilgisayranızı formatlamak,accountunuzu calmak...vs ).Bu tip programlar genelde kendini hacker sanan insanlar tarafından kullanılıyor ancak gercek hacker olupta bu trojanları kullanan insanlarda var fakat bu noktada olayın boyutu biraz degisiyor ornegin hackerlar internetteki trojan bulasmıs tum bilgisayarları (online olan) kullanarak buyuk sitelere D.O.S attack yapıyorlar boylece bu sitelere erisimi uzun bir sure engelleyerek siteleri buyuk zarara sokuyorlar.
Bu programların birinci kısmı uzaktaki bilgisayarı kontrol etmeye yararken diger kısmı ise uzaktan yonetilecek bilgisayarla kontrol kısmı arasında bağlantı kurmasını saglayacak açıklık yaratır.Yani bizim problemimiz trojan programının bilgisayarımızda acık port bırakan kısmıyla ilgili olacak ve bunu nasıl egarte edecegimizi bu yazımızda isleyeceğiz.
Trojanların Bilgisayarımıza Bulasmasını Engellemek:
Oncelikle hiç bir trojan siz izin vermediginiz takdirde sizin bilgisayarınızda çalışmaz yani sizin tanımadıgınız kisilerden gelen hic bir dosyayı almayin boylece trojanlardan kurtulmus olursunuz.Fakat genelde trojan programları istenilen herhangi bir programın icerisine bulastırılabildigi icin siz farkında olmadan herhengi bir yerden yuklediginiz program icinde bilgisayarınıza trojan almış olabilirsiniz bunu engellemenin en iyi yolu antivirus programları kullanmaktan geciyor.Ornegin AVP programıyla bilgisayarınıza bulasan hem virusleri hemde trojanları engelleyebilirsiniz.
Ozet olarak tanımadıgınız kisilerden (genlde irc ortamında ) herhengi bir dosya almayarak (ozellikle sonu ve .ini ve .exe olarak biten dosyaları) vede kaliteli bir antivirus programı ve firewall programı kurarak trojan tehlikesini buyuk olcude atlasmıs olursunuz.
NOT: Antivirus programları genelde yeni cıkan trojan ve virusleri tanımazlar.Bu yuzden kurdugunuz antivirus programını web sayfasına duzenli olarak ziyaret edip programınızı update etmeyi unutmayın.
Bilgisayarda Trojan olup olmadıgını nasıl anlarız:
Bunu anlamanın bir cok yolu var ornegin:
Bilgisayarmızda Kontrolumuz Dısında Calısmalar Oluyorsa:Ama eğer siz nette önünüze gelen siteden ve önünüze gelen disket/cd den program vs.. yüklüyorsanız Internetteyken siz herhangi bir islem yapmamanıza ragmen bilgisayarınız bir seyler yuklemeye devam ediyor ,cd kapagınız acılıp kapanıyor , mouseunuzun isteginizin dısında hareket ediyor ,ekranınıza resim veya yazılar geliyorsa ..yani bilgisayrınızda sizin kontrolunuz dısında herhangi bir olay gerveklesiyorsa bilgisayranızda trojan vardır diyebiliriz ama yinede bu kesindir diye bir yargı verilemez.eğer internetten dosya download etmiyorsanız , chatte herhangi birisinden dosya almıyorsanız ve bilmediğiniz disketlerden veya cdlerden birşeyler yüklemiyorsanız,programlarınız ı veya oyunlarınızı dergi cdlerinden vaya güvenilir yerlerden kuruyorsanız kesinkille yokturbilgisayarınıza trojan kesinlikle yoktur sizde.
Anti Trojan Programı kullanmak:Bir anti trojan programıyla bilgisayarınızı scan ederek bilgisayarımızdaki trojanları bulabiliriz ancak genelde yeni cıkan trojanlar genelde bu tip programlarla bulunamıyor bu yuzden surekli olarak programı resmi web sayfasından update eytmekte yarar var.
Bilgisayarımızda baslat (start) tusundan programlar (programs) ordanda baslangıc (startup) tusuna bastıgımız zaman bilgisayarımızın acılısıyla birlikte calısan programları goruruz eger burda bizim kurmadıgımız herhangi ibr program varsa bu program bir trojan olabilir.
Diger ve en kesin yontemlerden birisi ise dos moduna dusup komut satırında ntstat -a yazmaktır bu komut sizin bilgisayarınız internette kimlerle hangi porta baglı oldugunu gosterir eger bu program bilgisayarınızda calısmıyorsa herhangi bir problem yok eger ornegin 0.0.0.0:12345 gibi bir sonuc veriyorsa bilgisayarınızda netbus isimli bir trojan vardır.Bunu nerden anladın diyorsanız trojanlar bilgisayarımıza baglanmak icin bilgisayarımızda ki portları kullanırlar trojanlar arasından netbus ise bilgisayraımıza baglanmak icin 12345 portunu kullanır diger trojanların kullandıgı portları gormek icin buraya tıklayın
Bilgisayara Bulasmıs Trojanı Temizlemek:
Bilgisayarımıza bulasmis trojanı ik farklı yontemle temizleyebilriz :
1. TrojanCleaner Programı kullanarak bir cok trojanu bilgisayarımızdan temizleyebiliriz.Bu programı yuklemek icin buraya tıklayın.Programı kullanımı cok basit biraz karıstırmayla kolayca kullanabilirisiniz
2.Yontem ise trojanları elle silmek diye tabir edebilicegimiz bir yontem bu yontemde trojanın eger biz bilgisayraımızdaki ismini ve regeditteki yerini biliyorsak kolayca ortadan kaldırabiliriz.Simdi bunu nasıl yapacagımızı ve yaparken nelere dikkat edecegimizi adım adım gorelim:
Trojan temizliğine başlamadan önce, PC'nizdeki gizli ve sistem dosyalarınızın tümünü görünür hale getirin.Bunun için Windows Gezgini'nde Görünüm Klasör seçenekleri (View Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show All Filles) kutucuğunun işaretli olduğuna emin olun.Ayrıca altındaki "Bilinen Dosya Türlerinin Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız da yararınıza olacaktır.
Bazı trojan'ların açıklamalarında aynı ada ve farklı dizine sahip birden fazla dosyanın silinmesi gerektiği yazmaktadır.Eğer söz konusu dosya dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır.
Unutmayın ki, trojanların isimlerini ve diğer bilgilerini değiştirmek pek zor değildir.Burada verdiklerimiz, taşıdıkları orjinal özelliklerdir.Adı değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını inceleyebilirsiniz.
Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli olun.Özellikle Registry, Windows için hayati önem taşır.Yanlış bir şey silmeniz sisteminizde aksıklıklara yol açabilir.
Bazı Trojan isimleri;
TROJANIN iSMi ACID SHIVERS
port numarası 10520
dosya adı "msgsvr16.exe"
boyutu 186 kb
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices " Explorer | msgsvr16.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya "C:\Windows\msgsvr16.exe"
PC Yi YENiDEN BASLAT
TROJANIN iSMi BACK ORIFICE
port numarası 31337
dosya adı ".exe"
boyutu 122 kb
dizini
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices "Explorer | .exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\System\.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi BACKDOOR
port numarası 1999
dosya adı "icqnuke.exe"
boyutu 102 kb
dizini C:\Windows, C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run " Explorer | icqnuke.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\System\icqnuke.exe
silinecek dosya C:\Windows \icqnuke.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi BIG GLUCK
port numarası 34324
dosya adı "bg10.exe"
boyutu 323 kb
dizini C:\Windows, C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices "bg10.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\bg10.exe
silinecek dosya C:\Windows\System\bg10.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi BLADE RUNNER
port numarası 21,5400,5401,5402
dosya adı "server.exe"
boyutu 323 kb
dizini C:\Windows, C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "server.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\server.exe
silinecek dosya C:\Windows\System\server.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi BUGS
port numarası 2115
dosya adı "bugs.exe"
boyutu 78 kb
dizini C:\Windows, C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "bugs.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\bugs.exe
silinecek dosya C:\Windows\System\bugs.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi DEEP BACK ORIFICE
port numarası 31338
dosya adı ".exe"
boyutu 122 kb
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices ".exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\System\.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi DEEP THROAT
port numarası 2140,3150
dosya adı "systempatch.exe"
boyutu 255 kb
dizini Bilinmiyor!...
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run anahatarini acin. "systemDLL32 | systempatch.exe" kaydinin isaret ettigi dizini bir kenara not edin. Sonra bu kaydi silin...
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya Burada kaydetmis oldugunuz dizinin altindaki "systempatch.exe" dosyasini sileceksiniz. Ama ararken "system~1.exe" gibi birsey yazin ki 8 karakter siniri sizi engellemesin. Sonrada trojan oldugundan emin oldugunuz dosyayi silin...
PC Yi YENiDEN BASLAT
TROJANIN iSMi DOLY TROJAN
port numarası 1011,21
dosya adı "tesk.exe"
boyutu 169 kb
dizini C:\Windows, C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "tesk.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\tesk.exe
silinecek dosya C:\Windows\System\tesk.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi GIRL FRIEND
port numarası 21554
dosya adı "windll.exe"
boyutu Bilinmeyenzi....
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "windll.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\windll.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi HACK A TACK
port numarası 31785,31787
dosya adı "expl32.exe"
boyutu 236 kb
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "EXPLORER | C:\Windows\ expl32.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\ expl32.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi INIKILLER
port numarası 9989
dosya adı "bad.exe"
boyutu Bilinmeyenzi
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "EXPLORER"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\bad.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi MASTERS PARADISE
port numarası 3129,40421,40422,40423,40426
dosya adı "sysedit.exe" , "keyhook.dll"
boyutu Bilinmeyenzi
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "sysedit.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\sysedit.exe
silinecek dosya C:\Windows\keyhook.dll
PC Yi YENiDEN BASLAT Daha sonra sysedit.exe dosyasini güvenilir bir kaynaktan tekrar yükleyin
TROJANIN iSMi NETBUS PRO
port numarası 20034
dosya adı "NBSvr.exe"
boyutu 599 kb
dizini C:\Windows\System , C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices " Net Bus Server Pro | nbsvr.exe"
Registry de silinecek kayıt HKEY_CURRENT_USER\NetBus Server anahtari
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\NBSvr.exe\ , C:\Windows\NBSHelp.dll , C:\Windows\Log.txt
silinecek dosya Ayni dosyalar icin C:\Windows\System dizinine de bakiniz!...
PC Yi YENiDEN BASLAT
TROJANIN iSMi NETBUS
port numarası 12345,12346
dosya adı "patch.exe"
boyutu 470 kb
dizini C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "patch.exe" kaydini ara. Bulamazsan isim degismistir. Sen de o zaman tüm exe kayytlarina bak. 470 kblik dosya NETBUS trojanidir.
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\System\patch.exe\re move komutu kullan. Eger pc ndeki trojan ismi degisik ise o dosyayi kullan...
silinecek dosya C:\Windows\System\patch.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi NETSPHERE
port numarası 30100,30101,30102
dosya adı "nssx.exe"
boyutu 640 kb
dizini C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "NSSX | C:\Windows\System\nssx.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya NSSX | C:\Windows\System\nssx.exe
PC Yi YENiDEN BASLAT
----------------------------------------------------------------------------------------------------------
Virüslerden Korunmanın Yolları:
En iyi korunma yolu, şüpheli programları, güvenmediğiniz internet sitelerinden aldığınız programları hemen kontrol etmeden çalıştırmamak. Dışardan bir program aldığınızda "MUTLAKA BIR VIRUS TARAYICI ILE" kontrol edin. Sonra çok başınız ağrıyabilir.
Ancak, bu korunma önlemi de yetmeyebilir. Virüsler yanında, çalıştırdığınızda bilgisayarınızın önemli dosyalarını silen, disklerinizi formatlamaya çalışan ve ilk anda yararlı gibi görünen (söz gelimi ilk anda bir oyun programı olduğunu sanırsınız) programlar da var. Bu programlar, genellikle, illegal programların bulunduğu birtakım kontrolsüz FTP sitelerinde, web sitelerinde bulunmaktadır. Bu tip programların dağıtıldığı önemli yerleden biri de haber gruplarıdır (usenet news). Aldığınız bir mailin sonuna eklenen ve "lutfen ilişikteki kısa programı çalıştırın, size çok güzel bir yeni yıl kutlaması mesajı veriyor" gibi bir mesaj görür, eklenmiş programı alır ve çalıştırırsanız başınız muhtemelen dertte olacak demektir. Programı alırsınız, içinden hiç virüs çıkmaz. Ama, aldığınız program, çalıştırıldığında, aslında makinanıza ciddi zararlar veren bir algoritmayı doğrudan çalıştırıyor olabilir. Bu yüzden, çok dikkatli olmak lazım. Son pişmanlık fayda etmiyor.
Önemli dosyalarınızın (sistem dosyaları, önemli kişisel dosyalar vb) yedeklerini almaya çalışın. Ve de şüpheli birşekilde aldığınız bir programı hemen silin.
Bilgisayarınıza, eğer imkanınız varsa, bir virüs koruyucu kalkan programı yükleyin. Bu da, sizi bir miktar koruyacaktır. Bu programların seçenekleri ile biraz oynayarak tam kullanımını öğrenin. Bazıları, disk formatlama, dosya silme vb gibi konularda kullanıcıyı uyaran özelliklere sahiptir
Trojan (Truva atı); iki kısımdan olusan ve bilgisayarları uzaktan kumanda etme amaçıyla yazılmış programlardır.Bu program sayesinde windows kullanmaya yeni baslayan bir insan bile bilgisayarınızda bir cok yetkiye sahip olabilir.(Bilgisayranızı formatlamak,accountunuzu calmak...vs ).Bu tip programlar genelde kendini hacker sanan insanlar tarafından kullanılıyor ancak gercek hacker olupta bu trojanları kullanan insanlarda var fakat bu noktada olayın boyutu biraz degisiyor ornegin hackerlar internetteki trojan bulasmıs tum bilgisayarları (online olan) kullanarak buyuk sitelere D.O.S attack yapıyorlar boylece bu sitelere erisimi uzun bir sure engelleyerek siteleri buyuk zarara sokuyorlar.
Bu programların birinci kısmı uzaktaki bilgisayarı kontrol etmeye yararken diger kısmı ise uzaktan yonetilecek bilgisayarla kontrol kısmı arasında bağlantı kurmasını saglayacak açıklık yaratır.Yani bizim problemimiz trojan programının bilgisayarımızda acık port bırakan kısmıyla ilgili olacak ve bunu nasıl egarte edecegimizi bu yazımızda isleyeceğiz.
Trojanların Bilgisayarımıza Bulasmasını Engellemek:
Oncelikle hiç bir trojan siz izin vermediginiz takdirde sizin bilgisayarınızda çalışmaz yani sizin tanımadıgınız kisilerden gelen hic bir dosyayı almayin boylece trojanlardan kurtulmus olursunuz.Fakat genelde trojan programları istenilen herhangi bir programın icerisine bulastırılabildigi icin siz farkında olmadan herhengi bir yerden yuklediginiz program icinde bilgisayarınıza trojan almış olabilirsiniz bunu engellemenin en iyi yolu antivirus programları kullanmaktan geciyor.Ornegin AVP programıyla bilgisayarınıza bulasan hem virusleri hemde trojanları engelleyebilirsiniz.
Ozet olarak tanımadıgınız kisilerden (genlde irc ortamında ) herhengi bir dosya almayarak (ozellikle sonu ve .ini ve .exe olarak biten dosyaları) vede kaliteli bir antivirus programı ve firewall programı kurarak trojan tehlikesini buyuk olcude atlasmıs olursunuz.
NOT: Antivirus programları genelde yeni cıkan trojan ve virusleri tanımazlar.Bu yuzden kurdugunuz antivirus programını web sayfasına duzenli olarak ziyaret edip programınızı update etmeyi unutmayın.
Bilgisayarda Trojan olup olmadıgını nasıl anlarız:
Bunu anlamanın bir cok yolu var ornegin:
Bilgisayarmızda Kontrolumuz Dısında Calısmalar Oluyorsa:Ama eğer siz nette önünüze gelen siteden ve önünüze gelen disket/cd den program vs.. yüklüyorsanız Internetteyken siz herhangi bir islem yapmamanıza ragmen bilgisayarınız bir seyler yuklemeye devam ediyor ,cd kapagınız acılıp kapanıyor , mouseunuzun isteginizin dısında hareket ediyor ,ekranınıza resim veya yazılar geliyorsa ..yani bilgisayrınızda sizin kontrolunuz dısında herhangi bir olay gerveklesiyorsa bilgisayranızda trojan vardır diyebiliriz ama yinede bu kesindir diye bir yargı verilemez.eğer internetten dosya download etmiyorsanız , chatte herhangi birisinden dosya almıyorsanız ve bilmediğiniz disketlerden veya cdlerden birşeyler yüklemiyorsanız,programlarınız ı veya oyunlarınızı dergi cdlerinden vaya güvenilir yerlerden kuruyorsanız kesinkille yokturbilgisayarınıza trojan kesinlikle yoktur sizde.
Anti Trojan Programı kullanmak:Bir anti trojan programıyla bilgisayarınızı scan ederek bilgisayarımızdaki trojanları bulabiliriz ancak genelde yeni cıkan trojanlar genelde bu tip programlarla bulunamıyor bu yuzden surekli olarak programı resmi web sayfasından update eytmekte yarar var.
Bilgisayarımızda baslat (start) tusundan programlar (programs) ordanda baslangıc (startup) tusuna bastıgımız zaman bilgisayarımızın acılısıyla birlikte calısan programları goruruz eger burda bizim kurmadıgımız herhangi ibr program varsa bu program bir trojan olabilir.
Diger ve en kesin yontemlerden birisi ise dos moduna dusup komut satırında ntstat -a yazmaktır bu komut sizin bilgisayarınız internette kimlerle hangi porta baglı oldugunu gosterir eger bu program bilgisayarınızda calısmıyorsa herhangi bir problem yok eger ornegin 0.0.0.0:12345 gibi bir sonuc veriyorsa bilgisayarınızda netbus isimli bir trojan vardır.Bunu nerden anladın diyorsanız trojanlar bilgisayarımıza baglanmak icin bilgisayarımızda ki portları kullanırlar trojanlar arasından netbus ise bilgisayraımıza baglanmak icin 12345 portunu kullanır diger trojanların kullandıgı portları gormek icin buraya tıklayın
Bilgisayara Bulasmıs Trojanı Temizlemek:
Bilgisayarımıza bulasmis trojanı ik farklı yontemle temizleyebilriz :
1. TrojanCleaner Programı kullanarak bir cok trojanu bilgisayarımızdan temizleyebiliriz.Bu programı yuklemek icin buraya tıklayın.Programı kullanımı cok basit biraz karıstırmayla kolayca kullanabilirisiniz
2.Yontem ise trojanları elle silmek diye tabir edebilicegimiz bir yontem bu yontemde trojanın eger biz bilgisayraımızdaki ismini ve regeditteki yerini biliyorsak kolayca ortadan kaldırabiliriz.Simdi bunu nasıl yapacagımızı ve yaparken nelere dikkat edecegimizi adım adım gorelim:
Trojan temizliğine başlamadan önce, PC'nizdeki gizli ve sistem dosyalarınızın tümünü görünür hale getirin.Bunun için Windows Gezgini'nde Görünüm Klasör seçenekleri (View Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show All Filles) kutucuğunun işaretli olduğuna emin olun.Ayrıca altındaki "Bilinen Dosya Türlerinin Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız da yararınıza olacaktır.
Bazı trojan'ların açıklamalarında aynı ada ve farklı dizine sahip birden fazla dosyanın silinmesi gerektiği yazmaktadır.Eğer söz konusu dosya dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır.
Unutmayın ki, trojanların isimlerini ve diğer bilgilerini değiştirmek pek zor değildir.Burada verdiklerimiz, taşıdıkları orjinal özelliklerdir.Adı değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını inceleyebilirsiniz.
Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli olun.Özellikle Registry, Windows için hayati önem taşır.Yanlış bir şey silmeniz sisteminizde aksıklıklara yol açabilir.
Bazı Trojan isimleri;
TROJANIN iSMi ACID SHIVERS
port numarası 10520
dosya adı "msgsvr16.exe"
boyutu 186 kb
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices " Explorer | msgsvr16.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya "C:\Windows\msgsvr16.exe"
PC Yi YENiDEN BASLAT
TROJANIN iSMi BACK ORIFICE
port numarası 31337
dosya adı ".exe"
boyutu 122 kb
dizini
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices "Explorer | .exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\System\.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi BACKDOOR
port numarası 1999
dosya adı "icqnuke.exe"
boyutu 102 kb
dizini C:\Windows, C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run " Explorer | icqnuke.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\System\icqnuke.exe
silinecek dosya C:\Windows \icqnuke.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi BIG GLUCK
port numarası 34324
dosya adı "bg10.exe"
boyutu 323 kb
dizini C:\Windows, C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices "bg10.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\bg10.exe
silinecek dosya C:\Windows\System\bg10.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi BLADE RUNNER
port numarası 21,5400,5401,5402
dosya adı "server.exe"
boyutu 323 kb
dizini C:\Windows, C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "server.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\server.exe
silinecek dosya C:\Windows\System\server.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi BUGS
port numarası 2115
dosya adı "bugs.exe"
boyutu 78 kb
dizini C:\Windows, C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "bugs.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\bugs.exe
silinecek dosya C:\Windows\System\bugs.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi DEEP BACK ORIFICE
port numarası 31338
dosya adı ".exe"
boyutu 122 kb
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices ".exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\System\.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi DEEP THROAT
port numarası 2140,3150
dosya adı "systempatch.exe"
boyutu 255 kb
dizini Bilinmiyor!...
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run anahatarini acin. "systemDLL32 | systempatch.exe" kaydinin isaret ettigi dizini bir kenara not edin. Sonra bu kaydi silin...
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya Burada kaydetmis oldugunuz dizinin altindaki "systempatch.exe" dosyasini sileceksiniz. Ama ararken "system~1.exe" gibi birsey yazin ki 8 karakter siniri sizi engellemesin. Sonrada trojan oldugundan emin oldugunuz dosyayi silin...
PC Yi YENiDEN BASLAT
TROJANIN iSMi DOLY TROJAN
port numarası 1011,21
dosya adı "tesk.exe"
boyutu 169 kb
dizini C:\Windows, C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "tesk.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\tesk.exe
silinecek dosya C:\Windows\System\tesk.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi GIRL FRIEND
port numarası 21554
dosya adı "windll.exe"
boyutu Bilinmeyenzi....
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "windll.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\windll.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi HACK A TACK
port numarası 31785,31787
dosya adı "expl32.exe"
boyutu 236 kb
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "EXPLORER | C:\Windows\ expl32.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\ expl32.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi INIKILLER
port numarası 9989
dosya adı "bad.exe"
boyutu Bilinmeyenzi
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "EXPLORER"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\bad.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi MASTERS PARADISE
port numarası 3129,40421,40422,40423,40426
dosya adı "sysedit.exe" , "keyhook.dll"
boyutu Bilinmeyenzi
dizini C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "sysedit.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\sysedit.exe
silinecek dosya C:\Windows\keyhook.dll
PC Yi YENiDEN BASLAT Daha sonra sysedit.exe dosyasini güvenilir bir kaynaktan tekrar yükleyin
TROJANIN iSMi NETBUS PRO
port numarası 20034
dosya adı "NBSvr.exe"
boyutu 599 kb
dizini C:\Windows\System , C:\Windows
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices " Net Bus Server Pro | nbsvr.exe"
Registry de silinecek kayıt HKEY_CURRENT_USER\NetBus Server anahtari
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\NBSvr.exe\ , C:\Windows\NBSHelp.dll , C:\Windows\Log.txt
silinecek dosya Ayni dosyalar icin C:\Windows\System dizinine de bakiniz!...
PC Yi YENiDEN BASLAT
TROJANIN iSMi NETBUS
port numarası 12345,12346
dosya adı "patch.exe"
boyutu 470 kb
dizini C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "patch.exe" kaydini ara. Bulamazsan isim degismistir. Sen de o zaman tüm exe kayytlarina bak. 470 kblik dosya NETBUS trojanidir.
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya C:\Windows\System\patch.exe\re move komutu kullan. Eger pc ndeki trojan ismi degisik ise o dosyayi kullan...
silinecek dosya C:\Windows\System\patch.exe
PC Yi YENiDEN BASLAT
TROJANIN iSMi NETSPHERE
port numarası 30100,30101,30102
dosya adı "nssx.exe"
boyutu 640 kb
dizini C:\Windows\System
Registry de silinecek kayıt HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run "NSSX | C:\Windows\System\nssx.exe"
PC Yi MS-DOS KiPiNDE BASLAT
silinecek dosya NSSX | C:\Windows\System\nssx.exe
PC Yi YENiDEN BASLAT
----------------------------------------------------------------------------------------------------------
Virüslerden Korunmanın Yolları:
En iyi korunma yolu, şüpheli programları, güvenmediğiniz internet sitelerinden aldığınız programları hemen kontrol etmeden çalıştırmamak. Dışardan bir program aldığınızda "MUTLAKA BIR VIRUS TARAYICI ILE" kontrol edin. Sonra çok başınız ağrıyabilir.
Ancak, bu korunma önlemi de yetmeyebilir. Virüsler yanında, çalıştırdığınızda bilgisayarınızın önemli dosyalarını silen, disklerinizi formatlamaya çalışan ve ilk anda yararlı gibi görünen (söz gelimi ilk anda bir oyun programı olduğunu sanırsınız) programlar da var. Bu programlar, genellikle, illegal programların bulunduğu birtakım kontrolsüz FTP sitelerinde, web sitelerinde bulunmaktadır. Bu tip programların dağıtıldığı önemli yerleden biri de haber gruplarıdır (usenet news). Aldığınız bir mailin sonuna eklenen ve "lutfen ilişikteki kısa programı çalıştırın, size çok güzel bir yeni yıl kutlaması mesajı veriyor" gibi bir mesaj görür, eklenmiş programı alır ve çalıştırırsanız başınız muhtemelen dertte olacak demektir. Programı alırsınız, içinden hiç virüs çıkmaz. Ama, aldığınız program, çalıştırıldığında, aslında makinanıza ciddi zararlar veren bir algoritmayı doğrudan çalıştırıyor olabilir. Bu yüzden, çok dikkatli olmak lazım. Son pişmanlık fayda etmiyor.
Önemli dosyalarınızın (sistem dosyaları, önemli kişisel dosyalar vb) yedeklerini almaya çalışın. Ve de şüpheli birşekilde aldığınız bir programı hemen silin.
Bilgisayarınıza, eğer imkanınız varsa, bir virüs koruyucu kalkan programı yükleyin. Bu da, sizi bir miktar koruyacaktır. Bu programların seçenekleri ile biraz oynayarak tam kullanımını öğrenin. Bazıları, disk formatlama, dosya silme vb gibi konularda kullanıcıyı uyaran özelliklere sahiptir
MASKE- hacker
- Mesaj Sayısı : 198
rep-puan : 2147488698
Rep Puan : 53
Kayıt tarihi : 17/07/10
Yaş : 43
Nerden : İZMİR
Oyun Sayfası
Oyun Alanı: -
Similar topics» Karşı pc nasıl kilitlenir?Bilgisayar kilitleme Anlatım
» SURABAYA VİRÜSÜ??
» shell nedir nasil atilir ne ise yarar
» SURABAYA VİRÜSÜ??
» shell nedir nasil atilir ne ise yarar
1 sayfadaki 1 sayfası
Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz
» Proxy Çekme Programı İndir
» NightMare Program arşivi v1.0 (Türkçe) 2012 Tek Link İndir
» 9 ADET DDOS ATTACK PROGRAMLARI İNDİR
» IP ÖĞRENME YÖNTEMLERİ
» Yeni BaşLayanLar iÇin İdeaL Bi ( PC HacK ) Yöntemi
» Kontör Hilesi
» Wireless Hack Programı İndir
» Wirelless(Kablosuz Ağ)Şifre Kırma(2010)
» 77 WIFI Hack v2.0
» Netstat Nedir ve Nasıl Kullanılır?
» SQL SERVER Türkçe Görsel Eğitim Seti Full Tek Link İndir
» Ip gözükmesin!!!
» EN ETKİLİ CAMFROG PİNG DÜŞÜRME PROGRAMI
» CamPaper v3.98 (Dünyadaki Web Kameraları Masaüstünüze Gelsin)
» DriverScanner 2012 Full Tek Link İndir.İçinde Serial Mevcuttur..
» 9300 Adet İkon Koleksiyon
» RAKİON HACK
» deep webe giriş hakkında
» MSN HACK PROGRAMI FİLAN AÇIK YOLLARI VARSA LÜTFEN YARDIM
» EssentialNetToolsv4.1 Full İndir-Resımlı Anlatım(Crack İçindedir.)
» Meta Kodları
» Xtreme RAT 2.9 ful indir
» counter strıke 1.6
» By'Roc-Hackeroo1 Özel deneme sürüm v1 hack program
» İndirme Siteleri Bedava Premium Üyelikleri
» Global Deprem Takip Programı İndir
» ADMİN YADA BİRİNİZ YARDIM ETSİN LÜTFEN
» LOL DROP HACK VARSA ATABİLİRMİSİNİZ (YENİYİM)
» YARDIM EDİN ACİL!!!
» hedef kameralara sızmak yardım
» 50 Adet İllizyon Gösterisi ve Püf Noktaları İndir Tek Link
» Admin Paneline kolayca Sızma hack
» Yapay sanal zeka programı indir pc programı indir
» SQL Injection Dersleri
» Stereoscopic Player v1.9.5 (3D Video Oynatıcı)
» Sorular Burdan Bu Başlık Altından Gönderin 1 Günde Cevapp....................
» Abrosoft FantaMorph Deluxe v5.4.0 (Eğlenceli Fotomontaj Programı)
» Windows Kullanıcı Şifresini Kırın
» WireLess Kırıcı indir DownLoad
» farkı buyrun içerde yaşayın
» Raxco PerfectDisk Server v12.5 Build 311 Final (Profesyonel Disk Birleştirme Yazılımı)
» Counter Strike 1.6 Server Saldırı Programı , Ping Yollayıcı
» AVG PC Tuneup 2012 Full İndir(İçinde Serial Mevcuttur)
» Wireless şifre kırma
» BİZ GERİ DÖNDÜK..!
» şifre kırıcı
» Hide IP Easy v5.2.1.6 (IP Gizleme Programı)
» Arkadaşlar Çoğu Hack Programları
» ExtremeCopy Pro v2.3.0 (x86/x64) - (120% Daha Hızlı Kopyalayın)
» 34 Aded Wep Hack Videolu
» Türkojen İle Yapabilcekleriniz
» WiFi Hack AIO (2010) Wireless şifre kırma araçları güncel paket
» Zaman Ayarlı Bilgisayar Kapatan Program İndir
» 10 saniyede kendi solucan virüsünü yapın
» Crypter+Binder Yapımı(Videolu Anlatım)
» DEV HACK PROGRAM MSN,WEB DAHA BİRÇOK KONU İÇİN BUYRUN HEPSİ BİR ARADA
» Tarihin en güçlü saldırı programı Deprem V1.0
» K-Lite Mega Codec Pack 6.2.0
» Autoplay Menu Designer Pro v4.4 build 156 (İnteraktif CD/DVD Autorun Menüleri Hazırlayın)
» FacebooK HesaP Dondurucu (2010) HESAP BİRDAHA AÇILAMAZ
» Hacker Hack
» Evet arkadaşlar özel hack dersleri orta seviye dersleri video ları mükkemeldir
» By'G3L3C3K Hacker İnternette PKK'LILARI RAHAT BIRAKMIYOR...!!!
» Adobe Photoshop CS CS2 CS3 CS4 CS5 Portable
» Videoya Winrar'dan Virüs Koyma(Resimli Anlatım)
» ByRoc Site aç
» En basit hack yöntemi budur acemiler için kesin sonuç
» PassMark OSForensics Professional v1.2.1003 (İşletim Sistemi Adli İnceleme Programı)
» Ursa Software KeyMon v2.23 (Bilgisayar Casusu)
» BÜTÜN YASAKLI SİTELERE GİRME PROGRAMI
» Dailymotion'ın mahkeme kararıyla Türkiye'de erişime kapatıldı. 2013
» ANTİ-KEYLOGGER PROGRAMINI BİLGİSAYARDAN KALDIRMA SORUNU (ÇÖZÜLDÜ)
» Bilgisayarınız hızlandıran program
» ANASAYFA MÜZİĞİMİZ BUNLAR OLACAK!
» Point Blank Bedava E -pİN
» Prison Break 3. Sezon Tüm Bölümler Full 720p Türkçe Dublaj İzle
» Prison Break 2. Sezon Tüm Bölümler Full 720p Türkçe Dublaj İzle
» Prison Break 1. Sezon Tüm Bölümler Full 720p Türkçe Dublaj İzle
» Linkleri herkezle paylaşmayınız..
» Kriptoloji Kriptografi Dökümanlar Türkçe Tek Link İndir
» Site açıklarını bulma....
» DUYURU.....!
» Facebook hack programı yada kodunu bilen yazar mı? (detaylı kullanımınıda)
» facebook çalma nasıl
» Windows Açılışına Kendi Mesajını Yazını Ekleme
» SEN BİR KORKAKSIN..!
» Android Cihazlar İçin FULL Sürüm Karışık Uygulama Paketi ( Oyun Ağırlıklı )
» System Optimize Expert v3.2.9.2 (Sistem Optimizasyonu Uzmanı)
» karsı tarafın masa ustunu gormek ıstermısın
» 1000 Adet Yazı Fontu Tek Link İndir
» Bilgisayarınıza Başkaları Girmesin
» FACE HACKLEME
» wiraless hack
» Depp Frezee Pc Koruma Programı
» Backtrack Görsel Eğitim ve Hack Dersleri DVD si
» BluffTitler DX9 iTV v8.7.0.0 (3 Boyutlu Yazı Animasyonu Hazırlama Programı)
» İstanbul kıyamet vakti online oyun
» En Çok Tavsiye Edilen Android Oyun Paketi-PRO Versiyon