"Popüler
virüsler nedir, nasıl korunulur??? Tüm merak
ettiğiniz yanıtlar bu sayfada!!
Bilgisayarlar hızla hayatımızın bir parçası
haline gelirken bu sevimli makinalarla birlikte
kimi olumsuzluklar da kapımız çalıyor. Bu
davetsiz misafirlerin başında ise bilgisayar
virüsleri geliyor ; ancak pek çok kişi
özellikle de yeni bilgisayar kullanıcıları bu
konuda pek bilgili değil. Hatta pek çoğumuz
Hollywood yapımı bilimkurgu filmler sonucunda
onların canlı organizmalar olduğunu bile
düşündük. Fakat bilgisayar virüslerinin
canlı olması (ve de kullanıcılara hastalık
bulaştırması!) söz konusu değil!! Çünkü
onlarda sadece küçük birer yazılımdır.
Tabii ki bunlar diğer bilgisayar
yazılımlarından biraz farklılar. Bu
farkların başında kendilerini kopyalamaları
geliyor. Tıpkı biyolojik virüslerin DNA'lar
ile çoğalmaları gibi bilgisayar virüsleri de
kendilerini başka programlara ya da boot'a
kopyalayarak çoğalırlar. Diğer bir
özellikleri ise çalışmaları için
kullanıcıya bağlı olmamaları yani aktif bir
yapıya sahip olmaları. Böylelikle
kullanıcının onayını ya da emrini beklemeden
hareket ederler. Bilgisayar sistemlerine zarar
vermeleri de kullanıcının istemediği
zamanlarda istemediği şeyler yapmasıyla olur.
Virüsler varlıklarını devam ettirebilmek
amacıyla sürekli olarak kendilerini kopyalarlar
ve böylelikle tüm dünyadaki bilgisayarlara
yayılma şansı bulurlar. Her geçen gün
virüslerin sayısı katlanarak artıyor. 1983
yılında bilgisayar virüslerine isim
babalığı yapan Friedrich Cohen bile onların
gün gelip de onbinlerle ifade edileceğini
düşünmemişti herhalde. Ancak bugün
sayıları giderek artıyor ve bunun temelinde de
psikolojik durumları hala tartılaşılan
bilgisayar programcıları geliyor! Kimileri
aşklarını duyurmak, kimileri nükleer
denemeleri protesto etmek, kimileri ise sadece
eğlence amacıyla virüs yazıyor. Bir
bilgisayar virüsü programlamak için
sanılanın aksine bilgisayar dehası olmaya
gerek yok, sıradan bir programcı hatta
programcılığa meraklı 9-10 yaşlarında bir
velet bile rahatça bir virüs yapabilir. Fakat
virüsünün dünyaya yayılp, adını duyurması
virüsün kaynak kodununun (source code)
kalitesine bağlıdır. Virüsleri kabaca dört
grupta inceleyebiliriz. File (Dosya), Trojan
(Truva), Makro ve Boot virüsleri.
*
Boot virüsleri :
Disketlerin Boot Sector ya da sabit disklerin
Master Boot Sector denilen ilk sektörlerine
kendilerini kopyalarlar. Daha sonra kendilerini
yine kopyalayarak diğer bilgisayarlara
ulaşırlar. Temizlemesi en kolay virüs
türüdür.
*
Dosya (File) virüsleri : Bunlar
ise çalıştırılabilir programlara
(uzantıları . exe, . com gibi olanlar)
bulaşırlar ve bunlardan diğer dosyalara
kendilerine kopyalarlar. Böylelikle de
bulaştıkları dosyanın uzunluğunu
artırırlar; ancak günümüzde dosya
uzunluğunu artırmadan da bulaşan virüsler
var. Virüs eklentisi genellikle dosyanın
sonunda ve nadiren de ortasında olur. Virüs
hafızada kalabilir (resident virus) ya da
doğrudan çalıştırıldığında (direct
action virus) etki gösterebilir. Ya da her iki
özelliği de kullanabilir.
*
Trojan'lar (Truva Atları) : Truva
atı olarak nitelendirilen Trojan'lar ise diğer
virüslerden farklıdırlar. Aslında bunları
virüs kategorisini koymak pek de mantıklı
değil. Virüsler yapı itibariyle kendilerini
başka yerlere kopyalama, yani
"bulaşma" özelliğine sahiptirler.
Truva'lar ise genellikle bunu yapmazlar. Son
zamanlarda gündemde bir hayli yer edinmeleri ise
Internet'in yaygınlaşması ile oldu.
Bildiğinizi gibi eski bir öyküye göre
Truvalılar'ı yenemeyen Yunanlılar tahtadan dev
bir at yaparak bunu savaş tazminatı olarak
Truvalılar'a verirler ve kentin kuşatmasını
kaldırırlar. Truva atı denilen atın içine
gizlenmiş Yunanlı askerler gece olduğunda
şehrin kapılarını açarlar ve eğlenceye
dalmış olan Truvalıları öldürürler. Şimdi
tarihi efsanelerin ne ilgisi var virüslerle
demeyin!! Modern çağda siz Truvalılar
oluyorsunuz ve Yunanlılar bir sürü Truva tı
ile sizin bilgisayarınıza musallat oluyorlar.
Truva'lar 2 kısımdan oluşur. Birincisi bir
şekilde size ulaştırılır ve
çalıştırdığınız andan itibaren
bilgisayarınız 2. kısmı elinde bulunan
kişinin kontrolü altına girer.
* Makro virüsleri : Word,
Excel gibi makro kullanıma olanak tanıyan
programların dosyalarına bulaşan virüslerdir.
Yapılarını makrolardan aldıkları için bu
adla anılırlar. Son dönemdeki pek çok
"ünlü" virüs makro virüsleridir.
Bilgisayar virüsleri sisteminize
bulaştıktan sonra bilgisayarınızda kuluçkaya
yatarak zarar verecekleri zamanı beklerler
(çoğunun içlerinde "time-bomb"
denilen zamanlama ayarları vardır); ancak bu
zararlar tamamen programlara yöneliktir. Yani
bilgisayar virüsleri donanım (hardware)
parçalarına fiziksel zarar veremezler. Size
yapabilecekleri en büyük kötülük
programlarınızı, verileriniz silmek
olacaktır. Bunun dışında geçici olarak
klavyenizi kullanmanızı engelleyebilir, ekrana
değişik yazılar yazabilir (çok aç olduğu
için sürücünüze hamburger koymanuzı
istemesi gibi) ya da yazıcınıza sizin
istemediğiniz emirler gönderebilirler. Onlardan
kurtulmak yerine hiç karşılaşmamayı
deneyin!! Bunun için öncelikle sadece orjinal
program kullanmaya başlayın yani korsan
yazılım (yasadışı programlar) almayın.
Çünkü virüslerin büyük bir kısmı bu
yasadışı kopyalarla dağılır. Bunun
dışında sürücünüzde disket varken
bilgisayarınızı reset'lememeniz ya da size ait
olmayan disketleri bilgisayarınızda
kullanmamanız da bazı önlemler olabilir. Tüm
bunları yapmanıza karşın bir gün başınız
onlarla derde girerse piyasada rahatlıkla
bulabileceğiniz anti-virüs programlarını
kullanarak bilgisayarınızı virüsten
kurtarabilirisiniz.
MODA VİRÜSLER. . .
"Abi
yeme bizi, bilgisayar virüslerinin de modası
mı olur??" diye şaşırmayın. Her dönem
popüler olan ve pek çok kişinin canını yakan
virüsler vardır. Mesela Michelangelo, Cansu,
Yandan Çarklı, Mumcu, Şair, Crazy bir
zamanların gayet moda virüsleriydi. Aslında
size musallat olan moda bir virüsse işiniz daha
kolay, çünkü neredeyse tüm anti-virüs
üreticileri bu virüsü temizleyen yeni
sürümlerini anında çıkartırlar. Böylelikle
siz de rahatlıkla virüsden kurtulursunuz. Asıl
tehlikeli olan kıyıda, köşede kalmış bir
virüse ya da moda bir virüse en başta
yakalanmaktır.
Aslında
beni bu yazıyı yazmaya iten neden son günlerde
virüs konusunun sıkça konuşulur hale gelmesi
oldu. Bırakın bilgisayar dergilerini, günlük
gazeteler bile başta "Melissa" olmak
üzere yeni virüsler üzerine yazılar
döşemeye başlayınca ben de karanlık
çağlardan beri kullanmadığım virüs
bilgilerimi gün ışığına çıkarmam
gerektiğini anladım!!
"KILICIMI
GETİRİN!!"
Tabii
"KILICIMI GETİRİN!!" lafı bayağı
bir abartılı oldu; ama biz yine de işin
atmosferine girelim! Sizlere kısaca
tanıtacağım moda virüsler şu günlerde en
çok karşılaşabilecekleriniz. Neymiş bakalım
bu yeni yetmeler : Melissa, Netbus, CIH, Class,
Ethan, Back Orifice ve Happy99.
MELISSA
*
Nedir? İşte en popüler virüsümüz!! Melissa
bir Word 97 makro (macro) virüsü. Oldukça
tehlikeli bir virüs, çünkü e-mail yoluyla
çok hızlı olarak yayılabiliyor. Word 97
dökümanlarına ve Word 97 ile Word 2000'in
NORMAL. DOT dosyasına bulaşıyor. Virüsün
kodu Melissa isimmli bir makro bulunduğundan bu
adla anılıyor.
*
Diğer İsimleri? Basında "Porno
Virüsü" olarak da tanınmasının nedeni
pek çok kişiye pornografik içerikli sitelerden
gönderilen e-mail'ler sonucu bulaşmasından
kaynaklanıyor. Ayrıca W97M/Melissa, Kwyjibo
isimleriyle de tanınıyor.
*
Nasıl Bulaşıyor? Melissa virüsü bulaşmış
bir Word dökümanını ilk kez
çalıştırdığınızda virüs, sistemde MS
Outlook olup, olmadığını kontrol ediyor.
Eğer varsa adres defterinde (address book) yer
alan 50 e-mail hesabına (account) mektup
göndererek yayılıyor. Virüs tarafınfan
gönderilen mektupların "subject"
kısmı şu şekilde oluyor : "Important
Message From {virüsün bulunduğu bilgisayarın
sahibinin adı}". Mektubun "body"
kısmında yani içeriğinde ise "Here is
that document you asked for . . . don't
show anyone else :-)" yazılı. Virüslü
Word dökümanu bu mektuba iliştiriliyor ve
açıldığı zaman yine 50 kişiye kendisine
gönderiyor. Bu böyle döngü içinde
geliştiğinden çok kısa bir süre içinde
inanılmaz bir hızla yayılabiliyor. E-mail
metodu ile kendisini klonlamayı sadece virüslü
döküman ilk çalıştırıldığında yapıyor.
Eğer bilgisayarınızda virüslü bir döküman
varsa Windows Registry'e baktığınız zaman şu
satırı görebilirsiniz :
"HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?".
Virüs, e-mail ile başka adreslere ulaştıktan
sonra bu anahtar değere ". . . by
Kwyjibo" ekleniyor. Eğer virüs registry'de
bu ibareye rastlarsa e-mail kullanarak kendisini
başkalarına göndermiyor. Bir de eğer sistemde
Outlook yoksa virüs yine kopyalama işlemine
başlamıyor. Bununla birlikte virüsün
bulaştığı bilgisayarda açılan tüm Word
dosyalarına bulaşıyor (diğer Word 97
virüsleri gibi).
*
Etkileri Neler? Yaptığı en önemli iş e-mail
yoluyla çok hızlı bir şekilde yayılması.
Bunun dışında ayrıca eğer dakika o günkü
tarihle uyuşuyorsa (mesela saat 9:30 ise ve
günlerden de ayın 30'u ise) metine şöyle bir
tümce ekliyor : "Twenty-two points, plus
triple-word-score, plus fifty points for
using all my letters. Game's over. I'm outta
here. "
*
Ne Zaman Ortaya Çıktı? İlk olarak Mart
1999'ta görüldü.
CIH
*
Nedir? 32-bit Winwods 95, 98 ve Windows NT
dosyalarına (. EXE uzantılılara) bulaşan bir
virüstür.
*
Diğer İsimleri? Win95/CIH ve Space Filler.
*
Nasıl Bulaşıyor? CIH virüsü bulaşmış bir
dosya Windows'ta çalıştırıldığında virüs
aktif hale gelip, o bilgisayara bulaşıyor ve
hafızada kalıyor (memory resident). Bundan
sonra, açılan (yani çalıştırılan) ve
kopyalanan tüm 32-bit EXE dosyalarına
bulaşıyor. Virüsün boyutu oldukça küçük
(1000 byte). Virüsün oldukça ilginç bir
özelliği var. Bulaştığı dosyaların
uzunluğunu değiştirmiyor. 32-bit EXE
dosyalarında bulunan boş alanları (PE Format)
kendi kodu için kullanıyor. Böylelikle dosya
virüslerinin en büyük belirtisi olan dosya
uzunluğunun artması olayını devre dışı
bırakabiliyor. Eğer kendisini kopyalamak için
tek bir boşluk bulamazsa, küçük parçalara
bölünerek dosyadaki mevcut tüm boşluklardan
yararlanıyor. Virüsün kod kısmında yer alan
"CIH" sözcüğünden dolayı bu adla
anılıyor.
*
Etkileri Neler? Oldukça tehlikeli bir
"time-bomb" (zaman bombası) var.
Virüs, her ayın 26'sında (bazı varyasyonları
sadece Nisan ayında) BIOS flash memory chip'ne
zarar verebiliyor. Böylelikle 486 ve üstü
bilgisayarları etkileyebiliyor. Eğer chip
yazılabilir (write-enabled) ise virüs buraya
alakasız şeyler yazıyor. Eğer böyle bir şey
gerçekleşirse bilgisayarınız anakart
(motherboard) yenilenene ya da chip'te saklanan
bilgiler restore edilene dek kullanılmaz oluyor.
Sevgili virüsümuz, her türlü BIOS
korumasını da aşıyor! Virüs tüm bu
gıcıklıklığı yapmasının yanı sıra sabit
disk'teki (harddisk) bilgileri de okunmaz
(unreadable) hale getiriyor. Benim bugüne kadar
gördüğüm en TEHLİKELİ ve de ZARARLI
virüslerden biri, hatta birincisi!!! CIH, bu
günlerde en çok dikkat edilmesi gereken
virüs!!!!
*
Ne Zaman Ortaya Çıktı? Haziran 1998'de camiaya
girdi!
*
Varyantları neler? CIH'ın varyantlarını
anlatmadan önce sanırım "varyant"ın
ne olduğundan bahsetmem gerek. Bir virüs
yazmanın zor olmadığını söylemiştim. Bir
virüsün koduyla oynayıp ona benzer başka bir
virüs yaratmak da zor değil!! Bir virüsün
koduna sadık kalınarak (bazı küçük
değişikler yaparak tabii) yaratılmış
virüslere, ilk virüsün varyantları denir.
İşte bizim CIH'ın da üç tane varyanı var:
1. 2, 1. 3 ve 1. 4. 1. 2 ve 1. 3 sadece Nisan
26'da zarar verirken 1. 4 çok daha gaddar!! 1. 4
her ayın 26'sında marifetlerini gösteriyor. Ve
işin kötüsü varyant 1. 4, bilgisayar
kullanıcıları arasında daha yaygın!
NETBUS
*
Nedir? Netbus, klasik anlamda bir virüs değil.
Aslında bir "Trojan". Win32 tabanlı
olan Netbus, Windows 95, Windows 98 ve Windows NT
sistemlerinde etkili olabiliyor. Aktif hale
geldiği bilgisayarın başkalarınca
yönetilebilmesine olanak sağlar.
*
Diğer İsimleri? Backdoor. Netbus.
*
Nasıl Bulaşıyor? Genellikle Internet
kullanıcıları arasında yaygındır. Çünkü
Internet üzerinde dosya alış, verişi yapan
kişiler rahatlıkça Netbus'lı bir program
download edebilir. Netbus'ı sisteminizde
çalıştırdığınızda Windows Registry'e bir
kayıt ekleyerek sürekli aktif hale gelir. Ancak
kullanıcı bunu göremez. Sadece Netbus'ı
çekmekle aktif hale getirmezsiniz. Netbus'ın
aktif olması için mutlaka çalıştırılması
gerekir.
*
Etkileri Neler? Netbus, "remote
administration trojan" (uzaktan yönetim
truvası) denilen sınıfa girmektedir. Yani
başka birisinin, sizin bilgisayarınızı
kontrol etmesini sağlar. Eğer Netbus aktifse ve
Internet'e bağlıysanız "Netbus
Client" programına sahip olan kişi
bilgisayarınız sanki onun yanındaymış gibi
hemen herşeyi yapabilir: İstediği bilgileri
okur (şifreniz dahil!), ekrana istediği bir
mesajı yazdırabilir, dosyalarınıza canı ne
istiyorsa onu yapabilir, CD sürücünüzü
açabilir, mouse'unuzu kontrol edebilir. . .
Kısacası ne istiyorsa onu yapar. Bir
arkadaşımın ricası üzerine (çalışıp,
çalışmadığını merak ediyordu!) Netbus'ı
kendi bilgisayarımda çalıştırdım. Bir süre
sonra arkadaşım sinir krizleri geçirmemi
sağlayacak kadar "pislik"
yapmıştı!! Bir de Netbus bulaşan kişinin
bundan haberi olmadığını hesaba katarsanız,
durumu siz düşünün!!
*
Ne Zaman Ortaya Çıktı? Ver 1. 5'i Mart
1998'de, Ver 1. 6'sı Ağustos 1998'de ve Ver 1.
7'si ise Kasım 1998'de doğdu!
*
Varyantları neler? Bu afacanın 3 tane sevimli
varyantı var.
Netbus
Ver 1. 5 (473, 088 byte).
Neetbus Ver 1. 6 (472, 576 byte).
Netbus Ver 1. 7 (494, 592 byte).
Uzunlukları
illa bu kadar olacak diye bir kural yok tabii!
Netbus başka bir programa enjekte de
edilebilir (o programa eklenir, ama siz programı
çalıştırdığınızda Netbus'ın da
çalıştığına dair bir ipuçu
göremezsiniz). Böylelikle fark etmeniz çok zor
olur.
Ş
Kendim Nasıl Temizleyebilirim? Aslında her
virüsü kendi kendinize temizlemeniz mümkün.
Ancak bu sizin bilgisayar bilginizle
sınırlıdır!! "Kendim Nasıl
Temizleyebilirim?" başlığı altında en
acemi kullanıcıların bile temizleyebileceği
virüsleri/truvaları anlatacağım. Netbus da
kolaylıkla kurtulabileceğiniz bir bela! Eğer
Windows Registry'i nasıl
değiştirebileceğinizi biliyorsanız,
Registry'e girip Netbus'ın ekledi satırları
kaldırın. Ardından bilgisayarınızı yeniden
çalıştırın ve son olarak Netbus dosyasını
silin (yerini Registry'de görebilirsiniz).
Ayrıca piyasada pek çok Netbus koruyucusu
program var. Netbus Protector bunların başında
geliyor.
BACK
ORIFICE veya BO TROJAN
*
Nedir? Tıpkı Netbus gibi Win32 tabanlı bir
Truva'dır. Windows 95 ve Windows 98'de
çalışır. Netbus gibi Windows NT'de de
çalışmaz. BO'nun kullanıcı tarafından en az
bir kez çalıştırılmış olması gerekir.
*
Diğer İsimleri? BO, Backdoor. BO.
*
Nasıl Bulaşıyor? Çalıştırıldığı zaman
Windows Registry'e kayıt yaparak sürekli aktif
hale gelir. Uzunluğu 124, 928 byte'tır. Tabii
ki boyutu bundan fazla da olabilir. Netbus gibi
"remote administration trojan"dır.
Aktifse ve Internet üzrindeyseniz Back Orifice
Client programı olan kişi kontrolü ele
alabilir.
*
Etkileri Neler? Netbus için yazdıklarım burada
da aynen geçerli.
*
Ne Zaman Ortaya Çıktı? Ağustos 1998.
*
Kendim Nasıl Temizleyebilirim? Netbus için
yazdıklarım burada da aynen geçerli.
CLASS
*
Nedir? Word 97 dökümanlarına bulaşır
(ayrıca Normal. dot). Virüs kodu 2 makrodan
oluşmakta. Bu makrolar, bulaştığı
dökümanın "ThisDocument" modülünde
bulunur. Makrolarının isimleri ise :
"AutoOpen" ve
"ViewVBCode".
Normal. dot'da bu isimler "AutoClose"
ve "ToolsMacro" şeklinde de olabilir.
*
Diğer İsimleri? W97M/Class, Word97. Class.
*
Nasıl Bulaşıyor? Virüs, C sücüsünün
root'unda CLASS. SYS isimli bir dosya yaratır.
Makrolar bu dosyada yer almaktadır ve başka bir
dosyaya bulaşacağı zaman makroları buradan
alır. Virüs kodu her bulaştığı zaman
farklıdır; çünkü o an ki tarih, saat,
kullanıcı adı, kullanılan yazıcı gibi
bilgileri de içerir.
*
Etkileri Neler? Her ayın 31'inde şu mesajı
görüntüler :
This
Is Class
o-o-o-o-o-o-o-o-o-o-o-o-o-o
o VicodinES /CB /TNN o
o o-o-o-o-o-o-o-o-o-o-o-o-o
*
Ne Zaman Ortaya Çıktı? 1998 Aralık'ı.
*
Varyantları neler? Class D ve Class B olmak
üzere 2 varyantı söz konusudur. Class D,
Haziran'dan Aralık'a her ayın 14'ünde şu
mesajı verir :
I
Think XXXXXX is a big stupid jerk!
VicodinES Loves You / Class. Poppy
Buradaki
xxxxxx kısmına tahmin edeceğiniz gibi
kullanıcının adı yazılır! Ayrıca Windows
User (kullanıcı) adını rastgele olarak
"Dr. Diet Mountain Dew"e çevirir.
Class
B de tıpkı D gibidir; ancak isim değiştirme
olayını yapmaz.
ETHAN
FROME
*
Nedir? Word 97 dökümanlarına ve W97'nin
"Normal. dot" dosyasına bulaşır.
"Document_Close" isimli tek bir
makrodan oluşur. Virüslü dosyanın
"ThisDocument" modülündedir. Diğer
İsimleri?
*
Nasıl Bulaşıyor? Root dizinde ETHAN. ___
isimli bir dosya yaratır. Dosya gizli (hidden)
modda yaratılır. Eğer "Class. sys"
dosyası varsa siler. Kısacası CLASS virüsüne
oldukça benzer ve eğer o varsa çalışmasını
engeller.
*
Etkileri Neler? Virüs rastgele bir kontur
çalıştırır ve belirlediği zaman,
bulaştığı dosyanın adını "Ethan
Frome", yazarını da "EW/LN/CB"
olarak değiştirir.
*
Ne Zaman Ortaya Çıktı? Ocak 1999'da çıktı.
HAPPY99
*
Nedir? Win32 tabanlı bir Truva'dır.
Çalıştırıldığı zaman küçük
sayılabilecek bir ekran içerisinde havai fişek
efekti gösterir. Tarz olarak Netbus ve BO'ya
benzese de amacı onlardan farklıdır.
*
Diğer İsimleri? win32. ska. a, ska, wsock32.
ska ve ska. exe.
*
Nasıl Bulaşıyor? Happy99 isimli (başka bir
isim altında da olabilir) programı
çalıştırdığınız an aktif olur ve
"SKA. EXE" ve "SKA. DLL"
isimli iki dosya yaratır. Orjinal WSOCK32. DLL
dosyanızı WSOCK32. SKA adı altında kaydeder
ve gerçek WSOCK32. DLL yerine modife edilmiş
dosyayı geçirir. Eğer o an Wsock32. dll
kullanılıyorsa bu değişiklikleri yapamaz; ama
Windows Registry'sine girerek bilgisayar ilk boot
edilkten sonra bunların yapılmasını sağlar.
Uzunulupu 10. 000 byte'dır.
*
Etkileri Neler? Happy99 aktif olduktan sonra
kullanıcının e-mail ve newsgroup işlemlerini
izleyerek onlara SKA. EXE dosyasının bir
kopyasını HAPPY99 adı altında gönderir. Her
bir adrese sadece bir kere gönderir. Atılan ilk
mail'in subject'ini kullanarak ayrı bir mail
atar, yani kullanıcının attığı mail'le
göndermez Happy99'u. LISTE. SKA adlı dosyada
kimlere atıldığı tutulur. Herhangi bir
zararı yoktur, sadece yayılır.
*
Ne Zaman Ortaya Çıktı? Ocak 1999.
*
Kendim Nasıl Temizleyebilirim? Öncelikle
Windows\System dizinine girin ve şu dosyaların
olup, olmadığına bakın :
1.
SKA. EXE
2. SKA. DLL
3. WSOCK32. SKA
Eğer
bu dosyalar varsa Happy99'unuz hayırlı, uğurlu
olsun!! SKA. EXE, SKA. DLL ve WSOCK32. DLL
dosyalarını silin. WSOCK32. SKA dosyasının
adını WSOCK32. DLL olarak değiştirin
(Internet
programlarını bu işlemi yaparken kapalı olsun
-browser, e-mail composer gibi-)ve "Bir
zamanlar
Happy99 diye bir Truva'm vardı, ruhuna el
fatiha. . . " deyin!.
İşte
"moda" virüslerimiz bunlar. . .
Mümkün olduğunca sade; ama aynı zamanda da
tüm gerekli detaylı verecek şekilde tanıtmaya
çalıştım. Eğer bunlarla ya da başka
virüslerle herhangi bir sorununuz olursa bize
yazmaktan çekinmeyin. Virüslerle ilgili son
tavsiyeleri yazmadan önce size benim de
kullandığım bir anti-virüs programından
kısaca bahsetmek istiyorum. Yukarıda bazı
virüslerden nasıl kurtulacağınızı
anlattım; ancak pek çok virüsten kurtulmak
için profesyonel yardıma, yani anti-virüs
(nam-ı diğer virus-killers) yazılımlarına
ihtiyacınız olacaktır. Piyasada pek çok
anti-virüs bulunmakta. F-prot, Dr. Solomon,
McAffe's Scan, NAV ilk akla gelen isimler. Size
bahsedeceğim yazılım ise PROLAND SOFTWARE
isimli bir Hint firmasınca yazılmış. Şimdi
"Hint" lafını duyunca küçümsemeyin
sakın, çünkü adamlar yazılım işinde
gerçekten çok iyiler. Hatta pek çok Amerikan
yazılm firması kodlarının bir kısmını
taşeron Hint şirketlerine yaptırıyorlar.
Aslında Türkiye de yazılım işinden tıpkı
İsrail, Bulgaristan, Hindistan, Rusya gibi çok
para kazanabilir! Mesela şu meşhur ICQ
programını İsrail'li 2 kardeş 10. 000 dolar
harcayarak oluşturmuş. Adamlar daha sonra 250
milyon dolara programı sattılar. 10. 000 dolar
nere 250 milyon dolar nere. . . . Yazılım
sektöründen kazanılacak para için sadece
küçük bir örnek!! Neyse, gelelim Proland'a.
Elemanlar, PROTECTOR PLUS isimli bir anti-virüs
hazırlamışlar. Proland'dan Srinivas Kadur,
sağolsun programı incelemem için yardımcı
oldu. Download'ı ve kurulumu oldukça hızlı
bir program Protector Plus. Sadece 947K
(sıkıştırılmış hali) ve 5-10 dakika
içinde Internet'ten çekebiliyorsunuz.
Şimdilerde pek çok Windows Anti-Virus
programının 7-8 MB'dan aşağı olmadığını
düşünürsek, Protector Plus'ın kısa olması
büyük bir avantaj. Hem download'ı çabuk
oluyor, hem de sabit disk'te çok yer işgal
etmiyor. Bu arada Install aşamasında back, next
ikonları olmaması aslında pek iyi değil. Bir
de program, daha önce test ettiğim bir kaç
yazılıma göre biraz yavaş kalıyor. Ancak
kolay kullanımı ve iyi tasarlanmış yapısı
ile artı puan topluyor. Ayrıca on-line iken de
tarama yapabiliyor. Sonuç olarak bence oldukça
iyi bir anti-virüs yazılımı ve şu an sabit
diskimde yer alan 2 anti-virüs programından
biri Protector Plus. En azından sitelerine
uğrayıp, geçici sürümüne bir göz
atmanızı öneririm. Ayrıca firma bazı
virüsler için (CIH gibi) özel yazılımlar da
üretiyor. Mesela sırf CIH'ı bulup, temizleyen
gibi. Ve bu tür programları da ücretsiz olarak
sitelerinde bulabilirsiniz.
ABİNİZDEN
TAVSİYELER. . .
Belki
biraz ukala bir başlık oldu; ama hakikatten
abilerden tavsiyler!! Yaklaşık 10 yıldır
aktif olarak bilgisyarlar dünyasındayım ve bir
kez bile virüslerle sorun yaşamadım. Sadece
bir kez, o da geçen gün Happy99 bulaştı
sistemime. O da, virüsler hakkında yazdığım
bu yazı için bilgi toplamak içindi. Eğer
virüslerden uzak durayım diyorsanız,
yılların tecrübelerine kulak verin :
·
Windows için tasarlanmış bir anti-virüs
programınız mutlaka olsun; ama en azından bir
tane de DOS üzerinde çalışan anti-virüs
bulundurun. Düşünün ki bir virüs sonucu
Windows'unuza da bulaştı ve Win sürümü
anti-virüs programınız sağlıklı olaark
çalışmıyor. Böyle bir anda tek kurtuluşunuz
DOS anti-virüsü olacaktır.
·
Elinizdeki anti-virüs programlarına sonuna dek
güvenmeyin. Bugün 23, 000'ün üzerinde virüs
var. Sadece 4000 civarında Macro ve Trojan
virüsü söz konusu. Anti-virüs üreticilerinin
sitelerini gezerek yeni virüsler hakkında bilgi
edinin.
·
Sisteminizi boot ederken disket sürücüsünde
disket olmamasına dikkat edin. Böylelikle
çoğunlukla boot virüslerinin önüne
geçersiniz. Eğer boot virüsü olan bir disket
varken boot ederseniz, virüs aktif hale gelir ve
RAM'de saklanır. Genellikle hafızanın üst
kısımlarında saklandıkları için DOS'un
gördüğü hafıza miktarı düşecektir (Mesela
640K yerine 639K görürsünüz). Bu şekilde
boot virüslerinden haberdar olabilirsiniz. Ancak
"stealth" virüsleri de hesaba katmak
lazım. . .
·
Bildiğiniz üzere Nisan sayısındaki CD'imizde
ne yazık ki CIH virüsü vardı. Şu an özür
dilemekten başka bir şey gelmiyor elimizden!
CD'yi hazırlayan Tolga arkadaşımız defalarca
kontrol etmesine rağmen CD'lerin basıma
hazırlanması sürecinde bir şekilde virüs
bulaşmış. Bu daha önce de pek yerli ve
yabancı derginin başına geldi. Hatta yazılım
devi Microsoft'un dağıttı bazı programlarda
bile virüs olduğu ortaya çıkmıştı. Sonuç
olarak bilgisayarınızda ilk kez
çalıştıracağınız bir programı muhakkak
elinizdeki programlarla kontrol edin.
·
Eğer tüm çabalarınıza rağmen sisteminize
bir virüs bulaşmışsa, yapacağınız ilk şey
soğukkanlı olmak! Eğer paniklerseniz
muhtemelen virüsten kurtulmak için format atmak
gibi gereksiz arayışlara yönelebilirsiniz.
Öncelikle virüsün ne tür bir virüs
olduğunu, özelliklerinin ne olduğunu bulmaya
çalışın. Piyasadaki her virüs zarar verir
diye bir kural yok. Belki de tamamen zararsız ya
da kolayca temizlenebilecek bir virüs için
kıymetli verilerinizi kaybedebilirisiniz!
·
Sizin için önemli olan tüm programların ve
herşeyden önemlisi verilerin yedeğini MUHAKKAK
alın. Haydi programlar neyse; ama kişisel
verilerinizi tekrar bulma şansınız yoktur!
·
Mutlaka write-protect'i açık olan
"temiz" bir sistem disketi bulundurun.
Mümkünse virüs taraması yapmadan önce
sistemi böyle bir disketle açın.
·
Ben yazıyı yazarken, PAPA isimli yeni bir
"worm"dan bahsediliyordu; aman dikkat!!
·
F-Prot kullanıcısıysanız ve sisteminizde
virüs olmamasına rağmen, illa bir "virüs
var!" mesajı göreyim, hem de tecrübe
kazanmış olurum diyorsanız, alın size bir
test virüsü. . . Bir text editörü ile şu
satırı yazın:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Dosyaya
istediğiniz ismi verin; ama uzantısı COM olsun
(ASC-II olarak kaydedin, dosya uzunluğu 68 byte
olacaktır). Şimdi taratın bakalım F-Prot ile!
VİRÜS
OLDUĞUNU NASIL ANLARIM??. . .
Eğer bu yazıyı 5 yıl önce
yazıyor olsa idim yanıtım çok kısa ve basit
olurdu. Dosya virüsleri dosya uzunluğunu
arıtırır, Boot virüsleri ise hafızayı
azaltır! Ancak günümüzde "Stealth"
virüsler, dosya uzunluğunu artırmayan
virüsler, "worm"lar derken virüs
teknolojisinin de geliştiğini görüyoruz.
Eğer sisteminiz hiçbir neden yokken
yavaşlamaya başlamışsa, anlamsız hata
mesajları veriyorsa, disk ışık(lar)ı
gereğinden fazla yanıyorsa, bazı dosyalar
durup dururken kayboluyorsa sisteminizde
muhtemelen bir virüs vardır (kesinlikle vard
demiyorum!). Evet, virüslerden korkmayın; ama
korunmayı da ihmal etmeyin virüslerden uzak
durun ama virüssüz kalmayın gibi gereksiz ve
tuhaf bir sözle yazımı noktalıyor ve size
virüssüz günler diliyorum...
|
