2014 GÜVENLİK PAKETİ : http://www.turkhackteam.net/program-...el-upload.html
Günümüzde
bilgisayarların yegane düşmanı virüslerdir. 1980'lerin ortalarında
Lahor'lu (Pakistan) Basit ve Amjad Alvi, kendi yazılımlarının
kopyalandığını farkettiler. Buna tepki olarak ilk bilgisayar virüsünü
geliştirdiler. Bu virüs, müşterilerinin kopyaladığı her floppy disket
üzerine hem kendi kopyasını hem de telif hakkı (Copyright) mesajını
koyan bir programdı. Virüsler böylesine basit bir gelişmeyle
başladı,fakat zamanla tam bir virüs kültürü gelişti. Günümüzün virüsleri
tüm dünyayı birkaç saat içinde sarabiliyor, manşetlere konu olabiliyor.
Bir bilgisayar virüsü, belleğe yerleşen, çalıştırılabilen programlara
kendini ekleyen, yerleştiği programların yapısını değiştiren ve kendi
kendini çoğaltabilen kötü amaçlı programlardır.
Teknik olarak bir bilgisayar programının virüs sayılması için kendi
benzerini yapıp bunu başka programlara bulaştırması lazımdır
Virüsler bulaştıkları bilgisayarda genelde hızlı bir şekilde
yayılırlar.Tıpkı grip virüsünün insan vücuduna yerleşmesi gibi,
bilgisayar virüsleri de kendilerini taşıyıcı bir programa
yerleştirir.Böyle virüs bulaşmış bir program bilgisayara transfer
edildiğinde,bilgisayardaki diğer programlara da virüs bulaşmaya
başlayacaktır.
Bilgisayar virüslerinin popüler bulaşma yollarından birisi "virüs kapmış
bilgisayar programları" dır. Bu durumda, virüs kodu bir bilgisayar
programına (örneğin, sık kullanılan bir ekran koruyucusuna ya da bir
oyun programına) virüsü yazan (ya da yayan) kişi tarafından eklenir.
Böylece, virüslü bu programları çalıştıran kullanıcıların
bilgisayarları, "potansiyel olarak" virüs kapabilirler. Özellikle
internet üzerinde dosya alışverişlerinin ne kadar sık kullanıldığını
düşünürsek tehlikenin boyutlarını daha da iyi anlayabiliriz.
Virüslenmiş program çalıştırıldığında virüs kodu da, genellikle,
bilgisayarın hafızasına yerleşir ve potansiyel olarak zararlarına
başlar. Bazı virüsler, sabit diskin ya da disketlerin "boot sector"
denilen ve bilgisayar her açıldığında ilk bakılan yer olan kısmına
yerleşir. Bu durumda, bilgisayar her açıldığında "virüslenmiş" olarak
açılır. Benzer şekilde, kendini önemli sistem dosyalarının (MSDOS ve
Windows için COMMAND.COM gibi) peşine kopyalayan virüsler de vardır.
Virüs bulaşması için önceleri tek yol, floppy disketler idi. Ancak daha
sonraları, gelişen bilgisayar ağları ve özellikle internet aracılığıyla
da bulaşmaları olanaklı hale geldi. E-posta kullanımının yaygınlaşması
ile virüsler artık çok daha hızlı yayılabilmektedirler.
Virüslerin Genel Yapısı
Virüsler baslıca üç bölümden meydana gelmişlerdir.Bunlar sırası ile kopyalama bölümü, gizleyici ve etki bölümüdür.
Kopyalama bölümü ile kendisini çalıştırılabilir dosyalara ilave eder.
Gizleyici bölümü, kendini gizleme görevi yapar. Daha ziyade anti-virüs
programlarının gözünden kaçmak ve anti-virüs programını yanıltmak için
oluşturulmuştur.
Etki bölümü ile asıl işlem yerine getirilir.Asıl işlemin yaptığı zararlı
etkilere; verileri karıştırmak, programın bir kısmını silmek, disk veya
disketin çalışmasını engellemek örnek olarak verilebilir.
Virüsler kopyalama bölümü ile bulaşmalarına rağmen bulaştıkları dosyalar
farklı olabilir.Virüsler genel olarak EXE, COM, OVL, OBJ, LIB uzantılı
dosyalara kendilerini kopyalarlar. Virüs bulaştıktan sonra gizleyici
bölümü, program her çalıştığında aktif duruma geçer ve virüs kendini
gizlemeye çalışır.Normal çalışma süresince etki bölümü pasif durumdadır.
Şartlar uygun olduğunda ortaya çıkar ve etkisini gösterir. Bu bölümün
şartlarının uygunlaşması; bir tarih olabilir (Örneğin CIH virüsü) , ülke
kodu olabilir, kopyalama işlemi olabilir, herhangi bir verinin
girilmesi olabilir. Virüs yazan bir insan için mantık geliştirme bölümü
bu bölümdür. Virüs yazmanın ayrıcalığı da bu bölümde gizlidir. Çünkü
diğer bölümler hemen hemen aynıdır. Yukarıda uzantıları verilmiş olan
dosyaların dışında ayrıca bir program için yazılmış özel virüsler de
vardır.
Virüsler Neler Yapabilir?
Bilgisayar içi yapısı tamamen programlamaya dayılıdır. Hangi donananımın
nasıl ve ne şekilde çalışacağını programlanma şekli belirler. Virüs de
bir program türü olduğuna göre; bilgisayarda programlamaya dayalı her
şeyi yapabilirler. Yapabileceklerini sıralayacak olursak;
• Bilginiz dışında bilgisayarınızın denetimini ele geçirir.
• Bilgisayarınızın garip davranmasına neden olur, örneğin, çeşitli sesler çıkarır veya can sıkıcı iletiler görüntüler.
• Word ve Excel belgelerine bulaşan ve zarar veren makrolara gizlenirler. (Bunlara makro virüsleri denir.)
• Dosyalarınızda ciddi zararlara neden olurlar. Virüsler, verileri
bozabilir, dosyaları silebilir, hatta sabit diskinizi tamamıyla
silebilir.
• Zarar vermek için önceden tanımlanan tetikleme tarihine kadar (örneğin, 13. Cuma) virüsler etkin olmazlar.
• Donanımlara zarar verebilir.
En iyi huylu virüsler (görünürde zarar vermeyen virüsler) bile önemli
zararlar verirler : sabit disk ve/veya bellekte yer kaplarlar, CPU
zamanını harcarlar; ortaya çıkarılmaları ve temizlenmeleri için önemli
miktarda zaman ve para harcanır.
Değişik Türde Zararlı Programlar
Virüslerle
ile zaman zaman karşılaştırılan fakat virüslerden farklı özellikler
sahip başka zararlı programlar da vardır. Truva Atları (Trojan Horses)
ve Solucanlar (Worms) örnek verilebilir.
Truva Atları(Trojan Horses)
Virüslerin bir alt sınıfları, Truva Atı olarak bilinen, virüslerdir.
Esasında Truva Atı teknik olarak bir virüs değildir. Truva Atı, ki bu
adı tarihte Truva Savaşları olarak bilinen ve Yunanların uyguladıkları
ve kazandıkları bir taktikten alır (Truvalılar'ı yenemeyen Yunanlılar
tahtadan dev bir at yaparak bunu savaş tazminatı olarak Truvalılar'a
verirler ve kentin kuşatmasını kaldırırlar. Truva atı denilen atın içine
gizlenmiş Yunanlı askerler gece olduğunda şehrin kapılarını açarlar ve
eğlenceye dalmış olan Truvalılar’ı öldürürler. Günümüzde de aynı işi
programcılar yapıyor. Tahta at yerine, bilgisayarlarımıza çeşitli
programlar yolluyorlar. Bir tür programdır. Bu program aslında
kullanışlı ve cazip gelen şeyler vaat eder yada yapıyor izlenimi verir
(oyunlar veya kullanışlı kaçak dosyalar arkasında gelebilir). Fakat
içinde kötü niyetli şeyler ihtiva eder ve sinsice bunları arka tarafta
kullanıcının haberi olmadan uygular (Bilgisayardaki şifreleri çalmak
gibi). Truva Atları asla başka programlara bulaşmazlar.
Çoğu Truva Atı, oturumu açma kimliği ve parolasını çalmak ve sonra da
onları ödeme yaparken kullanılan hesabı kullanabilecek bir başkasına
e-posta ile göndermek üzere tasarlanmıştır.Bazı Truva Atları da
müstehcen iletiler görüntüler veya sabit sürücünün içeriğini siler.
Örneğin güvenli görünen veya ücretsiz çevrimiçi bağlanma gibi öneriler
sunan bir programı yüklerken Truva Atları alınabilir. Program bir kere
yüklendiğinde ve çalıştırıldığında, kötü amaçlı kodlar çalışmaya başlar.
Truva Atları ile virüsler arasındaki fark, Truva Atlarının
kendiliklerinden bulaşmamaları veya yinelenmemeleridir. Yalnızca kasıtlı
olarak; e-posta ile ,disket yolu ile veya bir bilgisayara doğrudan
yüklenerek yayılabilirler. Bunun anlamı, virüsten farklı olarak,
yalnızca bir kere belli Truva Atı tarafından etkilenilir.
Solucanlar(Worms)
Genellikle ağ bağlantılarını kullanarak yayılan, solucan olarak
tanımlanan kodlar, yayılmak için her zaman taşıyıcı bir programa ihtiyaç
duyarlar.Solucanlar dosyadan dosyaya yayılma yerine tüm sisteme zarar
vererek bilgisayardan bilgisayara yayılırlar. Solucanlar, e-postayı
kullanarak ağ üzerindeki bir bilgisayardan diğer bilgisayarlara
kendilerini kopyalarlar. Solucanlar, çoğalmak için insan müdahalesine
gereksinim duymadıklarından bilgisayar virüslerinden daha hızlı
yayılabilirler.
Virüs Çeşitleri
• Yazılımlarına Göre Virüsler
Virusleri yazılım yöntemlerine göre iki grubu ayrılırlar. Buna göre yazılımlarına göre virüs çeşitleri :
o Resident Virüsler
Bu virüsler adından da anlaşılacağı gibi yerleşik (resident) olarak her
an bellekte kalan ve her an aktif olan virüslerdir.Yazılımı biraz daha
karışık ve detaylıdır.Gizleyici bölümü daha fazla emek isteyen
virüslerdir.Örneğin virüs bulaşmış bir dosyanın uzunluğu değişmesine
rağmen , gizleyici bölüm bu dosyanın orijinal uzunluğunu vererek
kullanıcıyı yanıltır.Genellikle INT 20h,21h,41h gibi kesme sinyalleri
sırasında dosyalara bulaşırlar.
Bellekte bulunup bulunmadıkları çok çeşitli yöntemlerle ve anti virüs
programları ile anlaşılabilir.Tespit edilip edilememesi virüsün
kalitesine bağlıdır.Kalitesi iyi olmayan bir virüs bellek hartalarını
veren programlarla rahatlıkla tespit edilebilir.
o Nonresident Virüsler
Bu tip virüsler bellekte yerleşik kalmayan virüslerdir.Ancak
bulaştıkları program çalıştığında aktif hale geçerler.Aktif hale geçer
geçmez kendilerini bir veya daha fazla dosyaya kopyalarlar.dosya tipi
virüs ise bulaştıktan sonra kontrolü asıl programa bırakır. Eğer boot
virüs ise bulaştıktan sonra kontrolü işletim sistemine bırakır.Resident
virüslere oranla daha iyi ve sinsi bir şekilde korunabilirler.Çünkü
bulaştığı program çalıştığı esnada ve kısa bir sürede tahribatını yapıp
geri çekilirler.Bellek haritaları ile tespit etmek oldukça zordur.
Nonresident olarak yazılmış boot sektör virüsü pek etkili değildir.Çünkü
bir disketten diğerine bulaşabilmesi için bellekte sürekli aktif olması
gerekir.Bu yüzden bu tip yazılan virüsler genellikle dosya
virüsleridir.
• Etkilerine Göre Virüsler
Etkilerine göre virüsleri iki ana başlık altında toplamak mümkündür.Bunlar:
1-Boot Sektör Virüsleri :
A-Master Boot Record
B-Normal Boot Sektör Virüsleri
2-Program (Dosya) Virüsleri:
A-COM dosya Virüsleri
B-EXE dosya Virüsleri
C-Diğer Virüsler
o Boot Sektör Virüsleri
#61607; Master Boot Record (MBR/Partition Table) Virüsleri :
Boot sektör virüsleri hard diskin veya floppy disketin ilk sektörlerine
bulaşır.Dosya viruslerinden farklılıkları dosya çalıştırılmadan aktif
hale geçmeleridir. Bilindiği gibi bilgisayar açıldığı zaman ilk devreye
giren ünitesi BIOS’ tur.BIOS harddisk'in boot sektöründen geçerli
partition table(reverse Word format) imzasını arar.Eğer bu imzayı
bulabilirse bu bloktaki bilgileri RAM belleğe okur.Virüs kendisini bu
imza yerine veya okunacak bloğa yazdığı taktirde problem burada ortaya
çıkar.BIOS'un okuması sırasında partition imzasını gizleyebilir.BIOS
görevini tamamlayamayacağı için , bilgisayar açılmaz.Bloğun okunması
sırasında virüs yazıcısının belirlediği bir kesme çağırılabilir.Bu
durumda bilgisayarın açılması kesintiye uğrar.Blok okunup, Ram belleğe
aktarıldıktan sonra ,virüsün etki kısmı çalışarak bilgisayarı reset
edebilir veya bir jump komutu ile okunması gerekli olan bazı dosyaları
okutturmadan sistemin yanlış yüklenmesini sağlayabilir.Yşte bu türlü
işlemler virüs yazmanın mantığını oluşturur.
#61607; Normal Boot Sektör Virüsleri :
Floppy disketlerinde partition table bulunmaz.Aslında harddiskteki
partition table'de boot sektördür.Fakat birden fazla işletim sistemi
yükleyebilmek için bölümlendirilmişlerdir.Yukarıda hard disk için
açıklanan imzalara benzer.Ymzalar disketin sıfırıncı sektöründe de
vardır.Virüs bilgisayarın hard diskten açılması sırasında yaptığı
işlemleri floppy disketten açılma yapıldığında da yapar.
Yster hard diskten , Yster floppy disketten boot yapılsın daha işletim
sistemi yüklenmeden virüs yüklenmiş olur.Yşletim sisteminden önce
yüklenmesinden dolayı işletim sistemini istediği gibi yönetebilir.Yani
kaleyi içten kuşatmıştır ve savunmayı yenmiştir.
Virüs kendisini partition sektöre veya boot sektöre yazabileceği gibi
FAT'a (dosya yerleşim tablosuna)veya partition bölümleri arasına da
yazabilir.Buradaki yapacağı işlemlere dosya yerleşim tablosunu bozmak
aranılan kütüğü gizlemek gibi örnekler verilebilir.
Her iki çeşit virüsünde çalışma algoritmasının aşağıdaki gibi olduğu söylenebilir.
1-Belirtilen yere bulaşmak için kendini gizle
2-Orijinal boot/MBR sektörünü kontrol altında tut
3-Kendi virüs imzanı ara ve daha önce bulaşıp bulaşmadığını denetle
4-Bulaşılmış ise hareketsiz kal ve boot sektörü terk et
5-Bulaşılmamış ise Kendi kodlarını belirtilen şartlarda boot sektöre yaz
6-Duruma göre hareket et.Gerekiyorsa Resident olarak yerini al
7-Birinci basamaktan itibaren görevine devam et
o Program (Dosya) Virüsleri
Program virüsleri çalıştırılabilir dosyalara bulaşabilen
virüslerdir.Programların tanımlanan yerlerine kendilerini kaydederek
onlarla beraber çalışırlar.Bu yüzden programın çalıştığı her bilgisayara
kolayca bulaşırlar.
Program virüslerinin DOS'un kullanılma özelliklerine göre birkaç tipi
vardır.Hangi tip olursa olsun çalışma algoritması hemen hemen
aynıdır.Değişik olan kısımları ; gizleyici ve bomba
bölümleridir.Kopyalama bölümleri genellikle aynı mantığa dayanır.
o COM Dosya Virüsleri :
Daha önceki bölümlerde açıklandığı gibi DOS ortamından uzantıları COM
,EXE ve BAT olan dosyalar doğrudan çalıştırılabilirler.Bu tur virüslerin
yazılımında temel mantık budur. COM uzantılı dosyalar 64 KB 'lık bir
segment üzerindedir.COM uzantılı bir program çalıştırıldığı zaman ,DOS
tüm bellek alnını bu dosyanın kontrolüne birakır.COM dosya virüsü en
kolay ve en hızla yayılan bir virüstür.Virüsün kopyalama kısmı , virüslü
bir dosyadan diğerine kopyalama yapar.Kendisine zarar gelmemesi için
,com dosyanın başlangıcını saklar ve kendisinin bir kısmını buraya , bir
kısmını da dosyanın sonuna yazar.Virüs yazarının tanımladığı işlemleri
ise program çalıştığı sürece yerine getirir.
o EXE Dosya Virüsleri :
EXE dosya virüsleri COM dosya virüslerinden biraz daha farklıdır.EXE
dosya virüsü COM dosya virüsü gibi kendisini dosyanın başlangıcına
yazmaz.EXE programın başlığında ufak tefek değişiklikler yapmak onun
için yeterlidir.Kendisini büyük oranla programın en sonuna yazar.EXE bir
dosyaya virüsün kendisini yazması COM dosyaya oranla daha
zordur.Genelde minimum bellek ihtiyacını yükselterek etkilerini
gösterirler.
• Platformlara göre virüsler
o PC Virüsleri
PC virüsleri kişisel bilgisayarlar(PC’ler) ve DOS ortamı için yazılmış
virüslerdir.Bu tür virüsler daha çok DOS ortamında çalışmaları için
yapılmalarına rağmen Windows 95 Windows 98,Windows ME,Windows NT ve OS/2
işletim sistemlerinde de çalışabilmektedirler.
o Macintosh Virüsleri
Macintosh virüsleri PC virüsleri kadar problemler çıkarmazlar. Macintosh
işletim sisteminde çalışabilecek virüs sayısı gerçekten çok azdır.Bu
tür virüsler daha çok okullardan temin edilmektedir. Microsoft ürünü
olan işletim sistemlerinin(DOS, Windows...) yaygınlığı göz önüne
alındığında,Macintosh işletim sistemi için yazılmış virüslerin azlığı
doğaldır.
• Diğer Platformlar
Virüsler hemen hemen her tür bilgisayarda
bulunabilirler.Örneğin;gelişmiş hesap makinaları,eskiden var olan
Commodore 64 ve Unix bilgisayarları gibi sistemler.
• Diğer Virüsler
Yukarıda bahsedilen virüslerin dışında bilinen BAT ve SYS dosya virüslerde vardır.Bunlara da kısaca değinelim.
o BAT Dosya Virüsleri
DOS ortamından çalıştırılan 3. dosya ,BAT uzantılı dosyalardır.Bu
dosyalar binary komut düzeninde olmayıp ASCII komut düzenindedir.
Önceki konulardan hatırlanacağı gibi uzantısı BAT olan dosyalar toplu
işlem dosyalarıdır ve kapsamlarında birçok toplu işlem komutlarını
içerirler.BAT dosya virüsleri toplu işlem dosyası içerisinde kullanılan
emirleri birer COM uzantılı dosyaya çevirirler.Bu durumda sanki bir COM
uzantılı dosya çağrılmış gibi çalıştırılmak istenir.Örneğin “CALL” emri
karşısında CPU ne yapacağına karar veremediği için sistem ya kilitlenir
veya bir interrupt ile kesintiye uğrar.Kullanıcıyı hayret içinde bırakan
ilginç virüs tipleridir.
Bazı BAT dosya virüsleri DIR komutunun işlevlerinden yararlanır.DIR
komutu çalıştırıldığında , değişik isimli yeni bir dosya
oluştururlar.Oluşturulan bu dosya ile debug programını
çalıştırır.Kendisini çalıştırmakta olan BAT uzantılı dosyaya adapte
edecek yeni program yazar.BAT uzantılı dosya çalıştırıldığında bu dosya
içerisinde kendi dosyasını da çalıştırır.
o SYS Dosya Virüsleri
SYS virüsleri oldukça zor yazılan virüslerdendir.SYS dosyalarının
başlığını değiştirerek kendilerini kopyalarlar.Resident olarak
anti-virüslerden önce yüklenirler.Bu yüzden anti-virüs programı
tarafından görülemezler.
Genellikle kurulabilir ünite sürücülerinin işlevlerini engelleyecek
şekilde görev yaparlar.Bellek haritasını veren programlarla yakalanması
oldukça zordur.
Virüslerin Adlandırılması
Bir virüs adı üç kısımdan oluşur : önek (prefix), ad ve sonek (suffix).
Norton Anti-virüs yazılımı virüsleri bu şekilde adlandırmaktadır.
• Önek, virüsün çoğaldığı platformu veya virüs türünü belirtir. DOS virüsleri genelde önek içermezler.
• Ad, virüsün aile adıdır.
• Sonek her zaman olmayabilir. Sonekler aynı ailenin varyantlarını
ayırdetmek için kullanılır. Genellikle virüsün boyutunu belirten bir
numara ya da bir harftir.
Bu üçü şu biçimde yazılır : Önek.Ad.Sonek.
Örnek olarak WM.Cap.A Cap ailesinin A varyantıdır. WM ise bir Word Makro virüsü olduğunu belirtir. Şu önekler öngörülmüştür :
Önekler
WM Word6.0 and Word95 (Word7.0) altında çoğalan Word Makro virüsleri.
Word97 (Word8.0) altında da çoğalabilirler ancak aslen Word97 virüsü
değildirler
W97M Word97 Makro virüsleri. Bunlar Word97 için yazılmışlardır ve sadece Word97 altında çoğalırlar.
XM Excel5.0 ve Excel95 için yazılan Excel Makro virüsleri. Bu virüsler Excel97 içinde de çoğalabilirler.
X97M Excel97 için yazılan Excel Makro virüsleri. Bu virüsler Excel5.0 ve Excel95'de de yayılabilirler.
XF Excel Formula virüsleri. Daha yeni Excel belgeleri içine gömülü
(embedded) eski Excel4.0 gömülü çalışma sayfalarını kullanırlar.
AM Access95 için yazılan Access Makro virüsleri. A97M: Access97 içinde çoğalabilen Access Makro virüsleri.
W95 Windows95 işletim sistemindeki dosyalara bulaşan Windows95
virüsleri. Windows95 virüsleri çoğunlukla Windows98'i de etkilerler.
Win Windows3.x işletim sistemi altındaki dosyalara bulaşan Windows3.x virüsleri.
W32 Tüm 32-bit Windows platformlarında etkili 32-bit Windows virüsleri.
WNT Windows NT işletim sistemlerinde etkili 32-bit Windows virüsleri
HLLC High Level Language Companion virus. Bunlar genellikle yayılmak için ek bir dosya yaratan DOS virüsleridir.
HLLP High Level Language Parisitic virus. Bunlar genellikle kendilerini bir başka dosyaya iliştiren DOS virüsleridir.
HLLO High Level Language Overwriting virus. Bunlar genellikle host (ev
sahibi) dosyaların üzerine kendi bulaşıcı kodlarını yazan DOS
virüsleridir.
Trojan/Troj Bunlara virüs değil, Trojan Horse (Truva Atı) denir.
Kendilerini faydalı programlarmış gibi gösterirler ancak zarar verici
programlardır. Çoğalmazlar.
VBS Visual Basic Script programlama diliyle yazılan virüslerdir.
AOL America Online (Amerika Birleşik Devletlerinde bir internet servis
sağlayıcı şirket) ortamına özgü Trojanlardır ve genellikle AOL parola
bilgilerini çalmak için yazılmışlardır.
PWSTEAL Parola çalan Trojan programlardır
Java JAVA programlama diliyle yazılan virüsler.
MAKRO ViRÜSLER
Word Makro Virüsleri Nedir?
Makrolar, kullanıcıların işlerini kolaylaştırmanın yanında,kullanıcının
bilgisi dışında yazılmış makrolarda kullanıcıların bilgisayarlarına
büyük zararlar verebilir.
Kendini kopyalama özelliği olan ve kullanıcının izni olmadan çeşitli
görevleri yerine getiren makrolara “Makro Virüs” denilmektedir.Makro
virüsler geniş uygulama alanına sahip Word,
Excel,Access,PowerPoint,Project,Corel Draw...vs. gibi programların
içinde bulunabilir.
Makro Virüslerin yapabileceği görevler,makronun yazıldığı programlama
dilinin özellikleriyle sınırlandırılmıştır.Programlama dili,makronun
yenilenmesine ,yayılmasına ve bilgisayarı etkilemesine olanak sağlar.En
çok kullanılan makro dili olan Visual Basic for Applications (VBA)
virüslerin yazımı için geniş özellikler sağlar.VBA gibi makro dillerinin
gelişimiyle birlikte Makro Virüslerinde etkinliklerinin artacağı
unutulmaması gereken bir gerçektir.Daha komplike bir makro diliyle
yazılmış Makro virüsler çok daha zararlı sonuçlar ortaya
çıkarabilirler.Bu gelişmiş makro dillerinin uygulamalarda daha sık
kullanılmaya başlanmasıyla makro virüsler için olan potansiyel
artmıştır.Geçmişte virüs yazan kişiler,virüs yazmak için makro dillerini
pek tercih etmemişlerdir.Muhtemelen bunun nedeni ise geleneksel şekilde
makro yazımının pek ilgi çekici olmaması yada virüs yazan kişilerin
makro dillerindeki potansiyeli keşf edememelerindendir.
Makro virüslerin ortaya çıkmasından önce ,bilgisayar virüsleri
çalıştıkları platformlara mahsuslar idi.Örneğin; PC virüslerinin sadece
PC’lerde ,Unix virüslerinin sadece Unix makinalarında çalışması
gibi.Bilindiği gibi programlar,bilgisayarın kullandığı işletim sistemine
göre değişiklik gösterir.Öyle ki,Microsoft Office gibi,hem Macintosh’
larda hem de PC’lerde çalışabilen uygulamalar bile,temelde ,işletim
sisteminden dolayı değişiklikler gösterir (Office’in Macintosh versiyonu
Windows95 işletim sistemi ile çalışan bir bilgisayarda
çalışmaz.).Word’ün yeni versiyonlarında kullanılan VBA’ya ekstra
özellikler eklenerek oluşturulan WordBasic makro dili uygulamada
özel,fakat platformda özel değildir,yani başka bir deyişle platformdan
bağımsızdır.Bunun anlamı;virüs yazan kişilerin hem PC’lerde hem de
Macintosh’larda çalışabilen virüsler yazabilecek durumda olmalarıdır.
Makro Virüs yazmak için kullanılan tek program MS Word’ün makro dili,
WordBasic değildir.MS Excel ve Lotus Ami Pro gibi programlar içinde
yazılmış makro virüsler mevcuttur.Fakat Word’ün kullanım alanının diğer
programlara göre daha yaygın olmasından dolayı,Word ile birlikte aktif
olan makro virüsler bir hayli fazladır.
Makrolar,dokümanlar içlerinde metin ve metin formatı bilgileri
taşımaktan ziyade,grafik dosyaları,video dosyaları gibi şeyleri
“taşıyıcı” bir hale gelmişlerdir.Eskiden WordPerfect’te yazılmış olan
makrolar,WordPerfect’in dışında,dokümandan bağımsız bir DOS dosyası
olarak kayd edilmekteydi.Word’ün yeni versiyonlarında ise makro,Word
dokümanının içine yerleştirilmektedir.Bunun sonucu olarak Word
dokümanı,makro virüsün bilgisayardan bilgisayara yayılmasında aracılık
etmektedir.
Peki virüs nasıl bir dokümandan diğerine geçebiliyor?Buna cevap olarak
Normal Şablonu üzerinden diyebiliriz.Normal Şablonu, otomatik makroların
ve Word biçimlerinin kodlarının bulunduğu belgedir.Normal Şablonda
bulunan makrolar,güvenlik düzeyi sorgulanmadan,tüm dokümanlar için
gerçeklenir.
Biçimler yada stiller ,emirleri formatlama koleksiyonlarına verilen
isimlerdir.Mesela bölüm başlıklarındaki,yazı biçimini, büyüklüğünü ve
özelliklerini belirlemek için “Bölüm Başlığı” adlı bir stil
oluşturulabilir (Arial,24pt,Bold gibi) ve “Bölüm Başlığı” adlı stil
uygun menüden seçildiğinde,yazılan metne stil otomatik olarak uygulanmış
olacaktır.Eğer bu stili,yazılan tüm dokümanlarda kullanmak
isteniliyorsa ,stilin adını “Normal” olarak değiştirmek yeterli
olacaktır. ”Normal” stili Word’ün başlangıçta dokümanlar için varsaydığı
stildir.Bu varsayılan stil Normal.dot (Normal Şablonu) adında bir
dosyada saklar. Normal.dot dosyası da diğer dokümanlar gibi makro virüs
taşıyabilir.Bütün yeni oluşturulan dokümanların Normal.dot dosyasının
üzerine kurulmasından beri,eğer Normal.dot virüslenmişse,daha sonra
oluşturulan bütün yeni dokümanlarında virüslendiği görülebilir.
Makro Virüs Tehlikesi Nasıl Başladı?
Makro Virüs terimi beş yıldan daha uzun bir süredir
kullanılmaktadır.Makro virüs yayılımına karşı geliştirilen pek çok
güvenlik önlemine rağmen hâlâ makro virüsler milyonlarca bilgisayar
kullanıcısında korku yaratmaya devam etmektedirler.
Ylk MS Word makro virüsü ”Concept” Ağustos 1995’te,Windows 95 ve MS
Office’in yeni versiyonunun çıkması ile birlikte ortaya çıktı.Birkaç gün
içinde bu virüs, dünya çapında on binlerce bilgisayara bulaşarak büyük
bir salgına yol açtı ve tüm dünyada büyük bir yankı uyandırdı.Burada
belirtilmesi gereken bir noktada,anti-virüs şirketlerinin bu yeni virüs
çeşidine hazır olmamalarıydı.Bu yüzden anti-virüs şirketleri, anti virüs
yazılım motorlarını değiştirmek yada yeni anti-virüs motorları üretmek
zorunda kalmışlardır.
Ylk MS Excel makro virüsü olan “Laroux” ’da Temmuz 1996’da ortaya
çıkmıştır.Bu virüs aynı anda ,dünyanın farklı bölgelerinde bulunan
(Güney Afrika ve Alaska) iki petrol şirketinin faaliyetlerini felce
uğratmıştır.
Mart 1997’ye meşhur Melissa virüsünün yazarı David Smith’in yazdığı “ShareFun” adlı virüs damgasını vurmuştur.
Mart 1998’de,başka bir Office uygulaması olan MS Access , “AccessiV”
adında bir virüse karşı kurban durumuna düşmüştür.yaklaşık bir yıl
sonrada MS PowerPoint makro virüsü olan “Attach” adlı virüsün
saldırıları başlamıştır.
1999’da makro virüslerin sayısı ,virüslerin başka programlarda da
çalışmaya başlamasıyla hızla artmıştır.Mayıs ayında Corel Draw grafik
editörü makro virüsü olan “Gala” ve Ekim ayının sonuna doğru ortaya
çıkan MS Project görev zamanlayıcısı makro virüsü olan “The Corner”
virüsü ve Mart ayının sonunda çıkan “Melissa” virüsü 1999 yılında çıkan
virüslere örneklerdir.
1999’da ortaya çıkan ve “Multi-platform makro virüsleri” olarak
tanımlanan çeşitli virüsleri de görmekteyiz.Bu virüslerin
özelliği,birkaç Office uygulamasında birden çalışabilmeleridir.Aynı anda
Word,Excel ve PowerPoint dosyalarının üçünü birden
etkileyebilen,bilinen ilk virüs olan “Triplicate” bu tür virüslere örnek
olarak gösterilebilir.Bu tür virüsler bilinen virüsler içinde en
komplike olanlarıdır.Bu virüslerin kullandığı Stealth tekniği
(virüsü,doküman içinde görünmez yapar) ve Polymorphism (virüsün zaman
zaman kodunu değiştirmesi,şifrelemesi) nedeni ile tespit etmek ve yok
etmek çok zordur.
2000 Love Bug (diğer adıyla LoveLetter) bugüne kadarki en başarılı
e-posta virüsü oldu. Palm işletim sistemi için de ilk virüs boy
gösterdi, ancak hiçbir kullanıcıya bulaşmadı.
Niçin Makro Virüsler Bu Kadar Yaygındır?
Geçmiş yıllar boyunca makro virüsler listelerde sürekli zirvede
kalmışlardır.Uluslar arası Bilgisayar Güvenliği Birliği’ne göre makro
virüsler,virüsler içinde üçte ikilik bir yere sahiptirler.Kapersky
Laboratuarlarına göre de bu oran yaklaşık olarak %55 civarındadır.Bu
oran bile makro virüslerin yaygınlığını göstermeye yeterlidir.Makro
virüslerin bu kadar yaygın olması şu faktörlere bağlanabilir.
• Makro virüslere karşı savunmasız olan Office uygulamaları,kullanıcılar
arasında son derece yaygın olarak kullanılmaktadır.Günümüzde,tüm
bilgisayar kullanıcıları Office yada Office’e benzer uygulamaları günlük
çalışmalarında kullanmaktadırlar.
• Bu uygulamalar için geliştirilmiş anti-virüs sistemlerinin sağladığı
güvenlik derecesi çok düşüktür.Microsoft uzmanlarının MS Office 2000’de
güvenlik probleminin çözüleceğini söylemelerine rağmen ,Office
uygulamaları geçmişte olduğu gibi makro virüslere karşı savunmasız
kalmıştır.
• Bir makro virüs yazmak çok basittir.Mesela MS Word için bir virüs
yazmak isteyen birinin ihtiyacı olan sadece VBA Programlama dilinin
temellerini öğrenmektir.Diğer programlama dilleri ile
karşılaştırıldığında VBA,içlerinde en basit ve öğrenilmesi en kolay
olanıdır.Aynı zamanda VBA sahip olduğu özellikler ile de virüs yazan
kişiye bilgisayardaki bilgilere zarar verme ve bilgisayarı uzun süre
kullanılmaz hale getirme imkanı verir.
• Çoğu Office uygulaması MS Outlook yada MS Exchange gibi posta
programlarıyla uyumlu olarak çalışmaktadır.Bu,makro virüslere posta
programlarına erişme imkanı sağlar.Böylece makro virüs kendini çok hızlı
bir şekilde milyonlarca bilgisayara yayabilir.
• Bilgisayar kullanıcıları arasında en çok paylaşılan dosya türleri Word
dokümanlarıdır.Ynsanlar,arkadaşları ve tanıdıkları ile hiç şüphe
duymadan dokümanları değiş tokuş ettikleri için makro virüsler şüphe
duyulmadan çalıştırılabilmektedir.
HACKER TARYHY
1969 Öncesi. Önce bir telefon şirketi vardı Bell Telephone, Ve zamane
hacker’ları Tabii, 1878’de onlara hacker denmiyordu henüz. Telefon
santrallerine operatör olarak alınmış, onun telefonunu buna, bununkini
ona bağlayan şakacı birkaç genç idi.
ABD’nin dahiler çıkaran ünlü üniversitesi MIT’de (Massachusetts
Institute of Technology) bilgisayarlar kullanılmaya başlandığında, bazı
öğrenci ve asistanlar, bu makinelerin nasıl çalıştığını çok merak
ettiler, bu yeni teknoloji hakkında ne varsa öğrenmeye çalıştılar. O
günlerde bilgisayarlar, ısı kontrollü cam odalarda kilitli olan devasa
makinelerdi.
Bu ağır ****l yığınlarını çalıştırmak binlerce dolara mal oluyordu.
Programcılar bu dinozorları pek de kolay kullanamıyordu. Bu yüzden, zeki
olanlar, hesaplama işlemlerini daha çabuk yapabilmek için “hack”
dedikleri programlama kısa yolları yarattılar. Bazen bu kısa yollar
orijinal programdan daha iyi tasarlanmış oluyordu.
Belki de bütün zamanların en iyi hack’lerinden biri, 1969’da, Bell
laboratuarlarındaki iki çalışanın, Dennis Ritchie ve Ken Thompson’un
bilgisayarların artık açık kurallarla çalıştırılması gerektiğini
düşünmesiyle yaratıldı. Ykili, geliştirdikleri bu yeni standart işletim
sistemine UNIX ismini verdiler.
1970-1979. 1970’lerde siber cephe alabildiğine açıldı. Bu işle ilgilenen
herkes, kablolarla bağlanmış bir dünyanın nasıl çalıştığını araştırmaya
ve bulmaya çalışıyordu. 1971’de, John Draper isimli bir Vietnam gazisi,
Cap’n’Crunch (mısır gevreği markası) kutusundan çıkan promosyon
düdüklerin 2600 MHz tonda ses çıkarttığını fark etti. Bedava telefon
görüşmesi yapmak için düdüğü telefonun alıcısına üflemek yeterliydi.
O zamanın hacker’ları, “phreaking” adı verilen bu tür yöntemlerin
kimseyi incitmediğini, telefon hizmetinin sınırsız bir kaynak olduğunu
ileri sürüyorlardı. Hackerlar dünyasında tek eksik sanal bir kulüp
binası idi. Dünyanın en iyi hacker’ları nasıl tanışacaklardı 1978 de,
Chicago’lu iki genç, Randy Seuss ve Ward Christiansen, ilk kişisel BBS’i
(Bulletin Board System - Yılan Tahtası Sistemi) kurdular. BBS’ler
günümüzde halen çalışıyor.
1980-1986. Bildiğiniz gibi IBM firması, 1981’de bağımsız işlemcisi,
yazılımı, belleği ve depolama birimleri olan yeni bir bilgisayarı
duyurdu. Bu modele PC (Personal Computer-Kişisel bilgisayar) adını
verdiler. Bu makinelerden biriyle istediğinizi yapabilirdiniz. Gençlerin
Chevrolet’lerini bırakıp PC’lere, “Commie 64” (Commodore64) ve
“Trash-80”lere (TRS80-Tandy) düştükleri zamanlardı bunlar.
1983 yılında çevrilen War Games (Savaş Oyunlary) adlı film, hacker’lıgı
farklı bir cepheden ele aldı: Bu film izleyicileri hacker’ların her
bilgisayar sistemine girebileceği konusunda uyarıyordu.
Her geçen gün daha fazla kişi online dünya ile tanışıyordu. Askeri
amaçlarla kurulan, sonradan üniversiteler arasında bir ağ haline gelen
ARPANET, artık Internet’e dönüşüyordu; BBS’lere karşı tam bir ilgi
patlaması yaşanıyordu. Milwaukee’de kendilerine The 414’s diyen bir
hacker grubu, Los Alamos Laboratuarlaryndan Manhattan’daki
Sloan-Kettering Kanser Merkezi’ne kadar değişen pek çok kurumun
sistemine girdiler. Artık polisin işe karışma zamanı gelmişti.
Büyük Hacker Savaşı. 1984’e, kendine Lex Luthor adını veren bir kişi
Legion Of Doom (LOD - Kıyamet Lejyonu) adlı hacker grubunu kurdu. Adını
bir çizgi filmden alan LOD, en iyi hackerlara sahip siber-çete olarak ün
saldı. Ta ki grubun en parlak üyelerinden Phiber Optik isimli gencin,
grubun bir diger üyesi Erik Bloodaxe ile kavga edip kulüpten atılmasına
kadar. Phiber’in arkadaşları rakip bir grup kurdular: Masters Of
Deception (MOD). 1990’den itibaren, LOD ve MOD, iki yıl boyunca online
savaşlar sürdürdüler, telefon hatlarını kilitlediler, telefon
görüşmelerini dinlediler, birbirlerinin özel bilgisayarlarına girdiler.
Sonra Federaller (FBI) olaya el attı, Phiber ve arkadaşları tutuklandı.
Bu olay, bir dönemin sonunun geldiğini haber veriyordu.
Yasaklar (1986-1994). Devlet de online olunca, eğlence bitti. Kongre,
ciddi olduklarını göstermek için, 1986’da Federal Computer Fraud and
Abuse Act (Federal Bilgisayar Sahtekarlıgı ve Kötüye Kullanma) adı
altında bir yasa çıkardı. Bu boyutta hacker’lık ağır bir suç oldu.
1988’de Robert Morris Internet worm (Internet solucan’ı) adını verdiği
bir hack yöntemi ile ortaya çıktı. Net’e bağlı 6000 bilgisayarı
göçerterek, yeni yasayla yargılanan ilk kişi oldu. Sonuç: 10.000 dolar
para cezası ve çok fazla saat toplum hizmeti.
Bir süre sonra, tutuklananları saymak için parmaklar yetmemeye başladı.
Aynı yıl Condor takma adıyla tanınan ünlü hacker Kevin Mitnick, Digital
Equipment Company şirketinin bilgisayar ağına girdi. Yakalandı ve 1 yıl
hapis cezasına mahkum oldu. Sonra adaşı Kevin Poulsen telefon hatlarına
girmekle suçlandı. Kevin hemen ortadan kaybolarak 17 ay boyunca
saklandı.
Sundevil Operasyonu, ABD hükümetinin ülkedeki tüm hacker’ları (LOD
dahil) ele geçirmek için 1990’da başlattıgı bir operasyondur. Bu girişim
bir işe yaramadı; ancak bir yıl sonraki Credux operasyonun MOD’ın 4
üyesinin hapisle cezalandırılmasıyla sonuçlandı. Phiber Optik federal
hapishanede bir yıl geçirdi.
1994’den Bugüne. 1994 yazında, Rus mafyasının eline düştügü ileri
sürülen Vladimir Levin adlı bir genç, Citibank’ın bilgisayarlarına
girerek müşterilerin hesaplarından, bir söylentiye göre 10 milyon
dolardan fazla parayı (resmi açıklamaya göre 2.5 milyon dolar)
Ysrail’deki banka hesaplarına transfer etti. Levin, 95 yılında Interpol
tarafından Heatrow Havaalanında tutuklandı; Citibank yaklaşık 400.000
dolar haricinde tüm parasını geri aldı. Hackerların ard arda
tutuklanması siber ortamda ani bir dolandırıcılık azalmasına neden oldu.
Bunu ister anarşinin sonu, ister serbestliğin ölümü olarak adlandırın,
artık hacker’lar romantik anti-kahramanlar, sadece bir şeyler öğrenmek
isteyen farklı (tuhaf) insanlar olarak kabul edilmiyorlardı. Dünya
piyasasını Net üzerinden yönetme vaadiyle filizlenen online ticaret,
korunmaya ihtiyaç duyuyordu. Hacker’lar birden dolandırıcı niteligi
kazandılar.
Peki şimdilerde neler oluyor? Internet dünyasında yasadığı yöntemlere
sıkça başvuruluyor, ancak eskisi gibi efsaneleşmiş isimler çıkmıyor.
Yine de Aldous Huxley’in bir zamanlar söylediği gibi, olaylar
görmezlikten gelinmekle yok olmazlar. Bilgisayar yer altı dünyasında hep
söylenen şu sözü de unutmayın: iyi bir hacker’san, ismini herkes bilir.
Ama büyük bir hacker’san kimse kim olduğunu bilmez.
HACKER VE LAMER
Lamer : 14 ile 50 yaş arası bir kitledir, fazla bir bilgiye sahip
olmaksızın ve fazla bir emek harcamadan site kırmak veya başkalarının
bilgisayarlarına girmek gibi işlerden haz duyarlar, %100 oraninda hazır
bilgiye bağımlı oldukları için bu camiadan pek fazla yeni fikir çıkmaz.
Hacker : 17-25 yas arası bir kesimdir, bu yaş gurubundakiler
bilgisayarın Türkiye’de yeni yeşerdiği zamanlardan beri bilgisayar
kullandıklarından oldukça maharetlidirler tabi olarak. Çoğunlukla en az
bir bilgisayar dili veya işletim sistemi üzerine yoğun bilgi
sahiptirler, bilgisayar hayatlarının önemli bir kısmını meşgul eder.
Bilgi paylaşımı esas teşkil ettiği için bir bilgiyi alır geliştirir ve
diğer hackerlar ile paylaşırlar. Hackerlık ile lamerlik farklı
şeylerdir, ancak biri diğerinden kötü falan değildir. Bu daha çok
fotograf makinesi olan bir insanla, fotoğrafçılık yapan bir insanı
karşılaştırmak gibi bir durum olur.
HACKERLERYN KULLANDIKLARI YÖNTEM VE PROGRAMLAR
• TROJANLER
Hackerlar trojan (diğer adı ile RAT=Remote Access Tools) adı verilen
programları kullanırlar.Peki trojan nedir? Adını Truva Atı'ndan alan
progr*****lar olan trojanların ikiyüze yakın çeşidi mevcut ve her gün
yenileri çıkmakta.Hepsinin çalışma yöntemi aşagı-yukarı
aynı.Server,client ve editör denen üç parçadan oluşuyorlar.En sık
kullanılanlardan bazılarının adlarını söylemek gerekirse ; Bladerunner,
Deepthroat, Girlfriend, Schoolbus, Netbus, Subseven, Striker, Doly,
Wincrasher, Voodoo, Netsphere .Dediğimiz gibi sayıları iki yüze yakın,
ancak hit olan sadece iki tane.Tüm dünya ile birlikte Türk hackerlarının
gözdesi olan bu programlar Subseven ve Netbus trojanlardır.Bunlar
arasından da en genel hatta Türk hackerlarının kullandığı program
Subseven‘dır.
o SERVER'LAR
Trojan denilen programların ilk parçalarına server denilir.Hacklenecek
bilgisayarda bir kez çalıştırılması yeterlidir.Çalıştığı bilgisayar
net'e her bağlandığında,kullanıcının haberi olmadan,"ben buradayım ve bu
bilgisayarın arka kapısını açtım,haydi bağlan" mesajını
verecektir.Bilindiği gibi bir bilgisayarda yaklaşık 40000 kapı yani port
vardır.Bunların ilk 1000 adedini bilgisayarınız kullanır.Kalan 39000
kapı normalde kilitlidir.Yşte bu server adı verilen programlar,
hırsızlar tarafından bu kapılardan birini açsın diye yazılırlar.Her
trojanın açtığı bir kapı vardır. Subseven trojan en çok 1243 no'lu
kapıyı açsın diye yazılır. Peki server denen bu ajan parça
bilgisayarınıza nasıl girer.Bu işin en kolay yolu, server'ı masum bir
programa yapıştırmaktır.Bu işi sağ mouse darbesi ile açılan kes-yapıştır
modu ile yapamazsınız.Genellikle joiner, silkrope gibi programlar bu iş
için yazılmışlardır.Nasıl kullanacağınızı ilerde anlatacağız.Serverları
bir bilgisayarda çalıştırmanın diğer yolu icq, irc gibi sohbet
programlarında güveni kazanılmış kişilere yollamaktır. Kullanıcı
programa clikler ve artık bilgisayar işgale açıktır.Serverla enfekte
hale gelmenin ülkemizdeki en sık nedeni net'ten bilinçsiz program
indirmektir.Güvenilir bir siteden indirdiğiniz programları bile,açmadan
önce kesinlikle iyi bir antivirus ve antitrojan programından geçirmek
şarttır.Trojanları tanıyan antivirus programlarına AVP,antitrojan
programlara da cleaner'ı ve Norton,McAfee,F-Prot gibi ünlü antivirus
programlarını örnek verebiliriz.Subseven trojan üçlü bir
pakettir.Piyasadaki son versiyonları 2.0 ve 2.1 Gold adlarını taşıyor.
o EDYTÖR
Server'ı islediğimiz şekilde kurmaya yarayan parçadır.Operasyonun en
hassas bölgesi diyebiliriz.Önce EditServer yazan yeni dosya
açılır.Açılan alttaki pencereden "next"e cliklenir.Burada size server'a
nasıl ulaşabileceğini soran cümle ile karşılaşırsınız.Eğer server'ı A:
disketine kaydedilmişse “a:server.exe” yazılır.Belgeler bölümüne
kaydedilmişse “c:Belgelerimserver.exe” yazılır. Adresi yazıp alttaki
next'e clicklenir yeni sayfaya geçilir.Bu sayfada server'ın hangi
porttan yayın yapacağını sorar.1243 en iyisidir.Solundaki minik kutuyu
işaretlenir.Altta pasaport yerleştirmek isteyenlere hitap eden satır
vardır.Soldaki minik kutuyu işaretleyip iki kez pasaport girilir.En
alttaki minik kutuyu işaretlenmez yoksa asla geri dönemezsiniz. Şimdi
"server'ın adını koyun" sorusu çıkmaktadır.Default tuşu en
iyisidir.Altta yerleştikten sonra izini kaybettir anlamına gelen küçük
kutu var,işaretlenir.Beşinci aşama,server'ın ilk çalışması ile sahte bir
hata mesajı verme opsiyonudur.Configure tuşu ile bir mesaj beğenilir.Bu
bölüm opsiyoneldir.Yedinci bölümde kullanıcıya ad verilmesi istenir.
Sekizinci bölümde,server nereye yerleşeceğini sorar.Less known ve
unknown metotları seçilir.Eğer hata ile server'ı kendi aletinizde
çalıştırırsanız, bir daha zor kurtulursunuz.Şimdi ki aşamada server'ı
sonu exe ile biten bir programa yapıştırma şansı verilmekte.C: driver
taranıp,istediğiniz bir programa yapıştırılarak kullanıcılara
gönderilir.Alttaki soruda,başkalarının server'ınızı açmaması için
pasaport sorulmaktadır.Sadece,save a new copy bölümünü tıklayıp yeni
server'ımızın kaydı alınır.Sol en alttaki kutuyu işaretlenerek işlem
bitirilir.
• KARŞI KULLANICIYI HACKLEME
Subseven programını açınca karşımıza çıkan programda öncelikle soldaki
sıralı kutucuklardan "connection"ı seçilir.Beş bölümden ilk olarak ip
scanner'ı seçin.Bildiğiniz gibi internete bağlandığında şirket
tarafından bir numara verilir.Bu no'lar veezy'de 212.29 ile,turknet'te
212.57 ile, superonline'da 212.252 ile başlar.Sağda açılan start ip
kutucuklarını doldurulur. Veezy kullanıcısını haclemek için 212.29.60.2
yazılır. end ip numaralarına 212.29.233.255 yazılır. Port kutusuna 1243,
delay kutusuna 4 yazılır.Sağ üstteki scan tuşuna basınca,tüm bu
numaralar aralığında bilgisayarında server olan şahısları arar.Bulduğu
numaraları ortadaki büyük kutuda sıralar.Oltaya takılan bu no'yu
enüstteki ip: yazan yere koyun.Sağdaki port no hala 1243 olmalı. Şimdi
sağ en üstteki connect yazısına tıklanır.Bağlantı kurulunca en altta
connected yazısı görülür.Eğer kurbandaki server pasaportla korunuyorsa
members.xoom.com/netvampiri/files/subpass.exe dosyası çekilir.Bunu
açıp,kurbanın ip numarasını yazılır ve change(değiştir)tuşuna basılırsa,
pasaport predatox olarak değişir.Tekrar subseven'la kullanıcıya
bağlanıp yeni pasaportu girilir.Connection bölümünde diğer bir
şık,server options bölümüdür.Buradan kullanıcının server'ına yeni
pasaport koyma, portunu değiştirme gibi olanaklara kavuşulur.Ykinci
bölüm keys/messages bölümüdür.Burada klavye girilirse, kullanıcının
klavyede bastığı her tuş görülebilir. Get cache ve get recorded tuşları
ile net şifrelerine el koyarsınız. Files / windows ana şıkkında file
manager'a girerseniz kullanıcının tüm dosyalarına ulaşılır .Ystediğiniz
çekebilir hatta silinebilir.
Bir sonraki sayfada bazı trojan programı isimleri ve bunların bilgisayarlarımızda kullandığı portların numaraları verilmiştir.
PORT Trojan'ın ismi
21 - Fore, Invisible FTP,FTP, WebEx,WinCrash
23 - Tiny Telnet Server, Telnet, Wingate
25 - Antigen, Email Password Sender,Haebu Coceda, Shtrilitz Stealth, Terminator
31 - Hackers Paradise
80 - Executor
456 - Hackers Paradise
555 - Ini-Killer, Phase Zero, Stealth Spy
666 - Satanz Backdoor
1001 - Silencer, WebEx
1011 - Doly Trojan
1170 - Psyber Stream Server, Voice
1234 - Ultors Trojan
1243 - SubSeven Default Port
1245 - VooDoo Doll
1492 - FTP99CMP
1600 - Shivka-Burka
1807 - SpySender
1981 - Shockrave
1999 - BackDoor
2001 - Trojan Cow
2023 - Ripper
7301 - NetMonitor
7306 - NetMonitor
7307 - NetMonitor
7308 - NetMonitor
7789 - ICKiller
9872 - Portal of Doom
9873 - Portal of Doom
9874 - Portal of Doom
9875 - Portal of Doom
9989 - iNi-Killer
10067 - Portal of Doom
10167 - Portal of Doom
11000 - Senna Spy
11223 - Progenic trojan
12223 - Hack´99 KeyLogger
12345 - GabanBus, NetBus
12346 - GabanBus, NetBus
12361 - Whack-a-mole
12362 - Whack-a-mole
16969 - Priority
17000 - Kuang2
20001 - Millennium
20034 - NetBus 2 Pro
21544 - GirlFriend
22222 - Prosiak
23456 - Evil FTP, Ugly FTP
26274 - Delta
31337 - Back Orifice
ESSENTYAL PROGRAMI
Essential net tools (gerekli internet araçları) bu program bilgisayarlar
arası dosya alışverişi sağlayan ve internet üzerinden paylaşımı açık
insanların bilgisayarlarına girebilmenizi sağlar
Programı indirdikten sonra bilmemiz gerek ilk şey ip numarasının ilk iki
epizotunun değişmedigi son 2 epizotunun değiştiğidir ve buna göre ip
numarasının son epizotu 1 ile 255 arasında olduğundan biz bir ip
numarası alındığında Starting IP yerine yazınca sonunu 1 Ending IP
bölümüne yazınca da sonunu 255 yapılır.
Bulduğuz ip numarasını yazdıktan sonra Go tuşuna basılır ve o ip
numarası arasındaki bütün bilgisayarlar çıkacak ondan sonra b RS bölümde
YES yazan bilgisayarlara sağ tuş ile tıklayıp Open Computer denilir.
Genelde ise C ve D gözükür öyle bilgisayarlara girip istenilen her şey
yapılır.Unutulmaması gereken tek şey var oda paylaşımı açık bir
bilgisayara girmek için bilgisayarımızın paylaşıma açık olması gerekir.
EXPLOYT PROGRAMLARI
Exploitler,bir sisteme erişim almak ya da sahip olduğunuz erişimi
arttırmak için yazılmış küçük progr*****lardır.Ayrıca exploitlerin
işlevine göre serveri crash etme özellikleri de olabilir.Çeşitleri ;
Local Exploit :Local exploitler,sisteme erişimi olan kullanıcılar
tarafından çalıştırılabilir.Bu tip exploitler sayesinde basit bir
kullanıcı,sistemde yönetici hakkına bile kavuşabilir.
Remote Exploit : Remote exploitler, sisteme hiç bir giriş izni olmadan
çalıştırılabilir.Bu tip exploitler sayesinde kendi bilgisayarınızda
çalıştırdığınız bir script ile hiç bir erişiminiz olmayan bir
bilgisayarı ele geçirebilirsiniz.
Cgi Exploitleri :Bu tip exploitler cgi scriptlerinde bulunan açıklardan
yararlanırlar. Güvenlik sitelerinde yüzlerce cgi exploitlerine
rastlayabilirsiniz.Günümüzdeki en popüler hacking yöntemlerinden
biridir.Özellikle web üzerinde çalıştırılan scriptlerde programcının
yaptığı hatalardan yararlanan kullanıcılar,önemli dosyalara ulaşarak
sisteme zarar verebiliyorlar.
NUKE
Windows 3.1x, Windows 95 ve Windows NT de "Microsoft Network Client"
vardır. Dosya ve yazıcı paylaşımı için geliştirilmiş bir teknik.
Önceleri sadece NetBEUI protokolünü desteklerken bu gün TCP/IP veya
IPX/SPX protokolü ile de bu client çeşidini kullanabilirsiniz. Nuke
olayı bir bug'dan kaynaklanmaktadır. Eğer "Microsoft Network Client" i
kullanıyorsanız bilgisayarınızda 137,138 ve 139 nolu portlar aktif
demektir. Bilgisayarlar bu portlardan haberleşir. Ne yazık ki burada
bulunan bir bug, başkalarının sizin bilgisayarınızı çökertmesine neden
olmaktadır. Hatta yine aynı portlardan bilgisayarınıza girip
şifrelerinizi çalabilir, dosyalarınıza erişebilirler.139 nolu porttan
özel bir kod gönderilirse bilgisayarınız kesin çöker. Eğer bir patch
uygulanmamışsa.Çözüm olarak Windows'unuzun ağ ayarlarından "Microsoft
Network Client" i ve "NetBEUI" i kaldırılır. Eğer kullanmak zorunda
olunursa Microsoft'dan patch alınır. Eğer işe yaramazsa "Microsoft
Network Client" i TCP/IP ile kullanılır. Ayrıca nukler MIRC ,ICQ gibi
sohbet programlarının bug (hata) larında dan yaralanılarak kullanıcı
bilgisayara zara verilebilir. Aslında bu tür nukler işletim sistemine
değil bu programların çalışmasını etkiler buda işletim sistemini
etkileyerek dolaylı olarak sistemin durmasına yol açar.
Hackerlardan korunma yöntemleri
1)Tanımadığınız kişilerin yolladığı dosyaları almayın.Tanıdığınız
kişilerin hatta arkadaşlarınızın da sizi hacklemeye çalışabileceğini de
unutmayın!
2)Sürekli bir Antivirüs programı bulundurun ve sürekli internetten
update (yani yeni virüsleri tanıması için) edin!(Antivirüs bölümünde
gerekli programları bulabilirsiniz.)
3)Ynternetten çektiğiniz veya başkalarından aldığınız dosyaları antivirüs kontrolünden geçirmeden açmayın!
4)Ara sıra hard diskinizin tamamını virüs taramasından geçirin.
5)Ynternetten çektiğiniz ve bilmediğiniz programları sakın açmayın.Eğer
güvenilir bir kaynaktan çektiyseniz ne olduğunu görmek için
açabilirsiniz ama bir virüsse bilgisayarınızı bile çökertebilir.
6)E-Mail , Ycq , vb. hesaplarınızda '111111' , 'asdf' , doğum tarihiniz ,
hayvanınızın ismi gibi şifreler kullanmayın.Bunları genelde tahmin
etmesi kolaydır ve çabuk hack edilir.
7)E-Maillerinize gelen 'şifreniz kayboldu , hemen bilgilerinizi şu
adrese bildirin' gibi mesajlarda bir hackerdan gelmiş olabilir.Bu hatta
tanıdığınızdan gelen bir e-mailde olabilir..Ama bilen birinin istediği
adresi göstermesi hiçte zor değil!Yani isterse size beyaz saraydan
e-mail yollanmış gibi bile yapabilir...
Firewall ve Anti Virüs Programları
Firewall
Firewall diye bilinen programlar, bilgisayarınızın portları ile internet
arasına yerleşerek yapancı veya sizin onaylamadığınız girişimlere mani
olurlar. Özellikle bilgisayarınızda bir trojan var ise bile firewall
sayesinde, trojan ile başkalarının size ulaşmasını önler. Firewall virüs
veya trojan bulmaz sadece internete giriş kapılarınız olan portları
kontrol altına alarak istemediğiniz bilgi giriş çıkışlarına mani olur.
Bu programlar sık binen trojanların kullandıkları portları kontrol
ederler veya bilgisayarınızda sizin kontrolünüz haricinde işlem
yapıldığında sizi uyarırlar.
Ayrıca Firewall yerel ağın internete bağlı olduğu sitemlerde internet
üzerinden gelen diğer istenmeyen kullanıcıların yerel ağa girmelerini
önler bunun için firewall programının yerel ağı internete bağlayan ana
bilgisayarlara veya sistemlere kurulur.
Çoğu netwok güvenlik üzerine kurulmadığından bu gibi networklerde
firewall bulunması o networklerin güvenliği açısından bir gerekliliktir.
Firewall’ ların genel mantığı sisteminize onay verilmeden
(authorization) kullanıcıların girmemesini sağlayarak sisteminizi teorik
olarak dışarıdan görünmez hale getirmektir.
Bir firewall genel olarak yasal kaynaklardan ve gideceği hedefin
adresinden oluşur. Bu şartlara uymayan her paketi geri çevirir. Buna
adres filtreleme(Address Filtering) denir.
Yki firewall bir arada düşünürsek; gateway’den ve ya gateway’e
gönderilmedikçe hiçbir paketi almayan ve geri çeviren bir yönlendiriciyi
oluştururlar.
Global Ağdaki bir makineye bağlanmak için, ilk önce gateway a
bağlanmanız gerekir. Bunun ardından global networke geçebilirsiniz.
Nuke Nabber 2.9:
IRC Kullanıcıları arasında en çok tercih edilen programdır. mIRC
programının DDE adı verilen özelliği sayesinde Nuke adi ile genellenen
ICMP saldırılarına karşı sizi korur. Programı kurduğunuz zaman dikkat
etmeniz gereken nokta IRC’nin içerisindeki DDE Server ile Nuke Nabber
'in ayarlarındaki DDE Server’ın ayni ayarlara sahip olmasıdır, eğer bu
ayarı doğru yapmazsanız programın hiç bir etkisi kalmaz. Ayarları yapmak
için önce mIRC programında Options (Alt+O) mönüsüne girin. Ekrana gelen
pencerenin solundaki bölmede General özelliğinin altında Servers bölümü
bulunmaktadır. Servers özelliğini seçtiğiniz zaman pencerenin sağ
kısmında açılan DDE Server kısmında “Enable DDE Server” seçeneğinin
yanına işaret koyun ve Service Name kısmına mIRC ya da dilediğiniz bir
isim yazın. Şimdi aynı ayarı Nuke Nabber programını açarak yapalım.
Options mönüsünde General bölümünü seçin ve karşınıza gelen IRC client
kısmından mIRC’yi seçin ve hemen altındaki DDE Services kısmında yer
alan mirc ibaresini Del seçeneğiyle silin ve yerine Add diyerek mIRC
programına eklediğiniz DDE Server adini girin ve pencerenin sağ
kısmındaki Enable DDE Link seçeneğini aktif hale getirin. Artık program
kurulumda gelen portlara karşı olan saldırıları engelleyecektir ve
saldırının yapıldığı Internet adresini (IP) size bildirecektir.
Programda daha gelişmiş ayarlar da yapılması mümkün. Örneğin Advanced
mönüsü içerisinde ekli olan portlara yabancı bir paket geldiği zaman
sizi bir sesle uyarmasını isterseniz General mönüsünde Play Sound
seçeneğini aktif hale getirip Browse ile sisteminizdeki bir sesi bu
özellik için tanımlayabilirsiniz. Herhangi bir porta yapılan saldırıyı, o
portu yoğun paket trafiğinden korumak amacıyla (0-60) saniye süresiyle
kapatarak etkisiz hale getirebilirsiniz. Bunun için ise Disable Port for
60 se conds seçeneğini aktif hale getirmelisiniz. Port tarayıcı
programlar ile o an listen (dinleme) halinde olan yani potansiyel
saldırıya açık port'larınızın bulunmasını istemiyorsanız Block Port
Scanners seçeneğini aktif hale getirmelisiniz. Belirli bir adresten
yoğun bir saldırı altındaysanız bu adresten gelen paketleri sonsuza dek
reddetmeniz gerekebilir. Reddetmek için Ignore mönüsünden adresi
yazabilir ve Add diyerek red listenize ekleyebilirsiniz. Artık yanlış
nick şifresi girmek yada IRC sunucularının birbirlerinden kopmaları
(split) dışında sizi hiç bir güç IRC sunucusundan düşüremez.
Conseal PC Firewall:
Hem ev hem ofisinizi korur. Aslında büyük sistemleri korumak amacıyla
hazırlanmış bu program ev kullanıcılarına da hitap ediyor, bildiğiniz
gibi günümüzde Internet üzerinde AltaVista, Yahoo gibi büyük siteleri
günlerce ulaşılamaz hale getirmiş saldırı programlarına erişmek mümkün,
dolayısıyla evinizdeki bilgisayarı da nispeten büyük saldırılara karsı
korumak için firewall kullanmak iyi bir çözüm olacaktır.
Lockdown 2000: Hem Firewall hem Trojan temizleyici, firewall olarak pek
fazla özelliği bulunmayan bu program trojan temizleyici ve network
koruyucu özellikleri de taşıyor. Programın içerisinde whois, traceroute
gibi tarama yapabileceğiniz özelliklerin yanında, yeni bir versiyon
çıktığı anda Internet site sine bağlanarak kendi kendisini yenileme
özelliği de bulunuyor. Programın koruyucu özelliğini harekete geçirmek
için uygulama penceresinde sol alt kısımda bulunan icq/nukes/troj
yazısının yanındaki Options düğmesine tıklayın ve karsınıza gelecek
ekranda 3 seçeneği de işaretleyin. Program ilk seçeneklerim ile
bilgisayarınız açıldığı anda çalışmaya başlıyor ve trojanlara karsı sizi
uyarabiliyor. ICQ programına yapılan saldırıları da engelleyen program
tek basına yetersiz kalabilir ancak diğer programlarla birleştiği zaman
etkisi artacaktır.
Zone Alarm: Yerel ağıda kontrol edin Yşte gerçekten protokolleri ayırt
edebilen ve sizi uyaran bir firewall programı. Bu program evinizdeki
sisteminizi yardımcı programa ihtiyaç duymadan koruyacaktır. Programı
çalıştırdığınızda dikkat etmeniz gereken noktalar pencerenin üst
kısmındaki kilit işaretinin "Unlocked" olması, eğer bu yazı "Locked" ise
firewall tüm internete çıkışınızı kilitler. Bu işaretin hemen altındaki
mönüde 5 seçenek bulunuyor. Alerts: Programı çalıştırdığınız andan
itibaren programın size yaptığı tüm uyarıları burada tek tek görebilir
ve gözden kaçan uyarıları okuyabilirsiniz. Aşağıdaki Log Alerts to a txt
file seçeneğinden bu uyarıları bir dosyaya kaydetmek de mümkün. Lock:
Yukarıda anlattığımız Internet’i kitleme ve açma opsiyonu daha detaylı
bir şekilde bu mönüde mevcut. Ysterseniz bu meniden internete erişecek
programları şifre ile çalıştırmanız mümkün. Security: Bu mönüde ise
sisteminizde çalışan sunucuları ve yerel ağ korumasını ayarlayan Local
ile Internet bağlantısını ayarlayan Internet seçeneği mevcut. Her
ikisine de 3'er koruma seviyesi mevcut. Programs: Programlarınızın
internette ve yerel ağa/sistem içine olan paket çıkışlarını şifrelemeniz
yada açmanız mümkün. Configure: Programı nerede yer alacağını
belirlemek, açılışta başlamasını ayarlamak, yada kendi sitesinden yeni
versiyonlara yükseltme yapmak bu mönüden ayarlanabiliyor.
Black Ice Defender:
Saldırıları grafiğe dönüştürün LockDown 2000'e benzer olarak koruma
anlamında önünüze fazla seçenek sunmayan Black Ice Defender'in en büyük
özelliği makinenize gelen paketlerin listesini önünüze sunması ve bu
saldırıları seçerek hakkında bilgi sahibi olabilmeniz. Firewall’a
çalıştırdığınızda karsınıza gelen ekrandaki Attacks seçeneğinden
saldırıyı yapan adres, saldırı türü,boyutu ve zamanını görebilirsiniz.
Intruders seçeneğinden saldırı yapan kısının adresine tıkladığınızda o
makineden size gönderilen tüm paketleri görebilirsiniz. History
seçeneğinde makinenize gelen paketleri zamana göre grafik haline
getirebilirsiniz. Information mönüsü ise program hakkında bilgi sahibi
olmanızı ve Buy seçeneği ile lisanslı kullanıcı olmanızı sağlar.
Programı ayarlamak için Tools mönüsünden Edit Blackice Settings
seçeneğine tıklayın ve karsınıza gelen yeni bir ekran ve mönüler olacak.
Protection seçeneğinde 4 değişik seviye mevcut bulunuyor. Packet
Logging seçeneğinde yapılan saldırıları bir log dosyasında saklamak ve
sisteminizin basında olmadığınız anlarda yapılan saldırıları incelemeniz
mümkün kilinmiş. Blocked Adresses ve Trusted Adresses seçeneklerinden
istediğiniz IP adreslerini engellemeniz yada kısıtlamasız paket kabul
etmeniz mümkün.
AT Guard:
Firewall programı sizi internetten gelen tehlikelere karsı esnek
ayarları ile koruyacaktır. Programı kurduktan sonra Settings özelliğini
açın ve karsınıza gelen meniden ayarlamaları yapmaya başlayalım, Ad
Blocker mönüsünde çeşitli kısaltmaları içeren web adreslerini blok
etmeye ayarlayabiliriz. Bu kısaltmalar içerisinde örneğin "/ad/"
geçenleri blok ediyorsak birçok sitede karsımıza çıkan reklam
pencereleri gelmeyecektir. Privacy menusunda zararlı olabilecek
çerezleri belirli kurallar ekleyerek zararsız hale getirebiliriz.
Firewall menusu ise adından da anlaşıldığı gibi bizi en çok ilgilendiren
kısım. Enable firewall seçeneğini işaretleyerek altta kullanıma
açılacak kısımda kurallar eklememize olanak verecektir. General
mönüsünde firewall’ın çalışıp çalışmamasını belirleyebilir ve programa
bir şifre atayabiliriz. About mönüsünde ise programın kullandığı
kaynakları, versiyon bilgisini bulabilir ve üreticinin sayfasını ziyaret
edebilirsiniz .
Norton Personal Firewall:
Symantec firmasının geliştirdiği bu firewall kişisel bilgisayarların
internette güvenliği için hazırlanmıştır. Kullanımı kolay ve Symantec
firmasının geliştirdiği norton antivisüs programıyla birlikte çalışarak
sistem güvenliğini artırmaktadır. Ayrıca program kullanımı sırasında
ayarları yapılarak kullanacağını internet programlarının kontrolünü
kolaylıkla sağlamaktadır.
Antivirüs Yazılımları
Virüs yazılımları bilgisayarımızdaki virüsleri bularan ve bunalı
temizleyen güvenlik programlarıdır. Bu programların genel olarak
virüsleri inceledikleri programların üzerinde virüs izleri arayarak
virüsleri tanırlar. Virüs izleri ise virüslerin kendilerini
kopyaladıkları dosyalardaki makine dili algoritması olarak
tanımlayabiliriz. Fakat buda yetmemekte ve kendi kodlarını
değiştirebilen virüslerde yazılarak antivirüs programlarını
yanıltabilirler. Bu tür virüsler için ise farklı teknikler kullanılarak
belirlenmektedir. Bir çok firma virüs programları geliştirmiştir. Bu
programlardan beklenen genel özellikler ise;
• Güncellenebilir olması: internet üzerinden kendilerini yeni çıkan virüslere karşı yenileyebilmelidir.
• Sürekli güncellenebilir olması.
• Virüsleri aktif hale gelmeden tanıyıp, etkisiz hale getirmesi
• Yşlemler sırasında altta çalışarak virüsleri belirleyebilmesi
• Yşlemciyi çok yormaması
• Hızlı tarama yapması
• Virüs tanıma kapasitesinin fazla olması
Bu özelliklere sahip bir çok virüs programı bulunmakta bu virüs programlarının en çok bilinen ve kullanılanları ise şunlardır.
• McAfee Associates, Inc:
Bu program kendini internet üzerinden update etme özelliği ile yeni
geliştirilen virüsleri tanıya bilmektedir. Program, bilgisayar kullanımı
sırasında arkada çalışarak aktif hale geleden virüsleri tanıya
bilmektedir. Kolay bir kullanıcı arayüzü bulunmakta. ( tavsiye etmem )
• Norton Antivirus : Çok kullanılan bu program update özelliği var ve hızlı tarama yapma özelliği ile en çok tercih edilen anti virüs programıdır. (Tavsiye)
• F-Prot:
Bu program internet üzerinden ücretsiz olarak verildiği için sık
kullanılan virüs programları arasında dır belli tarihler arasında
çalışır. Zamanı geçen programı internetten güncelenmiş olarak indirerek
kullanabilirsiniz bilgisayarı kendi boot ederek işletim sistemine
bağlanan virüsleride etkisiz hale getirir. ( Tavsiye etmem )
• Kaspersky : Dünyanın en iyi antivirüs yazılımlarından olan kaspersky sistemi sağlam olanlar için en iyi tercih. (Tavsiye +)
•
Bit defender : Son sürüm karşılaştırmalarına bakılacak olursa bit
defender 2013 te en iyi antivirüs programı diyebiliriz; bizzat
deneyerekte bunu test ettim ve çok kullanışlı, güvenilir,hızlı bir
antivirüs diyebilirim. ( Tavsiye + )
Hiç yorum yok:
Yorum Gönder