VİRÜSLER
GENEL VİRÜSLER
Disk virüsleri: Bu virüsler Windows gibi işletim sistemleri yerine direkt olarak hafızaya yerleşirler.
Dosya virüsleri: Direkt olarak dosyaları hedef alan virüslerdir ve genelde COM, EXE, SYS olarak sisteme yerleşirler.
Makro virüsler: Word, Excel gibi programlarla yazılmış dosyaların açılmasıyla faaliyete geçen virüslerdir. (Örnek: Melissa virüsü)
Program virüsleri: Dos altında bulunan COM, EXE gibi dosyalara bulaşırlar ve bu dosyaların çalıştırılabilme özelliği sayesinde belleğe hükmederler.
Bios virüsleri: Bios virüsleri tekrar yazılabilir bioslara bulaşırlar.
VİRÜS ÇEŞİTLERİ
1- CIH (Cernobil) VİRÜSÜ
CIH (Cernobil), virüsü sadece Windows95 ve Windows98 altında çalışan, bulaşıcı ve çok yaygın bir bilgisayar virüsüdür.
CIH Dos, NT , OS/2 gibi işletim sistemlerinde çalışmaz.
CIH isimli Cernobil diye bilinen virüsün diğer isimleri ise şöyledir:
PE_CIH, CIHV, SPACEFILLER, WIN32.CIH, CHERNOBYL, TSHERNOBYL, TSERNOBYL
a- CIH virüsünün tarihi:
Bu virüs Haziran 1998de Tayvan'da çok yaygın olarak bulundu. Virüsü yazan kişi, yerel bir internet konferansında virüsü faydalı bir program diye gönderdi. Bir hafta içinde virüs, Avusturya, Avustralya, İsrail, İngiltere'de bulundu. Ayrıca bir çok ülkede de tespit edildi (İsviçre, İsveç, USA,Rusya, Şili).
b- CIH virüsü nasıl çalışır, bulaşır?
CIH virüsü, sadece Windows95 ve Windows98 executable ( .EXE uzantılı) dosyalarına bulaşır. Virüslü bir .exe dosyası çalıştırılıp virüs hafızada aktif olduğu zaman sistemde çalıştırılan diğer WIN95/98 .exe dosyalarına bulaşmaya çalışır. Virüs kesinlikle DOS da aktif değildir, sadece windows da çalışabilir. Eğer bilgisayarı DOS modunda (Command Prompt Only - Sadece Komut İşlemi) açarsanız virüs hafızaya yüklenmez. Eğer Windows’dan DOS'a çıkarsanız (Restart Computer in MSDOS mode) virüs hafızadan çıkar.
Virüslü bir .exe dosyası ya başka bir arkadaşınızdan veya dışardan bir disketle,cd-romla veya internetten çektiğiniz veya emailinizde size gönderilen bir .exe dosyası varsa ve bu .exe dosyasını çalıştırırsanız size bulaşır.
Bunların dışında başka bir şekilde bulaşmaz.
Virüsde bazı programlama hataları olduğu için bazı bilgisayarlarda virüslü dosya çalıştırıldığı zaman sistem kilitleniyor.
Virüs sadece ayın belli tarihlerinde aktif oluyor. Bu virüsün 3 tane farklı tipi vardır:
Uzunluk İçerdiği Yazı Aktif olma tarihleri Yaygın mı?
1003 CCIH 1.2 TTIT Nisan 26 Evet
1010 CCIH 1.3 TTIT Nisan 26 Hayır
1019 CCIH 1.4 TATUNG Her ayın 26sinda Evet
Yukarıdaki tabloyu açıklayalım:
Uzunluk: Virüsün kapladığı yer. Çok ilginçtir, bu virüsün bu kadar yayılma sebeplerinden birisi de virüsün bir dosyaya bulaştığı zaman dosyanın boyutlarını arttırmamasıdır. Virüs, dosyalardaki kullanılmayan boşlukları bulup kendisini parça parça bu boşluklara kaydetmektedir. Bu şekilde insanların gözünden kaçabilmektedir. Bu virüs aynı zamanda türünün ilk örneğidir.
İçerdiği Yazı: Virüsün bulaştığı dosyalara yazdığı bir yazı.
Aktif olma tarihleri: Virüs bu tarihler haricinde bulaşmak dışında hiçbir işlem yapmamaktadır. Bu tarihlerde ise sisteme hasar verecektir.
Yaygın mı: Bu virüsün diğer ülkelerde de yaygın olup olmayan türleri. Çok ilginçtir bugüne kadar bize ulaşan virüslerin çoğu 1.3 türü idi. Sanırız Türkiye’de daha çok 1.3 türündeki virüs yaygın.
c- Virüsün verdiği zararlar nelerdir?
Virüs iki türlü hasar vermektedir:
a) Flash BIOS’LAR: Özelliklerde Pentium ve Pentium-II işlemcilerin kullanıldığı anakartlarda bulunan Flash Bios özelliği bilgisayarınızın yeni çıkan işlemcileri desteklemesi ve BIOS’larda olabilecek (2000 yılı gibi) yazılım hatalarına karşı yenilemenizi sağlar. Bir program ile bu BIOSların en son versiyonlarını internetten çekip Flash Biosa yazabildiğiniz gibi bu virüs de Flash Biosa yazabiliyor. Flash Biosu anlamsız işe yaramayan datalarla dolduran bu virüs bilgisayarın ilk açılmasını sağlayan bu kritik yazılımı işe yaramaz hale getiriyor ve bilgisayarınızda kapkara bir ekranla baş başa kalıyorsunuz.
b) Harddiskler: Virüs harddisklerin MBR (Partition) ve Boot diye bilinen iki bölgesindeki bilgilerin üzerine yazmakta ve onları da işe yaramaz bilgilerle doldurmaktadır. Bu durumda harddisk sağlam olsa bile , harddiske sistemin erişmesinde gerekli olan bu yerlerdeki yanlış datalar bilgisayarınızın harddiskteki dosyalara erişmesini engellemektedir.
Özellikle direkt biosdan erişim sistemi kullanan bu virüs BIOSlardaki virüs korumasını da aşmaktadır.
Ayrıca virüs rasgele bir şekilde disketteki dosyalara hasar da verebilmektedir. Bunun yanısıra, virüsün harddiskin ilk 1Mblık alanını sildiği ve FAT (Dosya Tablosu) yapısını bozduğu da bilinmektedir. Bu durumda ise bilgileri kurtarmak imkansız denilebilir. Ancak Norton Utilities programlarından Unformat ile Ontrack firmasının Tiramisu programları bir umut ışığı olabilir.
Norton Utilities internet sayfasına www.symantec.com adresinden erişebilirsiniz.
Ontrack firmasının internet sayfasına www.ontrack.com adresinden erişebilirsiniz.
Virüs bu bahsedilen konular dışında hiç bir şeye zarar vermez. Maalesef medyada çıkan bazı haberler bizi bu konuda sizleri uyarma ihtiyacına yönlendirdi. Cdromların epromlarının bozulması, SMS mesajları ile Cep telefonlarının bozulması gibi bir çok asılsız haberlere lütfen inanmayınız.
Sadece size anlattığımız gibi Flash bios ve harddiskdeki bilgilere zarar vermektedir.
d- Bu virüsden nasıl kurtulunur?
Bu konuyu iki şekilde ele alacağız.
a) Bilgisayarı hasar görmemiş ama virüs olma ihtimali olanlar:
- Flash Bios:
Virüs tarafından flash biosu silinen kullanıcılara tavsiyemiz yeni bir anakart almadan önce, flash bioslarını tamir ettirmeye çalışmalarıdır. Bu maliyeti yok denecek kadar az ama bilgili eleman isteyen bir konudur.(Maalesef ülkemiz bilgisayar konusunda çok cahildir...)
Öncelikle Flash BIOS ufak bir programdır.
Eğer elinizde daha önceden kaydetmiş olduğunuz anakartınıza ait Flash Bios dosyası varsa bu dosyadaki dataları bir eprom programlayıcısı olan bir elektronikçide bios çipinize geri yükletebilirsiniz. Eğer çipi siz söküp elektronikçiye götürecekseniz dikkatli olun. Sökerken çipin bacakları hasar görebilir. Bu işlem çok dikkatli yapılmalıdır. Bazı anakartların Bios çipleri de sökülememektedir, bu durum daha ilerde ele alınacaktır.
Bu sitelerde BIOS update bölümünde gerekli talimatlarla birlikte en yeni Bios sürümlerini bulabilirsiniz.
Eğer başka bir tanıdığınızda aynı bilgisayardan veya aynı anakarttan varsa onların bilgisayarları sağlam ise aşağıdaki bios programları ile hem markasını öğrenebilir hem de biosunu bir diskete kopyalayabilirsiniz.
Bu şekilde elinizde Biosunuzun bir kopyası olacak ve bunu bir elektronikçide bir eprom programlayıcısı ile geri yükleyebileceksiniz. Bu işlemi gerçekleştirmiş arkadaşları tanıyorum kesinlikle mümkün ve başarılı sonuç veren bir işlemdir.
Flash Biosun sökülemediği eski anakartlarda ise durum biraz vahimdir.
Anlatacağım tekniğin işlerliği konusunda hiçbir garanti veremem , anlatacaklarım yukarda adı geçen anakart sitelerinden alınmıştır. Ben hiç denemede bulunmadım bu yüzden işe yarayıp yaramayacağını da bilemiyorum.
İhtiyacınız olan :
1- ISA ekran kartı (Asusda optional demiş yani gerekmeyebilir de ama emin değilim)
2- Çalışır durumda bir Floppy drive
3- İçinde sistem dosyaları , gerekli bios programları olan , flash biosunuz kopyasını da içeren bir disket.
Config.sys koymayın, sistem dosyalarınız win95 sistem dosyalarından ziyade dos 6.22 olsun çünkü daha az hafıza kaplıyorlar. Gigabyte anakartların bios sayfalarında özellikle windows95 sistem dosyalarını kullanmayın deniliyor. Gerekli programları ve sistem disketinin bir kopyasını bu sayfada bulabilirsiniz. Tavsiyem autoexec.batdosyasını öyle bir ayarlayın ki kullanıcının hiç bir şey yapmasına gerek kalmadan , bootlayıp flash biosunuzu otomatik geri yüklemesi...
Nasıl yapılacak?
1- Sistemdeki anakarta takılı butun kartları çıkarın sadece ISA ekran kartı kalsın.
2- Hazırladığınız disketi (gerekli programları aşağıdaki bölüme koyduk) floppy drive takın.
3- Sistemi power tuşuna basın
4- Umarım ise yarar :-)
5- Disketi çıkarmayı unutmayın.
Harddiskler:
CIH virüsü ile erişilmez durumdaki harddiskleri geri kazanmak için , diskeditor denilen programlara ihtiyacınız var. Bu tür programlar, Norton Diskeditor, Winhex gibi programlar kullanabilirsiniz.
En iyisi aynı harddiske sahip olan birinden partition ve bootları bir diskete kopyalayıp kendi harddiskinize geri yüklemek.
Fakat dikkat etmeniz gereken önemli bir nokta, harddisklerin aynı formata ve büyüklüklere sahip olmasıdır.
Örneğin , 6.4gb bir harddiskiniz var , bunu 2 partitiona ayırıp c ve d sürücüleri olarak 2 tane 3.2gb bir şekilde formatlarsanız ve gidip de sadece 6.4 gb olarak formatlanan bir harddiske geri yüklerseniz, o zaman harddiski bilgisayara yanlış tanıtmış olursunuz ve dosyalarınıza erişemezsiniz. Aşağıda 2.1 gb ve 10.2 gblık quantum harddisk partition ve bootlarını koyuyorum , dikkat bunların ikisi de sadece tek partitionlı harddiskler içindir, eğer harddiskinizi böldüyseniz bunları kullanmayın, bu harddisklerin FAT yapıları FAT32 biçimindedir, sakın FAT16 olan harddisklerde kullanmayın ve son olarak , olabilecek hasarlardan dolayı biz sorumlu değiliz.
Eğer bu yöntemler ise yaramaz ise, Norton Disk Doctor gibi programları tavsiye ederim. Özellikle NDD / rebuild komutu harddiskte partition aratıp geri yükleyebilmektedir.
Dikkat edilmesi gereken bir nokta da, FAT32 denilen 2.1gbdan büyük harddisklerin tek parça olarak formatlanmasını sağlayan Microsoftun Windows95 OSR2 ve Windows98 de desteklediği FAT sistemini Norton Utilities 2.0 For Windows ve üstü desteklemektedir. (Norton Utilities For Windows ile dos programları da gelmektedir).
Ayrıca internette bir çok disk editör programlar bulunmaktadır, haksız rekabet gibi bir olay olmasın diye Winhex isimli bir programın da ismini vereyim.
Biz hiç bir yazılım firması ile çalışmıyor, hiç bir şahsi çıkar ilişkimiz de yoktur.
Tekrar ediyoruz, bu sayfada bilgiler ve programlardan dolayı oluşacak hiçbir hasar bizim sorumluluğumuzda değildir.
Umarım bu sayfadaki bilgiler işinize yaramıştır , bize virüsle ilgili merak ettiğiniz başka bir şey varsa email atarak sorabilirsiniz, genelde cevapları bu sayfaya ilave edeceğiz.
e- Programlar:
1- Flash Bios programları: Bu programlar ile biosunuzu yedekleyebilir , yedeklerden geri yükleyebilir veya yenileyebilirsiniz.
Asus Board Sayfasında bir çok FLASH BIOS programı var, hepsini koyamayacağımdan size tavsiyem www.asus.com adresine gidip oradan gerekli dosyaları almanızdır.
ctbios.zip - Bu programı çalıştırdığınızda, bilgisayarınızın bios markasını ve internet sayfalarını gösterir.
2- Harddisk programları:
system.zip - DOS 6.22 sistem disketi image dosyası, winimage gibi bir program ile bir diske aktarın.
w98sys.zip - Windows 98 sistem disketi image dosyası, cd-romlarınızı da otomatik olarak sisteme tanıtmaktadır.
q10.zip - Quantum Fireball 10.2Gb EL model harddisk partition ve boot image dosyası, (FAT32 formatlı, tek partition, sakın başka türlü formatlanmış harddisklere bunu geri yüklemeyin).
3- Antivirus programları:
kill_cih.exe - Bu program windowsda aktif olan CIH virüsünün çalışmasını durdurur , hafızadan(memoryden) siler , ama harddiskten de temizlemeniz gerekir. Bu program sadece virüsü durdurup antivirüs programlarının rahatça çalışmalarını sağlar.
fp-307b.zip - F-prot antivirüsün en son dos versiyonu CIH dahil bir çok virüsü temizler, üstelik bedava.
2- BABYLONİA VİRÜSÜ
Babylonia Windows’un hafızasına yerleşen bir kurt (worm) olup otomatik güncelleme yeteneği vardır. Windows çalıştırılabilir dosyalarına ve yardım dosyalarına bulaşır. WSOCK32.DLL dosyasını değiştirerek Internet’e bağlanır ve kendinin yeni versiyonlarını yükler.
Virüs sadece Win9x işletim sistemlerine bulaşabilir. I-Worm.Happy/SKA worm, WinHLP.Demo, Win95/CIH gibi virüslerin özelliklerini kullanır.
Bulaşmış bir dosyanın çalıştırılmasıyla virüs aktif hale geçer. Kendini bir sistem sürücüsü olarak sisteme yerleştirir(VxD) . Disk erişim fonksiyonlarını kontrol eder. Diske yazılan ve diskten okunan dosyaların sonuna kendi kodunu ekler. Bu dosyaların boyutları büyüyebileceği gibi virüsün kullandığı özel bir yöntem nedeniyle aynı da kalabilir.
4 Kb uzunluğunda C:BABYLONIA.EXE dosyasını oluşturur. Bu dosya virüsün bazı ek fonksiyonlarını içerir.
Windows yardım dosyalarına bulaşarak her yardım dosyası çalıştırıldığında virüs kodunun çalıştırılmasına neden olur.
3- FUNLOVE VİRÜSÜ
FunLove hafızada yerleşebilen Win32 virüsüdür. Kasım 1999'da ABD, İngiltere ve Çek Cumhuriyeti gibi ülkelşerde yaygın olarak görünmüştür.
Funlove şifreli veya polimorfik bir virüs değildir. Virüs yerel ve ağ sürücüsündeki PE EXE (Windows çalıştırılabilir) dosyalara bulaşır.
Virüs, bulaşmış bir dosya çalıştırıldığındawindows SYSTEM klasöründe FLCSS.EXE dosyası oluşturur, kodunu oraya yazar ve oluşturulan dosyayı çalıştırır. Bu dosya virüs damlatıcısı olur- virüs tarafından gizli bir Windows dosyası (Windows 9x altında) veya servisi(Windows NT altında) olarak başlatılır.
FLCSS.EXE dosyası oluşturulurken hata oluşursa damlatıcı dosya virüsü kendi bulaştırma fonksiyonunu kullanarak bulaşmış konukçu dosyadan yayar ve virüs yayan fonksiyon arka planda ayrı bir "thread" olarak çalıştığından programın çalışmasında gözle görünür bir gecikme yaşanmaz.
Bulaşma fonksiyonu C:'den Z:'ye kadar olan bütün yerel sürücüleri taradıktan sonra ağ kaynaklarını da tarar ve çalıştırılabilir PE dosyalara ( .OCX, .SCR, veya .EXE uzantılı ) bulaşır. Virüs kodunu dosyanın en sonuna yazar. Dosyanın başına da 8 baytlık bir kod ekleyerek program başladığında virüs kodunun çalıştırılmasına neden olur. Bundan sonra programın ana kodunun çalıştırılmasına geçilir.
Virüs, ağdaki bilgisayarlardan sadece mevcut bulaşmış bilgisayarın yazma hakkı olanlara bulaşabilir. Bu virüsün yayılmasını önemli ölçüde azaltır.
Virüs, bulaşacağı dosyaları kontrol ederek adının ilk 4 harfi aşağıdakilerden biri olanlara bulaşmaz:
ALER AMON _AVP AVP3 AVPM F-PR NAVW SCAN SMSS DDHE DPLA MPLA
Virüs ayrıca NTLDR ve WINNTSystem32ntoskrnl.exe dosyalarını Bolzano virüsünün değiştirdiği şekilde değiştirir. Bu dosyalar artık kullanılamaz hale gelir ve yedekten geri yüklenmeleri gerekir.
Virüs sadece aşağıdaki metni içerir:
~Fun Loving Criminal~
Bu metin DOS'un 'This program cannot be run in DOS mode.' metninin kayıtlı olduğu yerdedir. Program DOS ortamında çalıştırılmaya çalıştığınızda bu kısa mesajını verir ve sistemi yeniden başlatır.
4- MY PİCS VİRÜSÜ
MyPics kurt(worm)u bir Visual Basic uygulaması olup bir eposta eki olarak gelir. ‘'Here's some pictures for you!’ (Sizin için birkaç resim!) mesajını içeren epostanın konusu yoktur. Virüs kendini sistemde C: Pics4You.EXE olarak kurar ve Windows kaydını değiştirerek windows her açıldığında bu virüsün çalışmasına neden olur. MSVBVM50.DLL dosyasına ihtiyaç duyar. Eğer bu dosya sisteminizde yoksa virüs yayılamaz. Virüs aktifleştiğinde kendini 50 kullanıcıya bir defada gönderebilmektedir. Eposta adresleri ise Outlook Adres Defterinden seçilmektedir.
Virüsün tehlikeli bir yapısı vardır. 1 Ocak 2000 tarihinde virüs aktifleşip CBIOS.COM programını çalıştırarak CMOS’taki bilgileri yok eder. Ayrıca AUTOEXEC.BAT dosyasını değiştirerek sabit sürücülerden C: ve D:’yi sistemin sonraki açılışında biçimlendirir. (format)
5- PRI VİRÜSÜ
W97M/Pri polimorfik Word 97 makro virüsüdür.
Bulaşmış bir belge açıldığında aktifleşir. Genel şablonun virüse bulaşıp bulaşmadığını kontrol eder eğer bulaşmamışsa kendini değiştirerek bu dosyaya kopyalar.
Virüs genel şablona bulaşmışsa diğer dokümanlar kapanırken onlara da bulaşır. Ayrıca "Tools/Macros/Visual Basic Editor" mönüsü kullanılamaz hale getirilir.
Virüs zamanı kontrolü eder ve eğer saat ve dakika birbirine eşitse değişik renklerde on geometrik şekil mevcut dokümana eklenir.
TÜREVİ: Pri.B
Bu türevi W97M/Pri.A ile birbirine çok benzer ancak birkaç küçük fark vardır.
Bu türevi "Tools/Macros/Visual Basic Editor" mönüsüne küçük bir kod ekleyerek Word'den çıkışta dokümanların kaydedilmemesine neden olur.
Virüs ayrıca on geometrik şekil yerine herhangi bir sayıda geometrik şekil oluşturabilir.
TÜREVİ: Pri.Q
TAKMA ADI: Prilissa, Melissa.W, Melissa.AG, W97M.Antisocial.G
Bu türevi W97M/Melissa virüsünden çalınmış toplu email atma özelliğini ve zararlı kodları da içerir.
Kod 25 Aralıkta aktifleşir. Kod "C:Autoexec.bat" dosyasını değiştirerek sonraki sistem başlangıcında "C:" sürücüsünün formatlanmasına neden olur. Buna rağmen virüs Windows NT'de çalışmaz. "Autoexec.bat" ayrıca aşağıdaki mesajı içerir:
Vine...Vide...Vice...Moslem Power Never End...
Your Computer Have Just Been Terminated By -= CyberNET =- Virus !!!
VirüsAutoexec.bat dosyasını değiştirdiğinde aşağıdaki mesajı verir:
Vine...Vide...Vice...Moslem Power Never End...
You Dare Rise Against Me...The Human Era is Over,
The CyberNET Era Has Come !!!
Virüs o anki dokümana değişik renk ve sayıda geometrik şekiller ekler.
Virüs daha sonra her adres defterindeki ilk 50 alıcıya kendini postalar. Mesaj aşağıdaki gibidir:
Subject: Message From (Kullanıcı adı)
Body: This document is very Important
and you've GOT to read this !!!
Mesajda İngilizce olarak " Bu doküman çok önemli ve okumak zorundasınız" denmektedir.
Burada "Kullanıcı Adı" virüs bulaşmış kurbanın adı ile değiştirilir. Mesaj ayrıca virüsün bir kopyasını yollamıştır.
Virüs ayrıca email gönderme işinin sona erdiğini anlamak için windows kaydını aşağıdaki gibi değiştirir:
HKEY_CURRENT_USERSoftwareMicrosoftOfficeCyberNET değeri yerine şu değer yazılır:
(C)2000 - Indonesia by AnomOke!
Virüs kendini postaladıktan sonra bir doküman açıldığında veya kapandığında virüs çoğalmaya devam eder.
Virüs, gömülü virüs koruma sistemini devre dışı bırakır ve Dosya menüsündeki son açılan dosyaları saklar. Ayrıca "Tools/Macros/Macro" ve "Tools/Macros/Visual Basic Editor" mönülerini kullanılamaz hale getirir.
6- SUPPL VİRÜSÜ
W97M/Suppl, 17 Eylül 1999'da birçok haber grubuna postalanmış bir mail kurtudur. Kendini Suppl.doc adlı bir dosya eki ile e-mail kurdu olarak yayar. Suppl zararlı bir yapıya sahiptir.
TÜREVİ: Suppl.A İlişikteki Word 97 belgesi açıldığında makro kodu çalıştırılır. Aktif belgeyi
Windows klasörüne "Anthrax.ini" olarak kopyalar. Daha sonra "Suppl.doc" belgesinin sonuna ekli olan "Wsock32.dll" dosyasının bulaşmış bir versiyonunu açar. Sistem tekrar başlatılmadan önce Windows klasöründe görünen üç dosya oluşturulmuştur:
"DLL.lzh", "DLL.tmp" ve "wininit.ini".
Sistem tekrar başladıktan sonra "DLL.tmp", "Wsock32.dll" ile, orijinal "Wsock32.dll" dosyası "Wsock33.dll" ile değiştirilir. "DLL.lzh" (sıkıştırılmış ".dll") ve "wininit.ini" dosyaları silinir.
Daha sonra Suppl kendini virüs bulaşmış kullanıcı makinesinden gönderilen her SMTP email mesajının sonuna "Suppl.doc" olarak ekler. Suppl bir hafta aktif kaldıktan sonra bütün yerel ve uzak sürücülerde yer alan aşağıdaki uzantılara sahip dosyaları siler:
DOC,XLS,TXT,RTF,DBF,ZIP,ARJ,RAR
7- THUS VİRÜSÜ
W97M/Thus çok tehlikeli bir Word 97 makro virüsüdür.
TÜREVİ: Thus.A
Bulaşmış bir dosya açıldığında W97M/Thus.A virüsü evrensel şablona ve o an açık olan bütün Word belgelerine bulaşır. Bundan sonra her oluşturulan,açılan veya kapanan belgeye bulaşır.
Virüs, daha önce bulaştığı belgeleri "Thus_001" işaretini arayarak belirler. Bu nedenle virüs "Thus" diye adlandırılmıştır. Ayrıca "Thursday" takma adıyla da bilinmektedir. Virüs, etkisini 13 Aralıkta "C:" dizinindeki bütün dosyaları silerek gösterir. 6000'den fazla bilgisayara kısa sürede yayılan bu virüs özellikle ABD, İngiltere, Fransa ve Almanya daki finans sektörünün bilgisayarlarına bulaştı. Böylece tehlikeli virüsler sınıfına girdi.
8- MELİSSA VİRÜSÜ
Bilinen diğer isimleri: Simpsons, Kwyjibo, Kwejeebo, Mailissa
Varlığı ilk olarak 26 Mart 1999 günü fark edilen bu bilgisayar virüsü, fark edildiği andan sadece bir kaç saat sonrasında 100.000 bilgisayara bulaşmıştır. Bu, daha önceki tüm virüslerden çok daha hızlı bir yayılma hızıdır.
Melissa virüsü kendisini bir kullanıcıdan bir diğer kullanıcının e-mail hesabına kopyalayarak yayılmaktadır. Virüs etkisini, kullanıcının dokümanlarına “Simpsonslar” isimli TV dizisinden sözler ekleyerek ve daha da kötüsü kullanıcı farkında olmadan önemli dokümanlarını e-mail yoluyla başkalarına göndererek göstermektedir.
Virüsün fark edildiği 26 Mart günü A.B.D çapında hızla yayılarak Microsoft ve Intel’in de içinde bulunduğu bir çok şirketin mail sistemlerine girmiştir. Microsoft firması, virüsün şirket içerisinde daha fazla yayılmasını önleyebilmek için tüm mail sistemini kapatmak zorunda kalmıştır.
E-mail’le kendisini yayma yöntemini kullanan virüsler arasında bugüne kadar en büyük başarıya ulaşan virüstür.
W97M/Melissa virüsünü içeren ilk e-mail bir haber öbeğine
gönderildiğinde iletiyi alan kullanıcıların, içinde bulunan dokümanı (LIST.DOC) Microsoft Word ile açmasıyla, içinde bulunan macro çalışır ve her kullanıcının adres defterinde bulunan 50 kullanıcıya kendisini postalar. Böylece Melissa’nın süratli yolculuğu başlamış olur.
Virüsü içeren e-mail şu şekilde iletilmektedir:
From: (virüsün bulaştığı kişi)
Subject: Important Message From (virüsün bulaştığı kişi)
To: (virüsün bulaştığı kişinin adres defterinden 50 kişinin ismi)
Here is that document you asked for ... don't show anyone else
Attachment: LIST.DOC
Dikkat edilmesi gereken bir nokta, e-mail içine iliştirilmiş dokümanın ille de “LIST.DOC” olması gerekmez.
Çoğu Internet kullanıcısı tanıdığı kişilerden gelen e-mail’lerin ekindeki dosyaları açma eğilimindedirler. Melissa virüsünün başarısı da bu eğiliminden kaynaklanmaktadır.
Kendini 50 kullanıcıya gönderdikten sonra virüs, bulaştığı makinada bulunan diğer dokümanlara da bulaşmaya devam eder. Bu dokümanlar da çalıştırıldıklarında macro etkin olacağından kullanıcının önemli dokümanlarının da dışarıya gönderilmesi gibi bir tehlike de söz konusudur.
W97M/Melissa virüsü, Microsoft Word 97, Microsoft Word 2000 ve Microsoft Outlook 97 veya 98 e-mail istemcileri ile çalışır. Virüsün size bulaşması için ille de Outlook kullanıyor olmanız gerekmez, fakat virüs sizin bilgisayarınızdan dışarıya kendisini daha fazla yaymak için Outlook istemcisine ihtiyaç duyar.
Melissa virüsü, Word 95 ve Outlook Express programlarını kullanarak bulaşamaz.
Melissa’nın etkileyebildiği işletim sistemleri Windows 95, 98, NT ve Macintosh OS’tur.
Bilgisayarınızda Outlook yoksa ya da Internet bağlantınız yoksa bile virüs kendisini makinadaki diğer dokümanlara bulaşarak yayılmasını yerel olarak devam ettirecektir.
Office programının kullandığı “Normal.dot” isimli şablonun Melissa ve diğer macro virüslerinden etkilenmesini engellemek için Microsoft’un ürettiği ücretsiz koruma programını: http://officeupdate.microsoft.com/downloadDetails/protection.htm adresinden edinebilirsiniz.
Macro virüslerinden sakınmanın bir yolu da, Microsoft Word ve Microsoft Excel programlarında macro virüs korumasını açık tutmaktır. Bu koruma macro içeren dökümanları açarken aşağıdaki şekilde bir diyalog kutusu çıkarır. Eğer içerisinde ne olduğunu bilmediğiniz dökümanları açarken bu diyalo kutusu ile karşılaşırsanız, "Do not open" seçerek macronun çalışmasını ve virüsün etkin hale gelmesini önleyebilirsiniz.
9- İZMARİT VİRÜSÜ
Bugünlerde internette hangi sieye girseniz virüs kapıyorsunuz. Ama antivirüs yazılımları şirketi Symantec'in açıklamalarına göre Babylonia adı verilen virüs, daha öncekilere hiç benzemiyor. Çünkü Babylonia'nın en büyük özeliği, bir bilgisayara "izmarit" adı verilen kısmı girdikten sonra "evini" arıyor ve geri kalan parçaları bilgisayara yüklüyor.
"İzmarit", 2000 yılı probelemini gidermek için kullanılan bir tamirat programı olarak gözüküyor. Bilgisayara sinsice giren "izmarit", internete bağlanılınca kendiliğinden -evi olan -Japonya'daki bir siteyi arayıp, kardeşlerini yanına çağırıyor.
Şu ana kadar bu virüsün bulaştığı bildirilen bilgisayarların sayısı oldukça az. Bunun da sebebi, exlore.zip gibi e-posta yoluyla bulaşmaması. Bu virüsün dosyaları silmeye ya da kopyalamaya kalkışmadığı açıklandı. Ama virüsün tüm özellikleri henüz tespit edilemedi.
Virüs, özellikle IRC odalarında kurbanlarına ulaşıyor.
10- KRİZ VİRÜSÜ
Kriz, bilgisayarın belleğine yerleşen çok safhalı bir virüstür. Win32 sistemleri altında çoğalır ve .EXE ve .SCR uzantılı PE EXE dosyalarına (taşınabilir çalıştırılabilirler) bulaşır. Ayrıca KERNEL32.DLL (Virüsün daima bellekte yerleşik kalmasını sağlayan Windows çekirdek kütüphanesi.) dosyasına da bulaşır.
Virüs bir dosyaya bulaşacağı zaman dosyanın sonunda yeni bir bölüm açar ve kodunu şifreleyip oraya yazar.
Bulaşmış bir dosyayı belirlemek için virüs PE dosyasının başlığında ayrı bir bölgeye yazılmış ‘666’ dizinini kullanır. Bulaşmadan önce, virüs, dosya isimlerini kontrol ederek aşağıdaki isimli dosyalara bulaşmaz:
AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE,
AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE,
NAVRUNR.EXE, NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE,
NSPLUGIN.EXE, SCAN.EXE, SMSS.EXE
KERNEL32.DLL’e bulaşırken kendi Export Table’ını (export edilen fonksiyon listesi) yamar ve birçok fonksiyonun adreslerini değiştirerek bir sonraki Windows başlangıcında bu fonksiyonlara erişimi kontrol altına alır.
Böylelikle virüs dosya erişimlerini takip eder ve bu fonksiyonların çağrıları yoluyla ulaşılan dosyalara bulaşma imkanı bulur.
Virüs 16 KERNEL32 fonksiyonunu izleyebilir: dosya açma, kopyalama, silme, dosya özelliklerini sorgulama ve değiştirme, yeni bir işlem oluşturma ve diğerleri...
KERNEL32.DLL kütüphanesine bulaşmak için (bu kütüphaneye Windows açıkken salt-okunur modda ulaşılabilir) virüs dosyayı geçici bir isimde kopyalar (bu versiyonu KRIZED.TT6 olarak WindowsSystem klasörüne kopyalar) ve bulaşır. Sonra wininit.ini dosyası oluşturarak Windows'un bir sonraki başlangıçta KERNEL32.DLL dosyasını bulaşmış kopyasıyla değiştirmesine neden olur.
Virüs 25 Aralıkta aktifleşen tehlikeli bir yapıya sahiptir. Herhangi bir dosyaya bulaşırken CMOS belleğini öldürür ve sabit disklerdeki bütün dosyaların üzerine yazar. Daha sonra Flash BIOS’u CIH’ın (Diğer adıyla Chernobyl ) kullandığı yöntemle hasara uğratır. Virüs bir çok metin yazısı içerir, ekrana hiç getirilmeyen bir şiir de bunlara dahil.
11- CLASS VİRÜSÜ
* Nedir? Word 97 dökümanlarına bulaşır (ayrıca Normal. dot). Virüs kodu 2 makrodan oluşmakta. Bu makrolar, bulaştığı dokümanın "ThisDocument" modülünde bulunur. Makrolarının isimleri ise :
"AutoOpen" ve
"ViewVBCode".
Normal. dot'da bu isimler "AutoClose" ve "ToolsMacro" şeklinde de olabilir.
* Diğer İsimleri? W97M/Class, Word97. Class.
* Nasıl Bulaşıyor? Virüs, C sücüsünün root'unda CLASS. SYS isimli bir dosya yaratır. Makrolar bu dosyada yer almaktadır ve başka bir dosyaya bulaşacağı zaman makroları buradan alır. Virüs kodu her bulaştığı zaman farklıdır; çünkü o an ki tarih, saat, kullanıcı adı, kullanılan yazıcı gibi bilgileri de içerir.
* Etkileri Neler? Her ayın 31'inde şu mesajı görüntüler :
This Is Class
o-o-o-o-o-o-o-o-o-o-o-o-o-o
o VicodinES /CB /TNN o
o o-o-o-o-o-o-o-o-o-o-o-o-o
* Ne Zaman Ortaya Çıktı? 1998 Aralık'ı.
* Varyantları neler? Class D ve Class B olmak üzere 2 varyantı söz konusudur. Class D, Haziran'dan Aralık'a her ayın 14'ünde şu mesajı verir :
I Think XXXXXX is a big stupid jerk!
VicodinES Loves You / Class. Poppy
Buradaki xxxxxx kısmına tahmin edeceğiniz gibi kullanıcının adı yazılır! Ayrıca Windows User (kullanıcı) adını rastgele olarak "Dr. Diet Mountain Dew"e çevirir.
Class B de tıpkı D gibidir; ancak isim değiştirme olayını yapmaz.
12- ETHAN FROME VİRÜSÜ
* Nedir? Word 97 dökümanlarına ve W97'nin "Normal. dot" dosyasına bulaşır. "Document_Close" isimli tek bir makrodan oluşur. Virüslü dosyanın "ThisDocument" modülündedir. Diğer İsimleri?
* Nasıl Bulaşıyor? Root dizinde ETHAN. ___ isimli bir dosya yaratır. Dosya gizli (hidden) modda yaratılır. Eğer "Class. sys" dosyası varsa siler. Kısacası CLASS virüsüne oldukça benzer ve eğer o varsa çalışmasını engeller.
* Etkileri Neler? Virüs rastgele bir kontur çalıştırır ve belirlediği zaman, bulaştığı dosyanın adını "Ethan
Frome", yazarını da "EW/LN/CB" olarak değiştirir.
* Ne Zaman Ortaya Çıktı? Ocak 1999'da çıktı.
13- HAPPY99 VİRÜSÜs
Nedir? Win32 tabanlı bir Truva'dır. Çalıştırıldığı zaman küçük sayılabilecek bir ekran içerisinde havai fişek efekti gösterir. Tarz olarak Netbus ve BO'ya benzese de amacı onlardan farklıdır.
Diğer İsimleri? win32. ska. a, ska, wsock32. ska ve ska. exe.
Nasıl Bulaşıyor? Happy99 isimli (başka bir isim altında da olabilir) programı çalıştırdığınız an aktif olur ve "SKA. EXE" ve "SKA. DLL" isimli iki dosya yaratır. Orjinal WSOCK32. DLL dosyanızı WSOCK32. SKA adı altında kaydeder ve gerçek WSOCK32. DLL yerine modife edilmiş dosyayı geçirir. Eğer o an Wsock32. dll kullanılıyorsa bu değişiklikleri yapamaz; ama Windows Registry'sine girerek bilgisayar ilk boot edilkten sonra bunların yapılmasını sağlar. Uzunulupu 10. 000 byte'dır.
Etkileri Neler? Happy99 aktif olduktan sonra kullanıcının e-mail ve newsgroup işlemlerini izleyerek onlara SKA. EXE dosyasının bir kopyasını HAPPY99 adı altında gönderir. Her bir adrese sadece bir kere gönderir. Atılan ilk mail'in subject'ini kullanarak ayrı bir mail atar, yani kullanıcının attığı mail'le göndermez Happy99'u. LISTE. SKA adlı dosyada kimlere atıldığı tutulur. Herhangi bir zararı yoktur, sadece yayılır.