Embed Size (px)
DESCRIPTION
ODTÜ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI Bilişim Teknolojileri Güvenliği Ekibi Kullanıcı Destek Grubu. VİRÜSLER. İçindekiler:. Virüs tanımı Tarihe ve günümüze genel bir bakış Bulaşma şekilleri ve etkileri Internet solucanı (worm) ve truva atı (trojan) V irüs çeşitleri - PowerPoint PPT Presentation
Citation preview
ODTÜ-BİDBODTÜ-BİDB19641964
1
VİRÜSLERVİRÜSLERVİRÜSLERVİRÜSLER
ODTÜ ODTÜ BİLGİ İŞLEM DAİRESİBİLGİ İŞLEM DAİRESİ BAŞKANLIĞI BAŞKANLIĞI
Bilişim Teknolojileri Güvenliği EkibiBilişim Teknolojileri Güvenliği EkibiKullanıcı Destek GrubuKullanıcı Destek Grubu
ODTÜ-BİDBODTÜ-BİDB19641964
2
İçindekiler:
Virüs tanımıVirüs tanımı Tarihe ve günümüze genel bir bakışTarihe ve günümüze genel bir bakış Bulaşma şekilleri ve etkileriBulaşma şekilleri ve etkileri Internet solucanı (worm) ve truva atı (trojan)Internet solucanı (worm) ve truva atı (trojan) VVirüs çeşitleriirüs çeşitleri Windows Registry’de değişiklik yaptıkları yerlerWindows Registry’de değişiklik yaptıkları yerler Virüslerden korunmaVirüslerden korunma Antivirüs progrAntivirüs prograamlarımları
ODTÜ-BİDBODTÜ-BİDB19641964
3
Virüs Nedir?
BBiillgigissaayyaarrıınnıızzın,ın, sizin isteğiniz ve bilginiz sizin isteğiniz ve bilginiz dışında zararlı bir işlem yapmasını sağlayan dışında zararlı bir işlem yapmasını sağlayan program program parçacığıdır.parçacığıdır.
ODTÜ-BİDBODTÜ-BİDB19641964
4
Biraz Tarihçe
İlk virüs, bir firmanın yaptığı programın İlk virüs, bir firmanın yaptığı programın disketle çoğaltılması sırasında telif disketle çoğaltılması sırasında telif haklarının değiştirilmesini sağlıyordu. haklarının değiştirilmesini sağlıyordu. (1986 - Brain)(1986 - Brain)
1998 Chernobyl (CIH)1998 Chernobyl (CIH) 1999 Meli1999 Melisssasa 2000 2000 NavidadNavidad 2001 Nimda/Sircam/CodeRed2001 Nimda/Sircam/CodeRed
ODTÜ-BİDBODTÜ-BİDB19641964
5
Günümüzde Virüsler
70.000 tane virüs var (Ocak 2002).70.000 tane virüs var (Ocak 2002). Çeşitler arasında en büyük oran macro Çeşitler arasında en büyük oran macro
(26.1%) ve truva atı (trojan - 26.1% ) (26.1%) ve truva atı (trojan - 26.1% ) virüslerinde.virüslerinde.
En çok bulaşma oranı sistem tarafından En çok bulaşma oranı sistem tarafından çalıştırılabilir virüslerde (79%).çalıştırılabilir virüslerde (79%).
Her ay bulunan virüs sayısı sürekli artıyor.Her ay bulunan virüs sayısı sürekli artıyor.
ODTÜ-BİDBODTÜ-BİDB19641964
6
Tehlikeli Virüsler
Üretilen her virüs tehlikeli olamazÜretilen her virüs tehlikeli olamaz Wild list : Wild list : http://www.wildlist.orghttp://www.wildlist.org Virüsle ilgili en az iki rapor gelene kadar Virüsle ilgili en az iki rapor gelene kadar
Wildlist’e alınmaz Wildlist’e alınmaz Tek raporda gözlem listesine alınır.Tek raporda gözlem listesine alınır.
ODTÜ-BİDBODTÜ-BİDB19641964
7
Disket, CD Disket, CD E-posta E-posta Ağ paylaşımıAğ paylaşımı Internet’ten indirilen programlar Internet’ten indirilen programlar
yoluylayoluyla
Disket, CD Disket, CD E-posta E-posta Ağ paylaşımıAğ paylaşımı Internet’ten indirilen programlar Internet’ten indirilen programlar
yoluylayoluyla
Virüslerin Bulaşma Virüslerin Bulaşma Yöntemleri:Yöntemleri:
ODTÜ-BİDBODTÜ-BİDB19641964
8
Virüslerin Etkileri:
Gereksiz mesajlar görüntüleyebilir Gereksiz mesajlar görüntüleyebilir (W97M/Jerk)(W97M/Jerk)
İşletim sistemi zarar görebilir İşletim sistemi zarar görebilir Diskte kayıtlı bilgiler silinebilir (Navidad)Diskte kayıtlı bilgiler silinebilir (Navidad) Diskteki bilgiye erişim engellenebilirDiskteki bilgiye erişim engellenebilir Flash – BIOS silinebilir (CIH)Flash – BIOS silinebilir (CIH) Kontrol dışı e-posta gönderebilir (Sircam)Kontrol dışı e-posta gönderebilir (Sircam) Gereksiz ağ trafiği yaratabilir (Nimda)Gereksiz ağ trafiği yaratabilir (Nimda)
ODTÜ-BİDBODTÜ-BİDB19641964
9
E-posta ile Bulaşmaları
Eklentileri sayesinde e-posta ile virüs Eklentileri sayesinde e-posta ile virüs bulaşır:bulaşır: Eklentideki dosyayı çalıştırarakEklentideki dosyayı çalıştırarak Dosya kendi kendine e-posta görüntüleyici Dosya kendi kendine e-posta görüntüleyici
tarafından çalıştırılabilir (Outlook / Outlook tarafından çalıştırılabilir (Outlook / Outlook Express – Bubbleboy)Express – Bubbleboy)
ODTÜ-BİDBODTÜ-BİDB19641964
10
WWW’den Bulaşmaları
Internet’ten indirilen virüslü bir program Internet’ten indirilen virüslü bir program aracılığı ile bulaşabilir.aracılığı ile bulaşabilir.
Ziyaret edilen www sitesinin Ziyaret edilen www sitesinin görüntülenmesi ile de bulaşabilir;görüntülenmesi ile de bulaşabilir;
JS/CoolSite-AJS/CoolSite-A ActiveX ActiveX JS/Coolnow-AJS/Coolnow-A Java Script Java Script
ODTÜ-BİDBODTÜ-BİDB19641964
11
Diğer yolların yanında işletim Diğer yolların yanında işletim sistemlerinin ve çalışan servislerin sistemlerinin ve çalışan servislerin güvenlik açıklarını kullanarak güvenlik açıklarını kullanarak “kendiliğinden” bulaşan program “kendiliğinden” bulaşan program parçacığıparçacığıddır. ( CodeRed, Nimda)ır. ( CodeRed, Nimda)
Diğer yolların yanında işletim Diğer yolların yanında işletim sistemlerinin ve çalışan servislerin sistemlerinin ve çalışan servislerin güvenlik açıklarını kullanarak güvenlik açıklarını kullanarak “kendiliğinden” bulaşan program “kendiliğinden” bulaşan program parçacığıparçacığıddır. ( CodeRed, Nimda)ır. ( CodeRed, Nimda)
Internet SolucanlarıInternet Solucanları (Worm) (Worm)
ODTÜ-BİDBODTÜ-BİDB19641964
12
Sonuçları:
Web sunucu program zarar görebilirWeb sunucu program zarar görebilir Diskte kayıtlı bilgiler silinebilirDiskte kayıtlı bilgiler silinebilir Web sayfası içeriğini değiştirebilirWeb sayfası içeriğini değiştirebilir Gereksiz ağ trafiği yaratabilirGereksiz ağ trafiği yaratabilir
e-mail, tftp, port taramae-mail, tftp, port tarama Backdoor / Trojan yerleştirebilir Backdoor / Trojan yerleştirebilir
ODTÜ-BİDBODTÜ-BİDB19641964
13
Melissa worm : 1998 yılında Melissa worm : 1998 yılında milyonlarca bilgisayarı etkiledi.milyonlarca bilgisayarı etkiledi.
Nimda worm : 2001 Ekim ayında Nimda worm : 2001 Ekim ayında milyarlarca dolarlık zarara neden milyarlarca dolarlık zarara neden oldu.oldu.
Melissa worm : 1998 yılında Melissa worm : 1998 yılında milyonlarca bilgisayarı etkiledi.milyonlarca bilgisayarı etkiledi.
Nimda worm : 2001 Ekim ayında Nimda worm : 2001 Ekim ayında milyarlarca dolarlık zarara neden milyarlarca dolarlık zarara neden oldu.oldu.
Internet Solucanları (Worm)Internet Solucanları (Worm)
ODTÜ-BİDBODTÜ-BİDB19641964
14
1990 - 2001
Num
ber
of K
now
n T
hrea
ts
Polymorphic viruses(Tequila)
Zombies
Mass Mailer viruses(Love Letter/Melissa)
Denial-of-Service(Yahoo!, eBay)
Blended Threats (CodeRed, Nimda)
Viruses
Network Intrusions
60,000
Source: Symantec Inc.
ODTÜ-BİDBODTÜ-BİDB19641964
15
Örnek İnceleme: W32/Nimda@MM
2001 Ekim2001 Ekim’inde ortaya çıktı. ’inde ortaya çıktı. IIS web sunucusu için 2001 Ağustos’unda IIS web sunucusu için 2001 Ağustos’unda
bulunan bir açıktan yararlanarak bulaşır.bulunan bir açıktan yararlanarak bulaşır. OE’in açığından yararlanarak e-posta eklentisinin OE’in açığından yararlanarak e-posta eklentisinin
isteminiz dışı çalışması ile bulaşır.isteminiz dışı çalışması ile bulaşır. IE’ın virüslü www sayfasından readme.eml IE’ın virüslü www sayfasından readme.eml
dosyasını indirimesi ve çalıştırması ile bulaşır.dosyasını indirimesi ve çalıştırması ile bulaşır.
ODTÜ-BİDBODTÜ-BİDB19641964
16
Kendi kendine yayılmayan, arka Kendi kendine yayılmayan, arka planda çalışan program parçacıkları, planda çalışan program parçacıkları, e-posta ile gelen eklentiler ya da ICQ e-posta ile gelen eklentiler ya da ICQ vb. vb. pprogramlar yoluyla, çalıştırılabilir rogramlar yoluyla, çalıştırılabilir dosya alışverişi ile bulaşırlar.(Back dosya alışverişi ile bulaşırlar.(Back Orifice, Sub Seven).Orifice, Sub Seven).
Kendi kendine yayılmayan, arka Kendi kendine yayılmayan, arka planda çalışan program parçacıkları, planda çalışan program parçacıkları, e-posta ile gelen eklentiler ya da ICQ e-posta ile gelen eklentiler ya da ICQ vb. vb. pprogramlar yoluyla, çalıştırılabilir rogramlar yoluyla, çalıştırılabilir dosya alışverişi ile bulaşırlar.(Back dosya alışverişi ile bulaşırlar.(Back Orifice, Sub Seven).Orifice, Sub Seven).
Truva Atları Truva Atları (Trojan)(Trojan)
ODTÜ-BİDBODTÜ-BİDB19641964
17
Virüs Çeşitleri: Access 97 macro virAccess 97 macro viruuss
AppleScript WormAppleScript WormBatch file wormBatch file wormBIOSBIOSChain letterChain letterCMOS settingsCMOS settingsCompanion virCompanion viruussCorel Script virCorel Script viruussDOS Boot Sector virDOS Boot Sector viruussDOS executable file virDOS executable file viruussDropperDropperExcel formulaExcel formula/macro/macro vir viruussFalse alarmFalse alarmJavaScript virJavaScript viruuss/worm/wormJokeJoke//JunkJunkMacintosh file virMacintosh file viruuss/worm/wormMacromedia Flash infectorMacromedia Flash infectorMaster Boot Sector virMaster Boot Sector viruus s
Mid infectingMid infectingmIRC or pIRCH script wormmIRC or pIRCH script wormOffice 97 macro virOffice 97 macro viruussMisunderstandingMisunderstandingPalmOS based executable virPalmOS based executable viruussPowerPoint 97 macro virPowerPoint 97 macro viruussScareScareTest fileTest fileTrojanTrojanvirviruus hoaxs hoaxVisual Basic Script virVisual Basic Script viruuss/worm/wormWin32 executable file Win32 executable file virviruuss/worm/wormWindows 9Windows 9x/ME x/ME executable file executable file virviruussWindows NTWindows NT/2000/2000 executable executable file virfile viruussWord Word 97/2000 97/2000 macro macro virviruuss/worm/worm
Kaynak: Sophos Antivirus
ODTÜ-BİDBODTÜ-BİDB19641964
18
BIOS & CMOS Setting Virus
Bilgisayarın açılmasını veya açılış Bilgisayarın açılmasını veya açılış ünitesinin (disket, CD, HDD) sırası gibi ünitesinin (disket, CD, HDD) sırası gibi BIOS ayarlarını etkileyen virüslerdir.BIOS ayarlarını etkileyen virüslerdir.
Troj/KillCMOS, W95/CIH-10xx.Troj/KillCMOS, W95/CIH-10xx.
ODTÜ-BİDBODTÜ-BİDB19641964
19
Windows İşletim Sistemine Yönelik Virüsler
Tüm Windows işletim sistemlerine yönelik Tüm Windows işletim sistemlerine yönelik (Win32)(Win32)
Win9x sistemlerine yönelik (W95 / W98)Win9x sistemlerine yönelik (W95 / W98) Win2000/NT sistemlerine yönelik Win2000/NT sistemlerine yönelik
(W2k/WNT)(W2k/WNT)
ODTÜ-BİDBODTÜ-BİDB19641964
20
Win32 Virus & Worm
Windows işletim sistemlerinde çalıştırılır Windows işletim sistemlerinde çalıştırılır programlardır. programlardır.
Kullanılan programın açıklarından Kullanılan programın açıklarından yararlanır. (Web sunucu veya tarayıcı)yararlanır. (Web sunucu veya tarayıcı)
W32/Magister, W32/NimdaW32/Magister, W32/Nimda
ODTÜ-BİDBODTÜ-BİDB19641964
21
WinNT/2k Virüs
Windows NT/2000 işletim sistemlerinin ya Windows NT/2000 işletim sistemlerinin ya da kullanılan diğer programların güvenlik da kullanılan diğer programların güvenlik açıklarından yararlanarak bulaşır.açıklarından yararlanarak bulaşır.
Bilinen virüs sorunlarını yaratır.Bilinen virüs sorunlarını yaratır. Dosya sisteminin özelliklerine bağımlıdır.Dosya sisteminin özelliklerine bağımlıdır. W2K/Stream, WNT/RemExpW2K/Stream, WNT/RemExp
ODTÜ-BİDBODTÜ-BİDB19641964
22
Macro Virus
Macro programlarıdır.Macro programlarıdır. Microsoft Office uygulamalarında Microsoft Office uygulamalarında
kullanılan belgelerin içerisine gömülür.kullanılan belgelerin içerisine gömülür. Program veya komut çalıştırma yetkisi Program veya komut çalıştırma yetkisi
olduğundan bilinen virüs etkilerine sahiptir.olduğundan bilinen virüs etkilerine sahiptir. Wm, w97m, pp97m, xm97m.Wm, w97m, pp97m, xm97m. Wm/Nuclear.Wm/Nuclear.
ODTÜ-BİDBODTÜ-BİDB19641964
23
Yeni Internet Araçlarında Virüsler
Cep telefonu, Palm, PDA (Personal Digital Cep telefonu, Palm, PDA (Personal Digital Assistant)Assistant)
VBS/TimoVBS/Timo,, Palm/LPalm/Liibertyberty Gelecekteki korunma yöntemleri:Gelecekteki korunma yöntemleri:
Virus tarama programlarıVirus tarama programları
ODTÜ-BİDBODTÜ-BİDB19641964
24
Virüsler Nereye Ne Yazar? İlk açılışta çalışmak için genelde Windows İlk açılışta çalışmak için genelde Windows
Registry (kayıt) ayarlarıyla oynarlar:Registry (kayıt) ayarlarıyla oynarlar:
Uyarı: Registry ayarlarına gerekmedikçe Uyarı: Registry ayarlarına gerekmedikçe müdahele etmeyiniz!müdahele etmeyiniz!
ODTÜ-BİDBODTÜ-BİDB19641964
25
Virüsler Nereye Ne Yazar?
HHKEY_LOCAL_MACHINE\ Software\ Microsoft\KEY_LOCAL_MACHINE\ Software\ Microsoft\Windows\ CurrentVersion\Windows\ CurrentVersion\ RunServicesRunServices RunServicesOncRunServicesOncee RunRun RunOnce RunOnce
HHKEY_CURRENT_USER\ Software\ Microsoft\ KEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Windows\ CurrentVersion\ RunRun RunOnceRunOnce RunServicesRunServices
ODTÜ-BİDBODTÜ-BİDB19641964
26
Shell Spawning HKEY_CLASSES_ROOT\HKEY_CLASSES_ROOT\
exefile\shell\open\command @="\"%1\" %*“exefile\shell\open\command @="\"%1\" %*“ comfile\shell\open\command @="\"%1\" %*“ comfile\shell\open\command @="\"%1\" %*“ batfile\shell\open\command @="\"%1\" %*“batfile\shell\open\command @="\"%1\" %*“ htafile\Shell\Open\Command @="\"%1\" %*“htafile\Shell\Open\Command @="\"%1\" %*“ piffile\shell\open\command @="\"%1\" %*“piffile\shell\open\command @="\"%1\" %*“
[HKEY_LOCAL_MACHINE\Software\CLASSES\ [HKEY_LOCAL_MACHINE\Software\CLASSES\ exefile\shell\open\command @="\"%1\" %*“exefile\shell\open\command @="\"%1\" %*“ comfile\shell\open\command @="\"%1\" %*“ comfile\shell\open\command @="\"%1\" %*“ batfile\shell\open\command @="\"%1\" %*“batfile\shell\open\command @="\"%1\" %*“ htafile\Shell\Open\Command @="\"%1\" %*“htafile\Shell\Open\Command @="\"%1\" %*“ piffile\shell\open\command @="\"%1\" %*“piffile\shell\open\command @="\"%1\" %*“
Olması gereken değerOlması gereken değer "%1 %*""%1 %*", , ama değer ama değer ““virusvirus.exe %1 %*“.exe %1 %*“ olarak değiştirlirse olarak değiştirlirse exe/pif/com/bat/hta exe/pif/com/bat/hta her çalıştırıldığında virus.exe her çalıştırıldığında virus.exe çalışır.çalışır.
ODTÜ-BİDBODTÜ-BİDB19641964
27
Virüslerden Korunma Antivirüs programı kurun ve güncel tutun.Antivirüs programı kurun ve güncel tutun. İşletim sisteminizi güncel tutun:İşletim sisteminizi güncel tutun:
http://windowsupdate.microsoft.comhttp://windowsupdate.microsoft.com MS Outlook veya Outlook Express yerine MS Outlook veya Outlook Express yerine
Netscape Messenger, Webmail, Pine.Netscape Messenger, Webmail, Pine. Gerekmedikçe dosya paylaştırmayın. Gerekmedikçe dosya paylaştırmayın.
Paylaştırmanız şart ise “salt okunur” Paylaştırmanız şart ise “salt okunur” paylaşım kullanın.paylaşım kullanın.
Sunucu (server) nitelikli işletim sistemleri Sunucu (server) nitelikli işletim sistemleri kurmayın.kurmayın.
ODTÜ-BİDBODTÜ-BİDB19641964
28
Virüslerden Korunma
Web sunucusu olarak yaması yapılmamış Web sunucusu olarak yaması yapılmamış IIS kullanmayın.IIS kullanmayın.
Microsoft Security Bulletin takibini yapın: Microsoft Security Bulletin takibini yapın: http://www.microsoft.com/securityhttp://www.microsoft.com/security
Boot işleminin kesinlikle sabit diskten Boot işleminin kesinlikle sabit diskten olmasına özen gösterin.olmasına özen gösterin.
Çok önemli bilgilerinizin yedeğini alın.Çok önemli bilgilerinizin yedeğini alın.
ODTÜ-BİDBODTÜ-BİDB19641964
29
Virüslerden Korunma
Dosyalarınızı macro çalışmasına izin Dosyalarınızı macro çalışmasına izin vermeyecek şekilde kaydedin. *.docvermeyecek şekilde kaydedin. *.doc*.rtf *.rtf *.xls *.xls *.csv *.csv
Alternatif Office programları kullanın Alternatif Office programları kullanın (StarOffice): (StarOffice): ftp://ftp.metu.edu.tr/pub/mirrors/staroffice/ftp://ftp.metu.edu.tr/pub/mirrors/staroffice/
Çalıştırılabilir dosyaları sadece e-postayı Çalıştırılabilir dosyaları sadece e-postayı gönderen kişinin gönderdiğinden emin gönderen kişinin gönderdiğinden emin olduğunuz durumlarda çalıştırın.olduğunuz durumlarda çalıştırın.
ODTÜ-BİDBODTÜ-BİDB19641964
30
Online virüs tarayıcıları:Online virüs tarayıcıları:
http/www.symantec.com/avcenter http/www.symantec.com/avcenter Check Check for Security Risk for Security Risk Scan for virüs Scan for virüs
http://www.mcafee.com http://www.mcafee.com VirüsScan VirüsScan OnlineOnline
Online virüs tarayıcıları:Online virüs tarayıcıları:
http/www.symantec.com/avcenter http/www.symantec.com/avcenter Check Check for Security Risk for Security Risk Scan for virüs Scan for virüs
http://www.mcafee.com http://www.mcafee.com VirüsScan VirüsScan OnlineOnline
Virüslerin Tespiti
ODTÜ-BİDBODTÜ-BİDB19641964
31
Scanners:Scanners: Virüsleri izlerine göre Virüsleri izlerine göre arayıp bulurlar ve sonra da imha arayıp bulurlar ve sonra da imha ederler.ederler.
Checksummers:Checksummers: Dosyalardaki boyut Dosyalardaki boyut değişikliklerinin farkına varıp virüs değişikliklerinin farkına varıp virüs olarak algılarlar.olarak algılarlar.
Heuristics:Heuristics: Virüslerin karakteristik Virüslerin karakteristik yapısı bu programlarda genel yapısı bu programlarda genel hatlarıyla tanımlanır.hatlarıyla tanımlanır.
Scanners:Scanners: Virüsleri izlerine göre Virüsleri izlerine göre arayıp bulurlar ve sonra da imha arayıp bulurlar ve sonra da imha ederler.ederler.
Checksummers:Checksummers: Dosyalardaki boyut Dosyalardaki boyut değişikliklerinin farkına varıp virüs değişikliklerinin farkına varıp virüs olarak algılarlar.olarak algılarlar.
Heuristics:Heuristics: Virüslerin karakteristik Virüslerin karakteristik yapısı bu programlarda genel yapısı bu programlarda genel hatlarıyla tanımlanır.hatlarıyla tanımlanır.
Antivirüs Programları
ODTÜ-BİDBODTÜ-BİDB19641964
32
Antivirüs Programları
Virüs örüntüsü (virus pattern) virüsü Virüs örüntüsü (virus pattern) virüsü tanımlayan kısa binary koddur.tanımlayan kısa binary koddur.
Antivirüs programları tüm dosyalarınızda Antivirüs programları tüm dosyalarınızda tarayıcısı yardımıyla virüs örüntüsünü arar.tarayıcısı yardımıyla virüs örüntüsünü arar.
Virüsü bulduğunda; Virüsü bulduğunda; Karşılaşılan durum için veritabanında Karşılaşılan durum için veritabanında
tanımlanmış olan işlemleri yapar.tanımlanmış olan işlemleri yapar.
