Çevrimdışı

Virüs) Bilgi otoyolu olarak adlandırdığımız Internet ortamında, geçen her zaman zarfında bilgiler bir sistemden başka bir sisteme akıp gitmektedir. Buna paralel olarak bu otoyolda ilerleyen bilgilerin meraklılarıda gitgide artmaktadır. Hal böyle olunca zaman zaman bu otoyol tıkanmaktadır.
Öyle ki, bazen bu bilgilerin bize gerçekten arkadaşımız tarafından gönderilip gönderilmediğini anlayamayabiliriz. Bu bilgi karmaşasında insanların sistemlerine etki etmeyi çok seven küçük afacanları hiç bir zaman göz ardı etmemek gerekir. Bu küçük afacanlardan kastımız ınternet Kurtları, diğer bir adıyla Internet Solucanları.
Bu küçük afacanlar kendisinden istenen işlemleri, yapısında belirtilen koşullarla karşılaştığında birer birer gerçekleştirir. Her bir solucan, kendisini yazanın düşüncesini yansıtır. Kimi solucan ziyaret ettiği sistemdeki şifreleri, kredi kart numaralarını yapımcısının posta adresine gönderir, kimi ise ınterneti olabildiğince yavaşlatmayı çalışır. Bilgisayar dünyasında, son zamanlarda dosyalara bulaşan virüslerden ziyade Internet Solucanları popülaritesini arttırmıştır. Solucanların virüslerden farkı, kendilerini çoğaltarak sisteme yaymalarıdır. Solucanların en etkilileri genellikle yazılım zaaflarından yararlanarak yayılanlarıdır ki solucanların bu türleri çok kişiyi zor durumda bırakır(CodeRed, Nimda, LovSan/MSBlast).
Günden güne dosya paylaşım(P2P) araçlarının(Gnutella, eDonkey, Kazaa…) kullanımının artması solucan yazarlarının ilgisinin bu yöne artmasına neden olmuştur. Örneğin; Backdoor.k0wbot adıyla bilinen bir solucan Kazaa platformunu hedef alır. Solucan, saldırgana kullanıcıyla aynı hak ve öncelikleri veren Trojan' ı PC'ye yüklenmesini sağlar. Bu tür araçları kullanarak yayılan solucanlara ilişkin haberleri çeşitli Antivirüs ve güvenlik sitelerinden duymaktayız. Buna ilaveten IRC(Internet Relay Chat) ortamlarında bulunan kullanıcıları tehdit eden solucanlarında yayılma oranıda artmıştır. Zira IRC solucanlarının çoğu IRC yazılımlarının kendi bünyesinde bulunan dosyalarına komut ekleyerek(script.ini) yayılmakta idi (geçerliliğini korumaktadır fakat IRC yazılımlarının kendini geliştirmesi ve özellikle antivirus yazılımları kolaylıkla bu tür yayılan solucanları tespit edebilmektedir). Solucan türlerinden bazıları yukarıda saydığımız yayılma olasılıklarının tümünü bünyesinde barındırmaktadır yani dosya paylaşım araçlarını kullanan, maille yayılan, IRC ortamını da kullanan solucan türleride bulunmaktadır. Amaç, bir sistemi etkiledikten sonra bu etkilediği sistem vasıtasıyla diğer sistemlerede kendisini kopyalamak. Böylece ağınızdaki bir sisteme entegre olan solucan, kendisini ağınızdaki diğer sistemlere kopyalamaya çalışır.
Nimda, kendisini yaymak için kullandığı taktiklerden bir tanesi Microsoft IIS hizmetini kullanan sunucuları bulup, bünyesinde barındırdığı IIS açığını kullanarak sistemi etkiler.
Bu örnekte olduğu gibi yazılım açıkları yayınlandıktan sonra bu açıkları kullanan solucanın sistemleri etkilemesi an meselesidir(Son örneklerden biri MSBlast). Sonucunda tüm bunlardan etkilenen yine kullanıcılar olmaktadır. Kullanıcılar, kendisine gelen bir maili açtıklarında dahi solucanlar bu kullanıcıyı etkilemektedir. Kullanıcının tek suçu güvendiği kimseden geldiğini sandığı maili açmasıdır.
An gelir ki kendisine bir solucanın etki ettiğini bile anlayamadan olanlar olur. Solucan içerikli bir mailin okunması bile ağdaki diğer makinelerin güvenliğini tehlikeye düşürmektedir.
Maille yayılma yöntemlerinden biri ve en popüler olanı Outlook adres defterinde yer alan kullanıcıların bir kısmına yada tamamına e-posta gönderme şeklidir. Fakat son günlerde solucanlar mail motorunu kendi bünyesinde barındırmaya başladı. Çünkü herhangi bir e-posta aracına gerek kalmadan kendisini göndermeyi başarabilmektedir. Solucan yazarları sosyal mühendislik kavramını kullanmaktadırlar.
Bu metotlardan biri solucanı taşıyan e-posta mesajına ilginç ve dikkat çekici bir konu satırı yazmaktır.
Örneğin; ünlü bir kişilerin resimlerinin bulunduğunu iddia ettiği dosyalar, virüs temizleme programları gibi görünen mesajlar…
Amaç kullanıcının merakla e-postasını açıp, solucanın yayılmasını sağlamaktır. Özellikle Kazaa gibi dosya paylaşım araçlarını kullanan solucanlarının çoğunun başvurduğu yöntem bazı dosya uzantılarını(.mp3, .gif, .jpg) değiştirmek ve insanların bu ortamda arayabileceği dosya adları şeklinde çoğalmaktır.
Bu solucanlar öncelikle sistemde paylaşım programlarının paylaştırma dizinlerini ararlar. Arayacağı dizinler, örneğin şu şekilde olabilir:
C:\ Program Files\KMD\My Shared Folder
C:\ Program Files\Kazaa\My Shared Folder
C:\ Program Files\Morpheus\My Shared Folder
C:\ Program Files\BearShare\Shared
C:\ Program Files\Kazaa Lite\My Shared Folder
… gibi
Buldukları dizinler içine aranabilecek dosya adları şeklinde kendini çoğaltırlar.
Dosya paylaşım kurtları için kullanılan kendisi çoğaltma kodu genellikle şu şekildedir(VBScript):
…
Set fso=Create Object("scripting.filesystemobject")
Solucan=(wscript.scritptfullname)
Kaza=("C:\ Program Files\Kazaa\My shared Folder") & "\"
If fso.folderexists(Kaza) then
Fso.copyfile solucan, kaza & "ICQ_HACK.exe.vbs"
Fso.copyfile solucan, kaza & "Muzik.mp3.vbs"
Fso.copyfile solucan, kaza & "Hotmail-Hack.exe.vbs"
Fso.copyfile solucan, kaza & "Kernel-Exploit.exe.vbs"
…
Yukarıdaki kod Kazaa dosya paylaşım dizinine belirtilen dosya olarak kopyalayacaktır.
P2P kurtlarının çoğalma mantığı az-çok bu şekildedir.
Aynı şekilde Visual Basic ile yazılan bir kurdun(P2P Solucanı) yayılma mantığı ise şu şekildedir:
…
Set obje=CreateObject("Wscript.Shell")
Dizinler=obje.regread("HKEY_LOCAL_MACHINE\Software \Microsoft\Windows\CurrentVersion\ProgramFilesDir" )
Programlar=Array(Dizinler & "\Kazaa\My Shared Folder\",dizinler & "\Morpheus\My Shared Folder\")
Dosyalar=Array("Yahoo User Hack.exe","Flooder.exe","GTA Trainers.exe")
For Each program In programlar
…
FileCopy yollar,program & file
…
…
Yukarıdaki kod ise Dosyalar bölümünde belirtilen dosya adlarıyla kendini programlar bölümünde belirtilen yollara kopyalayacaktır. Solucanlar sisteme bulaşmadan önce uyguladığı bir diğer taktik ise sisteme kurulu olan Antivirus ve Firewall uygulamalarını kapatma işlemidir. Bir kullanıcı durduk yere Antivirus ve Firewall uygulaması kapandığını görüyorsa bazı durumlardan şüphelenmesi gerekir.
Güncel solucanlar artık kullanıcıların sistemlerini potansiyel birer posta merkezi olarak görmektedir.
Yeni yayılan solucanların bir çoğunda mail motorları bünyesinde olduğundan herhangi bir posta gönderme aracına ihtiyaç duymamaktadır. Neticesinde kendisini göndermek için solucanın ihtiyaç duyacağı sadece bir başka e-posta adresidir. Bu ihtiyacını da yine sistemde bulunan dosyaları analiz ederek karşılar.
Sistemdeki bazı dosya uzantılarına -*.htm,*.htm,*.dbx,*.wab,*.eml,*.txt,...- sahip dosya içinden e-posta adreslerini alarak kendisini yollayabilmektedir.
Bunu yapabilen en son örneklerinden biri Sobig.F 'dir. Sobig.F' in entegre olduğu sistemler teker teker -spam- makinesine dönüştüğü ve çok hızlı yayıldığı belirtilmişti. SoBig'in yayılması için sistemde herhangi bir açık olmasına gerek yoktur. Sisteme tüm yamalar kurulsa bile e-posta yoluyla sisteme SoBig sızabiliyordu. Buda solucanların tehlike boyutlarını bize gösteriyor. Düşündüğümüzde bulaşma oranı en yüksek virus ve solucanlarının hedefinin Microsoft Windows işletim sistemi kullanıcıları olduğunu görüyoruz. Bunlara bilinen son örnekleri Mimail.M ve MSBlast/LovSan söyleyebiliriz. Antivirüs uzmanlarınca Virüs/Solucanların yayılma oranının genellikle Uzak Doğu ve Avrupada daha fazla olduğunu belirtmektedirler.