1 / 32

ODTÜ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI Bilişim Teknolojileri Güvenliği Ekibi Kullanıcı Destek Grubu

ODTÜ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI Bilişim Teknolojileri Güvenliği Ekibi Kullanıcı Destek Grubu. VİRÜSLER. İçindekiler:. Virüs tanımı Tarihe ve günümüze genel bir bakış Bulaşma şekilleri ve etkileri Internet solucanı (worm) ve truva atı (trojan) V irüs çeşitleri

kipling
Download Presentation

ODTÜ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI Bilişim Teknolojileri Güvenliği Ekibi Kullanıcı Destek Grubu

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ODTÜ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞIBilişim Teknolojileri Güvenliği EkibiKullanıcı Destek Grubu VİRÜSLER

  2. İçindekiler: • Virüs tanımı • Tarihe ve günümüze genel bir bakış • Bulaşma şekilleri ve etkileri • Internet solucanı (worm) ve truva atı (trojan) • Virüs çeşitleri • Windows Registry’de değişiklik yaptıkları yerler • Virüslerden korunma • Antivirüs programları

  3. Virüs Nedir? • Bilgisayarınızın,sizin isteğiniz ve bilginiz dışında zararlı bir işlem yapmasını sağlayan program parçacığıdır.

  4. Biraz Tarihçe • İlk virüs, bir firmanın yaptığı programın disketle çoğaltılması sırasında telif haklarının değiştirilmesini sağlıyordu. (1986 - Brain) • 1998 Chernobyl (CIH) • 1999 Melissa • 2000 Navidad • 2001 Nimda/Sircam/CodeRed

  5. Günümüzde Virüsler • 70.000 tane virüs var (Ocak 2002). • Çeşitler arasında en büyük oran macro (26.1%) ve truva atı (trojan - 26.1% ) virüslerinde. • En çok bulaşma oranı sistem tarafından çalıştırılabilir virüslerde (79%). • Her ay bulunan virüs sayısı sürekli artıyor.

  6. Tehlikeli Virüsler • Üretilen her virüs tehlikeli olamaz • Wild list : http://www.wildlist.org • Virüsle ilgili en az iki rapor gelene kadar Wildlist’e alınmaz • Tek raporda gözlem listesine alınır.

  7. Virüslerin Bulaşma Yöntemleri: • Disket, CD • E-posta • Ağ paylaşımı • Internet’ten indirilen programlar yoluyla

  8. VirüslerinEtkileri: • Gereksiz mesajlar görüntüleyebilir (W97M/Jerk) • İşletim sistemi zarar görebilir • Diskte kayıtlı bilgiler silinebilir (Navidad) • Diskteki bilgiye erişim engellenebilir • Flash – BIOS silinebilir (CIH) • Kontrol dışı e-posta gönderebilir (Sircam) • Gereksiz ağ trafiği yaratabilir (Nimda)

  9. E-posta ile Bulaşmaları • Eklentileri sayesinde e-posta ile virüs bulaşır: • Eklentideki dosyayı çalıştırarak • Dosya kendi kendine e-posta görüntüleyici tarafından çalıştırılabilir (Outlook / Outlook Express – Bubbleboy)

  10. WWW’den Bulaşmaları • Internet’ten indirilen virüslü bir program aracılığı ile bulaşabilir. • Ziyaret edilen www sitesinin görüntülenmesi ile de bulaşabilir; • JS/CoolSite-A ActiveX • JS/Coolnow-A Java Script

  11. Internet Solucanları (Worm) • Diğer yolların yanında işletim sistemlerinin ve çalışan servislerin güvenlik açıklarını kullanarak “kendiliğinden” bulaşan program parçacığıdır. ( CodeRed, Nimda)

  12. Sonuçları: • Web sunucu program zarar görebilir • Diskte kayıtlı bilgiler silinebilir • Web sayfası içeriğini değiştirebilir • Gereksiz ağ trafiği yaratabilir • e-mail, tftp, port tarama • Backdoor / Trojan yerleştirebilir

  13. Internet Solucanları (Worm) • Melissa worm : 1998 yılında milyonlarca bilgisayarı etkiledi. • Nimda worm : 2001 Ekim ayında milyarlarca dolarlık zarara neden oldu.

  14. Blended Threats (CodeRed, Nimda) Denial-of-Service (Yahoo!, eBay) Mass Mailer viruses (Love Letter/Melissa) Zombies Polymorphic viruses (Tequila) 60,000 Number of Known Threats Network Intrusions Viruses 1990 - 2001 Source: Symantec Inc.

  15. Örnek İnceleme: W32/Nimda@MM • 2001 Ekim’inde ortaya çıktı. • IIS web sunucusu için 2001 Ağustos’unda bulunan bir açıktan yararlanarak bulaşır. • OE’in açığından yararlanarak e-posta eklentisinin isteminiz dışı çalışması ile bulaşır. • IE’ın virüslü www sayfasından readme.eml dosyasını indirimesi ve çalıştırması ile bulaşır.

  16. Truva Atları (Trojan) • Kendi kendine yayılmayan, arka planda çalışan program parçacıkları, e-posta ile gelen eklentiler ya da ICQ vb. programlar yoluyla, çalıştırılabilir dosya alışverişi ile bulaşırlar.(Back Orifice, Sub Seven).

  17. Access 97 macro virusAppleScript WormBatch file wormBIOSChain letterCMOS settingsCompanion virusCorel Script virusDOS Boot Sector virusDOS executable file virusDropperExcel formula/macro virusFalse alarmJavaScript virus/wormJoke/JunkMacintosh file virus/wormMacromedia Flash infectorMaster Boot Sector virus Mid infectingmIRC or pIRCH script wormOffice 97 macro virusMisunderstandingPalmOS based executable virusPowerPoint 97 macro virusScareTest fileTrojanvirus hoaxVisual Basic Script virus/wormWin32 executable file virus/wormWindows 9x/ME executable file virusWindows NT/2000 executable file virusWord 97/2000 macro virus/worm Virüs Çeşitleri: Kaynak: Sophos Antivirus

  18. BIOS & CMOS Setting Virus • Bilgisayarın açılmasını veya açılış ünitesinin (disket, CD, HDD) sırası gibi BIOS ayarlarını etkileyen virüslerdir. • Troj/KillCMOS, W95/CIH-10xx.

  19. Windows İşletim Sistemine Yönelik Virüsler • Tüm Windows işletim sistemlerine yönelik (Win32) • Win9x sistemlerine yönelik (W95 / W98) • Win2000/NT sistemlerine yönelik (W2k/WNT)

  20. Win32 Virus & Worm • Windows işletim sistemlerinde çalıştırılır programlardır. • Kullanılan programın açıklarından yararlanır. (Web sunucu veya tarayıcı) • W32/Magister, W32/Nimda

  21. WinNT/2k Virüs • Windows NT/2000 işletim sistemlerinin ya da kullanılan diğer programların güvenlik açıklarından yararlanarak bulaşır. • Bilinen virüs sorunlarını yaratır. • Dosya sisteminin özelliklerine bağımlıdır. • W2K/Stream, WNT/RemExp

  22. Macro Virus • Macro programlarıdır. • Microsoft Office uygulamalarında kullanılan belgelerin içerisine gömülür. • Program veya komut çalıştırma yetkisi olduğundan bilinen virüs etkilerine sahiptir. • Wm, w97m, pp97m, xm97m. • Wm/Nuclear.

  23. Yeni Internet Araçlarında Virüsler • Cep telefonu, Palm, PDA (Personal Digital Assistant) • VBS/Timo,Palm/Liberty • Gelecekteki korunma yöntemleri: • Virus tarama programları

  24. Virüsler Nereye Ne Yazar? • İlk açılışta çalışmak için genelde Windows Registry (kayıt) ayarlarıyla oynarlar: • Uyarı: Registry ayarlarına gerekmedikçe müdahele etmeyiniz!

  25. Virüsler Nereye Ne Yazar? • HKEY_LOCAL_MACHINE\ Software\ Microsoft\Windows\ CurrentVersion\ • RunServices • RunServicesOnce • Run • RunOnce • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ • Run • RunOnce • RunServices

  26. Shell Spawning • HKEY_CLASSES_ROOT\ • exefile\shell\open\command @="\"%1\" %*“ • comfile\shell\open\command @="\"%1\" %*“ • batfile\shell\open\command @="\"%1\" %*“ • htafile\Shell\Open\Command @="\"%1\" %*“ • piffile\shell\open\command @="\"%1\" %*“ • [HKEY_LOCAL_MACHINE\Software\CLASSES\ • exefile\shell\open\command @="\"%1\" %*“ • comfile\shell\open\command @="\"%1\" %*“ • batfile\shell\open\command @="\"%1\" %*“ • htafile\Shell\Open\Command @="\"%1\" %*“ • piffile\shell\open\command @="\"%1\" %*“ • Olması gereken değer"%1 %*", ama değer  “virus.exe %1 %*“ olarak değiştirlirse exe/pif/com/bat/hta her çalıştırıldığında virus.exe çalışır.

  27. Virüslerden Korunma • Antivirüs programı kurun ve güncel tutun. • İşletim sisteminizi güncel tutun: http://windowsupdate.microsoft.com • MS Outlook veya Outlook Express yerine Netscape Messenger, Webmail, Pine. • Gerekmedikçe dosya paylaştırmayın. Paylaştırmanız şart ise “salt okunur” paylaşım kullanın. • Sunucu (server) nitelikli işletim sistemleri kurmayın.

  28. Virüslerden Korunma • Web sunucusu olarak yaması yapılmamış IIS kullanmayın. • Microsoft Security Bulletin takibini yapın: http://www.microsoft.com/security • Boot işleminin kesinlikle sabit diskten olmasına özen gösterin. • Çok önemli bilgilerinizin yedeğini alın.

  29. Virüslerden Korunma • Dosyalarınızı macro çalışmasına izin vermeyecek şekilde kaydedin. *.doc*.rtf *.xls  *.csv • Alternatif Office programları kullanın (StarOffice): ftp://ftp.metu.edu.tr/pub/mirrors/staroffice/ • Çalıştırılabilir dosyaları sadece e-postayı gönderen kişinin gönderdiğinden emin olduğunuz durumlarda çalıştırın.

  30. Virüslerin Tespiti • Online virüs tarayıcıları: • http/www.symantec.com/avcenter  Check for Security Risk  Scan for virüs • http://www.mcafee.com  VirüsScan Online

  31. Antivirüs Programları • Scanners: Virüsleri izlerine göre arayıp bulurlar ve sonra da imha ederler. • Checksummers: Dosyalardaki boyut değişikliklerinin farkına varıp virüs olarak algılarlar. • Heuristics: Virüslerin karakteristik yapısı bu programlarda genel hatlarıyla tanımlanır.

  32. Antivirüs Programları • Virüs örüntüsü (virus pattern) virüsü tanımlayan kısa binary koddur. • Antivirüs programları tüm dosyalarınızda tarayıcısı yardımıyla virüs örüntüsünü arar. • Virüsü bulduğunda; • Karşılaşılan durum için veritabanında tanımlanmış olan işlemleri yapar.

More Related