Virüs tamamen kendisini kodlayan yazan yazıcının niyetine göre hareket eder. Örneğin benim canım yandı herkesin canı yansın diyen bir chernobil virüsü yazarı , 2000 li yılların başında dünyayı kasıp kavuran bir melissa virüsü , yada bankalara , para transfer şirketlerine dadanıp para hırsı nedeniyle kodlanmış bir zoteb virüsü olduğu gibi , kodlayıcısı tarafından erotik sitelere , porno içerikli sitelere girilmesine mani olan Yusufali virüsü gibi kişisel bazda istemsiz kontrol sağlayan virüslerde var. Yusufali bu bakımdan faydalı dahi sayılabilecek olsa da netice itibari ile kullanıcının istemi dışında sistemde faaliyet göstermesi ve kullanıcının hür iradesini kısıtlaması nedeniyle sonuçta yine bir virüstür.
Virüslerin sisteme girmesini engelleyen , virüsleri yakalayan ve temizleyen ve hatta bunu sektör haline getiren nice şirketler ve ürünleri vardır ki pek çoğunu ya biliyorsunuzdur yada hali hazırda zaten kullanıyorsunuzdur. (Norton,Antivir,Pccilin,Avira,Nod32 vs)
Ancak bu yazımızda konumuz bilgisayar kullanıcılarının pek çoğu tarafından bilinmeyen virüslerden çok daha tehlikeli ve virüs programlarınca yakalanamayan , tespit edilemeyen , ve virüslerden çok daha fazla zarar verilmesine sebep olan hackerların , kötü niyetli kullanıcıların sisteme girişlerindeki en büyük yardımcıları olan Rootkid'lerden bahsedeceğiz.
Rootkid , denilen yazılım genelde hackerlar tarafından kullanılır. Rootkid'in vazifesi sisteme girerek , kendisini ve kendisini o sisteme enjekte eden kötü niyetli kullanıcının tüm faaliyetlerini gizlemesi ve gerek sistem sahibi tarafından , gerekse de antivirüsler tarafından tespit edilmesini engellemesi bunun yanında kendisini sisteme enjekte eden kötü niyetli kullanıcıya sistemin tüm yetkilerini sonuna kadar açmasıdır.
Roodkid'ler bu yönüyle virüs,trojan,worm vs. gibi zararlı yazılımlardan çok çok daha sinsi , tehlikeli ve sonuçları itibari ile baş ağrıtıcıdır. Şöyle ki birden bire kapınıza yığılan onlarca polis arasında kendinizi bulabilir ve bir bankadan yüzlerce milyon doları iç etmekle tutuklanabilir üstüne üstlükte suçsuzluğunuzu ispat edemeyip yıllarca hapis yatabilir , yada farkında bile olmadan , bilgisayarınız üzerinden Cia,Fbi,Mossad gibi bir oluşuma saldırı yapılmasına evsahipliği yapabilir ve daha kötüsü bununla suçlanıp aklanamayabilirsiniz. Daha masumane düşünecek olursak sisteminize giren bir rootkid , haberiniz bile olmadan bilgisayarınızı bir mail server olarak kullanabilir ve yine siz farketmeden milyonlarca kişiye bilgisayarınızdan çeşitli istenmeyen mail (spam) gönderebilir. ilk etapta aman sistemime zarar vermesin yada beni suçlu duruma sokmasında ben mail gönderilmesine razıyım diyecek kadar saf dahi olsanız bunun faturasını kısa zamanda ödeyebilirsiniz. Zira milyonlarca kişiye mail göndermek demek , işlemcinin aşırı ısınması , aşırı ram kullanılması ve bu nedenle bilgisayarın aşırı yavaşlaması , işlemci ve bilgisayar fanının sürekli çalışması ve bilgisayarın acayip sesler çıkartması ve en sonunda birgün herhangi bir sistem bileşeninizin iflas etmesi sonucu bilgisayarınızın çalışmaması olarak size dönecektir.
Ortalama bilgisayar bilgisine sahip olan , yada bu gibi bir durumla karşılaştığını farkedip çözüm arayan birisinin aklına ilk etapta tamamen türk usulü bir çözüm yöntemi olan "format at kurtul" metodu gelebilir. ancak bunu deneyenler görecektir ki 20 defa formatta atsanız üst üste roodkit hala sisteminizde sizi bekliyor olacaktır. dolayısı ile format çözüm olmayacaktır çünkü rootkitler kendilerini işlemci faaliyetlerinin altına gizlerler ve zararlı yazılım olarak algılanmazlar , antivirüslerin rootkidleri tespit edemeyişinin en önemli nedenlerinden biriside budur. Zira antivirüsler işlemci faaliyetlerini değil sabit diski tararlar ve kriterlerine uyan programcıkları yakalarlar. format atmış olsanız dahi bilgisayarınızı formattan hemen sonra ilk çalıştırdığınız esnadan itibaren işlemci doğal olarak çalışacağından dolayı format roodkid için çözüm değildir.
Sistemte roodkid olduğunu nasıl anlarız?
Eğer sistemde roodkid varsa %70 bunu sistemdeki herhangi bir yavaşlama , sistemin rutin yaptığı şeyleri yanlış yapması , yapmaması , yada geç yapması , işlemci fanının sürekli çalışması , bilgisayarın aşırı ısınması ve ya bilgisayarınızdan dosya eksilmesi , yada yüklemediğinizi bildiğiniz bir dosya ile bilgisayarda karşılaşmanız sonucu anlayabilirsiniz. tabir caizse bunlar subjektif olarak el yordamıyla yapılabilecek ve her daim aynı etki ve tepkiyi göstermeyecek rootkid'den rootkid'e farklılıklar gösterebilecek olan akla ilk gelen tespit şekilleri.
Bunun dışında daha profesyonel tespit yöntemi elbetteki rootkidleri tespit için kullanılan programları kullanmak olacaktır. ancak bu bile %100 sonuç vermeyebilir çünkü rootkidler virüslere göre çok daha komplex ve çok yönlü olduğundan şu program hepsini yakalar , bu program hepsini temizler gibi bir kesin söylemde bulunmak mümkün değildir.
Örneğin , gözde bir antivirüs programının virüs database(veri tabanı) sürekli güncellenir. ve bu sayede norton , avira , antivir , nod32 gibi virüs programları hemen hemen tüm virüsleri yakalayabilir. ancak aynı şeyi roodkit için düşünemeyiz. zira roodkit virüs gibi tek bir işlem için tasarlanmış ve sürekli aynı rutin reaksiyonu gösteren bir yazılım değildir. işte onun için herhangi bir yazılım tek başına yeter diyemiyoruz. rootkid tespitinde tavsiye edilebilecek çözüm yolu birden fazla rootkid tespit ve temizleme programı kullanmanız yönünde olacaktır. ki zaten bu anti-Rootkid programları ortalama 1-1,5 Mb boyutunda olduğundan sisteminizi yormayacak , kasmayacak ve hatta siz sistemde varlığını bile farketmeyeceğinizden dolayı birden fazla program bulundurmak sizin disk alanınızıda işgal etmeyecektir.
Bilindik virüs programlarından rootkid olayına eğilen Avira yakın geçmişte Avira AntiRootkid Detection programının Beta sürümünü çıkardı. programın kullanımı çok kolay karşınıza gelecek pencereden sadece Start Scan butonuna bir tıklamanız taramayı başlatmak için yeterli olacak.Taramayı kendiniz sonlandırmak istediğinizde ise Stop Scan diyorsunuz ve mevzu bitiyor. Yandaki resimde tarama yaparken karşımıza çıkan Avira AntiRootkid Detection programının ekran görüntüsü mevcuttur. Avira Antirootkid Detection programını indirmek isteyenler şuradaki linke tıklayabilir : http://dl.antivir.de/down/windows/antivir_rootkit.zip
Aviradan başka bu işi yapan programlarda elbette var. ancak bir çoğu henüz vista işletim sisteminde çalışmıyor. onun için ben her işletim sisteminde çalıştırabileceğiniz kapsamlı ve oldukça işe yarayan bir programdan daha bahsedeyim bu aynı zamanda zaman zaman rutin arama tarama temizleme sistem bakımı yapma işlemlerim esnasında benimde kullandığım bir program. Bahsettiğimiz programın ismi GMER ,
GMER Aviraya göre çok daha kapsamlı diyebilirim. Zira GMER saklı , gizli , sistem dosyası , erişim izni , servistir , windows bileşenidir bilmem neyin modülüdür falan gibi kriterleri önemsemeden önüne ne gelirse tarıyor. ve bu işi hızlı yaptığınıda söyleyebiliriz. ancak GMER iyi bir bilgisayar bilgisi istiyor diyebiliriz. Çünkü GMER tüm işlemleri listeliyor ve siz rootkid olduğunu farkettiğiniz bir işleme tıklıyor ve Kill Process diyorsunuz. eğer bunu sistem için hayati önemi olan bir dosyaya yaparsanız ya mavi ekranla kucaklaşırsınız yada ertesi gün bilgisayarı teknik servise götürmek durumunda kalabilirsiniz. Yandaki resimde tespit edilmiş bir rootkid
görüntüsünü görebilirsiniz (not bu rootkid benim bilgisayarımda tespit edilmemiştir :) )GMER'i indirmek için : http://www.gmer.net/files.php adresini kullanabilirsiniz ;)
ve yine kullanımı çok basit , GMER kadar zor olmayan ve tek tık ile kullanabileceğiniz başka bir rootkid tespit programı ise Helios , zamanımızın kısıtlı olmasından dolayı Helios'un linkini vererek müsadenizi istiyorum ;) Başka bir gün konunun devamında alternatif diğer rootkid temizleme yakalama programlarından bahsedebilirim esen kalınız.
Helios : http://helios.miel-labs.com/downloads/Helios.zip
Helios : http://helios.miel-labs.com/downloads/Helios.zip
0 yorum:
Yorum Gönder