Hey gidi günler, heeey... Zaman su gibi akıp geçiyor. İlk PC virüsün tespit edildiği tarih olan 19 Ocak 1986'dan bu yana tam 20 yıl geçmiş. O yıllarda doğanlar şimdi birer genç üniversitesi öğrencisi olsa gerek. Ben ise o tarihte lise son sınıftaydım.
Virüslerle ilk karşılaşmam sanırım 1988'ın sonlarıydı. O zamanlar bir bilgisayar kursunda programcılık öğretmeniydim. MS-DOS 3.21 işletim sistemli, en yüksek saat freaknsı 9.54 MHz olan bilgisayarlar kullanıyorduk. Sabit diskli bilgisayarların lüks olduğu zamanlardı (sabit disk dediysem de 10-20 MB kapasiteleri vardı). Bizler 5 çeyrek inç, 360 KB kapasiteli disketler kullanıyorduk. Disketlerden birini 'DIR'layınca içindeki dosyaların listesinin en üstünde yer alan etiket adı (volume label) "(C) Brain" olarak gözüküyordu. Oysa farklı olmalıydı... Biraz araştırınca diskette Brain virüsünün olduğunu tespit ettim. Hemen PC Tools ve Norton ile disketinin Boot Sektörünü inceledim. Virüsün başlangıç kodu ve içerdiği mesajları inceledim. Kısa bir süre sonra da ekranda gezinen bir pinpon topuyla, yani Ping-Pong virüsüyle tanıştım.
Daha sonraları Stoned, Cascade, Inavader diye virüslerler birbirini takip etti. Kısa bir sürede sayıları giderek arttı. İlk önceleri sadece Boot sektörüne bulaşan Boot Virüsleri vardı. Sonraları COM uzantılı program dosyalarına bulaşanları, daha sonra EXE'lere bulaşanları, hem Boot hem de program dosyalarına bulaşanları ortaya çıktı... İpin ucu en sonunda kaçtı.
Virüsler yaygınlaşmaya başlayınca teker teker virüslere özel anti-virüs programları da elden ele dolaşmaya başladı. Sonraları birçok virüsü tespit edebilen anti-virüslerle tanıştık. İlk kullandığım ünlü anti-virüs yazılımcısı McAfee'in ünlü Scan'i idi. DOS komut satırından kolayca çalıştırılıyordu. Önce bellekte aktif virüs var mı kontrol ediyor, sonra da disketin içini tarayıp bulduğu virüsleri listeliyordu. Virüsleri ise ayrı bir program olan Clean ile temizliyorduk. Scan'den sonra tanıştığım anti-virüslerden Turbo Anti-Virus beni çok etkilemişti. Gayet şık, hızlı ve pratik idi.
Zaman Tünelinde Kısa Bir Gezinti (1986 - 1999)
Biraz nostalji yapıp PC virüslerinin eski zamanlarını hatırlayalım mı? Bizler hatırlarımızı tazelerken o günleri bizim gibi yaşamamış olanlar da, bu vesileyle eski virüsler hakkında fikir sahibi olurlar hem...
1986'dan 1999 yılına kadar dünyada ve ülkemizde rastlanan başlıca virüsleri 2003'te yayınlanan Virüsler ve Güvenlik (Pusula Yayıncılık) kitabımdan sizin için derledim. Yerimiz dar olduğu için biraz özet gibi oldu ama, kusura bakmazsınız artık :-)...
Herşey Brain virüsü ile başladı: Hint'li PC bilgisayar programcısı olan Basit ve Amjad kardeşler yaptıkları programların izinsiz çoğaltılmasına bir çözüm olarak Brain adında bir virüs yazdılar. Programları izinsiz çoğaltanların bilgisayarlarında aktif hale gelen bu virüs, bilgisayara takılan disketlere kendisini bulaştırıyordu ve kullanıcıların başını ağırtıyordu.
Brain boot virüsü, disket etiketini "(c) Brain" olarak değiştirmesi sayesinde anti-virüs programı bile kullanmadan kolayca tespit edilebiliyordu. Virüs tetiklendiğinde şu mesajı ekrana yazıyordu:
Welcome to Dungeon... Contact us for vaccination.
(“Zindana hoş geldiniz... Aşılama için bizimle temas kurun.”)
Temas kurulacak adres ise Pakistan’da bulunan Brain Computer Services idi. Virüsün “copyright”ı ise Ashar ve Ashars’a ait. Sadece 360 KB’lık disketlere bulaşabiliyordu ve toplam uzunluğu 3.072 bayt idi. Disketin boot sektörünü disketteki boş bir alana kopyalayıp buraya kendi yükleyici kısmını koyar. Virüsün geri kalan kısımları da yine disketteki boş alanlara konulurdu. Buraları daha sonra FAT’te “bozuk alan” olarak işaretleyip, üzerlerine başka bir dosyanın yazılmasını engellemeyi de unutmuyordu. Sonraki yıllarda daha yüksek kapasiteli disketlere de bulaşabilen birçok türevi yazıldı.
1986 yılının 19 Ocak tarihinde ilk olarak tespit edilen Brain virüsü, birkaç yılda o disketten bu diskete kendisini bulaştırarak dünyanın birçok yerinde görülür hale geldi. Buradaki en ilginç noktalardan birisi de bilgisayar kültürünün temelinde "izinsiz" yani "korsan" kopyalamanın olduğu gerçeğidir. Bu gerçek günümüzde de (hele de ülkemizde) geçerliliğini korumaya devam ediyor her şeye rağmen.
Ping Pong: İlk virüslerden diğeri de yine bir Boot virüsü olan Ping Pong'tur. 1988 yılında tespit edildi edildi. Orijinali yalnızca disketlere bulaşacak şekilde yazılmıştır. Rasgele zamanlarda ekrana bir top çıkar. Bu top ekranın kenarlarına ve karakterlere çarpa çarpa hareket eder. Genellikle disk/disket işlemleri yoğunlaştığında ortaya çıkar. Çok sayıda varyantı vardır. Ekranda animasyon özelliğine de sahip olması bu virüsü daha da ilginç yapmıştı. O yıllarda bilgisayarlarımızın neredeyse bir aksesuarı haline gelmişti.
Stoned: Yeni Zelanda’da bulunan University of Wellington’da okuyan bir öğrenci tarafından yazıldığı rivayet edilmekte. Stoned, büyük ve ünlü bir virüs ailesidir. Yıllar önce medyanın büyük ilgi gösterdiği ünlü Michelangelo da bu virüsün bir türevi. Bazı virüs uzmanları Cansu'yu da bu aileden saymaktadırlar.
Cascade: Ekrandaki karakterleri patır patır aşağıya döken ilginç animasyonuyla tanınmış eski popüler virüsler arasına girmiş bir dosya virüsüdür. “Num Lock”ı kapatan minik bir program içine saklanan ve ekrandaki karakterleri aşağıya doğru döken bir truva atıyken COM’lara bulaşan bir virüs olarak tekrar ortaya çıktı. “Stealth” teknikleri de kullanan bu virüsün ekran simülasyonunun aktif hale gelmesi karmaşık yazılım yordamları tarafından belirleniyor.
Jerusalem - Friday 13th: Bilgisayar virüslerinin ilk yıllarında en çok korku salan virüslerinden birisi Jerusalem (diğer adıyla Friday 13th) idi. Ayın 13’ü cuma gününe denk geldiğinde çalıştırılan program dosyalarını silmesiyle tanınıyor. Diğer etkileri ise klavyeyi yavaşlatması ve ekranın bir kısmını iki satır kaydırması.
Joker: İlginç mesajlar taşıyan Joker, 1989 yılında Polonya'da ortaya çıkmış. İlginç mesajlardan bazısı:
- End of worktime. Turn system off! ("İş saati bitti. Sistemi kapatın!")
- Water detect in Co-processor ("Matematik işlemciye su kaçmış")
- I am hungry! Insert HAMBURGER into drive A: ("Acıktım! A: sürücüsüne HAMBURGER yerleştirin")
- No smoking, please! ("Lütfen sigara içmeyin!")
- Don't beat me! ("Bana vurmayın!")
- Insert tractor toilet paper into printer. ("Yazıcıya tuvalet kağıdı takın")
Crazy Boot: Cansu'ya benzeyen bir boot sektör virüsüdür. Disketlerin boot sektörü ve root için ayrılmış alanın sonuna, sabit disklerin ise ilk sektörü olan bölümleme tablosunun (partition table) da yer aldığı ana boot sektöre ve 4. ve 5. sektörlere yerleşiyor. Bölümleme tablosunun yerini 30-40 bayt daha yukarıya kaydırıyor. Böylece A:'dan temiz bir sistem disketi ile bilgisayar açılırsa, bölümleme tablosunun (partition table) yeri boş olacağı için sabit disk ve bu arada C: görülemeyecektir. C:'ye geçmek istenildiğinde "Invalid drive specification" hata mesajı gelir.
Virüsün içinde oldukça ilginç bir mesaj yer alıyor. Bu mesaj bilgisayar açıldığında ve bazen de rasgele zamanlarda ekrana geliyormuş. Mesajda şunlar yazıyor:
Don't PLAY with the PC!
Otherwise you will get in 'DEEP, DEEP' trouble!..
Crazy Boot Ver. 1.0
Michelangelo: Ünlü sanatçının adını taşıyan ve onun doğum günü olan 6 Mart’ta aktif hale gelen bu boot virüsü bir zamanlar oldukça popülerdi. Virüsün bulaştığı bir bilgisayar hangi yıl olursa olsun 6 Mart günü açıldığında sabit diskin bir kısmı üzerine yazar. Bu durumda üzerine yazılan dosyaları kurtarmak mümkün olmaz. Virüs ayrıca diğer tarihlerde de dosya adı ve başka algoritmalara bağlı olarak tetiklenerek farklı zararlar verebilmekte. Ünlü Stoned virüs ailesinden sayılan Michelangelo, popüler olduğu yıllarda 6 Mart tarihlerinde anti-virüs programı kullanmayan bilgisayar kullanıcılarının korkulu rüyası haline gelmişti. Neyse ki önemli zararlara yol açmadı.
Uğur Mumcu: Uğur Mumcu virüsünün en belirgin özelliği, içinde taşıdığı "UGUR MUMCU öLMEDi.. " mesajıdır. Virüs, mesajın değiştirilmesini önlemek için, mesajı kontrol eder. Mesajda yapılacak değişiklikler, sabit diskin C: bölümünün ilk sektörü olan Boot Sektörü'nden itibaren, ilk 200 sektörün rasgele baytlarla doldurulmasına yol açar. Bu da; Boot, FAT, Root ve C:'nin başlarına yerleşmiş bulunan dosyaların tamamen yok olmasına sebep olur. Bu durumda C:'deki bütün dosyalar kullanılamaz hale gelir.
Yandan Çarklı (Trakia 1070): Uğur Mumcu virüsünün yazarı tarafından yazılmış “Türk Malı” bir virüstür. Çok hızlı bir bulaşıcı olan Yandan Çarklı, bulunduğu dizindeki EXE'lerin tümüne bulaşır. Ayrıca COM'lara da bulaşır ama EXE'lere olduğu gibi değil, yalnızca çalıştırılanlarına.
Oxana: Birkaç türevi de olan bu virüsün kodu Uğur Mumcu virüsüne çok benziyor. Hatta, bellekte aktif olup olmadığını anlamada kullandıkları tanıma kodları da aynı olduğundan, aynı anda sadece birisi bellekte bulunabiliyor. İlk çıktığında bulaştığı EXE ve COM’ların tarih bilgisini sıfırladığından kolayca tespit edilebiliyordu. Daha sonra çıkan versiyonlarında tarih bilgisinin değişmemesi sağlanarak bu zaaftan kurtuldu. Virüsün boyu yaklaşık 600 bayt.
Fıstık: Virüsün asıl kodu Uğur Mumcu virüsünden alınmış. Bu yüzden Mumcu virüsünün bir varyantı diyebiliriz. İçindeki mesajdan esinlenerek Fıstık adı verilen bu virüse, ilk olarak Marmara Üniversitesi'nde rastlandı. Fıstık virüsü, EXE ve COM'lara bulaşıyor. Virüs aktif hale geldikten bir süre sonra bir programı çalıştırdığımızda ekrana;
"Dünyalar Tatlısı Sevgilime - 3.14 Seni Çok Seviyor FISTIK"
mesajı geliyor.
Shadowkey: İlk başta sadece (eski) F-PROT tarafından tespit edilebilen bu virüs, Yandan Çarklı'nın yeni bir varyantı olarak deklere edilmişti. Virüsün özelliği, monitörün bir süre hareketsiz kaldığında ekranın en üstünden bant şeklinde hızla kayan yazılar çıkarıyor olması. Ekrandan geçen yazılardan bazıları:
- Bilgisayarınız psikolojik bir bunalıma girmiştir, teselli için lütfen çaba sarfetmeyiniz.
- Coca-Cola yazılmış lenslerimiz çıktı, istekleriniz için ATB -ATB...
- Bilgisayarınız casus uydular tarafından izlenmektedir, gizli işlemleriniz için tuvalet kağıdı kullanın!
- Bölgeye beş kilometre mesafede düşman füzeleri tespit edilmiştir, sığanaklara girin!
“Şair” Virüs: Bu da virüslerin şair olanı... 1994 yılının başlarında ortaya çıktı. Ekrana rasgele zamanlarda bir “mani” yazmakta. Yazdığı mani:
"Ben Bir Garip Virüsüm,
Disket Disket Gezerim,
Bugün Kısmet Sendeymiş,
Yarın Belki Kimdeyim."
Turco: Sadece COM uzantılı dosyalara bulaşıyor. Bellekte aktif olduktan 4 veya 5 saat sonra ekranın tam ortasına sürekli görünecek şekilde "Hello from TURKIYE. I am TURCO virus" mesajını yazıyor.
Estergon: Yalnızca COM'lara bulaşan bu virüs, bulaştığı dosyaları yaklaşık olarak 2 KB uzatıyor. Dosya sonuna; "Artık beni sevmeyen ablama" mesajını yazıyor. Virüsün taşıdığı diğer mesaj ise: "Dedicated to my sisters Melike".
Virüsün diğer bir marifeti de DOS'un komut satırında yanlış komut verdiğimizde karşılaştığımız "Bad command or file name" mesajını "Excellent command or file name" diye değiştirmesi.
Virüsün arasıra ekrana bir pencere içinde "Estergon Kalesi Destanı"nı yazması, Estergon virüsü adının verilmesine neden olmuş.
Anti-Virus Virüsü: Virüslü dosyanın içindeki mesaj "Anti-Virus?? Written in the city of Istanbul (c)1993". Virüsün taşıdığı mesaj doğruysa İstanbul’da yazılmış. Ama ne kadar doğrudur bilemeyiz...
Ahmet Cezayirli - ACV: Virüsle ilk karşılaştığımızda virüs yazarının adını ve okuduğu okulu açık açık virüsün içine koymuş olmasına şaşırmıştık; bu ne cesaret diye?! Daha sonra virüs yazarıyla konuşma fırsatı bulunca bu bilgilerin gerçekten doğru olduğunu gördüm. Ahmet Cezayirli, virüsü deneme amaçlı yazmış. Fakat daha sonra virüs istemeden etrafa bulaşmış!..
Walker: Çalıştırılabilir program dosyalarına bulaşıyor. Yaklaşık 10 saniyede bir ekranın sağ tarafından sol tarafına doğru yürüyen eli bastonlu, takım elbiseli, gözlüklü, ak saçlı bay Walker, ünlü viski markasının simgesinin taa kendisi. Geçerken klavyenin kullanılmasını engeller. Print Screen tuşu ve Ctrl-Break çalışmaya devam etse bile diğer tuşları kullanamıyorsunuz. Virüsün yürümesini Ctrl-Break ile durdurabiliyorsunuz ama bilgisayar kilitleniyor. Walker'ın geçişi DOS ekranında görülebiliyor.
Junkie: İsveç kökenli hem dosyalara hem de Boot’a bulaşabilen ilginç bir virüstür (Hatta bazı bilgisayar dergilerinin CD-ROM’larına bile bulaşabilmişti!). Bu özelliklerinden dolayı biraz “illettir”. Mayıs 1994 yılında ilk olarak tespit edildi. İçinde şifrelenmiş bir mesaj da taşır.
Dir2: Beni en çok etkileyen virüslerden birisi olmuştur. Geleneksel dosya virüslerinden oldukça farklı bir yöntem kullanmakta. Dir2, dosyalara tek tek bulaşmak yerine aktif sürücünün en son veri alanına (cluster’ına) kendisini yerleştirir. Ondan sonra da dosyalara erişimde kullanılan rehber (directory) bilgilerinde değişiklik yaparak dosyanın başlangıç yeri (cluster’ını) adresini, kendisinin yerleştiği yerin adresi ile değiştirir. Dosyanın asıl başlangıç adresini ise rehber bilgilerindeki kullanılmayan alana yazar. Bu şekilde dosyaların boylarında ya da içeriklerinde herhangi bir değişiklik yapmak gerekmez.
One Half: Dünya genelinde popüler ilk 10 virüs arasına girmiş, ülkemizde de oldukça yaygınlaşmış “illet” bir karma virüstür. Hem boot’a hem de COM ve EXE dosyalara bulaşır. Dosyaları şifrelediği ve kendisini gizlediği için çok tehlikelidir, anlayacağınız tam bir “baş belası”dır. Hızlı bir bulaşıcıdır. Windows 95 altında virüsün gizlenme rutinleri düzgün çalışmıyor. Temiz sistem disketiyle bilgisayar açıldığında virüsün bulaştığı rehberlerin içi boş gözüküyor.
İçinde şifrelenmiş bir mesaj da taşıyor.
Disk Killer: Adı gibi kendisi de ürkütücü olan Disk Killer, 1 Nisan günleri aktif hale geliyor. Ve aklınca "1 Nisan Şakası yapıyor". Virüs aktif olunca bilgisayarı kapatmamanızı ve eğer disket takılıysa, disketi çıkarmamanızı ekrana yazıyor. Bu yazı ekrana çıkınca Disk Killer, disk veya diskete rasgele karakterler yazıyor. Böyle bir mesajı görür görmez bilgisayarı kapatmanızı tavsiye ederiz (sorumluluk size ait ama!). Böylece hiç olmazsa bazı dosyaları belki kurtarabilirsiniz. Eğer bilgisayar kapatılmazsa Disk Killer işini bitip “Şimdi bilgisayarı kapatabilirsiniz, bol şanlar dilerim!” diye bir mesaj çıkartır. Bundan sonra yapılabilecek tek şey büyük bir ihtimalle bir format atıp, her şeyi unutmaya çalışmak.
Dark Avanger: Efsanevi virüslerden biri olan Dark Avanger, en tehlikeli virüslerden birisi. Çalıştırılabilir dosyalara bulaşıyor. Virüs, her 16 dosyaya bulaştığında bir rasgele bir sektörün üzerine yazar. Bu da dosyaların zamanla kansere yakalanmış gibi bozulmalarına, en sonunda da diskin kullanılamaz hale gelmesine sebep olur. Virüsün taşıdığı mesaj:
Eddie lives...somewhere in time!
This program was written in the city of Sofia (C) 1988-89 Dark Avenger
İlk Word Makro Virüsü Concept: Microsoft Word ortamında bulaşabilen ilk makro virüsü olarak kabul edilmektedir. Word dokümanlarını ve şablonlarına bulaşır. Virüsün “fünyesi” tetiklendiğinde ekrana “1” sayısını getirir. Ayrıca virüsün “PayLoad” adlı makrosu “That's enough to prove my point” şeklinde bir mesaj içerir ama bu ekrana gelmez. Concept aynı zamanda farklı işletim sistmelerinde çalışabilen bir multi-platform virüstür. Macintosh’ların MacOS işletim sistemindeki Microsoft Word ortamında da etkili olabilmektedir.
İlk Excel Makro Virüsü Laroux: Microsoft Excel ortamında başarıyla bulaşabilme “başarısını” göstermiş ilk virüs olarak tarihe geçen Laroux, 1996 yılının başında Afrika ve Alaska’da tespit edildi. 1998 yılında ülkemizde de oldukça popüler olan Laroux’un birçok türevi bulunmakta. Visual Basic tabanlı bir makro dili olan Excel’in makro dili Visual Basic for Applications (VBA) kullanılarak yazılmıştır.
İlk Power Point Virüsü Vic (Attach): Sophos anti-virüs şirketi tarafından 1998’in Aralık ayında duyurulan ilk Power Point virüsünün adı PM97/Vic.a (diğer adıyla PM97/Attach). Bulaşmak için VBA5 makro diliyle UserForm’ları kullanmaktadır.
Elton John Virüsü: Prenses Diana (Di)’nın vahim bir trafik kazasıyla ölümünün ardından Elton John “Candle in the Wind” şarkısıyla Diana hayranlarının kalplerini fethetmişti. Bundan esinlenen bir virüs yazarı (ya da yazarları) bu virüsü ortaya çıkarmış... Word dosyalarına bulaşan Elton John virüsü, İspanya’da oldukça yaygınlaşmıştı. E-mail’lere iliştirilmiş Word dosyalarıyla bulaşan bu makro virüsü, bulaştığı Word dosyaları açıldığında “Candle in the Wind” şarkısının ilk iki dizesini ekrana getiriyor.
WorldCup98: Microsoft Word 97 ortamında çalışan bir makro virüsü. İçerisinde WorldCup98 ve Pronostic adında iki makro içeriyor. Virüsün bulaştığı Word, 12 Temmuz’da veya bilgisayar saatinin saniye hanesi 12 iken açıldığında, makro aktif hale geliyor. Ekrana bir pencere içinde kupaya katılan 9 ülkenin adı çıkıyor. Kullanıcı bunlardan birisini tuşladığında, virüsün tuttuğu takıma uyan bir takım ise ekrana bir kutlama mesajı çıkıyor. Aksi takdirde sempatik bir ifade geliyor. Kullanıcının cevabına bakmaksızın (cevap verilmese bile), virüs yapacağını yapıyor!..
Monica Makro Virüsü: W97M/Lewinsky virüsü, eski ABD Başkanı Bill Clinton’un Beyaz Saray stajyerlerinden Monica Lewinsky ile arasında geçen “çalışmaların” ortaya çıkması sonucu “Zipgate” skandalının gündemde olduğu tarihlerde ortaya çıktı. Word doküman dosyalarına bulaşan bu makro virüsü, çok yaygınlaşamasa da bu güncel olaydan faydalanarak popüler olmasını bildi.
Strange Brew: Ağustos 1998’de ilk Java virüsü olarak virüs tarihinin “kara sayfalarına” geçti. Java applet ve uygulamalarına bulaşabiliyor. Kendi başına çalışabilen zararsız bir Java programı olan virüs, çalıştırıldığında bilgisayardaki .class dosyalarını arayıp buluyor ve bunlara kendisini ekleyerek bulaşıyor.
MS Internet Explorer veya Netscape Nevigator gibi Internet gezginlerinin var olan güvenlik önlemleri virüsün bulaşmasını engelleyebilir. Fakat doğrudan çalıştırılan virüslü Java uygulamaları herhangi bir kontrolden geçmediği için istediğini daha rahat yapabilir.
