Worm Nedir?
Türkçe karşılığı “Solucan” olan worm virüsleri adını bölündüğünde 2 veya daha fazla fert olabilen hayvandan almaktadır.
Sitemizin üniversite öğrencisi gönüllü editörlerine bir kahve ısmarlar mısınız?
Bu virüsler bulaştığı sistemde kendini çoğaltarak sisteme yayılmaya başlar. Teknik olarak katlanarak çoğaldığı (kendini kopyalama) için bu süreçte çok kısa bir süre içerisinde çok büyük rakamsal değerler oluşabiliyor.
Wormlar temelde insanoğlunun kendi soyunu devam ettirme çabasına benzer bir şekilde kendi kopyalarını (klon) erişebildiği her ortama yaymaya çalışır. Böylece hayatta kalma süresi uzar ve verdiği zarar katlanarak artar. Solucan gibi canlılar örnek olarak ortadan ikiye bölündüğünde iki farklı yeni canlı oluşur, bu virüs ise bölünmekten ziyade çoğalma şeklinde kendini çoğaltır, bir nevi ürediği söylenebilir.
Peki Nasıl Kendisini Kopyalıyor?
Bu sorunun cevabı aslında çok basit olsa da basitliğine aldanmamak gerek. Wormlar yazıldığı dile göre farklılık gösterse de temelinde normal dosya kopyalama işlemlerinde olduğu gibi o an var olan çalıştırıla bilir makine kodlarının bir kopyasını oluşturup farklı bir konumda tekrar bir araya getirerek kendisinin birebir aynısı (klon) olan bir worm yaratır. Bilim kurgu filmlerinde gördüğümüz klonlama sahnelerinden farklı olarak burada küçük bir parçasından değil tamamından yararlanılarak yeni bir worm virüsü oluşturulur. Bu kopyalama bazı dillerde var olan sistem kütüphaneleri kullanılarak tek satırda gerçekleştirilebiliyor.
Nasıl Yayılıyorlar?
Worm virüsünün can alıcı noktalarından biri olan insan zaaflarını kullanması onu çok tehlikeli hale getiriyor. Dizin (klasör) altına dizin ile aynı isimde bir kopyasını oluşturarak deaktif olması durumunda kendisinin tekrar tetiklenmesi adına insanların dikkatsizliğini kullanır. Bununla kalmayarak kendisini harici bellek, disk, çıkarılabilir medya gibi ortamlara “Özel Dosyalar” adında kopyala-maktadır. Bu eylemdeki amaç meraklı kullanıcıların merakını kullanarak kendisini sisteme bulaştırmaktır. Wormların bir diğer özelliği de “autorun.inf” adında otomatik başlatma için kullanılan bir dosyası harici belleğe yazarak bellek sisteme takıldığında otomatik tetiklenmeyi sağlar (eski sistemler için geçerli). E-Posta ekleri ile de yayılabilen bu yazılımlar geçmişte kullanıcıların kişiler listesindeki herkese otomatik oluşturulan bir mail atarak ekine kendisinin bir kopyasını yerleştirirdi. Her yönden kendi kopyalarını olası bütün koşullarda çoğaltmayı hedefleyen bu zararlı yazılımların spesifik olarak birçok özelliği daha bulunmaktadır.
Sitemizin üniversite öğrencisi gönüllü editörlerine bir kahve ısmarlar mısınız?
Sisteme Nasıl Zarar Veriyorlar?
Bu virüs çeşitleri genel olarak ilk başlarda kendilerini çoğaltmayı amaçladıklarından zarar verdikleri düşünülmeyebilir. Zamanla kullanıcının birçok bileşene erişimini engelleyerek kendisinin sisteme olabildiğince fazla zarar vermesini sağlıyor. Bunlara örnek olarak:
- Görev Yöneticisini kapatma
- Regedit (kayıt defteri) kapatma
- Gizli Dosyaları Göster seçeneğini aktif yapıldığı halde tekrar pasif hale getirme
- Masaüstü dosyalarına erişimi engelleme
- Başlat Menüsündeki araçların bağlantılarını değiştirme
- Takılan usb bellekler de kendisinin gizli bir kopyasını yaratma
- CPU (Merkezi İşlem Birimi) yük bindirme
- Ram (Rastgele Erişim Belleği) üzerine yük bindirme
- İkincil Diskim (HDD,SSD) sürekli kullanılmasına neden olma(kopyalama ve kontrol işlemlerinden dolayı)
- Hafızada yer işgal etme (her oluşturulan kopya depolama biriminde bir yer tayin eder)
Ve daha birçok zararı olmasına rağmen bunlar genel olarak kabul görenlediridir
Nasıl Temizleyebiliriz?
Solucan (worm) virüsleri diğer virüslerle karşılaştırıldığında nispeten daha kolay temizlenebilen virüslerdir. Güncel bir antivirüs yazılımı halihazırda neredeyse tüm worm virüslerini tanıyarak temizleyebilmektedir. Burada dikkat edilmesi gereken kısım tüm diskleri tüm dizinlerle beraber tarama işlemine tabi tutmaktır, buradaki neden virüsün dağılması sonucu olası her dizin altına kopyasını oluşturmuş olma ihtimalidir. Diğer virüslere kıyasla temizleme süreci uzun sürmektedir, bunun başlıca nedeni antivirüs yazılımının tüm alt dizinleri tek tek tarayarak virüs imzasını kontrol etmesidir. Manuel olarak temizlemek te mümkün olsa da en pratik yol bu tür virüslere karşı hazırlanmış antimalware ve antivirüs yazılımlarıdır. Birçok temizleme/arındırma işlemi sonrası bazı bölümler (regedit,task manager) otomatik olarak düzeltilmez, buna çözüm olarak kolaylıkla bulabileceğiniz birçok düzeltme aracı bulunmaktadır. Virüsün yaptığı temel olarak regedit (kayıt defteri) üzerindeki değerleri değiştirerek görev yöneticisine doğrudan erişimi kapamak gibi işlemlerdir. Burada üçüncü parti yazılımlarla bu kayıtlar düzeltilebilmekle beraber ufak script (betik) programcıklarıylada sorunlar düzeltilebilmektedir. Bazı worm türleri antivirüs yazılımlarını da engelleye bildiğinden bilgisayarı güvenli modda başlatarak sorunu çözmeye çalışmak en iyi yollardan biri olacaktır.
Tabi her zaman halk arasında ki çözüm olan format arttırmak da olası çözümler den olsa da format (sistem sıfırlama) işleminden sonra detaylı bir tarama mecburidir.
Nasıl Bulaşıyorlar?
Worm virüsleri kendilerini kopyalamakla ünlü olduklarından en çok bilgi taşımak amacıyla kullanılan, harici bellekler ile sistemlere bulaşmaktadır. En büyük örneklerinden biri olan StuxNet yazılımı da bir worm virüsüydü, kendisini hedefe ulaşıncaya kadar usb bellek gibi çıkarılabilir aygıtlara kopyalayarak amacına ulaşır Başlıca bulaşma yolları:
- Usb Bellekler
- Yazılabilir CD,DVD,BluRay diskler
- Harici Diskler
- MP3 çalar gibi multimedya cihazları
- Telefonlar (çoğu telefona doğrudan zarar veremez çünkü o sisteme uygun kodlanmamıştır)
- Bulut Sürücüler
- E-Posta ekleri
- İllegal web sitelerinden edinen yazılımlar
- Hack Araçları (hacking amaçlı kullanılan yazılımlar)
Daha birçok yol ile bulaşabilseler de temelde yazılabilir her ortam üzerine kendini kopyalama eğilimleri vardır.
Solucan (worm) ismi sadece kopyalama özelliği olduğundan verilir, sisteme zarar vermeye başladığında virüs özellikleri göstermiş olur.