Zararlı yazılımlar da insan hastalıkları gibi sessizliğe ve görünmezliğe bel bağlıyor. En ufak bir kanser hücresinde yüzünüzde kıpkırmızı döküntüler çıksa anında tedavi olur, kötü işgalciler de yayılmaya fırsat bulamadığı için muhtemelen iyileşirdiniz.
Benzer biçimde, zararlı yazılım enfeksiyonlarını da yayılmadan, korkunç bir zarar vermeden önce ne kadar erken yakalarsanız o kadar iyi. Zararlı yazılımlar bilgisayarınıza bulaştıklarını ekranınıza “Bilgisayarınıza zararlı kod bulaştı!” yazarak duyursaydı onları anında silmek için bir yazılım indirir, sonra hayatınıza devam ederdiniz. Fakat hacker’lar hack’lendiğinizi bilmenizi istemiyor.
Bunun için de sisteminizde yıllar boyu sinsice kol gezen, banka detaylarınızı, parolalarınızı ve diğer hassas verilerinizi size belli etmeden çalan, sessiz ve sahtekâr yazılımlar yazıyorlar. Fidye yazılımları bile ekranınızda fidye mesajı görüntülemeden önce PC’nizde uzun süre çoğalıyor.
Bu yazımızda, PC’nizde (ya da telefonunuzda, tabletinizde ve yönlendiricinizde) gizleniyor olabilecek en son ve sessiz katilleri tanıtarak başlayacağız. Ardından bunları ve diğer saklı tehditleri nasıl bulacağınızı göstereceğiz. Sonra da bu sessiz katilleri sisteminizden nasıl kovacağınızı ve uzak tutacağınızı öğreneceksiniz.
Zararlıların en kötüleri artık daha da beter
Kötü amaçlı yazılımlar (malware) bugün hiç olmadıkları kadar tehlikeli ve aylar geçtikçe daha da tehlikeli bir hal alıyorlar.
Güvenlik ve yazılım firmaları (bunlara Microsoft da dahil) ile hacker’lar sonsuz bir “Ben senden daha iyisini yaparım!” döngüsüne sıkışıp kalmış durumda. Microsoft bir güvenlik açığını kapatır kapatmaz hacker’lar sömürecek başka bir açık buluyor. Antivirüs yazılımınız yeni bir tehdidi belirleyip tanım dosyasını bu saldırganı kara listeye alacak biçimde güncellediği anda, saldırgan da sisteme sızmanın yeni bir yolunu buluyor.
Zararlı kodlar asla teslim olmuyor. Sadece başladığı noktaya dönüyor, daha güçlü, silmesi daha güç (ve de hayatta kalma stratejilerinin en güçlüsü) saptaması daha zor olarak geri geliyor.
PC’nizde gizlenen zararlıları bulup öldürme yollarını göstermeden önce, tehlikelerin nasıl çalıştığını anlamanız için hacker’ların son taktiklerinden örnekler vereceğiz. İşte şu anda bile bilgisayarınızın altını üstüne getiriyor olabilecek, sadece sizden değil, işletim sisteminizden, tarayıcınızdan ve hatta antivirüs yazılımınızdan gizlenebilen yedi ölümcül tehlike…
Antivirüsü kaldıran Truva atları
Truva atları (trojan) kendilerini yasal dosyalar, programlar veya güncellemeler biçiminde kamufle eden zararlı dosyalardır. Tahmin edebileceğiniz gibi bu ad, Truva şehrine sızmak için dev bir tahta atın içine gizlenen eski Yunanlardan geliyor. Üstünden üç bin yıl geçmesine rağmen hâlâ Truva atı dendiğinde aynı şey anlaşılıyor. Şimdilerde bu terim, korumalı bir yeri (örneğin bilgisayarınızın işletim sistemini) kendini farklı bir şey gibi göstererek işgal etme stratejisini anlatıyor.
Son yılların en ünlü Truva atı, Zbot adıyla da tanınan Zeus. Hâlâ birçok PC’de kendini fark ettirmeden varlığını sürdüren Zeus, kurbanlarının internet bankacılığı verilerini çalıyor. Şimdi de Carberp adında korkunç bir rakibi var. Kulağa gülünç gelen bu isim, PC’nizin tüm savunma sistemlerini devre dışı bırakabiliyor.
Carberp’in korkunç yanı, kaynak kodlarının internette ücretsiz olarak yayımlanması. Böylece dünyanın her yanındaki hacker’lar bu canavarın yeni sürümlerini yaratma şansına kavuşmuş oldu. Kaspersky’ye göre hepsinin de ortak amacı PC’nizde fark ettirmeden varlıklarını sürdürmek. Zararlı yazılım, PC’nize kapağı attıktan sonra orada sessizce bekleyip parolalarınızı ve banka bilgileri gibi kişisel verilerinizi yazmanızı bekliyor, sonra da bunları çalıyor. Carberp’in (en azından şu ana kadar) yapılmış en korkunç sürümü, sisteminize kurulu antivirüs yazılımlarını devre dışı bırakabiliyor, hatta sistemden kaldırabiliyor. Bu da Carberp’in saptanmasını en son fidye yazılımlarına kıyasla bile daha zor kılıyor.
PC’nizin kökünü kazıyan rootkit’ler
Truva atlarının kendilerini gizleyen zararlı yazılımlar olduğunu söylemiştik. Rootkit’leri ise zararlı yazılımlarla dolu kaçakçılara benzetebiliriz. Bir rootkit sisteminize, muhtemelen sizi sahte bir linke tıklamanız için kandırarak sızdıktan sonra, zararlı yükünün gizli kalması için işletim sisteminizi hack’liyor.
Şu anda rootkit’lerin en korkuncu, Sophos güvenlik firmasının (bitly.com/popureb) “kötü şöhreti büyük, kendi küçük” bir rootkit olarak tanımladığı Popureb. Program kendi zararlı içeriğini görünmez kılmakla kalmıyor, kurbanın işletim sisteminin o kadar derinlerine yerleşiyor ki silmek için işletim sistemini yeniden kurmak gerekiyor. Microsoft, tüm rootkit bulaşmalarında Windows’un sıfırdan kurulmasını öneriyor.
Arka kapı saldırıları
Arka kapılar (backdoor) aslında zararlı yazılımlar değil, işletim sisteminizde veya kullandığınız yazılımlarda kasten yaratılan, böylece hacker’ların PC’nize hiç kimseye belli etmeden sızmasını sağlayan güvenlik açıkları. Truva atları, solucanlar veya diğer kötü amaçlı yazılımlar sisteminizde arka kapı açabiliyor. Bu türden bir zaaf yaratıldıktan sonra hacker’lar PC’nizi uzaktan kontrol edebiliyor. Arka kapı gizli kalıyor ve ileride başka arka kapılar açmak veya sisteminize yeni zararlı yazılımlar bulaştırmak için de kullanılabiliyor.
Gizlenen zararlılar
Şimdilerde hacker’ların kötü amaçlı bir yazılım yazarken dikkate aldığı ilk şey, yazılımın mümkün olduğunca tespit edilemez olması. Başvurdukları farklı teknikler var. Kimi yazılımlar antivirüsleri aldatmak için sunucularını değiştiriyor, böylece artık antivirüsün kara listesiyle eşleşmiyor. Bir başka gizlenme tekniği de zararlı kodu sadece kullanıcının belli eylemlerinden sonra çalışacak şekilde ayarlamak. Örneğin bir hacker, zararlı kodun sadece işletim sistemi önyüklemesi (boot) gibi sistemin savunmasız olduğu zamanlarda çalışmasını, onun dışında atıl kalmasını sağlayabiliyor.
Word’ü ele geçiren fidye yazılımları
Güvenli sandığınız bir dosyanın Truva atı çıkması yeterince kötü değilmiş gibi, güvenlik uzmanları Word dosyalarına gizlenmiş fidye yazılımları da bulmaya başladı. Office makroları (bir dizi eylemi otomatik olarak gerçekleştiren küçük ve yapılandırılabilir dosyalar) fidye yazılımlarına karşı daha savunmasız görünüyor. Bunun nedeni muhtemelen makroları indirmek için kullanıcıya soru sorulması. Şubat ayında araştırmacılar “Locky” adlı fidye yazılımının bir Word belgesinde zararlı makro olarak geldiğini keşfettiler.
Modem bot ağları
Bot ağı (botnet), spam e-postaları veya zararlı yazılımları başka PC’lere yaymak amacıyla birbirine ve internete bağlanmış, bir hacker’ın kontrolüne geçmiş bir dizi bilgisayara veya aygıta verilen addır. Eğer modeminiz, dizüstü bilgisayarınız ve hatta evinizin “akıllı” ısıtıcısı bot ağının bir parçasıysa bunu ruhunuz bile duymuyor. Haberiniz olmadan nasıl düzelteceksiniz ki?
Onion fidye yazılımı
Tor (www.torproject.org) kimliğinizi belli etmeden iletişim kurup internette dolaşmanıza izin veren ücretsiz bir yazılım. İnternet servis sağlayıcınız, Microsoft ya da başkaları Tor kullandığınızda izinizi süremiyor. Gazeteciler bilgi kaynaklarını korumak, gizli sırları ifşa edenlerse savaş suçlarını açıklamak için Tor’u kullanıyor. Ne yazık ki zararlı kodların izi sürülmeden dağıtılması ve konuşulması için hacker’lar da Tor’u kullanıyor. Hatta zavallı emektar Tor’un adını bile kötüye kullanan suçlular “Onion” adında bir şifreli fidye yazılımı geliştirmiş.
Bir diğer sinsi fidye yazılımı ise CryptoWall 4.0 adını taşıyor. Bu, şöhreti tüm dünyaya yayılmış CryptoWall fidye yazılımının, kurbanların PC’sinde saptanmasını engellemek üzere güncellenmiş yeni sürümü.
En kötüsüne hazırlanın
PC’nizde zararlı yazılım olma olasılığı büyük. Kaspersky’nin her yıl yayımlanan güvenlik bülteni, geçen yıl içinde tüm kişisel bilgisayarların %34’ünün “en az bir kez” saldırıya uğradığını açıklıyor ama gerçek rakamın daha yüksek olması çok olası.
Araştırma sadece Kaspersky Anti-Virus kullanıcıları üzerinde yapılmış. Kaspersky, birçok bağımsız testte üst sıralarda yer alan bir antivirüs yazılımı. O yüzden, daha zayıf yazılımlar kullanan ya da hiç antivirüs kullanmayanların bilgisayarlarında zararlı yazılım görülme olasılığı daha yüksek.
Dahası, araştırma sadece saptanan zararlı yazılımları kapsıyor. Tanınmayan zararlılar, tanım itibariyle bu listede yer almıyor.
İlk belirtilere karşı tetikte olun
Hastalık benzetmesine yeniden başvurmamız gerekirse, yatak döşek hasta olduğunuzda iş işten geçmiş demektir ve kurtulması güçtür. Enfeksiyonların ilk belirtileri çok hafiftir. Görmesi zor değildir ama gördüğünüzde ne olduğunu anlayamayabilirsiniz.
Benzer biçimde, yazılımlarınız çalışmayı reddettiğinde ya da ekranda sizden fidye isteyen bir mesaj boydan boya görüntülendiğinde sisteminiz çoktan ele geçirilmiştir ve temizlenmesi çok zor olabilir. Hatta herkesin o çok korktuğu işletim sistemini baştan kurma işlemini yapmadıkça temizlenmesi olanaksız bile olabilir. O yüzden, daha önemsiz belirtileri dikkate almanın yararını görebilirsiniz. (Yandaki kutuya bakın.)
Diğer çökme sebeplerini eleyin
Zararlı yazılım enfeksiyonlarının en bariz belirtilerinden biri de düzenli olarak gerçekleşen ancak sebebi belli olmayan çökmelerdir, fakat bu durumun nedeni pekâlâ hatalı sürücüler ya da donanımsal sorunlar da olabilir.
Donanım sorunlarından olup olmadığını öğrenmek için, kısa süre önce Windows 10 desteği de sunmaya başlayan WhoCrashed (bitly.com/who228) adlı ücretsiz yazılımla işe başlayabilirsiniz.
Sayfanın üst kısmındaki “Download” linkine tıklayın, açılan sayfada aşağı inip “WhoCrashed 5.x”i bulun ve “Download free lite edition”a tıklayarak ücretsiz sürümü indirin. Sürekli Next’e tıklayarak programı rahatça kurabilirsiniz: Beraberinde rahatsız edici programlar gelmiyor. Kurduktan sonra “Analyze” düğmesine basarak çökmelere teşhis koyabilirsiniz. Program size muhtemel şüphelilerin bir listesini sunmakla kalmıyor, Windows’un kendi karmaşık çökme kayıtlarından çok daha anlaşılır ve bilgilendirici raporlar da veriyor. Maalesef Türkçe desteği yok. O yüzden sonuçları anlamakta zorlanırsanız forumlarda başkalarına danışabilirsiniz.
Yazılım kurmayı istemiyorsanız NirSoft’un BlueScreenView adlı ücretsiz ve kurulum gerektirmeyen aracını kullanabilirsiniz. Bu yazılım, çökme sırasında neler olduğuna dair bir sürü bilgi sunuyor ve sorunun sorumlularını Google’da aramanıza izin veriyor. Eğer soruna sürücüler veya donanım hataları neden olmamışsa büyük ihtimalle bir zararlı yazılım söz konusu. Bir sonraki bölümde bunları nasıl tespit edeceğinizi anlatıyoruz.
