Hacker’ların yazdıkları virüsleri hepimiz biliriz. Bazı virüsler vardı ki Türkiye’de bilmeyen yoktur. Örneğin musallat virüsü, sality virüsü gibilerini örnek verebiliriz. Çünkü bunlar solucan diye adlandırdığımız bir virüs türevidir. Amaçları bilgi çalmak değil sadece sisteme zarar vermek, işleyişi sıkıntıya sokmaktır.
Truva atı, keylogger virüs türevlerinin amacı ise sistemde gizlice çalışarak veri aktarmaktır. Bunlar genellikle ilk yazıldıkları zaman antivirüs programları tarafından tanınmazlar. Bunun sebebi hacker’ların kullandıkları dil içerisinde, daha kaynak koddayken string girdilerini XOR, RC4 gibi algoritmalar ile şifrelemeleri, junk code yani gereksiz kodlar eklemeleridir.
Virüsler Nasıl Şifrelenir?
Virüslerin nasıl şifrelendiklerine detaylıca değinecek olursak; her bir virüs C++, VB.NET gibi programlama dilleri ile yazılmaktadır. Virüsün antivirüs yazılımları tarafından tanınmaması için antivirüs programları kaynak kod içerisinde hangi string girdilerini algılıyor ise, hangi fonksiyonları tanıyor ise bunların şifrelenmesi gereklidir.
Şifreleme konusunda değinmişken birkaç özel terime de değinmeden olmaz. Undetect, FUD, UD gibi terimler virüsleri şifreleme ve onların tanınırlığı konusunda hacker’lar arasında konuşulmaktadır.
Undetect: Bir virüsün tanınmayacak şekilde şifrelenme işlemine, şifrelenme aşamalarına verilen terime undetecting denilir.
FUD: Bir virüs eğer hiçbir antivirüs yazılımı tarafından tespit edilemiyorsa buna FUD virüs denilir. Yani 35/0 dediğimiz, 35 antivirüs tarafından algılanamaması durumudur.
UD: Eğer virüs 10 – 15 tane antivirüs tarafından algılanıyorsa fakat bir çoğu da algılamıyorsa UD virüs terimini kullanırız.
Jun Code: Gereksiz, çöp koda junk code denilir. Kaynak kod içerisinde gereksiz kodlar eklenerek antivirüs yazılımları bypass edilir.
Runpe: Virüslerin hard disk içerisinde açılmadan, kendilerini RAM’de çalıştırma işlemini sağlayan kod bölüğüne runpe denilir. Bu sayede antivirüs yazılımlarından runtime anında kaçırılabilirler. (Çalıştırılma zamanı)
Scantim: Eğer bir virüs çalıştırılmadan, antivirüs yazılımı tarafından tarandığı takdir de tanınmıyorsa scantime virüstür.
Runtime: Eğer çalıştırıldığında tanınmıyor ise runtime virüstür.
Virüsler Tanınmadan Ne Kadar Süre Kalabilirler?
Evet her virüs eninde sonunda antivirüsler tarafından tanınacaktır. Bunun için bir antivirüs yazılımının virüsten şüphelenerek laboratuvara göndermesi ve incelenmesi gereklidir. İnceleme sonucunda virüs olduğu tespit edilirse anında güncelleme yayınlanır ve kısa sürede tanınır. Bir virüsün tespit edilebilme ömrü kullanım sıklığına göre değişim gösterse de bir ila iki ay arasında değişir.