1 Temmuz 2009 Çarşamba

FLASH DİSKLERDEN YAYILAN VİRÜSLER

Hayatımıza bir anda girdiler ve adeta vazgeçilmez oldular. Daha öncesinde disketti, CD idi, DVD idi neler neler taşıdık yanımızda. Ancak hiçbirisi bu kadar küçük bu kadar kullanışlı olmamıştı. Evet depolama ortamlarının bence kralı flash disklerden bahsediyorum.

Özellikle ipod ve türevleri müzikçalarların da yaygınlaşması ile flash disklerden yayılan virüslerin yarattığı tehlike azımsanamayacak düzeye ulaştı. Özellikle biz avukatlar için bu sorun biraz daha katmerli hissediliyor. UYAP ile icra takiplerinin elektronik ortamda Adliye' ye getirilmesi mecburiyeti, flash diskleri avukatların vazgeçilmez gereçleri arasına soktu.

Adliyelerde bulunan icra tevzi bürolarındaki bilgisayarlara günde yüzlerce flash disk bağlanıyor. Böyle olunca da haliyle virüsler bu ortamlarda cirit atıyor. Bu virüslerin hemen hemen hepsinin ortak özelliği yerleştikleri flash diske hemen autorun.inf veya benzeri bir dosya atmaları. Böylece bağlandıkları bilgisayarlarda hemen aktif hale gelebiliyor ve yayılmaya da devam ediyorlar.

Oldukça çok sayıda bu tip virüs var. Benim sanal alemde yaptığım kısa bir araştırma belirleyebildiklerimin listesi altta:

1. $lddata$
2. __.*
3. _defau~1.pif
4. _exp1orer.exe
5. _istmpi.dir
6. _noteped.exe
7. _sv_cmd_
8. 111.exe
9. 3g08.bat
10. 3wcxx91.cmd
11. 8ng8w.com
12. 8ot8y86.exe
13. 8u.com
14. ac12594
15. Ad22098
16. adober.exe
17. aikelyu.html
18. alecks.*
19. amvo.exe
20. amvo0.dll
21. amvo1.dll
22. an16554
23. autorun.*
24. avpo*.*
25. awkeygen.exe
26. azkaban.*
27. bacabr~1.txt
28. bar311.exe
29. blastcln.exe
30. blastclnnn.exe
31. boot.exe
32. ccprxy.exe
33. copy.exe
34. crss.exe
35. ctfmon.exe
36. d.com
37. mdm.exe
38. desktop.exe
39. desktop.ini
40. destrukto.*
41. destrukto.vbs
42. dismgnt.exe
43. dllhost.com
44. dnscon70.dll
45. dv6191~1
46. dv6211~1
47. dv6333~1
48. exiplorer.exe
49. exp1orer.exe
50. explorar.vbs
51. explorer.exe
52. explorer.vbs
53. folder.htt
54. FS6519.dll.vbs
55. Funny UST Scandal.avi.exe
56. funnyu~1.exe
57. g2p3s.exe
58. gwe(i~1.exe
59. h.cmd
60. h2.com
61. homepage.html
62. host.exe
63. ie.exe
64. iexp1ore.exe
65. ilove.exe
66. imgkulot.*
67. infrom.dat
68. infrom.exe
69. intern~1.lnk
70. isass.exe
71. j6154022.exe
72. j6154022.exe
73. jalak-~1.com
74. jay.exe
75. jaymeyka.wen9.com
76. kavo.exe
77. kavo0.dll
78. kavo1.dll
79. kernel~1.vbs
80. kernell.dll.vbs
81. killer.exe
82. -.exe
83. krag.exe
84. kragdor.log
85. kulitut.*
86. ld.exe
87. ldjs.txt
88. ldlist.txt
89. ldup.exe
90. ldupver.txt
91. lsass.exe
92. lsasse~1.exe
93. maskrider2001.vbs
94. mdm.exe
95. mgrShell.exe
96. mma.bat
97. mma.reg
98. mma.vbs
99. ms.config
100. ms.config`.exe
101. ms32dll.dll.vbs
102. MS32DLL.dll.vbs
103. ms-dos
104. msinfo
105. msrm
106. mstcpcon20.dll
107. msvcr71.dll
108. mswinsck.ocx
109. mveo.exe
110. myfold~1.com
111. n1deiect.com
112. n2847
113. n5619
114. n8127
115. netmanage.dll
116. netsvcs.exe
117. netused.dll
118. new document.exe
119. new folder.exe
120. newdoc~1.exe
121. newfol~1.exe
122. noteped.exe
123. nt.config
124. ntde1ect.com
125. ntkros.dll
126. ntsys.exe
127. o4154027.exe
128. ofcpfwsvcs.exe
129. p3r1ud.exe
130. passwo~1.exe
131. Password:winzip123
132. password_viewer.exe
133. pc-off.bat
134. pet32.exe
135. phs.zip.exe
136. photos~1.exe
137. poogs.vbs
138. pooh.vbs
139. ratedr~1.com
140. ravmone.exe
141. ravmonlog
142. recycled
143. recycler
144. recycler.exe
145. redelbat.bat
146. rm
147. rootfo~1.com
148. S2pidwaraynon.html
149. s5421
150. s6939
151. s8787
152. Say No To Drugs - iloveher.exe
153. scvhost.exe
154. scvhosts.exe
155. scvhsot.exe
156. scvshosts.exe
157. scvvhsot.exe
158. SecretStub.exe
159. sender.vbs
160. setting.ini
161. setup
162. setup.exe
163. sexvid~1.exe
164. snt~1.exe
165. SilentSoftecth.exe
166. smss.exe
167. spoclsv.exe
168. sqlserv.exe
169. sscvihost.exe
170. sscviihost.exe
171. ssvichosst.exe
172. startu~1.com
173. svchosl.exe
174. svchost.ini
175. svchost32.exe
176. svhost.exe
177. svhost32.exe
178. svohost.exe
179. svshost.exe
180. sxs.exe
181. sy.exe
182. SY20118
183. t.exe
184. test.*
185. ttms*.dll.vbs
186. ugqe
187. VBS_SOLOW.A (Taga Lipa Are, Taga Xpress-On Kami, Taga Eti, Marinduque Mabuhay, Malaysian, Hackers, Protected by CPCT, Hacked by-Godzilla, M00zilla, YaHaa,”Your Firewall is Fuck”, Zay, UC).
188. vhost.exe
189. wincab.sys
190. winconfig.dll.vbs
191. winkrnl.exe
192. winlogon.exe
193. winscok.dll
194. wintask.exe
195. wmiprvse.exe
196. WORM_ONLINEG.TCZ (q83iwmgf.bat)
197. wscript.exe
198. wsctf.exe
199. wvcst.*
200. x.com
201. x264~1.exe
202. xn1i9x.com
203. ymworm.exe
204. zelurm~1.exe
205. zllictbl.dat

Bunlar bulaştıkları sistemlere çok çeşitli zararlar verebiliyorlar; ama öncelikle hissedeceğiniz şey bilgisayarınızın oldukça yavaşlaması olacaktır. Örneğin yukarıdaki listeden “amvo.exe” adlı virüs, bilgisayarınızdaki gizli dosyaları göstermeyi engelliyor. “sscvihost.exe” ise, görev yöneticisinin (task manager) açılmasını engelleyerek sistemi çok yavaşlatıyor.

Antalya Adliyesi' nde rastladığımız virüs de bunlardan biri. Hemen yerleştiği yerdeki dosyanın bir adet de çalıştırılabilir olanını yaratıyor. Örneğin ahmetborcsever.doc adında bir belge dosyanız var, virüs hemen ahmetborcsever.exe diye bir dosya üretiyor. Eğer bu iş harddiskinize de sıçrarsa orada da her dosyanın .exe uzantılısını görmeniz an meselesi.

Anılan flash disk virüsü gerek Adliye' deki baro odalarındaki bilgisayarları kullandığımdan, gerekse de icra tevzi bürosundaki bilgisayardan bana da bulaşmaya çalıştı. Ancak işletim sistemi olarak Pardus kullandığımdan başarılı olamadı. Hep söylediğimiz gibi dünya üzerinde yazılmış virüslerin tamamına yakını Windows işletim sistemi üzerinde çalışıyor. Tabii ki linuxda da etkili olan virüsler var; ancak bu tipler sadece bir tür linuxda çalışabilir.

Örneğin Mandrake Linux için yazılan virüsün Pardus' da çalışması söz konusu olmaz. Ayrıca linuxda virüslerin bulaşmasını engelleyen etkili bir önlem de var. Windows' da varsayılan olarak ayarlanmışın aksine sisteme müdahale ancak yönetici haklarına sahip olan kullanıcı tarafından yapılabilir. Dolayısıyla benim flash diskteki virüs de yayılamadan kaldı. Yetkili kullanıcı ile flash diski açıp Windows' da silinmesi mümkün olmayan virüslü dosyaları tamamen sildim.

Ancak bu Adliye' de yaşadığımız sorunları çözmüyor; halihazırda bilgisayarlar virüs yaymaya devam ediyor. Benim çözüm önerim, en azından baro odalarındaki bilgisayarlara işletim sistemi olarak Pardus yüklenmesi. İcra tevzii bürosundaki bilgisayara ise güçlü bir virüs koruma programı yüklenmesi; zira orada Pardus' un yüklenmesi için belli izinlerin alınması gerekir.
Av. Yusuf İŞLER