Virüslere Geçit Yok!
Dikkat! Uzun bir sessizlikten sonra virüsler tekrar azıttı. Neyse ki anti-virüs programları güncel sürümlerinde yeni virüsleri yakın takip altına alıyor. Yeni çıkan virüsleri, trojan ve wormları tanıyın, virüslere geçit vermeyin!
Birkaç zamandır virüslerden yana pek şikayetimiz yoktu. Hani neredeyse virüs yazanlar kış uykusuna yatmış ve bizi rahat bırakmışlardı. Hatta bazılarımız virüs tarama programlarının zaferini ilan etmeye hazırlanıyordu. Tıpkı korku filmlerindeki gibi sessizliğin ardından vahşi bir kükreme duyuldu. Önce Win.CIH ortalığı duman etti, ardından bir sürü yeni virüsün adı duyuldu.
Sizin bilginiz ve rızanız olmadan bilgisayarınızın çalışma şeklini değiştirerek, uygulamalarınıza ve dosyalarınıza zarar veren programlara virüs deniliyor. Bilgisayar kullanıcılarının çoğu virüs yazanları bir yakalasam bacaklarını kırmadan bırakmam diye yakınıyorlar. Bu biraz zor ama hiç olmazsa virüsleri tesirsiz hale getirmek mümkün. En iyi virüs ölü virüstür.
Önce hep birlikte virüslerin neye benzediğini öğrenelim, worm ve trojan'lar hakkında da bilgi sahibi olalım, son aylarda ortalığı kasıp kavuran virüsleri daha yakından tanıyalım ve hepsinin birden canına okuyalım. Virüslere Ölüm!
Virüsleri bir kez daha tanımlayalım. Bir bilgisayar virüsü, çalışabilir dosyalarınızdan birine 'kaynak yaparak' yapışan ve sistematik olarak dosyadan dosyaya bulaşan program kodu parçasıdır. Virüsler kendiliğinden ortaya çıkmaz, birileri tarafından yazılırlar ve belli bir amaca yönelik olarak çalışırlar. Genellikle iki amaca yönelik olarak çalışırlar:
l Sizin müdahaleniz olmadan, hatta bilginiz olmadan kendini yeni yeni dosyalara yazar, çoğalır. Buna üreme ya da yayılma denilebilir.
l Virüsü yazan bilgisayar teröristinin planladığı şekilde semptom veya hasarı oluşturmak için çalışmalarına başlar. Burada semptom, hasar ve terörist sözcüklerini abartma sanatı yapmak için kullandığımız sanılmasın sakın. Virüsün verebileceği hasar diskinizin tamamen silinmesi, programlarınızın çökmesi, beklenmedik bir anda çakılması, bilgisayarınızda yazılım namına bir şey kalmaması ve hatta en son Win.CIH örneğinde de görüldüğü gibi donanım bileşenlerinizin zarar görmesi olabilir.
Virüslerin de kanser gibi iyi huylu ve habis olanları var. Orası virüsü yazanın paşa gönlüne kalmış. İsterse "ha ha ben buradaydım" diye bir imza atar ve sağı solu fazla kurcalamaz, isterse bilgisayarınızın canına okur, ortalığı darma duman eder.
Bilgisayarınıza gerçek anlamda bir zarar vermek üzere tasarlanmamış olan virüslere iyi huylu virüs denir. Önceden belirlenmiş bir gün ve saate kadar saklanıp tam o anda ortaya çıkarak "böö" yapan virüsler çoğunlukla bu türden. Epey panik yaratıyorlar.
Habis virüs ise bilgisayara zarar vermeye yönelik olarak çalışıyor, ve bulaşıcı hastalık gibi dosyadan dosyaya yayılıyor. Bu virüslerin çoğu kötü niyetli programcılar tarafından zarar vermek amacıyla yazılıyorlar ama bazıları da iyi niyetli ve beceriksiz programcılar tarafından kazara yazılıyorlar. Bazı buglar aynı zamanda teknik olarak bir virüs sayılabilecek kadar zararlı faaliyetler yapabiliyorlar. Bir virüs tarafından enfekte olmuş program aniden kapanabilir ya da belgelere yanlış bilgi yazabilir. Veya virüs bilgisayarınızın sistem bölgesindeki dizin bilgilerini değiştirebilir. Bu durumda bazı dosyalarınızı bulamaz ve bazı programları çalıştıramazsınız.
VİRÜSLERİN ŞAKASI YOK!
Çağımızdaki özgür bilgi akışı ve paylaşımı üzerindeki en ciddi tehdidin virüsler olduğunu söylemek abartı sayılmaz. Virüslerin yaygınlaşması sayesinde veri güvenliği mekanizmaları da hayli gelişti. Ama güvenlik önlemleri almadığınız takdirde ölümcül riskler aldığınızı unutmamanız lazım. Bir taraftan panik yaparak ortalığı birbirine katanların, diğer taraftan eğlence olsun diye sahte virüs alarmı vererek yalancı çobanlık yapanların yarattığı bulanık durum kafanızı karıştırmasın. Virüsler var, ve sisteminize bir girerlerse hiç şakaları yok. Amerikalılar, bilgisayar suçlarını araştırmak ve önlemek için bir kamu kurumu bile oluşturmuşlar, kaybettirdiği zaman hariç olmak üzere, her yıl yaklaşık 550 milyon dolarlık zarar veren bir bela ile uğraşmak için değer. Bunun yanında yazılım şirketleri bir araya gelerek tedbirleri görüşüyorlar. Büyük şirketler de ağlarındaki muhtemel virüs tehditleriyle başa çıkabilmek için birimler oluşturuyor ve politika saptıyorlar. İster polis bilgisayarı isterse banka bilgisayarı olsun virüslere bağışıklığı olan ve kendisine virüs işlemeyen bir bilgisayar yok. Bir uzay mekiğini harekete geçiren programın virüs kaptığını hayal edebiliyor musunuz? Ya da hava limanlarındaki hava trafik kontrol bilgisayarlarının virüs yüzünden yanlış bilgi gönderdiğinde neler olabileceğini düşünebiliyor musunuz? Daha yakın bir örnek verelim: Çalıştığınız şirkette maaşlar ödenmeden bir gün önce muhasebecinin bilgisayarlarındaki veriler silinirse ortalık birbirine girmez mi? Bunlar hayal ürünü değil, virüsler böyle şeyleri gözlerini bile kırpmadan hunharca yapıyorlar, yeter ki siz bilgisayarınızı savunmasız bırakın.
VİRÜS ÇEŞİTLERİ
Virüslerin bir başka programa yapışarak yayılma yöntemini izlediğinden sözetmiştik. Bir virüs Word ya da Excel gibi her gün kullandığınız programlara yerleşerek de çoğalabilir, disketlerin boot sektörüne kendini yazarak da. Virüsü kapmış dosya çalıştırıldığında veya bilgisayar virüslü disketten açıldığında virüs icraatına başlar. Genellikle yaptığı ilk iş gidip belleğe yerleşmek ve enfekte etmek için orada sinsi sinsi kurban beklemek olur. Bir sonraki çalışan program ya da takılan bir sonraki disket virüsün hedefi olur. Çoğu virüs belli bir tarihe gelindiğinde ya da virüslü program belli sayıda çalıştırıldığında üremenin dışında bir faaliyete daha başlar. Bu, ekrana bir mesaj ya da resim çıkarmak gibi masum yaramazlık sayılabilecek bir faaliyet de olabilir, ekran ayarlarınızı değiştirerek ya da sistem performansını yavaşlatarak orta seviye zarar veren bir faaliyet de olabilir, sistem çökmelerine, veri kaybına ve dosyaların hasar görmesine yol açan insafsız bir faaliyet de olabilir.
DOSYAYA BULAŞAN VİRÜSLER
Bu virüsler .COM ve .EXE uzantılı dosyaların kaynak koduna kendilerinin de bir kopyasını eklerler. Bazı durumlarda .SYS, .DRV, .BIN, .OVL ve .OVY uzantılı dosyalara da bulaşırlar. Bazen bellekteki virüs bulaşmak için dosyanın açılmasını beklemek zorunda kalmaz, sadece açıldığı zaman örneğin DOS'ta DIR çekildiği zaman hepsine bulaşır. Erişebildiği dizindeki tüm dosyalara doğrudan bulaşabilen virüsler de bulunuyor. Dosyaya bulaşan virüslerin çoğu EXE dosyanın başlangıç kodunu alır ve dosya içinde başka bir yere yazar. Dosya çalıştırıldığında önce virüs harekete geçer, başlangıç kodunu çalıştırır ve sanki her şey yolunda gidiyormuş gibi görünür. Bazıları .exe uzantılı dosya ile aynı isimde ama soyadı .com olan bir dosya yaratarak içine kendi kodunu kopyalar. DOS tabanlı işletim sistemleri önce .com uzantılı dosyaya bakacağı için farkında olmadan virüsü çalıştırmış olursunuz.
BOOT SEKTÖRÜ VİRÜSLERİ
İster sabit diskte ister diskette olsun A, C, D, E olarak bildiğimiz mantıksal bölümlerinin her birinin bir boot sektörü vardır. Bu disk ya da disketten bilgisayar açılamıyorsa da durum değişmez, illa boot edilen bir disk olması şart değil. Boot sektöründe diskin formatı ve depolanmış verilerin bilgileriyle DOS'un sistem dosyalarını yükleyen boot programı bulunur. Meşhur "Non-system Disk or Disk Error" mesajını bu program, sistem dosyalarını bulamadığı zaman gönderir. Bir boot sektör virüsü sistem dosyalarını bozduğunda da bu mesajı alırsınız. 1996 yılına kadar en yaygın virüs tipi bunlardı. Boot disketinden belleğe geçer ve yazma koruması olmayan her türlü diskete eriştiği anda bulaşır.
MASTER BOOT RECORD VİRÜSLERİ
Sabit disklerin ilk fiziksel sektörlerinde (Side Ø, Track Ø, Sector 1) diskin Master Boot Record'u ve Partition Tablosu vardır. Master Boot Record'un içindeki Master Boot programı partition tablosundaki değerleri okur ve boot edilebilir partition'ın başlangıç yerini öğrenir. Sisteme o adrese git ve bulduğun ilk program kodunu çalıştır komutunu gönderir. Bu virüsler de tıpkı boot sektör virüslerinde olduğu gibi bulaşırlar. Virüslü bir disketten makineyi açarken virüslü boot sektör programı okunur ve çalıştırılır, virüs belleğe yerleşir ve sabit diskin MBR'ını (Master Boot Record) bozar. Her disk ve disketin bir boot sektörü olduğuna göre sistem disketi olmayan veri disketlerinden de bulaşma ihtimali vardır.
MULTİ-PARTITE VİRÜSLER
Multi-partite virüsler yukarıda sözedilen iki tür virüsün kombinasyonudur. Bu tür virüslere daha az rastlanıyor ama rastlanma oranı da giderek artıyor. Hem MBR, hem boot sektörü ve çalıştırılabilir dosyaları bozarak yayılma şanslarını artırıyorlar.
MAKRO VİRÜSLERİ
Son zamanlarda en çok rastlanan virüs tipi bu. Adından da anlaşılacağı gibi bu tür virüsler Microsoft Word ve Excel gibi popüler uygulama programlarının makro dilleri kullanılarak yazılıyorlar. Makro'lar veri dosyalarında kaydedildiği için virüslü bir belge açıldığında virüsün makro kodu çalışmaya başlayarak ne yapacaksa yapıyor. İlk olarak 1995 yılında görülen bu virüs türü Microsoft Word'ün şablon belgelerini bozuyordu. Bir yıl içinde tarihin en yaygın ve başarılı virüs türü haline geldi. Bu başarıda en büyük pay Word'un çok yaygın kullanılan bir uygulama olmasında ve insanların Internet üzerinden birbirlerine bol miktarda Word belgesi göndermesinde gizli. Makro virüslerinden ilkinin adı WM.Concept idi.
Kendisi pek zararlı olmayan bu virüs bir makro ile de virüs yapılabileceğini ispatlaması açısından önemli sayılmalı. WM.Concept virüsünün kaynak kodu gizli değildi, bu yüzden yeni makro virüsü yazmak isteyenler alıp üzerinde küçük değişiklikler yaparak tekrar ortalığa saldılar. Birkaç ay içinde yüzlerce makro virüsü tespit edildi ve kayıtlara geçirildi.
GİZLENME YÖNTEMLERİ
Virüsler kendilerini gizlemek için çeşitli teknikler kullanırlar. Ne kadar uzun süre yakalanmadan sistemde kalabilirlerse o kadar çok dosyayı bozar ve yayılırlar. Bu yüzden uzun süre yakalanmayan virüsleri yazanlar kendilerini başarılı virüs yazarı sayar. Virüs tarayan yazılımlardan gizlenmek en virüslerin en sık başvurduğu yöntem Polymorphism'dir. Bir virüs tarama programı çalışırken virüsün imzası denilen bir belirli byte dizisi arar. Virüsü buradan tanır. Virüs, zarar verici fonksiyonlarını değiştirmeden bu byte dizisi üzerinde küçük değişiklikler yaparak tanınmaz hale gelebilir. Kendini tanınmaz hale getirmeye çalışmanın yanında bazı virüsler verdikleri zararı da gizlemeye çalışırlar.
Örneğin boot sektörünü okumaya yönelik bir talep geldiğinde hemen bir başka yerde sakladığı orijinal boot sektörü çıkarıp onu gösteren boot sektörü virüsleri vardır. Ya da dosyaların byte cinsinden uzunluğuna bakarak virüslenmiş olup olmadığını anlayan virüs tarama programlarına o dosyanın eski uzunluğunu vererek kandırabilen dosya virüsleri vardır.
NASIL YAYILIR?
Virüslerin yayılma biçimi ve hızı konusunda epey batıl inanç var. Zip'lenmiş dosyalarda asla virüs olamayacağı, Internet'e bağlanınca virüs kapılacağı gibi yanlış inanışlar var.
Boot sektör virüsleri disketlerden yayılır, PC'nizin içinde virüslü disketi bırakıp, bir sonraki açma teşebbüsünüzde "non-system disk" mesajını alıp "ay pardon, içinde disketi unutmuşum" diyerek disketi çıkarıp herhangi bir tuşa basarak boot etmeye devam edersiniz. Bu pek de az rastlanır bir durum değildir. Böyle bir durumda artık PC'niz gelen yazma korumasız her disketin boot sektörüne virüs bulaştıran bir canavar haline geldi, geçmiş olsun. Birkaç yıl öncesine kadar virüslerin temel yayılma biçimleri buydu. Bir diskete sadece erişmek boot sektör virüsü almak anlamına gelmez, PC'nin o disketten açılmaya çalışılması lazım, boot eder ya da edemez o ayrı mesele ama her halükarda virüsü bulaştırır. PC'yi disketten açmamak ve içinde disket unutup kazara ondan boot ettirmemek gerek.
.EXE ve .COM uzantılı virüslü dosyalar bir bilgisayardan başka bir bilgisayara taşındığı an henüz virüs faaliyetine başlayamaz. Başlayabilmesi için virüslü dosyanın çalıştırılması gerekir.
Makro virüsleri ise virüslü Excel ya da Word belgesi açıldığında harekete geçerler ve uygulamanın erişebildiği diğer belgelere de bulaşırlar. Virüslü Word ve Excel dosyaları çoğunlukla e-mail'e iliştirilmiş olarak geldikleri için de e-mail'in adı kötüye çıktı. E-mail ile ASCII ya da belki biraz daha karmaşık bir formatta ama en nihayetinde sadece veri alırsınız. E-mail okumak virüs bulaştırmaz. Ama ilişikteki .exe, .doc ve .xls uzantılı dosyaları virüs kontrolünden geçirmeden açmak tehlikeli.
Internet'teki tanınmış download siteleri dağıttıkları dosyalar için virüs kontrolü yapıyorlar. Bu yüzden dosya download ediyorum derken virüs download etmenizin ihtimali çok yüksek değil. Ama yine de tedbirli olmakta fayda var. CD'lerde de virüs olabilir. Saygın dergiler verdikleri CD'leri virüs kontrolünden geçiriyorlar. Doğu Avrupa'da yapılmış kopya oyun veya erotik CD'leri kontrolden geçirmeden sisteminize kuruyorsanız hayli büyük bir risk alıyorsunuz demektir.
Eğer kendi bilgisayarınızı virüslerden koruyabiliyorsanız, virüslere karşı savaşta önemli bir katkıda bulunuyorsunuz denilebilir. Çünkü yapılan araştırmalara göre dünyadaki PC'lerden üçte biri bile güncel bir virüs tarama programıyla sürekli koruma altında tutulabilirse bir süre sonra virüsler yok denecek kadar azalacaklar yeni virüsler de fazla yayılamadan bir yerlerde yakalanıp yok edilecekler. Bu yüzden henüz kurmadınızsa PC'nize anti-virüs yazılımlarından birini kurmanızda sayısız fayda var. Bu yazılımın Windows'ta sanal aygıt sürücüsü (VxD) biçiminde çalışarak sürekli gözetim yapanlardan olması güvenlik açısından daha iyi. Eğer BIOS yonganız destekliyorsa disket sürücüden boot etmeyi ilk olarak denemesini önleyip öncelikle sabit diskten boot etmesini sağlayarak ekstra bir tedbir daha alabilirsiniz.
HER HAŞERE VİRÜS DEĞİLDİR
Virüs olarak bilinen ama teknik anlamda virüs sayılamayacak olan çok sayıda program da var. Bunların bir kısmı bambaşka amaçlar için tasarlanmış numarası yaparak sızan ama sonuçta farklı ve istenmeyen işler yapan programlar. Sızma tarzından ilham alınarak bunlara Trojan adı verilmiş. Mitolojideki ünlü Truva atı efsanesini bilirsiniz. Kocaman tahta bir at kaleden içeri alınır, ama içinden düşman askerleri çıkarak kaleyi ele geçirirler. Truva atı programlar da çok tehlikelidir, sabit diskinizi formatlamak, dosyaları silmek ya da çökertmek gibi son derece yıkıcı işler yapabilirler. Yine virüs olmayan ama yaygın bir endişe uyandıran "hoax"larla ilgili bilgi sahibi olmakta da yarar var. Virüs korkusu yüzünden özellikle e-mail yoluyla birbirini uyarmak ve bilgilendirmek için başlayan zincir giderek neredeyse virüsün kendisi kadar zarar verebiliyor. Bazen tamamen asılsız, bazen sizin kullandığınız işletim sistemine zarar vermeyen virüsler hakkında da boş yere endişelenmemek için anti-virüs yazılım şirketlerinin Web sitelerine bağlanarak yaygın hoax'ların neler olduğuna bir göz atmak hiç fena olmaz.
VİRÜSLERİN KİMLİK KARTLARI
O97M.Tristate
Virüsün Adı: O97M.Tristate
Takma Adı: O97M.Triplicate
Ne kadar alanı etkiliyor?: 1 VBA5 modülü
Nerelerde etkili?: MS Word 97, MS Excel 97, MS PowerPoint 97 dosyaları
Yaygınlık: Az
İlk Rastlandığı Yer: ABD
Türü: Makro
VİRÜS yazanlar arasında bu virüs gibi farklı farklı uygulamalarda etkili olabilen virüsler giderek moda oldu. Bu virüs Excel'de Book1 adlı bir dosya yoksa MS Excel'in başlangıç dizinine bu isimde bir belge yazıyor. PowerPoint'in Şablonlar dizinine "Blank Presentation.POT" adlı bir belge yazıyor. Benzer bir şekilde Word'un normal.dot'unun sahtesini yapıyor. Bu şablonlarda virüslü kod gömülü. Virüs tarama programları şimdilik PowerPoint'deki zararı onaramıyorlar. İş başa düşüyor. Virüslü sunumu açıp, Görünüm menüsünden Asıl Slayt'ı seçin. Slaytın kenarına tıklayıp Otomatik Şekil Nesnesini seçin ve silin. Visual Basic editörü ya da proje gezgini yardımıyla "Triplicate" adlı bir dosya var mı diye bakın, varsa onu da silin. Dosya/Aç menüsünden şablonlara gidip "Blank Presentation.POT" adlı bir dosyaya rastlarsanız onu da silin. Geçmiş Olsun.
W97M.Nono.A
Virüsün Adı: W97M.Nono.A
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: MS Word 97 belgesi
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Makro
SİSTEMDEN sizin adınızın ve soyadınızın baş harflerini alarak bu isimde bir Visual Basic Uygulaması (VBA) modülü yazıyor. Bunu NORMAL.DOT başta olmak üzere şablonlara yazmaya yöneliyor. Bunu yaparken C:\FALSE.BAT veya C:\TRUE.BAT adında geçici bir yığın dosyası yaratıyor. Her saatin 30'uncu dakikasında durum çubuğundan ":-) VicodinES" yazısı geçiyor ve yukarıdaki çubukta dosya adı yerine "Microsoft Word Loves " yazıyor.
Yeni virüs tarayıcıları bu virüsün hakkından geliyorlar. Ama yine de Normal.dot'u silmeniz gerekiyor. Adınızın baş harflerinden yapılmış dosya ile false ve true yığın dosyaları artık zarar veremiyor ama silmek daha güvenli. Araçlar/Seçenekler menüsüne gidip virüsün iptal ettiği seçenekleri tekrar aktif hale getirmeniz de gerekiyor.
X97M.Sugar
Virüsün Adı: X97M.Sugar
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: MS Excel 97 tablosu
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Makro
ADININ şeker gibi olduğuna bakmayın, bu virüs bütün Excel tablolarına virüslü kod gömüyor. Kullanıcı adı ile aynı olan bir geçici klasör yaratıp, örneğin C:\Ahmet SARI adlı geçici klasöre ismi rastgele oluşturulmuş metin dosyaları yazarak orada çalışıyor. Office\XLSTART klasörüne virüslü bir "BOOK1." dosyası yazıyor. Eğer kullanıcı VBA modülüne rastlarsa bu modüle de Auto_Close alt fonksiyonunu ekliyor. Çalışmak için kullandığı geçici metin dosyasını kazara ya da bilinçli olarak silerseniz kızıyor, "Why Did You Remove Sugar?" diye bir mesaj gönderiyor. MS Excel'in Makro virüslerinden korunma özelliğini de kapatıyor. Bunu tuhaf bir şekilde epey dolaylı bir yoldan yapıyor. Word'e bir AutoExec makrosu ekliyor ve çalıştırıyor. Bu AutoExec makrosu Windows Registry'sine giderek Excel'in makro virüs koruma özelliğinde bulunan değeri siliyor. Artık Excel makrolu belgeleri açarken virüs olabilir uyarısı yapamaz hale geliyor.
Bu virüsü temizlemek için XLSTART klasöründeki "BOOK1." dosyasını silmeniz gerek. Virüs tarama programlarından bazıları dosyayı onarabiliyorlar ama silmek çok daha güvenli. Eğer virüs bir kullanıcı modülüne Auto_Close eklemişse bunu farketmeniz o kadar kolay olmayabilir. Virüs tarama programları önce onarmayı deneyecek onaramazlarsa sileceklerdir.
Eğer o modülün bir yedeği varsa üstüne yazdırmak iyi bir çözüm, yoksa elle de düzeltebilirsiniz. Son olarak kök dizindeki kendi adınızla aynı olan klasörü silip, Araçlar/Seçenekler menüsünden Excel'in makro virüslerinden korunma özelliğini yeniden aktif hale getirmeniz gerekiyor.
W97M.Cali.A
Virüsün Adı: W97M.Cali.A
Takma Adı: W97M/Caligula
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: MS Word 97 belgesi
Yaygınlık: Az
İlk Rastlandığı Yer: ABD
Türü: Makro
W97M.CALİ.A makrosu bir belge ya da şablona Caligula adlı bir Visual Basic modülü ekliyor. Bunu yaparken "C:\IO.VXD" adlı geçici bir metin dosyası yaratarak onu kullanıyor. Gizlenebilmek için epey dolaplar çeviriyor. Dosya menüsünden Şablon, Araçlar menüsünden Özelleştir, Makro ve Visual Basic Editörü seçenekleri ile Görünüm menüsünden Araç Çubukları ve Durum çubuğu seçeneklerini etkisiz hale getiriyor. Böylelikle kullanıcının belgedeki makro ve VBA modüllerini kontrol etmesini zorlaştırıyor. Bu durumda Word makrolu belgeleri açarken uyarı vermiyor. Ayın 31'i ise virüslü dosyaları kapatırken şu mesajı alıyorsunuz: "WM97/Caligula (c) Opic [CodeBreakers 1998] : No cia, No nsa, No satellite, Could map our veins." Virüsün yorum satırına "Sende silah varsa ve karşındakinde yoksa ancak o zaman güvende olursun" diye yazmışlar. Virüsün yarattığı "C:\IO.VXD" ve "C:\CDBRK.VXD" geçici metin dosyalarını silmek şart değil ama iyi olur. Normal.dot'u silip Word'un otomatik olarak yaratacağı yeni Normal.dot'u kullanırsanız virüsten kurtuluyorsunuz.
W97M.Ethan.A
Virüsün Adı: W97M.Ethan.A
Takma Adı: Ethana
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: MS Word 97 belgesi
Yaygınlık: Sık
İlk Rastlandığı Yer: Avrupa
Türü: Makro
W97M.ETHAN.A makrosu virüs kodunu "ThisDocument" adlı MS Word 97 şablonu VBA modülünün başına yazıyor. Bu modül varsayılan bir modül olduğu için araçlar menüsünün makro listesinde bulunmaz. Faaliyeti sırasında gizli bir sistem dosyası olarak işaretlenmiş "C:\ETHAN.___" adlı geçici metin dosyasını yaratır. Word dosyalarınızın başlığı, yazarı ve anahtar sözcükleri artık sizin adınız değil virüsü yazanın adı haline gelir, bu yüzden virüslü bir belgeyi ayırdetmek kolaydır. Anti-virüs programları ile "ThisDocument" modülünü onarmayı deneyin, eğer bu modülü daha önce kendiniz değiştirerek özelleştirmişseniz yeni baştan değerleri girmeniz gerekecek.
W97M.Marker
Virüsün Adı: W97M.Marker
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 1 VBA5 modülü
Nerelerde etkili?: Microsoft Word 97 belgeleri
Yaygınlık: Sık
İlk Rastlandığı Yer: Kanada
Türü: Makro
W97M.MARKER çok yaygın bir makro virüsü. Bu yazıda sözü geçen diğer virüsler gibi son bir-iki ay içinde üretilmiş değil, birkaç ay daha eski. W97M.Class virüsüne benziyor, faaliyeti sırasında "HSF****.SYS" adlı (buradaki dört yıldız yerine rastgele üretilmiş dört rakam düşünün) bir metin dosyası yaratıyor. Word 97'nin kaydettiği kullanıcı bilgilerini, yani adınızı çalıştığınız yerin adını alıp ayın 1'inde bir FTP sitesine bir kereliğine gönderiyor. Bu durumda "HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info" registry key'indeki "LogFile" değeri TRUE olarak değiştiriliyor, yani kullanıcı bilgilerinizin yeniden Internet'e gönderilmesi engelleniyor. İsterseniz Windows'un REGEDIT programını kullanarak bunu düzeltebilirsiniz. Bir de geçici metin dosyaları c:\netldx.vxd ile HSF****.SYS'yi silebilirsiniz. Bunların dişinda aktif olarak korunmaktan başka yapabileceğiniz bir şey yok. Bu virüs çok garip, bir kere çalışıyor, adınızı çalıyor, başka bir şey yapmıyor.
W97M.Pri
Virüsün Adı: W97M.Pri
Takma Adı: W97M.PSD
Ne kadar alanı etkiliyor?: 1 VBA5 Modülü
Nerelerde etkili?: Microsoft Word 97 belgeleri
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Makro
W97M.PRI, polymorphic bir makro virüsü. Çoğu Word makrosu gibi Normal.dot'a virüs bulaştırıyor, belge kapatırken diğer belgelere de bulaşıyor. Word'un makro korunma özelliğini kapatarak gizlenmeye çalışıyor. Tarih ve saat aynı rakamı gösteriyorken yani örneğin 4 Nisan'da saat 4:44:44'te 70 tane rastgele biçimlendirilmiş ve renklendirilmiş Otomatik şekil nesnesi yaratıyor. İşin ilginç tarafı bu virüs MS Word 2000'de de çalışacak şekilde tasarlanmış. MS Word 2000'in güvenlik ayarlarını en düşük düzeye indirerek kendi güvenliğini artırıyor. Ancak temizlenmesi çok kolay, Normal.dot'u siliyorsunuz, W97M.Pri sizlere ömür.
PictureNote.Trojan
Virüsün Adı: PictureNote.Trojan
Takma Adı: Trojan Horse, Backdoor.Note, Picture.exe, URLSnoop
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: Trojan Horse
PICTURENOTE.TROJAN, adından da anlaşıldığı gibi bir truva atı. Virüs gibi üreme yeteneği yok. Internet üzerinden e-mail'e ilişik olarak çok sayıda kullanıcıya gönderilmiş. İlişik programın adı PICTURE.EXE. Bu program çalıştırıldığında kendisini WINDOWS dizinine NOTE.EXE adıyla kopyalıyor. Bu dizindeki WIN.INI dosyasını değiştirerek "run" parametresini NOTE.EXE programını çalıştırmak üzere yeniden ayarlıyor. Windows'u tekrar açtığınızda NOTE.EXE çalışıyor ve bilgisayarınızda America Online kullanıcı bilgilerini aramaya başlıyor, bu yüzden ABD dışında pek bir şansı yok. Amaç AOL kullanıcılarının şifrelerini çalmak.
W97M.Class
Virüsün Adı: W97M.Class
Takma Adı: Class.Poppy
Ne kadar alanı etkiliyor?: 1 VBA5 modülü
Nerelerde etkili?: Microsoft Word 97 belgeleri
Yaygınlık: Sık
İlk Rastlandığı Yer: Aynı anda birçok yer
Türü: Makro
VİRÜS tarihinde görülen ilk makronun yeniden gözden geçirilmiş ve "düzeltilmiş" yeni versiyonu. Word 97'nin şablonlarına virüslü kod ekleyerek çalışıyor. Araçlar menüsünden Makro seçeneğini etkisiz hale getirerek gizlenmeye çalışıyor. Eski versiyonları yılın belli bir gününde mesaj verirlerdi, yeni versiyonu ise Win95 registry ayarlarıyla oynayarak kayıtlı sahibinin yerine virüsü yazanın adını yazıyor. Sisteminizde C:\CLASS.SYS veya C:\CLINTON.SYS isimli dosyalara rastlarsanız silmeniz gerekiyor. Virüsün değişik sürümlerine göre verdiği mesajlar değişiyor. Bunlar arasında, "I think is a big stupid jerk!", "Monica Blows Clinton! -=News@11=-", "Today is Clinton & Monica F___-Fest Day!" sayılabilir.
JavaApp.BeanHive
Virüsün Adı: JavaApp.BeanHive
Takma Adı: BeanHive
Nerelerde etkili?: Java appletleri ve uygulamaları
Yaygınlık: Az
Hedef Platform: Java destekleyen tüm platformlar
Harekete Geçme Tarihi: Yok
İŞTE Java tarihinde ikinci virüs de göründü. Bu virüs biraz komik. Çünkü bazı yeni teknolojileri kullanarak epey şeytanlıklar yapmak üzere tasarlanmış ama yapılan kod hataları yüzünden yüzde doksan çalışmayı başaramıyor. Ancak tam istediği koşullar (muhtemelen yazıldığı sistemdeki koşullar) gerçekleşince çalışıyor. Java appletlerini ve uygulamalarını virüslemek üzere tasarlanmış.
İlk Java virüsü olan Strange Brew'dan temel bir farkı var. Strange Brew kullanıcıya sormadan yerel dosyalara erişmeye çalışıyordu ve çoğu durumda sistemdeki sanal Java makinesi (JVM) tarafından durduruluyordu. JVM'nin güvenlik tedbirleri ancak kullanıcının izniyle gevşetilebildiği için BeanHive kullanıcıdan izin istetiyor, eğer verirse ne ala, vermezse ısrar etmeyip vazgeçiyor. Bu virüs eğer virüsü yazanın Web sayfasını ziyaret ederseniz bulaşıyor. Çok sayıda bug'a sahip bir virüs olması bizim açımızdan iyi, ama Java programcılığıyla uğraşanlar deney yapmak için bu virüsle uğraşırlarsa Java dosyaları büyük ihtimalle zarar görüyor.
Happy99.Worm
Virüsün Adı: Happy99.Worm
Takma Adı: Trojan.Happy99, I-Worm.Happy
Yaygınlık: Sık
İlk Rastlandığı Yer: Avrupa
Türü: Worm
SON zamanlarda Win.CIH'tan sonra adı en çok duyulan Happy99. Bu program bir virüs değil, bir worm. İlk kez haber gruplarında görülmüş, oraya post edilen makalelere ilişik olarak Happy99.exe adıyla ortaya çıkmış.
Çalıştırıldığında üzerinde "Happy New Year 1999 !!" yazan ve havayi fişek patlamaları gösteren bir pencere açılıyor. Program kendisini SKA.EXE adıyla kopyalayıp, Windows'un sistem dizinine SKA.DLL adlı bir kütüphane linki dosyası yazıyor. Yine Windows'un Sistem dizinindeki WSOCK32.DLL dosyasının üzerinde değişiklikler yapıyor, orijinal halini ise WSOCK32.SKA adlı başka bir dosyaya kopyalıyor. WSOCK32.DLL dosyası Windows 95 ve 98'de Internet bağlantısını kontrol eder. Üzerinde yapılan değişiklik sayesinde her Internet'e bağlanma ya da dosya gönderme girişimi olduğunda worm harekete geçiyor. Worm'un SKA.DLL'i yükleniyor. SKA.DLL yazdığınız e-mail ya da başka türden bir mesajın aynısını yaratarak arkasına UUENCODE ile kriptolanmış olarak HAPPY99.EXE programını da iliştirerek gönderiyor. Worm, WSOCK32.DLL dosyasını değiştirmeye çalışırken, bu DLL kullanımdaysa yani kullanıcı Internet'e bağlı ise o zaman da registry'lere şunu giriyor: HKEY_LOCAL_
MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce=SKA.EXE Bu kez de Windows'un bir sonraki açılışında bu satırın gereği yapılıyor, ve Worm işe başlıyor.
Belki de en garantili yöntem, bu worm'u elle temizlemek. Bunu yapmak için önce WINDOWS\SYSTEM\SKA.EXE'yi silin. Tabii ki WINDOWS\SYSTEM\SKA.DLL'i de silin. Sonra WINDOWS\SYSTEM\ dizininde WSOCK32.DLL dosyasının adını WSOCK32.BAK olarak değiştirin. Yine WINDOWS\SYSTEM\ dizinindeki WSOCK32.SKA dosyasının adını WSOCK32.DLL olarak değiştirin. Bu isim değiştirmeleri Internet'e bağlıyken yapamazsınız, Windows Wsock32.dll dosyasını kullandığı için buna izin vermez, aklınızda bulunsun. Son olarak, muhtemelen bir e-mail mesajına ilişik olarak aldığınız ve adı HAPPY99.EXE olan dosyanın da gözünün yaşına bakmayın.
Bu deneyim bize bir kez daha gösteriyor ki, güvenilir bir kaynaktan gelmeyen, e-mail'e iliştirilmiş her türlü .doc, .xls, .ppt, ve .exe gibi dosyalar açılmayacak, çalıştırılmayacak.
HTML.Enel.3787
Virüsün Adı: HTML.Enel.3787
Takma Adı: Yok
Ne kadar alanı etkiliyor?: 3787 byte
Nerelerde etkili?: HTM, HTML, ve HTT uzantılı dosyalar
Yaygınlık: Az
İlk Rastlandığı Yer: Belli Değil
Türü: HTML dosyalarına VBScript kodu gömüyor
Hedef Platform: Internet Explorer 4.0 ve yukarısı
Harekete Geçme Tarihi: Belli Değil
HTML.ENEL.3787 virüsü HTML dosyalarına bulaşan bir VBScript. Internet Explorer 4.0 ve yukarısında çalışıyor. Bilgisayarınızda C:\WINDOWS\WEB, C:\InetPub\wwwroot, ve C:\MyDocu~1 (Belgelerim) klasörlerine bakarak .htm, .htt ve .html uzantılı dosya arıyor. Bu virüsü ziyaret ettiğiniz bir Web sayfasından kapıyorsunuz ama Explorer'ın varsayılan güvenlik ayarlarına göre kapmadan önce mutlaka bir uyarı alıyorsunuz ve uzaktan registry ayarlarınıza dokunamıyor. Sisteminize girmeyi başarabilmişse bulabildiği Web belgelerinin altına virüslü kodu ekleyerek faaliyetine başlıyor. Virüslenmiş Web belgesini açtığınızda durum çubuğunda "HTML.Worm v0.2 /1nternal" yazısı çıkıyor ve sayfanın her 15 çağrılışından birinde sizi virüs yazarının sitesine yönlendiriyor.
VBS.Rabbit
Virüsün Adı: VBS.Rabbit
Takma Adı: VBScript.Rabbit
Ne kadar alanı etkiliyor?: 546, 587, veya 651 byte
Nerelerde etkili?: Visual Basic Script (VBS) dosyaları
Yaygınlık: Az
İlk Rastlandığı Yer: Belli Değil
Türü: Visual Basic Script
WINDOWS 95 ilk çıktığında DOS virüslerinin sonu geldi sanılmıştı. Ama ne yazık ki işletim sisteminden bağımsız olarak her PC'de ortalığı tarümar etmeye devam ettiler. Giderek Makro virüsleri en yaygın tehdit haline geldi.
Bu arada Windows 98'in standart bir özelliği olarak gelen, Windows 95 ve Internet Explorer 4 için ise download edilebilen bir modül olan Windows Scripting Host (WSH) ortamı makro virüsü yazanlar için eşsiz bir araç oldu. Windows Scripting, DOS'un yığın dosyalarını andırıyor. Zaten DOS ortamında da cscript.exe ile Windows'da ise wscript.exe ile çalıştırılıyor.
Sadeleştirerek özetlemek gerekirse WSH, VB Script, Java Script gibi bir ActiveX arayüzü destekleyen dil ile Windows'un dosyalara erişim, kısayollar, çevirmeli ağ, registry gibi özellikleri arasında bir yorumlayıcı işlevi görüyor. Yani yöntem açısından en yeni virüs tehdidi bu. Bu virüs bilgisayarda bulabildiği tüm VBS uzantılı dosyalara virüslü kod ekliyor. Her ayın 15'inde "VBSv v2.0 by Lord Natas/CodeBreakers" mesajı vererek virüsü yazanın Web sitesine yönlendiriyor.
HTML.Prepend
Virüsün Adı: HTML.Prepend
Takma Adı: HTML.Internal
Ne kadar alanı etkiliyor?: 1670 byte
Nerelerde etkili?: HTM, ve HTML uzantılı dosyalar
Yaygınlık: Az
İlk Rastlandığı Yer: Belli Değil
Türü: HTML dosyalarına VBScript kodu gömüyor
Hedef Platform: VBScript çalıştırabilen browser'lar
Harekete Geçme Tarihi: Belli Değil
HTML.PREPEND virüsü HTML dosyalarına bir VB script ekleyerek yayılıyor. Bilinen diğer iki HTML virüsü ile bunu yazan aynı kişi. Bu virüsü Internet'ten kapma ihtimali yok. Virüslü dosya yerel olarak çalıştırıldığında virüs faaliyete geçiyor. Yani kodundan yararlanmak için save ettiğiniz bir HTML dosyasını üzerinde değişiklik yapmak üzere açtığınız anda (tabi eğer browser'ınızın güvenlik ayarlarını düşük düzeyde tutuyorsanız) iş bitiyor. Diskinizdeki 6 HTML dosyasına daha bulaşarak yayılıyor, kök dizindeyse ya da yayılırken kök dizine gelirse uslu durup bir şey yapmıyor. Virüslü dosyayı çalıştırdığınızda durum çubuğunda "HTML.Prepend /1nternal" yazısı çıkıyor.
XM.Compat
Virüsün Adı: XM.Compat
Ne kadar alanı etkiliyor?: 1 VBA Modülü
Nerelerde etkili?: Microsoft Excel 5/7/95 tabloları
Yaygınlık: Sık
İlk Rastlandığı Yer: Avustralya
Keys: Makro, Polymorphic
BU polymorphic makro virüsü, MS Excel tablolarına rastgele bir isimle VBA modülü ekliyor. Dosyayı kapatırken virüs faaliyetine başlıyor. Excel'in eklenti kütüphanesine OFF97COM.XLA isimli bir dosya ekliyor, kallavi bir isme sahip olan bu dosyanın açıklaması olarak da "Allows Excel 5/7 users to share files with Excel 97 users" yazarak işe yarar bir şey zannedilmesini sağlamaya çalışıyor.
Üzerinde çalıştığınız tablo dışında başka bir tabloyu alıyor, bu tablonun içinden bir hücreye sayısal bir değer yazıp bu değeri yüzde 5 ile çarpmaya başlıyor, bu işlemi 1000 kerelik bir döngüye sokuyor. Bir anti-virüs programı kullanarak temizlediğinizde de bu kez Excel eklentilerimden birini bulamıyorum diye mızıklanmaya başlıyor. Bunu araçlar menüsünden eklentilere gidip düzeltebiliyorsunuz.
Win95.CIH
Virüsün Adı: Win95.CIH
Takma Adı: Win95/CIH, CIH.Spacefiller, PE_CIH.
Ne kadar alanı etkiliyor?: Bilinen üç çeşidi: 1003, 1019, 1010 byte.
Nerelerde etkili?: Windows 9x dosya sistemi API'leri
Yaygınlık: Sık
İlk Rastlandığı Yer: ABD
Türü: PE kısmını kullanan fragmente olmuş boşluk virüsü
Verdiği Zarar: Sabit disklerin ilk 2048 sektörünü bozup kendi bilgilerini yazıyor ve kısmen Flash BIOS boot bloğunu bozuyor.
Temizleme: Temiz bir sistem disketiyle açıp, virüslü dosyaları silerek, yedeklerini yerlerine koymak
Harekete Geçme Tarihi: Her ayın 26'sı, 26 Nisan, 26 Haziran
WIN95.CIH virüsünü duymayan yoktur. Bu virüsün 4 türü var. İki tanesi Nisan'ın 26'sında aktif hale geliyor, bir tanesi Haziran'ın 26 sında aktif hale geliyor diğeri ise her ayın 26'sında aktif hale geliyor. Ne yazık ki hepsi de bilgisayarınızı çalışamayacak hale getiriyor, eğer BIOS'unuz FLASH BIOS ise durum daha da vahim, bu virüs diğer virüslerden farklı olarak BIOS'unuza bulaşıyor, zaten BIOS'unuz FLASH değilse bile sabit diskinizin ilk 2048 sektörünü mahvederek gene yapacağını yapıyor. Bu virüsten kurtulmanız için gerekli programları Internet'ten bulabilirsiniz. Öncelikle Kill_Cih programını çekerek o an bellekte aktif olan virüsü temizleyin ve sonra da W9X adlı virüs programı ile virüsün bulaştığı tüm dosyalarınızı aşılayın, geçmiş olsun. Bu temizleme programlarını bulabileceğiniz sitelerin adresleri şöyle:
http://www.amonra.net
http://i.am/amonra
http://freehosting.at.webjump.com/
po/poira-webjump/
Win95.CIH virüsü Portable Executable (PE) Windows 95 ve 98 .exe dosyalarında kullanılmayan boş alanları bulup kendini parçalayarak parçalarını buralara yerleştiriyor. FlashBIOS'u sildiği zaman çoğunlukla yeni BIOS chip'i almak zorunda kalıyorsunuz. Sabit diskin sistem alanını bozduğunda da büyük ihtimalle verilerinizi kurtaramıyorsunuz.
Bu virüsten korunmak çok önemli. Yukarıda adı geçen virüslerin çoğundan daha eski olduğu için geçen yılın Ağustosundan sonra üretilmiş her antivirüs programı işe yarıyor. Eğer bu programları bulamazsanız ayın 26'sında bilgisayarınızı açmayın.
W95.Marburg.A / W95.Marburg.B
Virüsün Adı: W95.Marburg.A / W95.Marburg.B
Takma Adı: Yok
Ne kadar alanı etkiliyor?: Yaklaşık 7900 byte
Nerelerde etkili?: 32-Bit Windows .EXE dosyaları
Yaygınlık: Sık
İlk Rastlandığı Yer: Avrupa
Türü: 32 bit Windows virüsü, Direct Action
Hedef Platform: Windows 95
Harekete Geçme Tarihi: Sisteme girdikten üç ay sonra
W95.MARBURG virüsü 32-bit bir Windows virüsü ve hem Windows 95/98 hem de Windows NT .exe ve .scr dosyalarını etkiliyor. Ama NT'de çoğalamıyor. Eğer dosyanın adı "PAND", "F-PR", veya "SCAN" ile başlıyorsa ya da dosya adında V harfi varsa arkasına bakmadan kaçıyor ve başka bir dosyaya sataşıyor.
Bunun sebebi şu; anti-virüs yazılım paketleri kendi bütünlüklerini sürekli denetlerler ve en küçük bir değişiklik farkederlerse hemen alarma geçerler. Marburg bununla yetinmeyip anti-virüs programların bazı dosyalarını silmeye de çalışıyor. Bu sayede onları etkisiz hale getirmek istiyor. Virüslü uygulama virüsü kaptıktan üç ay sonra çalıştığında Windows'un standart error ikonu yani kırmızı bir yuvarlak üstünde beyaz bir çarpı işareti beliriyor, bir de ekran kızamık olmuş gibi beneklerle kaplanıyor.
JavaApp.Strange Brew
Virüsün Adı: JavaApp.Strange Brew
Takma Adı: Yok
Ne kadar alanı etkiliyor?: Yaklaşık 3890 byte
Nerelerde etkili?: Java .class dosyaları
Yaygınlık: Az
Türü: Direct action
Hedef Platform: Java destekleyen tüm platformlar
Harekete Geçme Tarihi: Yok
STRANGE BREW tarihin ilk Java virüsü. Bilgisayar bilimcilerin tabiriyle "parazit" bir virüs. Yani bir programa yapışıyor ve programın çalışmasını bozmuyor. Strange Brew, Java ".class" dosyalarında yaşıyor. Java olduğu için her platforma girip çalışabiliyor. Meşhur W95.CIH sadece Windows 95 ve 98'de çalışabiliyor ama bu Unix falan anlamıyor, giriyor. Web browserlarının varsayılan güvenlik ayarları girmesine izin vermiyor. Olur da girerse görünür bir zarar vermek yerine durmadan çoğalıyor. İyi tasarlanmamış bir program olduğu ve bug'ları olduğu için arada çöküyor. Çöktüğü zaman Java uygulamasını ya da sanal makinesini de geçici olarak çökertiyor. Bir kez çöktükten sonra artık kaynak kodunu bulamadığı için yayılması duruyor.
Kısa
Bir Sözlük
l Bilgisayar Virüsü - İlk kez Fred Cohen tarafından 1984 yılında kullanılmış bir terim. Bilgisayar virüsü başka bir programa yapışan küçük bir programdır, kendisini kopyalayarak diğer yazılımlara saldırır.
l Worm - Worm çoğu zaman başlıbaşına bir programdır, bellekteki ve diskteki eriştiği bölgelerin verilerini bozar. İçine gömülüp saklanacağı bir evsahibi programa ihtiyaç duymaması ile virüslerden ayrılır.
l Trojan horse - Truva atı. Masum görünüşlü bir programın farklı şeyler de yapması. Bazen gerçekten masum programların bug'ları da aynı etkiyi yapabilir. Çoğunlukla kendilerini kopyalayarak çoğalmazlar.
l Zaman ayarlı bomba - Mantıksal bomba da denilir, belli bir olay gerçekleştikten sonra örneğin ayın 13'ü Cuma gününe denk gelmişse zarar verici faaliyetine başlar.
l Boot sektör virüsü - Disklerin partition tablosunda veya boot sektöründe saklanan ve sistem çalıştırıldığında faaliyete geçen virüs. En yaygın olanları arasında Pakistani Brain virüsü ile Stoned/Marijuana virüsü sayılabilir.
l Uygulama Programı virüsü - En bulaşıcı olan virüsler bunlardır. Çoğunlukla .com ve .exe uzantılı olan her türlü çalışabilir dosyaya bulaşırlar. En yaygın olanı Jerusalem virüsüdür.
l Gizlenen virüsler - Dosya büyüklüğündeki artışı ya da tarih ve zaman bilgilerini gizleyerek yakalanmalarını güçleştirmeye çalışırlar.
l Dark Avenger Mutation Engine - Genellikle virüs yazanların kullandığı bir polimorfik kriptolama programı. Virüs bu programla kriptolanınca anti-virüs programlarına kolay yakalanmıyor.
l Makro virüsleri - Word ya da Excel dosyalarına bir makro gibi gömülerek yaşayan virüs. Dosya açıldığında uygulamanın standart makrolarından birinin yerine yerleşiyor ve gelen her belgeye bulaşıyor.