Uzun bir süredir rastlamadığım DIR-II virüsü bilgisayarınıza misafir olmuş. Geleneksel dosya virüslerinden farklı olan bu virüs, dosyaların disk üzerindeki başını (başlangıç kümesi - starting cluster) gösteren dosya bilgisini değiştirip, diskin en sonuna yerleştiği yerin adresini veriyor, asıl dosya başını da dosya bilgileri arasında kullanılmayan kısma şifreleyip saklıyor.
DIR-II bellekte aktif değilken bulaşmış olduğu bir dosya (program) çalıştırılmak istendiğinde, kendi adresi gözüktüğü için önce kendisi (virüs) çalışıyor, ondan sonra da asıl dosyayı çalıştırarak fark edilmesini önlüyor. DIR-II bellekte aktif olduktan sonra, çalıştırılmak istenen dosyayı doğrudan çalıştırıyor.
Temiz bir sistem disketi ile DIR-II’nin istila ettiği bir bilgisayar açıldığında, virüslü dosyalardan biri çalıştırılmadan kopyalama yapıldığında sadece virüsün kendisi kopyalanacaktır, asıl dosya kopyalanmayacaktır. Kopyalanan dosya boyu da sabit diskin büyüklüğüne göre 1 KB, 2 KB veya 4 KB olacaktır. Bu dosyalardan biri çalıştırıldığında virüs aktif olur ve bulaşmaya başlar.
Virüs aktifken, diskete kopyalama yapıldığında ise dosyalar kopyalanır. Ayrıca virüs eğer daha önce bulaşmamışsa, disketin en son sektörlerine kendisini kopyalar. Bu disket, temiz bir bilgisayarı istila edeceği günü bekleyen DIR-II virüsü ile bir "taşıyıcı"dır.
DIR-II’nin bellekte aktif iken "stealth" teknikleri kullandığını da yazmadan geçmek olmaz. Yerleştiği disk sonundaki sektörlere ulaşmak zordur. Mevcut küme sayısını (cluster) bir eksilterek, yerleştiği son kümeyi (cluster’ı) yok gösterir. Dosyaların rehber bilgileri değiştirildiği halde DIR komutu ve yardımcı programlar bu bilgileri okuduğunda orijinal haliyle görürler. Çünkü virüs bu bilgileri "makyajlar".
Disketinizi güncel birkaç anti-virüs programı ve DIR-II için özel yazılmış bir temizleme programı ile geri gönderdik. Tüm disketlerinizi de temizlemeyi ihmal etmeyin.
|