Önsöz :
Bir çok mailim hacklendi konularını kaç senedir görürsünüz.Belki siz belki arkadaşlarınız mail hesapları çalınmış olabilir.İşte çalınmaya karşı ne zamandır bir takım önlemlerden bahsedilir durulur,bu önlemler gelişen yöntemler ve günümüzün sistemleri ile artık eskisi kadar etkili olamamaktadır.Yani Tam bir Güvenlik sağlamamaktadır.Bölümümüz MAil Güvenlik olduğu için bu bölüme uygun kalitede bir konu açmamın gerektiğini fark ettim.Öncelikle şu ana kadar bildiğiniz tüm güvenlik yöntemlerini unutmanızı istiyorum.Ve 2009 ’un en çok kullanılan yöntemlerini ve korunma yöntemlerini tek tek irdeleyelim.
Keylogger & Trojan Security :
Keylogger ve Trojan lar genellikle kullanıcılara dosya biçiminde server’ı yedirip pcsine RAT ile bağlanma ya da pc deki tüm passlar(şifreler), konuşmalar,sistem bilgileri vs. çekmeye dayanır.
Bu Tür Zararlı Programlardan Korunmanın en önemli Yolları :
A1) Güvenlik Duvarı (Ateş Duvarı) Kullanıp pcye hacker girişini engellemek.Windowsun kendi firewallı etkili olmamakta birlikte çabuk aşılacağından Tavsiyem Combo gibi Firewall yada Kaspersky Anti-Hacker gibi programlar kullanmanızdır.
A2) Antivirus Yazımı Kullanıp güncel TutmanızAldığınız dosyalarda trojan,Keylogger gibi casusları bulmanızda ve silmenizde çok önemli bir yer tutmaktadır.
Antivirus için önerim ise Avira Antivir +, Bit Defender gibi yazılımlardır
A3) 1 ve 2 nin birleşimi her zaman daha önemlidir.Ya trojanımız tanınmaz işte bu sefer devreye İnternet Security programalrı girecektir.Güvenlik duvarıda dahil Sayfa yı tempe indirmeden tarama gibi bir çok özelliklere sahiptir.Özellikle Önereceğim Norton 2009 İnternet security ve Kaspersky 2009 internet Security programları Bir dosyadaki şüpheli hareketleri görürse bloglama veri transferlerini inceleme gibi özellikleri ile sezgisel olarak trojan olup olmadığını anlayarak size uyarmaktadır.Bu yüzden özellikle bu iki programı denemeniz lazım.
A4) Şüpheli Dosyayı Analize Gönrdemek.Çoğu antivirus programlarında Lab özelliği vardır yani inceleme için laboratuıara gönderebilirsiniz.Size gelen şüpheli bir dosya varsa bunu açmadan Lab a ya da virustotal.com gibi sitelere göndererek tüm antiviruslara test amaçlı sunup dosyanın güvenirliğini anlayabilirsiniz. http://www.virustotal.com/vtsetup.exe bu programıda indirerek masaüstündeki bir dosyaya sağ tıkla gönderden virustotalı seçerek orada incelemeye kısayoldan gönderebilirsiniz.
A5) AntiKeylogger Programları Yüklemek.Anti keylogger yazılımları dosyanın trojan olma ihtimalini daha doğrusu nerelere erişim yapmaya çalıştığını farkederek size uyarılarda bulunur.Tavsiye edeceğim bir Türk yazılım olan Zemana AntiKeylogger programıdır.
A6) Sosyal Mühendislikten Korunmak.bunda asıl amaç dikkatli olmaktır.Msnden yollanan her dosyayı almayın.Mail olarak gelen resim formatıda dahil hiç bir dosyayı emin olmadan açmayın.Sanaldaki hiç bir kişiye tam olarak güvenmeyin.Ve biraz ayık olmakta fayda var.
A7) Dosyaları Sanal Pc de ya da Windows ortamından farklı bir işletim sistemi kullanarak açın.Uzman kişiler aynı makinaya çift işletim sistemi kurabilirler sizde bunu yaparsanız yada Virtual Pc 2007 gibi Sanal bir bilgisayar oluşturup şüpheli dosyaları orada açarsanız.Ne olduğunu anlayıp ona göre işlem yapabilirsiniz.
HtmL Logger Security :
Html Logger tarayıcılardaki açıkları kullanarak Site linkini hedefe tıklattırıp pc sine trojanı download ettirmeyi çalışan bir yöntemdir.Html Loggerlar İnternet Tarayıcılarına özgüdür ve kodları farklıdır.
Html Loggerlardan Korunma Yöntemleri ise :
B1) “A3″ de Belirttiğim gibi İnternet security programları bunda en önemli koruyucu etendir.Normal bir Antivirus programı dosyayı tempe indirdikten sorna taradığı için direkt serverı pcye indirebilir bu yüzden etkili değildir.İnternet security programları site üzerinde tarama yaparak bunu önler.
B2) Verilen linkleri http://linkscanner.explabs.com/linkscanner/ gibi online scanner adreslerinde taratarak sitenin güvenirliğini anlayabilirsiniz.
B3) Özellikle İnternet Explorer dan farklı Tarayıcı kullanmanızı öneririm.Bu demek Mozilla ya da opera kullanın demek değil.Daha alternatif olan Safari,Flock,Songbird gibi herkesin pek rağbet etmediği programları kullanın bunlarada açık olabilir fakat önemli olan Attackerın sizi sık kullanan bir tarayıcı kullandığınızı düşünerek ona göre sistem hazırlamasıdır.Yani Ters köşeye yatırın saldırganı.Ama siz illa ie vs kullanacağım diyorsanız İe8 kullanın,Mozillanın son sürümü mevcut beta sürümü 3.1 Beta 2 onun gibi güncel sürümlerini kullanın.
B4) SM den korunma “A6″ da belirtmiştik güvenmediğiniz kişilerden verilen sitelere girmeyin.Güvensiz olarak belirlenen sitelere hiç girmeyin.Gireceksenizde farklı bir tarayıcıda girin
B5) “A7″ deki Sanal pcde verilen linklere girmeniz en mantıklısıdır.O yüzden Sanal Pc nin önemini anlayınız.
Xss & Xsrf Security :
Xss Size Site üzerinden veya mail,msn gibi konuşma penceresinden yolalnıp sizin cookienizi çalmaya yarayan ve bu cookie ile sizin hesaptan giriş yapmaya yarayan bir yöntemdir.Xsrf de bu türe yakındır istem dışı komut yollatmaya çalışır password değişikliği gibi.Her ne kadar Hotmail Xss de cookie şifrelide gelse bu elbet bir gün çözülecek o yüzden her linke güvenmeyin.
Korunma Yöntemleri ise :
C1) Size verilen linklere tıklamayın kopyalayıp tarayıcıya elinizle yapıştırın.Bu şekilde boş bir cookie çekeceklerdir.
C2) Microsoft Anti Xss, CW xss Security gibi programları kurarak.Xss durumunda haberdar edilip engellenmesi.
C3) Güncel Tarayıcılar kullanmak.Özellikle İE8 de microsoft anti xss scurity programı hazır halde yüklenip tarayıcıya entegre edilmiştir.Bu şekilde korunabilirsiniz.
C4) Firefox kullanıp No script Eklentisini kurup Aktif hale getirmek,işte en önemli xss korunma yöntemlerinden birisidir.Xss yi pasif hale getirir.
C5) Bilinçli olup güncel Haber sitelerinden Xss ve diğer tehditler karşısında bilgiler almak sizi hazır olda bekletir.
C6) SM den korunmak.Tanımadığınız kişilerden link alıp direkt girmeyin.Ayrıca bir linkte hem xss hem Html logger yapıp çifte vuruş yapmak isteyen olabilir o yüzden HTML Logger korunma yönteminide unutmayınız.
Trojan DownLoader Security :
Trojan Downloaderlar bir programa bazı programlar sayesinde eklentiler sayesinde uzaktan ftpsindeki server.exe yi çağırması mantığına dayalıdır.
Bunlardan korunmak içinse :
D1) “A1,A2,A3,A4,A5,A6,A7″ bunlarda dahil her türden tedbirinizi almalısınız.
D2) Ağı izlemek.Programın çalıştırdıktan sonra ağda bir veri aktarımı varsa buna dikkat ederek ne olduğunu anlayabilirsiniz bu tür durumda direkt ağ bağlantısını kesiniz.
THE_MILLER
Phishing Security :
Phishing genellikle kullanıcıların passlarını almak için kullanılan web Kontrollü fakelerdir.Bir düzenekle siz oraya verielri girince şifreler ftpsinde log.txt ye düşmektedir.
Korunma yöntemlerine geçersek :
E1) “A3″ deki gibi İnternet Security programalrında özellikle Norton ve Kis de AntiPhishing özelliği vardır buda Sahteciliği önler.Size uyarı olarak bu site sahtekardır mesajı verir.
E2) Site Adresinin Doğruluğunu kontrol ediniz. Mesela hotmail.com.tr.gg gibi bir adresten geliyorsa dikkate almayınız. Ayrıca bazı link gizleme yanıltmaları ile linki gizlerler içeriğe bakıp yada tarayıcıdaki adrese bakıp güvenirliğini anlayabilirsiniz.
E3) SM den korunmak Güvenmediğiniz sitelere girmeyin,Linke tıklamayın,Her yerde her sitede aynı şifreyi kullanmayın.
Fake Security :
Fake Türkiyede okadar meşhur olduki çoluk çocuk herkes bir sitenin fakesini yapıp şifre almaya bakıyor.Fakede amaç sahte bir site görünümü izlenimi verip şifreleri mail aracılığı ile Attackera göndermeye amaçlar.
Fakeden korunmak için :
F1) Phishingle aynı mantık olacağından oradaki “E1,E2,E3″ e dikkat edin.
Basittir ama bir anlık dalgınlık sizi yanıltabilir.
F2) Sitenin kaynak kodunu görünteleyip kodları inceleyin gerekirse “@” i arayıp kayıtlı bir mail adresi varmı bakınız.
THE_MILLER
Msn Cracker – Brute Force Security :
Brute Force yöntemi Şifrenizi deneme yanılma ile tahmin edecek bir programın çalıştırılmasıdır.Bunda amaç tek tek şifreleri dener olumluysa şifreyi gösterir.
Korunmak için :
G1) Şifreleriniz oldukça güçlü olmalıdır.2. ve 3. karakterler mutlaka şifrenizde olmalıdır(Örneğin : #!?\\\\\\\\-_).
G2) Belirli Aralıklarla şifrenizi değiştirin.Bu şekilde program sonuca yaklaşsada pek netici alamaz.
Clickjacking Security :
Clickjacking bir nevi başka bir içeriğin bulunması ama size makyajla başka birşey göstermesi o alana şifrenizi yazarsanız Attackera verielriniz gidecektir.Bir nevi site üzerine resim yerleştirme gibi birşey diyebiliriz basit anlamda.
Korunmak için :
H1) Korunmanın en önemli yöntemi yolu Mozilla kullanıp.No Script kurup “Plugins|Forbid <IFRAME>” özelliğini aktif etmelisiniz.
H2) Kaynak kodlarına bakıp ne olduğunu anlayabilirsiniz.
Networking – Port Security :
Bilgisayarınızda Bazı portlar olsun bazı programalrın açtığı portlar ve güvenlik açıkları Attackerların pcnize oradanda mail şifrelerinize sızmak için olanak sağlamaktadır.
Korunma Yöntemleri :
I1) Bilgisayarınızı Port Scanner programları ile tarayıp açık portlar varsa kapatınız.Diğer maddelerde belirttiğim gibi Güvenlik Duvarı ve İnternet security programalrı kullanın.Girişleri engeller.
I2) Özellikle Netbios Açığını kapatmak (138,138,139) gibi portları kapatmak pcnize sızmanızı engeller.Limewire gibi programalrı kullanırkende ayarları dikkatli yapmanız lazım.
Kişisel Güvenlik :(pufnoktam.net,shadofmostar)
Buraya kadar olan her maddeyi öğrenip uyguladıktan sonrada gerisi bizim zekamıza kalacak birşey.Bilgisayarınızda msn şifresini hatırla demeniz Stealer gibi programların coşmasına sebep olacak yani şifrenizi alacaklardır.Ya da pcnize başka birisinin oturmasına imkan vermeniz sizin açınızdan pek yararlı olmayacaktır.Güvenlik sorularınız bilinecek türden ve basit olmamalıdır.Şifrelerinizde aynı şekilde zorlaştırılmış olmalı.Kişisel bilgilerinizi kimseye vermemelisiniz.Arada sırada Hijackthis uygulamalısınız gözünüze çarpan programcık vs varmı.Anti Spy programalrı ile belli aralıklarlada sistemi taratmalısınız.
Sonuç :(pufnoktam.net,shadofmostar)
Evet arkadaşlar bir çok önemli yöntemleri sizlere söyledim.Daha doğrusu korunması hakkında bilinçlendirmek istedim.Bugun şimdilik bu yöntemler vardır ama ileride başka yöntemlerde çıkabilir hazır olun bunlardan korunmanın en etkili yolu bilinçli olmak ,ayık olmak,sezici olmak, kuşkucu olmaktır.
Ekstra:
Truva Atı programları zararlı code lar içeren karşı bilgisayarı tamamen ele geçirmeye ve kişilerin kişisel bilgilerini çalma amacıyla yapılmış programlardır. Örnek olarak proagent ve Prorat türkiyenin gururu olan ünlü yazılım kurba’nın account bilgisini çalmaktan tutun zarar verici olarak format dahi atılabilir ,Trojan programları delphi ile yazılmıştır ve sistemde değişiklik yaparlar. WIN.INI & SYSTEM.INI, registry ve startup gruplarda değişiklikler yaparak sistemin her açılışında kendini çalıştırmaya olanak sağlarlar, bellekte ( EMS ) 35-55 kb arası yer işgal ederler,TSR kalıcı bellekte virüs benzeri özellikler taşıyabilirler
Keyloger
Keylogger basitçe sizin klavyeden yaptığınız her vuruşu kaydeden ve bu kayıtları kişisel bilgilerinizi çalmak isteyen kişlere gönderen programlardır. Bu kişiler istedikleri zaman bunlara ulaşıp yazdığınız her tür bilgiyi görebilirler. Bu yolla sizin e-mail şifreniz, kredi kartı numaranız gibi hayati önem taşıyan bilgileriniz çalınabilir.
Son zamanlarda birçok keylogger program bilgisayarınızdan anlık görüntüler yakalayabilmekte ve bu sayede o anda ne yaptığınızı şifreleri nereye yazdığınızı da kolaylıkla gösterebilmektedirler. Ayrıca bazıları bu bilgileri e-mail yoluyla da gönderebilme yeteneğine sahiptir. Mutlaka dikkat edilmesi gerekmektedir.
Keylogger yazılımlara örnek olarak:
Ardamax Keylogger
iSpyNow
Perfect Keylogger
Phantom
gibi yazılımlar verilebilir
++++++++++++++++++++++++++++++++++++++++++++++++++ ++
Bukalemun
Truva atlarının bir çeşidi olan bukalemunlar, diğer alışılagelmiş, güvenilir programlar gibi davranmakla beraber, gerçek birtakım hile ve aldatmalar içerirler. Uygun bir şekilde programlandığında bukalemunlar, yasalarla belirlenmiş yazılımların simulasyonu olan demonstrasyon programları gibidirler örnek olarak KAZZA,GETRIGHT ( download programı ) , IMESH vs. bu tür programları kurarken kimse yasal sözleşmesi okumaz NEXT dedim hayatımı M..KTIM olayı olur,sözleşme kabul edildiği anda tüm maddeleri tabi kabul etmiş oluyorsunuz..
Bir bukalemun, şifreleri için giriş iletilerini taklit edecek şekilde dahiyane bir biçimde programlanır. Bukalemun, sisteme giren bütün kullanıcıların adlarını ve şifrelerini gizli dosyaya kaydeder ve daha sonra sistemin bakım için geçici bir süre kapatılacağına ilişkin bir mesaj verir.Daha sonra bukalemunun yaratıcısı, kendi özel şifresi ile sisteme girer ve kaydedilen kullanıcı isimlerin ve şifrelerini alır.
Virüs
Bilgisayara yerleşen, kendini bir dosya yada programa ekleyebilen ve bu noktadan hızlı bir şekilde çoğalan küçük programlardır , aslında bunlara özellikle BUG’lu ( hata kodu ) içeren yazılımda denilebilir, virüs’ler çoğunlukla ASSEMBLY dilin’de yazılır’lar,bunun 2 sebebi vardır
1. assembly hala (virüs ) yazmada güçlü bir dil olması
2. virüs’lerin dikkat çekmeyecek boyut’ta yazılmasına imkan vermesi ( 3-4Kb )
virüs’ler çoğunlukla dosya’ların uzantılarını değiştiriler, saldırdıkları %90 exe,com ve diğer olarak bat,scr,pıf,resim dosyaları vs. yani aktif olan dosya türlerini tercih ederler, genelde bu virüsler’in çeşitleri vardır
Yazılım Bombaları ( Software Bombs )
Şimdiye değin üretilmesi en kolay ve popüler olarak görülen Yazılım bombaları yere çarpar çarpmaz patlar. Bu durumda ne bir uyarı ne de önceden bir belirti söz konusudur. Bu minimuma indirgenmiş reklamdır. Herhangi bir saklanma veya gizlenme ve doğal olarak kolonileşme yoktur. Yazılım bombaları adlarına yakışır bir şekilde çarpma anında patlar ve bütün verileri yok ederler.
Saatli Bombalar ( Time Bombs )
Saatli bombalar, nümerik veya zamana bağlı çevresel değişkenlerin aldıkları duruma göre koşulsal olarak, zararlı bilgisayar komutlarını yerine getiren programlardır. Genelde belirli bir tarihte ( 1 Nisan’da veya ayın 13’ünün Cuma olduğu günlerde ) veya günün belirli bir saatinde (örneğin tam gece yarısı ) patlayacak şekilde programlanabilirler.
Tavşanlar ( Rabbits )
Bilgisayar virüsleri`nin kuzeni olan tavşanlar, adlarına yakışır bir şekilde çok hızlı ürerler. Bellekte veya diskte yeteri kadar alan tükeninceye kadar kolonileşirler. Bir koloni yaratıldıktan sonra, bu bir yavru koloni üretir ve yavru koloni yeterince gelişince yeni bir koloni daha doğurur ve bu döngü süregider. Burada amaç, özellikle çok kullanıcılı sistemlerin, iletişim ağ ortamlarında ana sistem bilgi işleme gücünü yitirinceye kadar sistemin kaynaklarını kurutmaktır. Tavşanlar ve virüsler arasındaki en belirgin fark, tavşanların kullanıcı veri kütüklerinin sonuna eklenmemeleri, asalak özelliklere sahip olmamaları ve kendi kendilerine yetebilmeleridir,
Solucanlar ( Worms )
Çok yaygın olarak virüsler`le karıştırılan solucanlar bir iletişim ağındaki bilgisayar sistemlerinde herhangi bir donanıma veya yazılıma zarar verme zorunluluğu olmaksızın bilgisayardan bilgisayara dolaşan programlardır. Yalnızca gerektiğinde bu gezilerini sürdürebilmek için ürerler.Solucanlar, girdikleri iletişim ağı içinde çok gizli bir şeklide gezinirler ve bu arada bilgi toplayarak (muhtemelen şifreler veya dokümanlar) gizemli mesajlar bırakırlar. Çoğu zaman iletişim ağındaki çalışan sistem operatörlerine gözükmemek için geride bıraktıkları her artığı silerler.
BOOT VİRÜS’Ü
Disk’in boot sektörüne (ana boot kaydına) bulaşan virüs çeşidi’dir. bazı avantajları vardır en önemlisi, çalıştığında dizin listesinde görüntülenmezler. Daha da ötesi, bir güçlü yazılım programı yardımı olmaksızın kolaylıkla silinemez, kopyalanamaz, adları değiştirilemez. Boot sektöre bulaşanlar bellekte kalıcıdır ve her zaman aktiftirler.
KOMUT İŞLEMCİSİ BULAŞANLARI
Command Processor Infectors
Gizli (hidden) işletim sistemi dosyaları IO.SYS ve MSDOS.SYS olarak adlandırılmıştır. COMMAND.COM komutları geri planda çalışırken, normal disk ulaşımlarının ardına gizlenme fırsatını çoğu zaman kötüye kullanırlar.
GENEL AMAÇLI BULAŞANLAR
( General Purpose Infectors )
Bilgisayar virüsleri krallığının “her eve lazım” tipindeki en popüler elemanları Genel Amaçlı Bulaşanlardır (GPI ). Genel Amaçlı Bulaşanlar herhangi bir hedefe yönelik olarak tasarlanmamışlardır ve genellikle düşük düzeydeki sistem işletim dosyalarına bulaşmazlar. Ancak gene de merkezi komut işlemcilerine bulaşmaları kaçınılmazdır.
ÇOK AMAÇLI BULAŞANLAR
( Multipurpose Infectors )
pratikte gerçektirler ve şimdiye kadar tartışılmış olan üç virüs tipinin de en güçlü özelliklerini birleştirmek için tasarlanmışlardır.
Çok Amaçlı Bulaşanlar temel olarak boot sektörünü, komut işlemcisini veya her ikisini de enfekte ederler. Oradan, gerçekte genel amaçlı bulaşanlar olan virüs parazitlerin yayarlar. İki veya daha fazla bulaşıcı tekniğe sahip olan Çok Amaçlı Bulaşanlar, daha uzun yaşamayı başarırlar ve kendilerini yeniden üretme konusunda, tek boyutlu bulaşıcı özelliğe sahip virüslerden daha ustadırlar.
BELLEKTE KALICI BULAŞANLAR
MBR – TSR VİRUS’LERİ
( Memory Resident Infectors )
Boot sektörü ve komut işlemcisi bulaşanları Bellekte Kalıcı Bulaşanlar (Memory Resident Infectors-MBR-I) olarak tanımlanabilirler, çünkü her iki virüs tipi de bellekte yüklü kalır ve uygun koşullarda bilgisayarın belleğinde aktif hale gelirler. TSR (Terminate-and-Stay Resident, Yok et ve yerleş) onlar yükleme sırasında belleğe yerleşir ve bütün oturum boyunca aktif kalırlar.
Bilgisayar virüslerinin çoğunluğunun çalıştırılabilir dosyalardan denetimi ele geçirmek için kullandıkları beş popüler yöntem vardır:
Ekleme (Appending)
Araya sokma (Insertion)
Yeniden yönlendirme (Redirection)
Yer değiştirme (Replacement)
Virüs kabuğu (The viral shell)
Bilgisayar virüslerinin çoğunluğunun çalıştırılabilir dosyalardan denetimi ele geçirmek için kullandıkları beş popüler yöntem vardır:
Ekleme (Appending) Araya sokma (Insertion)
Yeniden yönlendirme (Redirection)
Yer değiştirme (Replacement)
Virüs kabuğu (The viral shell)
EKLEME (Appending)
Çalıştırılabilir program dosyalarının sonlarına virüse ilişkin kod ekleyen virüsler ekleyerek bulaştırma yöntemini kullanırlar. Hedef çalıştırılabilir (.EXE) programlar değiştirilebilirler, böylece bu programlar çalıştırıldığı zaman, programın denetimi program sonuna eklenen virüs kodlarına geçer.
Enfeksiyondan önce program
PROGRAM.EXE Dosya Uzunluğu= 10240 kb
Enfeksiyondan sonra program
PROGRAM.EXE+VİRÜS KODU
Dosya Uzunluğu=10240 kb + 55 kb virüs kodunun uzunluğu
ARAYA SOKMA ( Insertion )
Kendi yazılım kodlarını, doğrudan doğruya kullanılmamış olan kodların ve çalıştırılabilir programların veri bölümlerinin arasına yerleştiren bilgisayar virüsleri, hedefledikleri dosyaları denetlemek için araya sokma yöntemini kullanırlar. Bir önceki yöntemde olduğu gibi, araya sokma yöntemini kullanan virüsler de hedef dosyalarda bazı değişikliklere neden olurlar. Yöntemlerdeki farklılık, virüs kodunun sona eklenmesi yerine, hedeflenen çalıştırılabilir dosyanın içerisine yerleştirilmesidir.
Araya Sokma Yöntemini Kullanan Bir Virüs
Enfeksiyondan önce program
PROGRAM.EXE
Dosya Uzunluğu=10240 bayt
Enfeksiyondan sonra program
PROG(VİRÜS KODU)RAM.EXE
Dosya Uzunluğu=10295 bayt
YENİDEN YÖNLENDİRME ( Reduction )
virüsü , disk bölümünün bozuk olarak işaretlenmiş sektörler veya gizli dosyalarda gizlenirler. Ekleme veya araya sokma yöntemlerini kullanan “usta” virüsler, çalıştırılabilir. ( .EXE ) dosyalar arasına küçük virüs işçilileri yerleştirirler. Bu virüs işçileri hedeflenen program çalıştırıldığında ustalarına çağrılar (çalıştırma istekleri) yayınlayarak program akışını yeniden yönlendirirler. Usta (belki daha çok virüs işçisi yayarak) işçilerini yönetir ve daha sonra denetimi gerçek programa bırakırlar.Virüs işçileri teoride birkaç düzine bayt küçüklüğünde veya bu uzunluktan daha kısa olduklarından, sınırlı sayıdaki kullanılmayan program alanları içerisine gizlenmeleri çok kolaydır.
YER DEĞİŞTİRME ( Replacement )
Şimdiye kadar virüs yazılımcıları tarafından kullanılan en ağır ve en hasas bulaştırma yöntemi, hedeflenen ( COM.EXE ) dosyaların yer değiştirilmesidir. Yer değiştirme yöntemini kullanan virüsler gerçekte çalıştırılabilir dosyaları enfekte etmez,yada dosya boyutunda bir oynama yapmaz daha ziyade yerleştikleri sistemi enfekte ederler. bu anlamda hedef, dosyaların üzerine yazılır. Öncelikli olarak ANA VİRUS sisteme YEM atar ve kendini birkaç dosyaya kopyasını bulaştırır ancak bu bulaştırma işlemi kesinlikle asıl kendisi değildir amaç burada gezici askerler yaratmaktır pasifize viruslerin görevi sistemi sürekli denetleyerek asıl virus için bir tehlike olup olmadığını kontol etmektir herhangi bir anti virus tehlikesinde gezici virusler verilen emri direk asıl ana viruse rapor halinde sunarlar ana virus ise kendini bulaştığı dosyadan silerek YER DEĞİŞTİRİR ve bu sürekli rutin halde devam eder taki verilen görevini yerine getirene kadar
Yer Değiştirme Yöntemini Kullanan Virüs Tarafından
Bulaştırılmış Bir Program
Enfeksiyondan önce program
PROGRAM.EXE
Dosya Uzunluğu=10240 bayt
Enfeksiyondan sonra program;
Dosya Uzunluğu=10240 bayt
Popularity: 6% [?]
Ortam değişkenleri, sürücü, yol veya dosya adı ile ilgili bilgi içeren kayıtlardır. Çeşitli programların eylemlerini kontrol ederler. Örneğin; TEMP ortam değişkeni, programların geçici dosyaları hangi lokasyonda saklayacağını belirtir.
Bilgisayar virüslerinin olası zararları nelerdir? 
