Mydoom

26 Ocak 2004, o güne kadar ki Dünya'nın en tehlikeli virüsü olarak kabul edilen "ILOVEYOU" virüsünden 4 yıl sonra. İletişim kurmak için sosyal medya yerine e-postaların kullanıldığı antik çağlar. Aslında yalnızca 21 yıl önceden bahsediyoruz. Bilgisayar kullanıcıları artık daha bilinçliydi. Bir aşk mektubu gibi gözüken "ILOVEYOU" gibi virüslü maillere karşı artık daha temkinlilerdi. Ancak daha internetin yeni yeni yayıldığı bu dönemlerde e-postaların içeriği teknik bir hata sonucu word dosyası ya da not defteri olarak gönderilebiliyordu. Bu problem artık alışılmış olduğu için insanlar başlığına aldırıp masum duran bu e-postaları açabiliyorlardı. Bu patronlarından, üniversitelerinden ve ya başvurdukları bir iş yerinden gelen bozulmuş bir e-posta olabilirdi. Tabi ki "Melissa" ve "ILOVEYOU" virüslerinin ardından her mail açarken dikkatli oluyorlardı. Ancak içeriğini görmek için not defteri çalıştırmanız gereken hatılı bir e-posta ne kadar büyük bir soruna sebep olabilirdi ki?

E-postada bulunan word dosyası ya da not defteri olarak gözüken belgeyi birçok kullanıcı açtı. Açtıkları andan itibaren "Mydoom" adı verilen virüs kendini Windows'un sistem dosyalarının içerisine kopyalamaya başladı. Ardından zaten Windows içerisinde bulunan "Taskmon.exe" dosyasını aynı isimli farklı bir virüs ile değiştirdi. Ardından 3127-3198 TCP dinleme portlarını listeleyen "shimgapi.dll" adında bir dosya oluşturdu. TCP dinleme portları uygulamaların kullandığı bir internet protokolüdür. Bu protokolü kontrol etmek demek, bu protokolü kontrol ettiğiniz bilgisayara kendi bilgisayarınızdan erişim sağlayabilmek anlamına gelmektedir. Dünya'nın neresinde olursanız olun kontrol ettiğiniz bilgisayara dosya indirtebilir, çalıştırabilir ya da silebilirsiniz. Yani "Mydoom" virüsünü gönderen kişi, bu virüsün bulaştığı tüm bilgisayarlara aynı anda istediğini yaptırabilir. Virüsün yaptığı tek şey bu da değil. İşletim sisteminin tüm verilerini ve tercihlerini içeren ana yazılım olan Windows kayıt defterine iki veri giriyor. Verilerden birine göre bilgisayar her açıldığında, virüs de bilgisayarla beraber açılacak. Diğer veriye göre ise internete her girildiğinde dinleme portlarını listeleyen "shimgapi.dll" internet ile beraber açılacak. Kısaca virüsü indiren bilgisayarın tüm güvenliği ve şifreleme sistemleri atlanarak yetkisiz erişim ve işlemlere açık hale gelecek. Tüm bunlar olurken de uzantıyı açan kullanıcı ekranında hiçbir şey göremeyecek. Yani virüsün bilgisayarına bulaştığının bile farkında olmayacak. Bu kadar ile yetindiğini sanıyorsanız maalesef yanılıyorsunuz. Virüs ayrıca kendini kopyalayarak virüs bulaşan kullanıcının adres defterindeki herkese kendi kopyasını gönderiyordu.

Virüsü kendinden öncekilerden ayıran ise hemen ortaya çıkmamak, bir süre de olsa gizlenebilmek için yaptığı bazı tercihlerdi. Kendini asla ".gov",".edu" ya da ".mil" gibi devlet mail adreslerine yollamıyordu. Ayrıca bilgilendirme için kullanılan "help" ya da "admin" gibi maillere de kendini göndermekten sakınıyordu. Onu diğerlerinden ayıran buydu. "ILOVEYOU" gibi virüsler bilgisayarda çalıştırıldığı an ortaya çıkıyor ve bütün dosyaları bozuyordu. Mydoom ise görünürde sistemde herhangi bir şeyi değiştirmiyordu. Bu yüzden diğer virüsler gibi birkaç saat içinde değil tam 1 gün sonra fark edildi. 27 Ocak tarihinde öğle saatlerinde, herkesin aktif olduğu dönemde internet dünya çapında %10 kadar yavaşlamıştı. Bir internet sitesine girmek iki kata kadar daha uzun sürüyordu. Virüsün farkına varılmıştı ancak artık atılan 10 mailden biri Mydoom içerikliydi. Virüs artık her ağda, her sunucuda ve neredeyse her bilgisayardaydı. Diğer virüsler gibi net bir görüntü veya dosyası da olmadığı için insanlar fark edemiyordu. Tek bilinen şey bir problem olduğuydu. Problemi çözmek için ise markalar belki de yapmaktan pişman olacakları bir şey yapmaya karar verdiler. Bir cadı avı başlattılar.

Kurşunu ilk sıkan Amerikalı bir donanım şirketi oldu. SCO Grubu, virüsle ilgili ya da virüsü yazan kişi ile ilgili herhangi bir ipucu ya da bilgi bulana 250.000 dolar teklif ettiler. Bu kendilerini bir açık hedef haline getirdi. Bu açıklamadan bir gün sonra virüsün yeni bir versiyonu "Mydoom.b" ortaya çıktı. Virüsün ilk sürümüne sahip bütün bilgisayarlar, yeni sürüme güncellendi. Yeni virüs, önceki versiyonundan daha farklı ve çok daha zararlıydı. Bulaştığı bütün makineleri bir tür zombiye çevirip; karşısında kim varsa, cadı avına kim destek veriyorsa ona saldırtacaktı. Bunu bir nevi kovan zihni olarak da düşünebilirsiniz. Kraliçe arıyı yani virüsü yazan kişiyi korumak için yakalamaya çalışanlara engel olacaklardı. Bunu da cadı avına destek veren şirketlerin internet sitelerine DDOS saldırısı düzenleyerek yapacaklardı. Bir internet sitesinin eş zamanlı olarak hizmet verebileceği kişi sayısı limitlidir. Ayrıca siteyi içinde barındıran sunucunun kapasitesi ve sunucuyu internete bağlayan kanal da sınırlıdır. İstek sayısı altyapıdaki sınırı her aştığında internet sitesi çöker. Buna DDOS saldırısı denir. Virüsün bu yeni versiyonu olan Mydoom.b seçtiği bir adrese, bulaştığı makinadan her saniye 64 defa istek gönderebiliyordu. Yeni versiyonun yayınlanmasının ardından, Microsoft'da 250.000 dolar ile cadı avına katıldı.

1 Şubat 2004, Microsoft'un ödül koymasından 3 gün sonra internet ağ trafiği biraz olsun rahatlamış artık sitelere girmek hızlanmıştı. Garip bir şekilde e-posta trafiği de kesilmişti. Yeni versiyon olan Mydoom.b yayılmayı durdurmuştu. Virüsün başındaki kişi her kimse 500.000 dolar ödül konması kendisini korkutmuş gibiydi. SCO Grubu ve Microsoft hiçbir şey yapmadan, yalnızca bir ödül koyarak zafer elde etmişlerdi. En azından öyle sanıyorlardı.

Virüsün bulaştığı yaklaşık 1.000.000 (bir milyon) bilgisayar aynı emri aldı. Saniyede 64 defa "sco.com" adresine saldıracaklardı. Bu o güne kadar görülen en büyük DDOS saldırısıydı. Hatta öyle ki "sco.com" DNS'den yani internetin kendisinden silindi. İki gün sonra aynı şey Microsoft'un başına geldi. Kendileri şanslılardı çünkü DNS'den silinmediler. Yaşanan bu iki olayın ardından kendileri şaşkın ve korkmuşlardı. Virüse karşı bir hamle yaparak insanları bilgilendirebilmek için "inform.microsoft.com" adında yeni bir site kurdular. Ardından bütün bilgisayarlar bu siteye de saldırdı. İnsanlar daha bilgilendirme sitesine bile giremeden site kapanmıştı. Altı gün sonra virüsün yeni versiyonu ortaya çıktı. DoomJuice. Daha fazla bilgisayara yayılıp tekrardan Microsoft'a saldırdı. Ertesi gün ilk versiyon, 26 gün sonra ise ikinci versiyon olan Mydoom.b çalışmayı durdurdu. Aylar sonra internet, firmalar ve insanlar rahatlamıştı. Saldırılar nihayet bitmiş ve virüs yayılmayı durdurmuştu. İnternet eski hızındaydı. Kimse olanlara anlam verememişti ama nasılsa Mydoom bitmişti.

26 Temmuz 2004 tarihine kadar. Virüsler yayılmayı durdurmuştu ancak bulaştıkları makinalarda hala duruyorlardı. Virüsü yapan kişinin hala bütün makinalara erişimi vardı. Bu sefer Mydoom daha büyük bir hedef seçti ve Google tam 1 iş günü boyunca kapalı kaldı. 23 Eylül tarihine kadar virüs birçok yeni versiyona sahip oldu. Mydoom.u, Mydoom.v, Mydoom.w, Mydoom.x versiyonlarıyla internette yayılmaya devam ediyordu. Ancak eskisi kadar etkili değildi ve saldırılara sebep olmuyordu. Tam 5 yıl sonra. 2009 yılında ise Beyaz Saray'ı, Pentagon'u, The Washington Post'u, Nasdaq borsasını ve Amazon'u çökertti. Ardından Güney Kore Savunma Bakanlığı'nı, İçişleri bakanlığını ve Dünya'daki tüm istihbarat servislerini.

Peki sonra ne oldu? Günümüze geldiğimizde Mydoom'un toplam verdiği zarar 54 milyar dolar olarak hesaplanıyor. Yapımcısı hala bir sır. Veriler incelendiğinde ise günümüze kadar yollanmış bütün maillerin %20-25 kadarı Mydoom içeriyor. Günümüzde atılan oltalama maillerinin ise %01 kadarı hala Mydoom virüsüne sahip.