Virüsler tarafından kullanılan popüler bulaştırma yöntemleri:

Bilgisayar virüsleri bilgisayarınıza bulaşır demek yeterli değildir. Her bir bilgisayar virüsünün denetimi ele geçirmede kendisine özgü bir yöntemi vardır. Virüsler, türlerine göre, kendilerini programın sonuna ekleyebilir, içine nüfuz edebilir veya çalıştırılabilir program dosyalarının çevresini çepeçevre sarabilirler. Bazı virüsler ise daha yüksek düzeyde adaptasyon için söz konusu yöntemleri birleştirirler. Virüsler belleğe yerleşerek DOS sistem çağrılarını ve kullanıcı komutlarını kesintiye uğratabilirler. Sistem giriş/çıkış (I/O, Input/Output)’larını kendilerine doğru yeniden yönlendirebilir veya korunmasız bölgelere giderek temiz dosyaları virüslü taklitleriyle değiştirebilirler.
Kullanıcılar bilgisayar virüsleri ve hedef sistem (kendi sistemleri) arasındaki teknik diyaloğun ayrıntıları ile ilgilenme gereği duymazlar; temeldeki amaçları güvenli bilgi işlem çalışmaları yapma ve onları anlamadır. Ancak, bilgisayarınız içinde neler olduğu konusunda bir düşünce sahibi olmanız yararlıdır. Amaç olarak yazılımı, verileri ve dosyaları düşünmek bilgisayarınızın değil, sizin sorumluluğunuzdadır. Bu amaçlara ulaşma yollarının denetimini, ancak sisteminizin korunması konusunda bilgi edinmeye istekli olduğunuz ve bu uğurda enerji ve zaman harcadığınız zaman elinizde tutabilirsiniz. Bu nedenle, bu bölümde virüsler tarafından kullanılan yöntemlerin kısa bir özeti sunulmuştur.
Bilgisayar virüslerinin çoğunluğunun çalıştırılabilir dosyalardan denetimi ele geçirmek için kullandıkları beş popüler yöntem vardır:

1-Ekleme (Appending)
2-Araya sokma (Insertion)
3-Yeniden yönlendirme (Redirection)
4-Yer değiştirme (Replacement)
5-Virüs kabuğu (The viral shell)

1-EKLEME (Appending)
Çalıştırılabilir program dosyalarının sonlarına virüse ilişkin kod ekleyen virüsler ekleyerek bulaştırma yöntemini kullanırlar. Hedef çalıştırılabilir (.EXE) programlar değiştirilebilirler, böylece bu programlar çalıştırıldığı zaman, aşağıda gösterildiği gibi programın denetimi program sonuna eklenen virüs kodlarına geçer. satırlar, normal bir programın yürütülmesi ve daha sonra virüslü bir program sırasında oluşacak olayların sırasını belirtmektedir.

Ekleme Virüsü Tarafından Bulaştırılmış Bir Program
Enfeksiyondan önce program
PROGRAM.EXE
Dosya Uzunluğu= 10240 bayt
Enfeksiyondan sonra program
PROGRAM.EXE
VİRÜS KODU
Dosya Uzunluğu=10240 bayt + virüs kodunun uzunluğu

Bulaştırmanın sıralamayı nasıl değiştirdiğine dikkat etmelisiniz: Eklenen virüs kodu kendini harekete geçirir ve fesat görevini başarıyla tamamladıktan sonra, komut, hiçbir şey olmamışçasına çalışmaya devam ederek ana dosyalara geri döndürülür.
Bulaşacakları dosyaların tipine bağlı olarak ekleme yöntemini kullanan bilgisayar virüsleri, işletim süresince denetimini hedefledikleri programlardan saptırmak için bir çok farklı teknikler kullanırlar. Örneğin, .COM ve .EXE kütükleri program giriş noktalarını (program kodlarının bellekteki başlama yerleri) bilgisayara tavsiye etmek için farklı algoritmalar (komut sıralaması) kullanırlar. Muzır yazılımcılar bulaştırma mekanizmalarını tasarlarken bu ince program farklılıklarına dikkat ederler, aksi takdirde ekleme yöntemini kullanan virüsleri yalnızca bir çalıştırılabilir dosya tipine yönelik oluştururlar. Bu nedenledir ki, bazı virüsler sadece .EXE dosyalarına bulaşabilirler. Bunların yazılımcıları, hedef kütüğün çok yönlü özelliklerin ele almada gereli uygun mantığı kullanmada yetersiz veya isteksizdirler.

2-ARAYA SOKMA ( Insertion )
Kendi yazılım kodlarını, doğrudan doğruya kullanılmamış olan kodların ve çalıştırılabilir programların veri bölümlerinin arasına yerleştiren bilgisayar virüsleri, hedefledikleri dosyaları denetlemek için araya sokma yöntemini kullanırlar. Bir önceki yöntemde olduğu gibi, araya sokma yöntemini kullanan virüsler de hedef dosyalarda bazı değişikliklere neden olurlar. Yöntemlerdeki farklılık, aşağıda gösterildiği gibi, virüs kodunun sona eklenmesi yerine, hedeflenen çalıştırılabilir dosyanın içerisine yerleştirilmesidir.
Araya Sokma Yöntemini Kullanan Bir Virüs
Tarafından Bulaştırılan Bir Program
Enfeksiyondan önce program
PROGRAM.EXE
Dosya Uzunluğu=10240 bayt
Enfeksiyondan sonra program
PROG(VİRÜS KODU)RAM.EXE
Dosya Uzunluğu=10240 bayt
Araya sokma yöntemini kullanan virüslerin gelişimi, ekleme yöntemini kullanan virüslere göre daha zordur; çünkü temelde virüs kodunun uzunluğu minimumda tutulmalıdır. Çoğu zaman yeter büyüklükte kullanılmamış program alanı bulmak zor, hatta bazı durumlarda olanaksız olabilir. Bu uzunluk sınırlaması virüs kodunun uyarlanabilirliğini azaltarak, Muzır yazılımcıların virüse ekleyecekleri fonksiyonların sayısını oldukça azaltır. Öte yandan, ekleme yöntemini kullanan virüslerde bu sınırlama yoktur. Özellikle .EXE dosyaları için tasarlanmaları daha kolaydır, çünkü .COM dosyaları için geçerli olan 64K dosya uzunluğu sınırlaması .EXE dosyaları için geçerli değildir.

3-YENİDEN YÖNLENDİRME ( Reduction )
Yeniden yönlendirerek bulaştırma yöntemi ileri düzeyde virüs yazılımcıları tarafından kullanılan ilginç ve üst düzeyde bir yaklaşımdır. Bu şema altında bilgisayar virüsü denetim merkezleri, disk bölünüm alanları, bozuk olarak işaretlenmiş sektörler veya gizli dosyalarda gizlenirler. Ekleme veya araya sokma yöntemlerini kullanan “usta” virüsler, çalıştırılabilir. (.EXE) dosyalar arasına küçük virüs işçilileri yerleştirirler. Bu virüs işçileri hedeflenen program çalıştırıldığında ustalarını çağırırlar (çalıştırma istekleri) yayınlayarak program akışını yeniden yönlendirirler. Usta (belki daha çok virüs işçisi yayarak) işçilerini yönetir ve daha sonra denetimi gerçek programa bırakırlar.
Virüs işçileri teoride birkaç düzine bayt küçüklüğünde veya bu uzunluktan daha kısa olduklarından, sınırlı sayıdaki kullanılmayan program alanları içerisine gizlenmeleri çok kolaydır. İşin daha ilginç yönü; bellekte kalıcı virüslerle ( boot sektörü veya komut işlemcisine bulaşanlarına gibi) birleştirildiklerinde, virüs işçilerinin boyu iki başta kadar sıkıştırılabilirler ve bu iki bayt denetimi bellekteki virüslere devreden DOS kesintilerini (interrup) çağırmak için gereklidir.
Yeniden yönlendirme yönteminde virüs kodlarının büyüklüğü ihmal edilebilir oranda az olduğu için, diskteki boş alanlarda herhangi bir değişiklik farkedilmez. Uygun küçüklükte olan bulaştırıcı kod parçaları program dosyalarını birkaç bayt büyütürler veya hiç büyütmezler. Sonuçta yeniden yönlendirme yöntemi Muzır yazılımcılara, hedeflenen dosyalara veri kilobaytları eklemenin sonuçlarına aldırmaksızın geniş ve çok yönlü bilgisayar virüsleri yaratmalarına olanak tanır.
Yeniden yönlendirme yönteminin Muzır programcılara sunduğu temel dezavantaj şudur: Bulaşıcılar belirlendiklerinde kolaylıkla sökülüp atılabilmektedirler. Gizlendikleri yerlerden ana virüs damarlarını silmek, bilgisayarı temizlemek için yeterlidir. Bu durum bütün virüs işçilerini güçsüz kılacaktır, çünkü onlar hiçbir zaman kendi başlarına ana kontrol programlarını bulamaz ve iletişime geçemezler.

4-YER DEĞİŞTİRME ( Replacement )
Şimdiye kadar virüs yazılımcıları tarafından kullanılan en ağır ve en hantal bulaştırma yöntemi, hedeflenen çalıştırılabilir (.EXE) dosyaların virüssel işletimcilerle yer değiştirilmesidir. Yer değiştirme yöntemini kullanan virüsler gerçekte çalıştırılabilir dosyaları enfekte etmezler, daha ziyade yerleştikleri sistemi enfekte ederler. Aşağıda gösterildiği gibi virüs kodları ile tamamen yer değiştirirler; bu anlamda hedef, dosyaların üzerine yazılır. Bulaştırılmış programın işletilmesi sırasında olayların sırasının değişmediğine ve program kodunun virüs kodu tarafından nasıl silinip yer değiştirdiğine dikkat edelim.

Yer Değiştirme Yöntemini Kullanan Virüs Tarafından
Bulaştırılmış Bir Program
Enfeksiyondan önce program
PROGRAM.EXE
Dosya Uzunluğu=10240 bayt
Enfeksiyondan sonra program
VİRÜS.EXE
Dosya Uzunluğu=10240 bayt

Muzır yazılımcılar açısından bu kaba güç kullanan yöntemin bazı yaraları vardır: Geçerli program dosyaları her yer değiştirmede tamamen yok edilirler ve hedeflenen sistem çok kısa bir süre içinde değersiz bir donanım yığını haline dönüşür. Bu yöntemin zayıf yönü ise, enfeksiyonların ilk ortaya çıkışından hemen sonra kolaylıkla belirlenebilmeleridir. Ancak yer değiştirme yöntemini kullanan virüsler, ilk işletimleriyle birlikte verileri yok ettiklerinden, hızlı ve etkili bir şekilde yok edilebilmelerine rağmen etkileri zarar vericidir.

5-VİRÜS KABUĞU ( The Viral Shell )
Virüslerin dünyasında bu yöntem gerçekte bir bulaştırma tekniği olarak düşünülmez; daha çok ileri düzeyde virüs yapıları tarafından kullanılan enfeksiyon sonrası yaşama yöntemidir. Komut işlemcisi ve bellekte sonrası yaşama yöntemidir. Komut işlemcisi ve bellekte kalıcı virüslerin onun özelliklerini desteklemelerine karşın, çoğunlukla boot sektörü bulaşanları tarafından oyuna dahil edilirler. Bu virüs, sisteminize yüklenebilecek en sinsi ölümdür.
Virüs kabuğu uygulamada sınırlayıcıdır. Bütün normal bilgisayar işlevlerin etkinliği altına alır ve belleğe yerleşen virüslerin varlığını tehdit eden, varlığını ve yerini ortaya çıkarıcı olası eylemleri durdurur veya maskeler. Dizin listeleri analiz edilir ve sonuçtaki ekran görüntüleri değiştirilir. Böylelikle birkaç ekstra kilobayt virüs kodu taşımalarına rağmen enfekte edilmiş dosyalar, normal dosya uzunluğuna sahiplermiş gibi görünürler. Boot sektörü, komut işlemcisi ve genel dosyaları görme, toplamı kontrol etme veya diğer türlü inceleme girişimleri hep sonuçsuz bırakılırlar.
Muzır yazılımcılar, her gün daha yenisi ve etkilisi geliştirilen virüs programlarının yayılması, desteklenmesi, işletilmesi ve yüklenmesinde kullanıcıları tuzağa düşüren şeytanca zeki yollar yaratmak için saatlerini, günlerini harcarlar. Bu bölümde tartışılan virüs tipleri ve bulaştırma yöntemlerinin, virüslerin nasıl çalıştığı ve bilgisayar sistemlerine nasıl girdikleri konusunda size önemli temel bilgiler verdiği düşünülmelidir.