TROJANLARDAN KORUNMA

tarafından **Admin** Çarş. 05 Mart 2008, 13:33

TROJANLAR

Trojanlar aslında sizin bilgisayarınızın başka bir bilgisayar tarafından ağ üzerinden kontrol edilmesine yarayan programlardır. Bilgisayarınızın portlarından herhangi birisini açarak diğer kullanıcıların bilgisayarınıza girmesini sağlarlar. Server ve Client dosyalarından oluşur. Server portları açarak bilgisayarınızı hedef haline getirirken, Client ise bilgisayarınıza girilmesini sağlar.

Örneğin bir kullanıcıya trojan bulaştırarak bilgisayarına girelim. İcq da hedef seçtiğimiz(vaya chat te) kurbanımıza elimizde bulunan Server programını herhangi bir şekilde gönderiyoruz. Güzel bir program kullan vazgeçemeyeceksin diyebileceğimiz gibi, içinde mükemmel bir resim arşivi var istersen bir bak diyerek te kurbanın Server programını almasını ve çalıştırmasını sağlayabiliriz. (Aslında trojanlar başka programlara entegre edilerekte karşı tarafa bulaştırılabilirler(Truva atı).

Mesela kurbanımıza çok popüler İcq programını trojan ile birleştirilmiş halde verebilirsiniz. Bu durumda kurban İcq yu çalıştırdığında normalde farklı hiçbir şey fark etmeyecektir.) Kurbanımız gönderdiğimiz Server programını çalıştırınca trojanı bilgisayarına bulaştırmış olacaktır. Bu aşamadan sonra kurbanımızın İP sini alarak bilgisayarına girmek kalıyor. Bizdeki Client programını çalıştırdığımızda bizden bir İP numarası isteyecek. Oraya bulduğumuz kurbanımıza ait İP yi yazarak Connect tuşuna bastığımızda kurbanımızın bilgisayarına bağlanmış oluyoruz. Artık gerisi size kalmış, ister format atın, ister internet giriş şifrelerini çalın.(Meseleyi anlatırken teknik detaya girerek insanların dergimiz aracılığıyla bu işi öğrenmelerini istemedik.

Verilen bilgiler sadece korunma amaçlıdır.) Kurbanımızda varolan trojan silinmediği sürece varlığını devam ettirecektir. Bugün benim girebildiğim bu bilgisayara yarın başka birisi girerek istediğini yapabilir. İnternet ortamında trojan yediği halde haberi olmayan bir çok insan vardır. Port Scanner diye bilinen programlarla bu insanları tesbit ederek, sahip olduğu trojana göre kullanacağımız bir Client programı sayesinde bu bilgisayarlara da girebiliriz. Port Scanner programıyla kontrol etmeniz durumunda internette 10 dakika içinde Netbus 2.0 (20034 numaralı portu kullanır.) trojanını yiyen en az 5
kişi bulabilirsiniz.

Norton veya Mcaffe tarafından tanınmayan trojan sayısı çok sınırlı olduğu için bu anti virüs yazılımlarından birini yüklemeniz durumunda trojanların ekserisinden korunmuş olursunuz. (kendi bilgisayarımda denemediğim trojan kalmadı Norton 5.0 anti virüs programı trojanları yakalama konusunda harika. Fakat schoolbus isimli trojanı bulamıyor. Aşağıda bu trojanın nasıl temizleneceği anlatılıyor.) . Aslında çoğu trojan internet üzerinde sörf yaparken birisi sizin bilgisayarınıza girmediği sürece zararsızdır.

İnternette iken bilgisayarınızda bir trojan olup olmadığını anlamanın çok kolay bir yolu vardır. Ayrıca bir trojan varsa bile, bilgisayarınızın içindeki bu casusun kimlere bilgisayarınızın kapılarını açtığını da öğrenebiliriz. Dos ortamında netstat -an komutunu yazarak enter tuşuna basarsanız bilgisayarınızın internet ortamındaki tüm bağlantılarını görebilir ve anormal bir durum olup olmadığını kontrol edebilirsiniz.

Eskiden herbir trojanın kullandığı port numarası farklı idi. Örneğin netbus ın ilk versiyonu 12345 numaralı portu kullanırken Bo trojanı 31337 numaralı portu kullanıyordu. Şimdilerde ise her bir trojan kullanıcının(trojanı size bulaştırmak isteyen kişi) isteğine göre değişebilen portları açabiliyor. Bu nedenle trojanların kullandığı portlarda bir anormallik gözünüze çarpmasa bile bu bilgisayarınızda trojan yoktur anlamına gelmez.

Peki trojanlar bilgisayarımıza nasıl bulaşırlar. Chat te veya İcq da muhabbet ederken size gönderilen herhangi bir resim(aslında çalışabilir bir program olup resim iconu yerleştirilmiştir) ve dosya trojan taşıyor olabilir. Sizin o dosyayı
açmanızla birlikte bilgisayarınıza da trojan bulaşacaktır. Korunmanın en iyi yolu dosya almamak. Hatta dosyayı aldığınız kişi tanıdık bile olsa dosya almamak. Çünkü o da gönderdiği programda trojan olduğunu bilmiyor olabilir.

Aşağıda bilgisayarınızın kullandığı portların numaraları vardır. Bu port numaraları haricinde bir bağlantınız var ise muhtemelen bir trojandır. Fakat İcq programı çalışıyor veya Chat te muhabbet halinde iseniz. Normal harici kullanılan portlar olacaktır. Bu portları Chat programınız veya İcq programınzı açmış olabilir. Aşağıda en çok kullanılan trojanlar ve kontrol ettikleri portlar verilmiştir. Gerisi size kalmış.

(Aşağıda trojanlara yönelik verilen bilgiler ve savunma yöntemleri server dosyasının ayarları değiştirilmediği takdirde geçerlidir. Fakat Çoğunlukla ayarlar değiştirilmeden kullanılır)

SUBSEVEN:

Adı: ratgele seçilmiş bir isim. (uyfghj.exe gibi)

Boyutu: 374 KB

Yerleştiği yer: Çalıştırıldığı dizin

Start up yöntemi: Win.ini dosyasına ekleme yaparak

En belirgin özelliği: Çok zengin kullanım seçenekleri sunması.

Özellikleri:

En yaygın trojandır. Kullanım kolaylığı ve bağlantı anında sağladığı gelişmiş özellikleriyle tercih sebebidir. Bağlanılan bilgisayarın registery ayarları, şifreleri, icq ve mail hesapları kolayca kullanılabilir. File manager ile karşı bilgisayarın dosyalarına erişebilir, key logger ile hedef bilgisayarda klavye
aracılığıyla yazılan herşeyi görebilir, screen capture özelliği ile hedef bilgisayarın anlık ekran görüntüsüne mous ile müdahele edebilirsiniz. Kısacası son derece gelişmiş ve profesyonelce hazırlanmış bir remote control aracıdır subseven(daha bir çok özelliği de vardır.). Edir server ile server programı kullanıcı tarafından ayarlanabilir. Yani kullanılan port, start up metodu ve server dosyasının iconu değiştirilebilir. Bu şekilde bulunması da zorlaşmaktadır. Fakat çoğu kullanıcı subseven ı default ayarlarıyla kullanmaktadır. Aslında bu da bizim için bir avantajdır. Bu ayarlar bilindiği için bulunması da kolay olur.

Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan bir trojan da değildir. Aynı zamanda bu trojanı başkalarına bağlanmak için kullanan kişinin de bilgisayarında ki özel bilgileri internetten başkalarına göndermektedir (Sisteminize bir firewall programı kurarak sadece subseven client programını
çalıştırmanız durumunda 20-30 dk sonra }-xæØ gibi anlamsız isimlere sahip bir dosya aracılığıyla bilgileriniz internette ilgili kişiye gönderilir. Muhtemelen subseven ı yapan şahsa. ).Ayrıca yine client programının çok kullanımı sonrasında sistem ayarlarınız değişebilmekte, programlarınız çalışmayı durdurabilmektedir.

Default olarak(yani edit server ile değiştirilmemişse) 27374 numaralı port u kullanır. Start up metodu olarak kendini win.ini dosyasına Windows altına "run= dosya ismi" ekler. Dosya ismi rastgele seçilmiş bir isimdir. Bu satır sayesinde bilgisayarın her açılışında kendini yükleyerek 27374 numaralı port u açık hale getirerek bekler. Port ları açmak için kullanılan bu dosya c:\windows altında bulunur.

Temizlenmesi:

Öncelikle subseven ın kullandığı yardımcı server programını bulmalıyız. Biraz önce start up yöntemi olarak win.ini dosyasını kullandığını söylemiştik. Başlat tan çalıştır a gelerek win.ini yazıp enter a basın. Karşınıza win.ini dosyasının içeriği gelecek. Burada

[windows]

NullPort=None
Options=85663
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=nyuw.exe

[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
.........

gibi satırlar karşınıza çıkmış olmalı. Windows altında run=nyuw.exe trojanımızın server programının ismi. Yani bilgisayar açıldığında bu program 27374 numaralı port umuzu açıyor. Şimdi "run=nyuw.exe" satırını silelim win.ini dosyasından saklayarak çıkalım. (fakat bahsettiğimiz bu server programı her makinede farklıdır. Yani rastgele seçilmiştir. Sizin bilgisayarınızda run= dan sonra başka bir isim yazıyor olmalı.) Burada dikkat etmemiz gereken server programımızın ismi. Bu ismi bir yere kaydederek. İşlemimize devam edelim. Buraya kadar yaptıklarımızla artık bilgisayar açıldığında portlarımızı açan programın çalışmasını önlemiş olduk. Fakat server programı her açılışta çalışmasa bile hala bilgisayarımız içinde(aslında buraya kadarki işlemlerle trojandan kurtulmuş olduk. Yani artık zararsız.).
Başlat tan bilgisayarı kapat ı seçin ve çıkan ekranda ms-dos kipinde
başlat seçeneğini aktif yaparak tamam tuşuna basın. Bilgisayarınız ms-dos
kipinde açılacak. Karşınıza

c:\windows> işareti gelecek.

c:\windows>del nyuw.exe

yukarıdaki satırı yazıp enter tuşuna basınca artık server programı bilgisayarınızdan silinmiş olacak.(tabi ki siz nyuw.exe yerine win.ini de görüp kaydettiğiniz dosya ismini yazacaksınız.)

SCHOOLBUS:

Adı: grcframe.exe(hidden olarak bulunur), runonce.exe

Boyutu: 321 KB

Yerleştiği yer: c:\windows\system

Start up yöntemi: System dizinine yerleştiği için açılışta sisteme yüklenir.

En belirgin özelliği: Önceden norton ve mcafee tarafından bulunamıyordu. Fakat bu virüs tarama programlarının yeni sürümleri schoolbus ı buluyor.

Özellikleri:

Son zamanlarda özellikle Türkiye de oldukça yaygınlaşan bir trojandır. Bir Türk tarafından yapılmış olması ve norton tarafından bulunamaması en önemli yaygınlaşma sebebidir. Bağlantı yapıldıktan sonra bir çok kullanım seçeneği sunar(fakat subseven kadar zengin seçenekleri yoktur). Bu sayede karşı tarafın şifreleri, icq hesabı, dosyaları kontrol edilebilir. Edit server
programı ile server dosyası istenildiği şekilde ayarlanabilir. Kullanılan port ve server dosyasının icon u değiştirilebilir. Bu trojan bilgisayarınızın 54321 ve 4****(değişiyor sürekli) numaralı portlarını açar. Elbette bu portların açık olması için bilgisayarınızda sürekli çalışır halde bir programın mevcut
olması gerekli. Bu program c:\windows\system\ dizinindeki grcframe.exe isimli programdır.

Schoolbus sadece bulaştırılmış kişiye zarar vermez. Aynı zamanda bu trojanı kötü amaçlar için kullanan kişilerin şifrelerini de trojanı yapan kişinin mail hesabına gönderir. Kısacası kullanan da bulaştırılan da zarar görür.

Ayrıca trojanımız c:\windows\system dizinindeki runonce.exe isimli bir backdoor virüsünü de bilgisayarınıza bulaştırıyor. İşte bu programların silinmesiyle trojanımız da etkisiz hale geliyor. Fakat windows ortamında bu programları silmenin imkânı olmadığı için dos ortamına geçmeliyiz.

Temizlenmesi:

Bilgisayarı kapat bölümünde Ms-dos kipinde başlat seçeneğini işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında sırasıyla aşağıda söylenenleri yapın

C:\windows> cd system

C:\windows\system>attrib -h -r grcframe.exe (aradaki
boşluklara dikkat ediniz)

C:\windows\system>del grcframe.exe

C:\windows\system>del runonce.exe

Trojandan bu şekilde kurtulmuş olursunuz. Sisteminizi yeniden başlatın.

BO (BACK ORİFİCE)(BO2K 2000):

Adı: bo2k.exe

Boyutu: 112 KB

Yerleştiği yer: Çalıştırıldığı dizin.

Start up yöntemi: TCP/IP yapılandırmasında kullanılan bir dosyaya enfekte olarak sisteme bu sürücünün çalıştırılmasıyla yüklenir.

En önemli özelliği: Sistemde bir sürücüye enfekte olarak çalışır. Dolayısıyla bulunması zordur.

Özellikleri:

Yaygın olarak kullanılan trojanlardan birisidir. En önemli özelliği kendisini TCP yapılandırmasında kullanılan sürücülerden birine enfekte ederek görülemez hale getirmektir. Bu sebeple bu yazıda bahsedilen start up yöntemlerinin hiç birisiyle tesbit edilemez. Çünkü kendisi direkt olarak çalışıyor görünmez.
Bilgisayarın kullanmak zorunda olduğu sürücülerden birisine kendisini yerleştirir ve o sürücü sisteme yüklenince otomatik olarak sisteme yerleşir; .com ve .exe virüslerinin mantığına sahip. Bu pek de bilinmeyen özelliği dışında, kurbana gönderilen server programı istenildiği gibi ayarlanabiliyor(port, dosya adı değişebiliyor). Bağlantı kurulan makiye yönelik çok zengin bir kullanım seçeneği mevcut. Default olarak 31337 numaralı (ya da 54321) portu kullanır. server programının ismi bo2k.exe(config programı ile
bu isim değiştirilebilir), boyutu 112 KB dır. Bu dosya herhangi özel bir dizine kendisini kopyalamaz. Çalıştırıldığı dizin içerisinde kalır. Zaten çalıştırıldıktan sonra silmeye kalkarsanız windows tarafından kullanıldığı için silinemez mesajını alırsınız.

Temizlenmesi:
Diğer trojanlar gibi sistemde direkt çalışmadığı için temizlenmesi için de farklı bir yöntem takip edilir. Kendisini TCP yapılandırmasında kullanılan sürücülere enfekte ederek sisteme yüklediği için, bozulmuş olan bu sürücülerin yenilenmesi ile sistemde çalışamaz hale gelir. Bunun için de o an mevcut olan TCP yapılandırmasının kaldırılarak sisteme yeniden kurulması gerekir.
Bunun için başlat-ayarlar-denetim masasına gelmeliyiz. Burada Ağ adıyla belirtilen icona tıkladığımızda karşımıza ağ yapılandırmamız gelecek.