Aradığınız içerik sitemizde mevcut durumdadır
buradan sitemize dönebilirsiniz !
Forum Başlıklarına gitmek için tıklayınız
TROJANLAR
Trojanlar aslında sizin bilgisayarınızın başka bir bilgisayar
tarafından ağ üzerinden kontrol edilmesine yarayan programlardır.
Bilgisayarınızın portlarından herhangi birisini açarak diğer
kullanıcıların bilgisayarınıza girmesini sağlarlar. Server ve Client
dosyalarından oluşur. Server portları açarak bilgisayarınızı hedef
haline getirirken, Client ise bilgisayarınıza girilmesini sağlar.
Örneğin bir kullanıcıya trojan bulaştırarak bilgisayarına girelim.
İcq da hedef seçtiğimiz(vaya chat te) kurbanımıza elimizde bulunan
Server programını herhangi bir şekilde gönderiyoruz. Güzel bir
program kullan vazgeçemeyeceksin diyebileceğimiz gibi, içinde
mükemmel bir resim arşivi var istersen bir bak diyerek te kurbanın
Server programını almasını ve çalıştırmasını sağlayabiliriz.
(Aslında trojanlar başka programlara entegre edilerekte karşı tarafa
bulaştırılabilirler(Truva atı). Mesela kurbanımıza çok popüler İcq
programını trojan ile birleştirilmiş halde verebilirsiniz. Bu
durumda kurban İcq yu çalıştırdığında normalde farklı hiçbir şey
fark etmeyecektir.) Kurbanımız gönderdiğimiz Server programını
çalıştırınca trojanı bilgisayarına bulaştırmış olacaktır. Bu
aşamadan sonra kurbanımızın İP sini alarak bilgisayarına girmek
kalıyor. Bizdeki Client programını çalıştırdığımızda bizden bir İP
numarası isteyecek. Oraya bulduğumuz kurbanımıza ait İP yi yazarak
Connect tuşuna bastığımızda kurbanımızın bilgisayarına bağlanmış
oluyoruz. Artık gerisi size kalmış, ister format atın, ister
internet giriş şifrelerini çalın.(Meseleyi anlatırken teknik detaya
girerek insanların dergimiz aracılığıyla bu işi öğrenmelerini
istemedik. Verilen bilgiler sadece korunma amaçlıdır.) Kurbanımızda
varolan trojan silinmediği sürece varlığını devam ettirecektir.
Bugün benim girebildiğim bu bilgisayara yarın başka birisi girerek
istediğini yapabilir. İnternet ortamında trojan yediği halde haberi
olmayan bir çok insan vardır. Port Scanner diye bilinen programlarla
bu insanları tesbit ederek, sahip olduğu trojana göre kullanacağımız
bir Client programı sayesinde bu bilgisayarlara da girebiliriz. Port
Scanner programıyla kontrol etmeniz durumunda internette 10 dakika
içinde Netbus 2.0 (20034 numaralı portu kullanır.) trojanını yiyen
en az 5 kişi bulabilirsiniz. Norton veya Mcaffe tarafından
tanınmayan trojan sayısı çok sınırlı olduğu için bu anti virüs
yazılımlarından birini yüklemeniz durumunda trojanların ekserisinden
korunmuş olursunuz. (kendi bilgisayarımda denemediğim trojan kalmadı
Norton 5.0 anti virüs programı trojanları yakalama konusunda harika.
Fakat schoolbus isimli trojanı bulamıyor. Aşağıda bu trojanın nasıl
temizleneceği anlatılıyor.) . Aslında çoğu trojan internet üzerinde
sörf yaparken birisi sizin bilgisayarınıza girmediği sürece
zararsızdır. İnternette iken bilgisayarınızda bir trojan olup
olmadığını anlamanın çok kolay bir yolu vardır. Ayrıca bir trojan
varsa bile, bilgisayarınızın içindeki bu casusun kimlere
bilgisayarınızın kapılarını açtığını da öğrenebiliriz. Dos ortamında
netstat -an komutunu yazarak enter tuşuna basarsanız
bilgisayarınızın internet ortamındaki tüm bağlantılarını görebilir
ve anormal bir durum olup olmadığını kontrol edebilirsiniz. Eskiden
herbir trojanın kullandığı port numarası farklı idi. Örneğin netbus
ın ilk versiyonu 12345 numaralı portu kullanırken Bo trojanı 31337
numaralı portu kullanıyordu. Şimdilerde ise her bir trojan
kullanıcının(trojanı size bulaştırmak isteyen kişi) isteğine göre
değişebilen portları açabiliyor. Bu nedenle trojanların kullandığı
portlarda bir anormallik gözünüze çarpmasa bile bu bilgisayarınızda
trojan yoktur anlamına gelmez. Peki trojanlar bilgisayarımıza nasıl
bulaşırlar. Chat te veya İcq da muhabbet ederken size gönderilen
herhangi bir resim(aslında çalışabilir bir program olup resim iconu
yerleştirilmiştir) ve dosya trojan taşıyor olabilir. Sizin o dosyayı
açmanızla birlikte bilgisayarınıza da trojan bulaşacaktır.
Korunmanın en iyi yolu dosya almamak. Hatta dosyayı aldığınız kişi
tanıdık bile olsa dosya almamak. Çünkü o da gönderdiği programda
trojan olduğunu bilmiyor olabilir. Aşağıda bilgisayarınızın
kullandığı portların numaraları vardır. Bu port numaraları haricinde
bir bağlantınız var ise muhtemelen bir trojandır. Fakat İcq programı
çalışıyor veya Chat te muhabbet halinde iseniz. Normal harici
kullanılan portlar olacaktır. Bu portları Chat programınız veya İcq
programınzı açmış olabilir. Aşağıda en çok kullanılan trojanlar ve
kontrol ettikleri portlar verilmiştir. Gerisi size kalmış.
(Aşağıda trojanlara yönelik verilen bilgiler ve savunma yöntemleri
server dosyasının ayarları değiştirilmediği takdirde geçerlidir.
Fakat Çoğunlukla ayarlar değiştirilmeden kullanılır)
SUBSEVEN:
Adı: ratgele seçilmiş bir isim. (uyfghj.exe gibi)
Boyutu: 374 KB
Yerleştiği yer: Çalıştırıldığı dizin
Start up yöntemi: Win.ini dosyasına ekleme yaparak
En belirgin özelliği: Çok zengin kullanım seçenekleri sunması.
Özellikleri:
En yaygın trojandır. Kullanım kolaylığı ve bağlantı anında
sağladığı gelişmiş özellikleriyle tercih sebebidir. Bağlanılan
bilgisayarın registery ayarları, şifreleri, icq ve mail hesapları
kolayca kullanılabilir. File manager ile karşı bilgisayarın
dosyalarına erişebilir, key logger ile hedef bilgisayarda klavye
aracılığıyla yazılan herşeyi görebilir, screen capture özelliği ile
hedef bilgisayarın anlık ekran görüntüsüne mous ile müdahele
edebilirsiniz. Kısacası son derece gelişmiş ve profesyonelce
hazırlanmış bir remote control aracıdır subseven(daha bir çok
özelliği de vardır.). Edir server ile server programı kullanıcı
tarafından ayarlanabilir. Yani kullanılan port, start up metodu ve
server dosyasının iconu değiştirilebilir. Bu şekilde bulunması da
zorlaşmaktadır. Fakat çoğu kullanıcı subseven ı default ayarlarıyla
kullanmaktadır. Aslında bu da bizim için bir avantajdır. Bu ayarlar
bilindiği için bulunması da kolay olur.
Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan bir
trojan da değildir. Aynı zamanda bu trojanı başkalarına bağlanmak
için kullanan kişinin de bilgisayarında ki özel bilgileri
internetten başkalarına göndermektedir(Sisteminize bir firewall
programı kurarak sadece subseven client programını çalıştırmanız
durumunda 20-30 dk sonra }-xæØ gibi anlamsız isimlere sahip bir
dosya aracılığıyla bilgileriniz internette ilgili kişiye gönderilir.
Muhtemelen subseven ı yapan şahsa. ).Ayrıca yine client programının
çok kullanımı sonrasında sistem ayarlarınız değişebilmekte,
programlarınız çalışmayı durdurabilmektedir.
Default olarak(yani edit server ile değiştirilmemişse) 27374
numaralı port u kullanır. Start up metodu olarak kendini win.ini
dosyasına Windows altına "run= dosya ismi" ekler. Dosya ismi
rastgele seçilmiş bir isimdir. Bu satır sayesinde bilgisayarın her
açılışında kendini yükleyerek 27374 numaralı port u açık hale
getirerek bekler. Port ları açmak için kullanılan bu dosya
c:\windows altında bulunur.
Temizlenmesi:
Öncelikle subseven ın kullandığı yardımcı server programını
bulmalıyız. Biraz önce start up yöntemi olarak win.ini dosyasını
kullandığını söylemiştik. Başlat tan çalıştır a gelerek win.ini
yazıp enter a basın. Karşınıza win.ini dosyasının içeriği gelecek.
Burada
[windows]
NullPort=None
Options=85663
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=nyuw.exe
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
.........
gibi satırlar karşınıza çıkmış olmalı. Windows altında run=nyuw.exe
trojanımızın server programının ismi. Yani bilgisayar açıldığında bu
program 27374 numaralı port umuzu açıyor. Şimdi "run=nyuw.exe"
satırını silelim win.ini dosyasından saklayarak çıkalım. (fakat
bahsettiğimiz bu server programı her makinede farklıdır. Yani
rastgele seçilmiştir. Sizin bilgisayarınızda run= dan sonra başka
bir isim yazıyor olmalı.) Burada dikkat etmemiz gereken server
programımızın ismi. Bu ismi bir yere kaydederek. İşlemimize devam
edelim. Buraya kadar yaptıklarımızla artık bilgisayar açıldığında
portlarımızı açan programın çalışmasını önlemiş olduk. Fakat server
programı her açılışta çalışmasa bile hala bilgisayarımız içinde
(aslında buraya kadarki işlemlerle trojandan kurtulmuş olduk. Yani
artık zararsız.). Başlat tan bilgisayarı kapat ı seçin ve çıkan
ekranda ms-dos kipinde başlat seçeneğini aktif yaparak tamam tuşuna
basın. Bilgisayarınız ms-dos kipinde açılacak. Karşınıza
c:\windows> işareti gelecek.
c:\windows>del nyuw.exe
yukarıdaki satırı yazıp enter tuşuna basınca artık server programı
bilgisayarınızdan silinmiş olacak.(tabi ki siz nyuw.exe yerine
win.ini de görüp kaydettiğiniz dosya ismini yazacaksınız.)
SCHOOLBUS:
Adı: grcframe.exe(hidden olarak bulunur), runonce.exe
Boyutu: 321 KB
Yerleştiği yer: c:\windows\system
Start up yöntemi: System dizinine yerleştiği için açılışta sisteme
yüklenir.
En belirgin özelliği: Önceden norton ve mcafee tarafından
bulunamıyordu. Fakat bu virüs tarama programlarının yeni sürümleri
schoolbus ı buluyor.
Özellikleri:
Son zamanlarda özellikle Türkiye de oldukça yaygınlaşan bir
trojandır. Bir Türk tarafından yapılmış olması ve norton tarafından
bulunamaması en önemli yaygınlaşma sebebidir. Bağlantı yapıldıktan
sonra bir çok kullanım seçeneği sunar(fakat subseven kadar zengin
seçenekleri yoktur). Bu sayede karşı tarafın şifreleri, icq hesabı,
dosyaları kontrol edilebilir. Edit server programı ile server
dosyası istenildiği şekilde ayarlanabilir. Kullanılan port ve server
dosyasının icon u değiştirilebilir. Bu trojan bilgisayarınızın 54321
ve 4****(değişiyor sürekli) numaralı portlarını açar. Elbette bu
portların açık olması için bilgisayarınızda sürekli çalışır halde
bir programın mevcut olması gerekli. Bu program c:\windows\system\
dizinindeki grcframe.exe isimli programdır.
Schoolbus sadece bulaştırılmış kişiye zarar vermez. Aynı
zamanda bu trojanı kötü amaçlar için kullanan kişilerin şifrelerini
de trojanı yapan kişinin mail hesabına gönderir. Kısacası kullanan
da bulaştırılan da zarar görür.
Ayrıca trojanımız c:\windows\system dizinindeki runonce.exe
isimli bir backdoor virüsünü de bilgisayarınıza bulaştırıyor. İşte
bu programların silinmesiyle trojanımız da etkisiz hale geliyor.
Fakat windows ortamında bu programları silmenin imkânı olmadığı için
dos ortamına geçmeliyiz.
Temizlenmesi:
Bilgisayarı kapat bölümünde Ms-dos kipinde başlat seçeneğini
işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında
sırasıyla aşağıda söylenenleri yapın
C:\windows> cd system
C:\windows\system>attrib -h -r grcframe.exe (aradaki boşluklara
dikkat ediniz)
C:\windows\system>del grcframe.exe
C:\windows\system>del runonce.exe
Trojandan bu şekilde kurtulmuş olursunuz. Sisteminizi yeniden
başlatın.
BO (BACK ORİFİCE)(BO2K 2000):
Adı: bo2k.exe
Boyutu: 112 KB
Yerleştiği yer: Çalıştırıldığı dizin.
Start up yöntemi: TCP/IP yapılandırmasında kullanılan bir dosyaya
enfekte olarak sisteme bu sürücünün çalıştırılmasıyla yüklenir.
En önemli özelliği: Sistemde bir sürücüye enfekte olarak çalışır.
Dolayısıyla bulunması zordur.
Özellikleri:
Yaygın olarak kullanılan trojanlardan birisidir. En önemli
özelliği kendisini TCP yapılandırmasında kullanılan sürücülerden
birine enfekte ederek görülemez hale getirmektir. Bu sebeple bu
yazıda bahsedilen start up yöntemlerinin hiç birisiyle tesbit
edilemez. Çünkü kendisi direkt olarak çalışıyor görünmez.
Bilgisayarın kullanmak zorunda olduğu sürücülerden birisine
kendisini yerleştirir ve o sürücü sisteme yüklenince otomatik olarak
sisteme yerleşir; .com ve .exe virüslerinin mantığına sahip. Bu pek
de bilinmeyen özelliği dışında, kurbana gönderilen server programı
istenildiği gibi ayarlanabiliyor(port, dosya adı değişebiliyor).
Bağlantı kurulan makiye yönelik çok zengin bir kullanım seçeneği
mevcut. Default olarak 31337 numaralı (ya da 54321) portu kullanır.
server programının ismi bo2k.exe(config programı ile bu isim
değiştirilebilir), boyutu 112 KB dır. Bu dosya herhangi özel bir
dizine kendisini kopyalamaz. Çalıştırıldığı dizin içerisinde kalır.
Zaten çalıştırıldıktan sonra silmeye kalkarsanız windows tarafından
kullanıldığı için silinemez mesajını alırsınız.
Temizlenmesi:
Diğer trojanlar gibi sistemde direkt çalışmadığı için
temizlenmesi için de farklı bir yöntem takip edilir. Kendisini TCP
yapılandırmasında kullanılan sürücülere enfekte ederek sisteme
yüklediği için, bozulmuş olan bu sürücülerin yenilenmesi ile
sistemde çalışamaz hale gelir. Bunun için de o an mevcut olan TCP
yapılandırmasının kaldırılarak sisteme yeniden kurulması gerekir.
Bunun için başlat-ayarlar-denetim masasına gelmeliyiz. Burada Ağ
adıyla belirtilen icona tıkladığımızda karşımıza ağ yapılandırmamız
gelecek.
Burada TCP/IP ile gösterilen seçeneği işaretleyerek kaldır butonuna
basarsak TCP/IP yapılandırmamızı kaldırmış oluruz.
Buradan Tamam butonuna basarak çıkıyoruz. Bize bilgisayarı yeniden
başlatma ile ilgili bir ekran çıkacak tamam diyerek bilgisayarı
yeniden başlatın.
Bilgisayarınız yeniden başladığında biraz önce kaldırdığımız
TCP/IP yapılandırmasını tekrar kuracağız. Bunun için başlat-ayarlar-
denetim masası buradan ağa tıkladığımızda karşımıza çıkan ekranda
ekle butonuna basıyoruz. Buradan çıkan menüden iletişim kurallarını
tıkladığımızda çıkan ekranda sol tarafta microsoft seçili iken sağ
tarafta TCP/IP yi seçerek tamam larla menülerden çıkıyoruz.
Artık TCP/IP tekrar kurulmuş oldu. Son olarak bilgisayarı tekrar
kapatıp açtığımızda TCP/IP yüklenmiş ve BO trojanından kurtulmuş
oluruz.(Tabi bu işlemler sırasında gerekli dosyaları kopyalayabilmek
için sizden win98 cd si istenebilir.)
START UP (BAŞLANGIÇ) PROGRAMLARI:
Bilgisayarımız açılırken bazı programlar sistem ihtiyaçlarından
bazılarıda kullanıcı ihtiyaçlarından dolayı otomatik olarak
çalıştırılırlar. Örneğin bir virüs tarama programınız varsa
başlangıçta bu program otomatik olarak sisteminize yüklenir.
Başlangıç programlarının çalışma sistemini kavrayabilmek ve onları
kontrol edebilmek trojanları ortadan kaldırmada en etkili yöntemdir.
Start up dosyaları bilgisayarınız açılırken çeşitli yollarla
kendisini sisteme yükler.
1) Win.ini
Başlat a gelerek çalıştırda win.ini yazıp enter a basarsanız
aşağıdaki gibi bir metinle karşılaşırsınız.
[windows]
NullPort=None
Options=85663
load=
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
[intl]
iCountry=90
ICurrDigits=2
iCurrency=3
iDate=1
iDigits=2
iLZero=1
iMeasure=0
iNegCurr=8
iTime=1
iTLZero=1
s1159=
s2359=
sCountry=Turkey
sCurrency=TL
sDate=.
sDecimal=,
sLanguage=trk
sList=;
sLongDate=dd MMMM yyyy dddd
sShortDate=dd.MM.yyyy
sThousand=.
sTime=:
..................
...............
yukarıdaki [windows] başlığı altındaki "load= "
ve "run= "ifadelerinden sonra gelecek olan dosya ismi bilgisayarınız
tarafından açılışta otomatik olarak sisteminize yüklenir.
Bilgisayarınız için gerekli bazı dosyalarda burada bulunarak
başlangıçta çalıştırılabilir. Fakat aynı yeri bir trojan da
kullanabilir. Bu durumda hangi dosyanın trojan hangisinin normal bir
dosya olduğunu ayırt etmek sizin elinizde. Trojan olduğunu tahmin
ettiğiniz dosya ismini silerseniz trojanın açılışta çalışmasını
önlemiş olursunuz. Ama trojan hala bilgisayarınızdadır. Sadece
çalışması engellenmiştir.
2) System.ini
Başlat a gelerek çalıştır da system.ini yazıp enter a
basarsanız karşınıza aşağıdaki gibi bir dosya çıkar.
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll ctpnpscn.drv power.drv
shell=Explorer.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=mouse.drv
keyboard.drv=keyboard.drv
*DisplayFallback=0
fonts.fon=vgasys.fon
fixedfon.fon=vgafix.fon
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
scrnsave.exe=
user.exe=user.exe
[keyboard]
keyboard.dll=
oemansi.bin=xlat857.bin
subtype=
type=4
[boot.description]
system.drv=Standart PC
keyboard.typ=Standart 101/102-Tuşlu veya Microsoft Natural Klavye
aspect=100,96,96
mouse.drv=Standart fare
display.drv=3D Artist PA50
.........................
.........................
yukarıdaki satırlar arasında yer alan(üstten 4. sırada)
shell=Explorer.exe satırına dikkat etmeniz gerekir. Bu satır da
yazan dosya isimleri bilgisayarınız açılırken sisteme yüklenir (bu
dosyanın trojan veya normal bir program olup olmadığını ayıretmek
sizin elinizde). örneğin:
shell=Explorer.exe Winlog.exe
şeklindeki bir satır tehlike işaretidir. Explorer.exe ve winlog.exe
açılışta sisteminize yüklenmektedir. Explorer.exe sisteminizin
kullandığı bir program olduğu biliniyor. Öyleyse winlog.exe
muhtemelen bir trojandır. Bu satırda winlog.exe dosya ismini
silerseniz
shell=Explorer.exe
şeklinde değişir satırımız. Artık açılışta bu program
çalıştırılmayacak dolayısıyla portlarınız açılmayacaktır. Fakat bu
ismi silmekle trojanı silmiş olmayız sadece çalıştırılmasını önlemiş
olduk.
3) C:\WIDOWS\SYSTEM dizini
c:\windows\system dizini altında bilgisayarınızın kullanmış
olduğu donanım sürücüleri ve daha pek program açılışta
bilgisayarınız tarafından sisteme yüklenir. Bu dizini yerleştirilmiş
bir trojan (örneğin schoolbus bu şekilde grcframe.exe adındaki
trojanı buraya kopyalar) bilgisayar açılırken sisteme yüklenir. İşte
bu dizin içinde yer alan dosyanın silinmesiyle trojandan kurtulmuş
olursunuz. Fakat windows ortamında silmeye kalkarsanız. Program şu
anda kullanımda silemezsiniz gibi bir hata mesajıyla
karşılaşırsınız. Bu sorunu aşmak için başlat ta bilgisayarı kapat
bölümünde Ms-Dos kipinde başlat seçeneği işaretli olarak
kapatırsanız. Sistemininiz Ms-dos kipinde açılacaktır.
c:\windows>
şeklinde bir satır karşınıza çıkacak.
c:\windows>cd system
yazıp enter a basarsanız
c:\windows\system>
satırı oluşur. İşte burada silmek istediğimiz dosyanın adını yazarak
silebiliriz. Örneğin dosyamız winloger.exe ise
c:\windows\system>del winloger.exe
satırını yazıp enter a basarsak dosya sistemden silinmiş olur.
4)Registery
Başlat ta regedit yazıp enter a basarsanız registery ayarlarına
ulaşmiş olursunuz. Aşağıda görüldüğü gibi
buradan
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
bölümüne geçersek aşağıdakine benzer bir ekranla karşılaşmış oluruz
Bu ekranda görülen Run, RunOnce, RunOnceEx, RunServices ve
RunServicesOnce klasörleri bilgisayar açılırken sisteme yüklenecek
programları belirtir. Mesela Run klasörünün içeriğine bakarsak
aşağıdakine benzer bir ekran görürüz.
burada görülen programlardan şayet trojan olduğunu düşündüğümüz
varsa sağdaki bölümden program üzerine gelerek sağ tıkladığınızda
çıkan menüden sil i seçerseniz dosya kayıttan silinmiş olur. Bu
işlemi diğer bölümlerde de yapabilirsiniz(tabiki bu görüntüler benim
bilgisayarımın yapılandırması sizin ki farklı olabilir. Yukarıda
gösterilen programlardan LoadPowerProfil, ScanRegistry, SystemTray,
TaskMonitor sistem tarafından kullanılan temel programlardan dır.
Diğerleri kullanıcı tarafından eklenmiş olabilir(Sizin
bilgisayarınız için de geçerli).
Start up programlarının kontrolü:
Bu programları kontrol edebilmek için windows ile birlikte
gelen oldukça kullanışlı her bilgisayarda olan bir program var.
Msconfig.exe adındaki bu program ile start up (başlangıç)
dosyalarını kontrol edebilirsiniz. Dolayısıyla sizden habersiz
hiçbir dosya bilgisayarınızda çalıştırılamaz.
Başlat ta çalıştır a gelerek msconfig yazıp enter a basarsanız
aşağıdaki gibi bir ekranla karşılaşmış olursunuz.
Görüldüğü gibi biraz önce bahsettiğimiz win.ini, system.ini ve
registery ayarlarını buradan kontrol etmek de mümkün. Örneğin
win.ini den tehlikeli gördüğümüz bir satırı kaldırmak istersek
sadece yanındaki onay işaretini siliyoruz. Bilgisayar açılırken o
satırı çalıştırmıyor. Fakat system.ini yi buradan düzeltmenizi
tavsiye etmiyorum.
Ayrıca yukarıda görülen başlangıç kartını aktif yaparsanız aşağıdaki
gibi bir ekranla karşılaşırsınız.
yukarıda gördüğümüz programlar bilgisayar açılırken yüklenen
(system.ini ve c:\windows\system dizini hariç) win.ini ve registery
de bulunan dosyalardır. Bu dosyalardan herhangi birini yanındaki
onay işaretini kaldırarak çalışmaz hale getirebilirsiniz. Çoğunlukla
msconfig ile sisteminizde trojan olup olmadığını anlamak mümkün
olur. Bilgisayarınızın kullandığı programları biliyorsanız. Geriye
kalanlar tehlike işaretidir. Özellikle yukarıda da görüldüğü gibi
c:\windows, c:\windows\system veya c:\windows\temp dizini
altındaki dosyalara dikkat edilmesi gereklidir.
Start up dosyalarını kontrol etmek için bir yol daha vardır.
Başlat ta programlar-donatılar-sistem araçları-sitembilgisi
çalıştırılırsa aşağıdakine benzer bir ekran çıkar.
buradan Yazılım Ortamı aktif hale getirilirse bizim işimize
yarayacak iki bölüm karşımıza çıkar; Başlangıç programları ve
Çalışan Görevler. Başlangıç programını aktif hale getirirseniz
msconfig den tanıdığımız programları görürüz. Bizim için asıl önemli
olan yer Çalışan görevler bölümü, bu bölüm aktif yapılırsa
bilgisayarınızda çalışan system dizini de dahil tüm programlar
gösterilir. Fakat sadece seyredebilirsiniz, değişiklik buradan
mümkün değil. Dikkat edilmesi gereken sürüm, üretici ve tanım
kısımları boş olan programlardır. Yukarıda ki örnekte bu şartlara
uyan üç program mevcut bunlardan grcframe.exe dosyası schoolbus
tarafından system dizinine yerleştirilen trojandır. Diğerleri benim
kontrolümde sisteme yüklenmiş olan www.ntvmsnbc.com haber uyarı
programı ile homesite 4.0 site yapım programıdır. Fakat yine de
dikkat etmek gerekir tanımadık ama sistem tarafından kullanılan
programlar olabilir. Fakat şüphe duyulan bir program bulunduğu
dizine gidilerek incelenebilir. Örneğin boyutu oluşturulma tarihi
gibi kriterler bizim için önemli. Yazımızda bahsettiğimiz ve yaygın
olarak kullanılan trojanların boyutları işinize yarayabilir.
Sisteminizde mevcut olan trojan adı, iconu, portu değiştirilmiş
olabilir fakat bulunduğu yer ve boyut size bunun hangi tür trojan
olduğu hakkında ip ucu verecektir. Örneğin sisteminizde trojan
olduğunu zannettiğiniz bir program var. Bu program c:\windows dizini
altında ve yaptığınız araştırmalar onun hakkında pek de iyi şeyler
söylemiyorsa, boyut ve oluşturulma tarihine bakabilirsiniz.
Oluşturulma tarihi yakın ve boyutu 374 KB ise yakın zamanda
sisteminize bir program yüklemediyseniz muhtemelen bir subseven
trojanıdır. Çünkü subseven ın boyutu 374 KB dır.
PORTLARIN KONTROLÜ:
Yazımızda da belirttiğimiz gibi trojanlar açık olan portlar
aracılığıyla diğer bilgisayar ile irtibat kurar. Artık neredeyse tüm
yeni trojanların portlarını değiştirmek mümkün olmaktadır. Fakat
trojan kullanmayı seven arkadaşlar genellikle port ve diğer
ayarlarını değiştirmeden kullandıkları için default olarak trojanlar
tarafından kullanılan portların bilinmesinde fayda var(en azından
çok kullanılan trojanların). Peki sisteminizde tehlikeli bir port un
açık olduğunu nasıl anlayabiliriz. Burada yine windows imdadımıza
yetişiyor. Başlat-Programlar-MsDos komut istemi çalıştırılırsa
karşımıza ms-dos ortamı çıkar. Burada
c:\windows>netstat -an
yazıp enter a basarsanız o anda bilgisayarınızın iletişim halinde
olduğu bilgisayar ile arasındaki kullanılmakta olan portlar ve ip
numaraları gösterilir. (Portları kontrol için totostat adında bir
programı tavsiye ederim. Netstat ile aynı işlemi yapıyor. Kullanımı
daha pratik. Buraya tıklayarak download edebilirsiniz.)
Yukarıdaki şekilde yerel adres sizi, yabancı adres bağlantı
kurduğunuz karşı bilgisayarı gösterir. Dikkat edersek 54321 ve 31337
numaralı portlar açık görünüyor. Bunlar kesinlikle bilgisayarda
trojan olduğunun göstergesidir. 54321 schoolbus 31337 BO trojanın
kullandığı default portlardır. Ayrıca aktif olan iki bağlantı var.
Bunlardan ikisi de bir web sayfasına bağlı olduğumuzu gösteriyor.
Şayet web sayfasına bağlanırsak karşı bilgisayarın kullandığı port
olarak 80 (8080 de olabilir.), mail server a bağlanarak mailleri
kontrol ediyorsak 110, ftp programı ile web sitemize dosya
gönderiyorsak 21, telnet ile bağlantı kurmuş isek 25 numaralı
portlar yabancı bilgisayarın açık portları olarak görünür. Bunun
haricindeki portlardan yapılan(yabancı bilgisayarın portları)
bağlantılar tehlikeli olabilir. Fakat ve Chat ve proxy istisnası
var. Chat programı karşı tarafın 6667, 7000 gibi portlarını
açabilir. Eğer internete bir proxy üzerinden bağlanıyorsak bağlantı
yapılan bilgisayarın portu 1080 olarak görünebilir(tabi ki proxy
istisna bir durumdur. Çoğu kullanıcı normal bağlantı kurar.)
Bir portun açık olması bağlantı kurulduğu anlamına gelmez.
Yukarıda görüldüğü gibi 54321 numaralı port açık fakat yabancı
adreste bir bağlantı görünmüyor. Bu o anda bağlantı olmadığını
gösterir. 54321 numaralı porta bir bağlantı olduğunu görmüş
olsaydık. Kesinlikle birisinin bilgisayara girdiğinden
bahsedebilirdik.
BİLGİSAYARINIZIN KULLANDIĞI PORTLAR:
TROJANLARIN KULLANDIĞI PORTLAR:
Aşağıda gösterilen port numaraları server dosyasının ayarları
değiştirilmediği sürece doğrudur.
TROJAN İSMİ
KULLANDIĞI PORT
icqtrojana
4950
girlfriend
21554
bo
31337
ftp99cmp
1492
master paradise
40421
fire hotker
5321
sockets de troje
30303
executor
80
gate crasher
6969
hackers paradise
456
hack99 keyloger
12223
netspy
31339
net monitor
7300
subseven
1243-27374
invasor
2140
Wincrach 1.03
5742
Wincrach 2.0
2583
Silencer
1001
Devil
65000
Millenium
20001
Phineas
2801
Backdoor
1999
Evilftp
23456
Phasezero
555
Psyber Streaming Server
1509
SSTROJG
11000
Voice Client
1514
Netbus
12345-20034
Schoolbus
54321
kaynak:mail grubum...
Hosting Sponsorumuz - Noktahost internet hizmetleri