TEMEL BİLGİLER
İnternet üzerinden iletişim artık vazgeçilmez bir olay haline gelmiştir. Gelecek yıllarda tüm bilgisayarların bu devasa a a ba lanabilece i hesaba katılırsa insanların henüz tam olarak tanıyamadıkları internet, artıları ve eksileriyle bizleri beklemektedir. Artıları elbette tartışılamayacak kadar fazladır fakat insanların fazla bilmedikleri eksileri ise neredeyse artıları kadar fazladır. Siz bilgisayarınızın başında oturarak internetin nimetlerinden faydalanırken, başka bir kullanıcı sizin bilgisayarınıza internet üzerinden girerek tahmin dahi edemeyece iniz zararlar verebilir. Mesela bilgisayarınızın hard diskini formatlayabilir, En tehlikeli virüsleri size bulaştırarak sisteminizin zarar görmesine sebep olabilir. Gizli zannetti iniz şifrelerinizi alabilirler. Bunlardan daha tehlikelisi ise sizin bilgisayarınızı ya da internet giriş şifrelerinizi kullanarak suç işleyebilir ve sorumlu olarak siz aranabilirsiniz. Mesela Bursa da bir ö renci interpol tarafından suç işledi i için Türk yetkililerine bildirilerek yakalanmıştır. Ö rencimizin suçsuz oldu u daha sonradan anlaşılmıştır. Aslında ö rencimiz sade bir internet kullanıcısıdır ve bilgisayarını kullanan kişilerin saldırısına u ramıştır. Örneklerin sayısı her geçen gün artmaktadır.
Güvenlik konusuna geçmeden önce bilgisayarın işleyişi ile ilgili temel birkaç bilginin verilmesi gerekiyor. A (Network) birden fazla bilgisayarın birbirlerine ba lanarak bilgilerin paylaşımı esasıyla çalışır. A daki her bilgisayarın bir ismi vardır ve bir bilgisayardan çıkarak di erine giden bilgi alıcı ve gönderici bilgisayar bilgilerini kullanarak yerine ulaşır. İşte bu sırada alıcı gibi davranabilen bir bilgisayar sizin bilgilerinize ulaşabilir. İnternet de aslında büyük bir a dır. İnternational Network (uluslar arası a )kelimelerinin kısaltılmasıyla ortaya çıkmıştır. İnternet ortamında her bilgisayarın İP olarak isimlendirilen bir adresi vardır.
Her İP adresi ***.***.***.*** formatındadır. Örne in superonline kullanıcısı olan bir bilgisayarın İP si 212.252.145.218 şeklinde olabilir. Kulanıcıların İP adresleri internete her ba lantı kuruldu unda de işir(Şayet statik İP tercihi yapmamış iseniz.). Fakat hangi saat ve tarihte, hangi telefon ve İP numarası ile nereye ba lanıldı ı gibi bilgiler İSS(İnternet servis sa layıcısı) tarafından dosyalandı ı için yapılan bir suçun tesbitide kolaylaşmaktadır. Bilgisayarların internet üzerinde nasıl tanındı ını çok basit bir şekilde anlattıktan sonra bilgisayarların internete ba lanırken nasıl çalıştı ı üzerine de birkaç şey söylemek gerekir. Bilgisayarlarda bulunan veriler internete giderken veya aynı şekilde bilgiler size gelirken sanal kapılar olarak kabul edilen portlardan geçerler (Bazı bilgiler hariç). Portları bilgisayara giriş kapıları olarak ta düşünebiliriz. İşte sizin internetteki en önemli güvenlik noktanız bu portlardır. Şayet portlarınız açık ise başka bir kulanıcı bilgisayarınıza girerek, sizin bilgisayarınızda yapabilece iniz herşeyi yapabilir. Bu noktada bilgisayarı korumanın en iyi yolunun portları kontrol etmekten geçti i elbette anlaşılmıştır.
TROJANLAR
Trojanlar aslında sizin bilgisayarınızın başka bir bilgisayar tarafından a üzerinden kontrol edilmesine yarayan programlardır. Bilgisayarınızın portlarından herhangi birisini açarak di er kullanıcıların bilgisayarınıza girmesini sa larlar. Server ve Client dosyalarından oluşur. Server portları açarak bilgisayarınızı hedef haline getirirken, Client ise bilgisayarınıza girilmesini sa lar. Örne in bir kullanıcıya trojan bulaştırarak bilgisayarına girelim. İcq da hedef seçti imiz(vaya chat te) kurbanımıza elimizde bulunan Server programını herhangi bir şekilde gönderiyoruz. Güzel bir program kullan vazgeçemeyeceksin diyebilece imiz gibi, içinde mükemmel bir resim arşivi var istersen bir bak diyerek te kurbanın Server programını almasını ve çalıştırmasını sa layabiliriz. (Aslında trojanlar başka programlara entegre edilerekte karşı tarafa bulaştırılabilirler(Truva atı). Mesela kurbanımıza çok popüler İcq programını trojan ile birleştirilmiş halde verebilirsiniz. Bu durumda kurban İcq yu çalıştırdı ında normalde farklı hiçbir şey fark etmeyecektir.) Kurbanımız gönderdi imiz Server programını çalıştırınca trojanı bilgisayarına bulaştırmış olacaktır. Bu aşamadan sonra kurbanımızın İP sini alarak bilgisayarına girmek kalıyor. Bizdeki Client programını çalıştırdı ımızda bizden bir İP numarası isteyecek. Oraya buldu umuz kurbanımıza ait İP yi yazarak Connect tuşuna bastı ımızda kurbanımızın bilgisayarına ba lanmış oluyoruz. Artık gerisi size kalmış, ister format atın, ister internet giriş şifrelerini çalın.(Meseleyi anlatırken teknik detaya girerek insanların Hacker World aracılı ıyla bu işi ö renmelerini istemedik. Verilen bilgiler sadece korunma amaçlıdır.) Kurbanımızda varolan trojan silinmedi i sürece varlı ını devam ettirecektir. Bugün benim girebildi im bu bilgisayara yarın başka birisi girerek istedi ini yapabilir. İnternet ortamında trojan yedi i halde haberi olmayan bir çok insan vardır. Port Scanner diye bilinen programlarla bu insanları tesbit ederek, sahip oldu u trojana göre kullanaca ımız bir Client programı sayesinde bu bilgisayarlara da girebiliriz. Port Scanner programıyla kontrol etmeniz durumunda internette 10 dakika içinde Netbus 2.0 (20034 numaralı portu kullanır.) trojanını yiyen en az 5 kişi bulabilirsiniz. Norton veya Mcaffe tarafından tanınmayan trojan sayısı çok sınırlı oldu u için bu anti virüs yazılımlarından birini yüklemeniz durumunda trojanların ekserisinden korunmuş olursunuz. (kendi bilgisayarımda denemedi im trojan kalmadı Norton 5.0 anti virüs programı trojanları yakalama konusunda harika. Fakat schoolbus isimli trojanı bulamıyor. Aşa ıda bu trojanın nasıl temizlenece i anlatılıyor.) . Aslında ço u trojan internet üzerinde sörf yaparken birisi sizin bilgisayarınıza girmedi i sürece zararsızdır. İnternette iken bilgisayarınızda bir trojan olup olmadı ını anlamanın çok kolay bir yolu vardır. Ayrıca bir trojan varsa bile, bilgisayarınızın içindeki bu casusun kimlere bilgisayarınızın kapılarını açtı ını da ö renebiliriz. Dos ortamında netstat -an komutunu yazarak enter tuşuna basarsanız bilgisayarınızın internet ortamındaki tüm ba lantılarını görebilir ve anormal bir durum olup olmadı ını kontrol edebilirsiniz. Eskiden herbir trojanın kullandı ı port numarası farklı idi. Örne in netbus ın ilk versiyonu 12345 numaralı portu kullanırken Bo trojanı 31337 numaralı portu kullanıyordu. Şimdilerde ise her bir trojan kullanıcının(trojanı size bulaştırmak isteyen kişi) iste ine göre de işebilen portları açabiliyor. Bu nedenle trojanların kullandı ı portlarda bir anormallik gözünüze çarpmasa bile bu bilgisayarınızda trojan yoktur anlamına gelmez. Peki trojanlar bilgisayarımıza nasıl bulaşırlar. Chat te veya İcq da muhabbet ederken size gönderilen herhangi bir resim(aslında çalışabilir bir program olup resim iconu yerleştirilmiştir) ve dosya trojan taşıyor olabilir. Sizin o dosyayı açmanızla birlikte bilgisayarınıza da trojan bulaşacaktır. Korunmanın en iyi yolu dosya almamak. Hatta dosyayı aldı ınız kişi tanıdık bile olsa dosya almamak. Çünkü o da gönderdi i programda trojan oldu unu bilmiyor olabilir. Aşa ıda bilgisayarınızın kullandı ı portların numaraları vardır. Bu port numaraları haricinde bir ba lantınız var ise muhtemelen bir trojandır. Fakat İcq programı çalışıyor veya Chat te muhabbet halinde iseniz. Normal harici kullanılan portlar olacaktır. Bu portları Chat programınız veya İcq programınzı açmış olabilir. Aşa ıda en çok kullanılan trojanlar ve kontrol ettikleri portlar verilmiştir. Gerisi size kalmış.
(Aşa ıda trojanlara yönelik verilen bilgiler ve savunma yöntemleri server dosyasının ayarları de iştirilmedi i takdirde geçerlidir. Fakat Çoğunlukla ayarlar de iştirilmeden kullanılır)
SUBSEVEN
Adı: ratgele seçilmiş bir isim. (uyfghj.exe gibi)
Boyutu: 374 KB
Yerleşti i yer: Çalıştırıldı ı dizin
Start up yöntemi: Win.ini dosyasına ekleme yaparak
En belirgin özelli i: Çok zengin kullanım seçenekleri sunması.
Özellikleri:
En yaygın trojandır. Kullanım kolaylı ı ve ba lantı anında sa ladı ı gelişmiş özellikleriyle tercih sebebidir. Ba lanılan bilgisayarın registery ayarları, şifreleri, icq ve mail hesapları kolayca kullanılabilir. File manager ile karşı bilgisayarın dosyalarına erişebilir, key logger ile hedef bilgisayarda klavye aracılı ıyla yazılan herşeyi görebilir, screen capture özelli i ile hedef bilgisayarın anlık ekran görüntüsüne mous ile müdahele edebilirsiniz. Kısacası son derece gelişmiş ve profesyonelce hazırlanmış bir remote control aracıdır subseven(daha bir çok özelli i de vardır.). Edir server ile server programı kullanıcı tarafından ayarlanabilir. Yani kullanılan port, start up metodu ve server dosyasının iconu de iştirilebilir. Bu şekilde bulunması da zorlaşmaktadır. Fakat ço u kullanıcı subseven ı default ayarlarıyla kullanmaktadır. Aslında bu da bizim için bir avantajdır. Bu ayarlar bilindi i için bulunması da kolay olur.
Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan bir trojan da de ildir. Aynı zamanda bu trojanı başkalarına ba lanmak için kullanan kişinin de bilgisayarında ki özel bilgileri internetten başkalarına göndermektedir(Sisteminize bir firewall programı kurarak sadece subseven client programını çalıştırmanız durumunda 20-30 dk sonra }-xæØ gibi anlamsız isimlere sahip bir dosya aracılı ıyla bilgileriniz internette ilgili kişiye gönderilir. Muhtemelen subseven ı yapan şahsa. ).Ayrıca yine client programının çok kullanımı sonrasında sistem ayarlarınız de işebilmekte, programlarınız çalışmayı durdurabilmektedir.
Default olarak(yani edit server ile de iştirilmemişse) 27374 numaralı port u kullanır. Start up metodu olarak kendini win.ini dosyasına Windows altına "run= dosya ismi" ekler. Dosya ismi rastgele seçilmiş bir isimdir. Bu satır sayesinde bilgisayarın her açılışında kendini yükleyerek 27374 numaralı port u açık hale getirerek bekler. Port ları açmak için kullanılan bu dosya c:\windows altında bulunur.
Temizlenmesi:
Öncelikle subseven ın kullandı ı yardımcı server programını bulmalıyız. Biraz önce start up yöntemi olarak win.ini dosyasını kullandı ını söylemiştik. Başlat tan çalıştır a gelerek win.ini yazıp enter a basın. Karşınıza win.ini dosyasının içeri i gelecek. Burada
[windows]
NullPort=None
Options=85663
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=nyuw.exe
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
.........
gibi satırlar karşınıza çıkmış olmalı. Windows altında run=nyuw.exe trojanımızın server programının ismi. Yani bilgisayar açıldı ında bu program 27374 numaralı port umuzu açıyor. Şimdi "run=nyuw.exe" satırını silelim win.ini dosyasından saklayarak çıkalım. (fakat bahsetti imiz bu server programı her makinede farklıdır. Yani rastgele seçilmiştir. Sizin bilgisayarınızda run= dan sonra başka bir isim yazıyor olmalı.) Burada dikkat etmemiz gereken server programımızın ismi. Bu ismi bir yere kaydederek. İşlemimize devam edelim. Buraya kadar yaptıklarımızla artık bilgisayar açıldı ında portlarımızı açan programın çalışmasını önlemiş olduk. Fakat server programı her açılışta çalışmasa bile hala bilgisayarımız içinde(aslında buraya kadarki işlemlerle trojandan kurtulmuş olduk. Yani artık zararsız.). Başlat tan bilgisayarı kapat ı seçin ve çıkan ekranda ms-dos kipinde başlat seçene ini aktif yaparak tamam tuşuna basın. Bilgisayarınız ms-dos kipinde açılacak. Karşınıza
c:\windows> işareti gelecek.
c:\windows>del nyuw.exe
yukarıdaki satırı yazıp enter tuşuna basınca artık server programı bilgisayarınızdan silinmiş olacak.(tabi ki siz nyuw.exe yerine win.ini de görüp kaydetti iniz dosya ismini yazacaksınız.)
SCHOOLBUS:
Adı: grcframe.exe(hidden olarak bulunur), runonce.exe
Boyutu: 321 KB
Yerleşti i yer: c:\windows\system
Start up yöntemi: System dizinine yerleşti i için açılışta sisteme yüklenir.
En belirgin özelli i: Önceden norton ve mcafee tarafından bulunamıyordu. Fakat bu virüs tarama programlarının yeni sürümleri schoolbus ı buluyor.
Özellikleri:
Son zamanlarda özellikle Türkiye de oldukça yaygınlaşan bir trojandır. Bir Türk tarafından yapılmış olması ve norton tarafından bulunamaması en önemli yaygınlaşma sebebidir. Ba lantı yapıldıktan sonra bir çok kullanım seçene i sunar(fakat subseven kadar zengin seçenekleri yoktur). Bu sayede karşı tarafın şifreleri, icq hesabı, dosyaları kontrol edilebilir. Edit server programı ile server dosyası istenildi i şekilde ayarlanabilir. Kullanılan port ve server dosyasının icon u de iştirilebilir. Bu trojan bilgisayarınızın 54321 ve 4****(de işiyor sürekli) numaralı portlarını açar. Elbette bu portların açık olması için bilgisayarınızda sürekli çalışır halde bir programın mevcut olması gerekli. Bu program c:\windows\system\ dizinindeki grcframe.exe isimli programdır.
Schoolbus sadece bulaştırılmış kişiye zarar vermez. Aynı zamanda bu trojanı kötü amaçlar için kullanan kişilerin şifrelerini de trojanı yapan kişinin mail hesabına gönderir. Kısacası kullanan da bulaştırılan da zarar görür.
Ayrıca trojanımız c:\windows\system dizinindeki runonce.exe isimli bir backdoor virüsünü de bilgisayarınıza bulaştırıyor. İşte bu programların silinmesiyle trojanımız da etkisiz hale geliyor. Fakat windows ortamında bu programları silmenin imkânı olmadı ı için dos ortamına geçmeliyiz.
Temizlenmesi:
Bilgisayarı kapat bölümünde Ms-dos kipinde başlat seçene ini işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında sırasıyla aşa ıda söylenenleri yapın
C:\windows> cd system
C:\windows\system>attrib -h -r grcframe.exe (aradaki boşluklara dikkat ediniz)
C:\windows\system>del grcframe.exe
C:\windows\system>del runonce.exe
Trojandan bu şekilde kurtulmuş olursunuz. Sisteminizi yeniden başlatın.
BO (BACK ORİFİCE)(BO2K 2000):
Adı: bo2k.exe
Boyutu: 112 KB
Yerleşti i yer: Çalıştırıldı ı dizin.
Start up yöntemi: TCP/IP yapılandırmasında kullanılan bir dosyaya enfekte olarak sisteme bu sürücünün çalıştırılmasıyla yüklenir.
En önemli özelli i: Sistemde bir sürücüye enfekte olarak çalışır. Dolayısıyla bulunması zordur.
Özellikleri:
Yaygın olarak kullanılan trojanlardan birisidir. En önemli özelli i kendisini TCP yapılandırmasında kullanılan sürücülerden birine enfekte ederek görülemez hale getirmektir. Bu sebeple bu yazıda bahsedilen start up yöntemlerinin hiç birisiyle tesbit edilemez. Çünkü kendisi direkt olarak çalışıyor görünmez. Bilgisayarın kullanmak zorunda oldu u sürücülerden birisine kendisini yerleştirir ve o sürücü sisteme yüklenince otomatik olarak sisteme yerleşir; .com ve .exe virüslerinin mantı ına sahip. Bu pek de bilinmeyen özelli i dışında, kurbana gönderilen server programı istenildi i gibi ayarlanabiliyor(port, dosya adı de işebiliyor). Ba lantı kurulan makiye yönelik çok zengin bir kullanım seçene i mevcut. Default olarak 31337 numaralı (ya da 54321) portu kullanır. server programının ismi bo2k.exe(config programı ile bu isim de iştirilebilir), boyutu 112 KB dır. Bu dosya herhangi özel bir dizine kendisini kopyalamaz. Çalıştırıldı ı dizin içerisinde kalır. Zaten çalıştırıldıktan sonra silmeye kalkarsanız windows tarafından kullanıldı ı için silinemez mesajını alırsınız.
Temizlenmesi:
Di er trojanlar gibi sistemde direkt çalışmadı ı için temizlenmesi için de farklı bir yöntem takip edilir. Kendisini TCP yapılandırmasında kullanılan sürücülere enfekte ederek sisteme yükledi i için, bozulmuş olan bu sürücülerin yenilenmesi ile sistemde çalışamaz hale gelir. Bunun için de o an mevcut olan TCP yapılandırmasının kaldırılarak sisteme yeniden kurulması gerekir. Bunun için başlat-ayarlar-denetim masasına gelmeliyiz. Burada A adıyla belirtilen icona tıkladı ımızda karşımıza a yapılandırmamız gelecek.
Burada TCP/IP ile gösterilen seçene i işaretleyerek kaldır butonuna basarsak TCP/IP yapılandırmamızı kaldırmış oluruz.
Buradan Tamam butonuna basarak çıkıyoruz. Bize bilgisayarı yeniden başlatma ile ilgili bir ekran çıkacak tamam diyerek bilgisayarı yeniden başlatın.
Bilgisayarınız yeniden başladı ında biraz önce kaldırdı ımız TCP/IP yapılandırmasını tekrar kuraca ız. Bunun için başlat-ayarlar-denetim masası buradan a a tıkladı ımızda karşımıza çıkan ekranda ekle butonuna basıyoruz. Buradan çıkan menüden iletişim kurallarını tıkladı ımızda çıkan ekranda sol tarafta microsoft seçili iken sa tarafta TCP/IP yi seçerek tamam larla menülerden çıkıyoruz.
Artık TCP/IP tekrar kurulmuş oldu. Son olarak bilgisayarı tekrar kapatıp açtı ımızda TCP/IP yüklenmiş ve BO trojanından kurtulmuş oluruz.(Tabi bu işlemler sırasında gerekli dosyaları kopyalayabilmek için sizden win98 cd si istenebilir.)
START UP (BAŞLANGIÇ) PROGRAMLARI:
Bilgisayarımız açılırken bazı programlar sistem ihtiyaçlarından bazılarıda kullanıcı ihtiyaçlarından dolayı otomatik olarak çalıştırılırlar. Örne in bir virüs tarama programınız varsa başlangıçta bu program otomatik olarak sisteminize yüklenir. Başlangıç programlarının çalışma sistemini kavrayabilmek ve onları kontrol edebilmek trojanları ortadan kaldırmada en etkili yöntemdir. Start up dosyaları bilgisayarınız açılırken çeşitli yollarla kendisini sisteme yükler.
1) Win.ini
Başlat a gelerek çalıştırda win.ini yazıp enter a basarsanız aşa ıdaki gibi bir metinle karşılaşırsınız.
[windows]
NullPort=None
Options=85663
load=
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
[intl]
iCountry=90
ICurrDigits=2
iCurrency=3
iDate=1
iDigits=2
iLZero=1
iMeasure=0
iNegCurr=8
iTime=1
iTLZero=1
s1159=
s2359=
sCountry=Turkey
sCurrency=TL
sDate=.
sDecimal=,
sLanguage=trk
sList=;
sLongDate=dd MMMM yyyy dddd
sShortDate=dd.MM.yyyy
sThousand=.
sTime=:
..................
...............
yukarıdaki [windows] başlı ı altındaki "load= " ve "run= "ifadelerinden sonra gelecek olan dosya ismi bilgisayarınız tarafından açılışta otomatik olarak sisteminize yüklenir. Bilgisayarınız için gerekli bazı dosyalarda burada bulunarak başlangıçta çalıştırılabilir. Fakat aynı yeri bir trojan da kullanabilir. Bu durumda hangi dosyanın trojan hangisinin normal bir dosya oldu unu ayırt etmek sizin elinizde. Trojan oldu unu tahmin etti iniz dosya ismini silerseniz trojanın açılışta çalışmasını önlemiş olursunuz. Ama trojan hala bilgisayarınızdadır. Sadece çalışması engellenmiştir.
2) System.ini
Başlat a gelerek çalıştır da system.ini yazıp enter a basarsanız karşınıza aşa ıdaki gibi bir dosya çıkar.
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll ctpnpscn.drv power.drv
shell=Explorer.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=mouse.drv
keyboard.drv=keyboard.drv
*DisplayFallback=0
fonts.fon=vgasys.fon
fixedfon.fon=vgafix.fon
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
scrnsave.exe=
user.exe=user.exe
[keyboard]
keyboard.dll=
oemansi.bin=xlat857.bin
subtype=
type=4
[boot.description]
system.drv=Standart PC
keyboard.typ=Standart 101/102-Tuşlu veya Microsoft Natural Klavye
aspect=100,96,96
mouse.drv=Standart fare
display.drv=3D Artist PA50
.........................
.........................
yukarıdaki satırlar arasında yer alan(üstten 4. sırada) shell=Explorer.exe satırına dikkat etmeniz gerekir. Bu satır da yazan dosya isimleri bilgisayarınız açılırken sisteme yüklenir (bu dosyanın trojan veya normal bir program olup olmadı ını ayıretmek sizin elinizde). örne in:
shell=Explorer.exe Winlog.exe
şeklindeki bir satır tehlike işaretidir. Explorer.exe ve winlog.exe açılışta sisteminize yüklenmektedir. Explorer.exe sisteminizin kullandı ı bir program oldu u biliniyor. Öyleyse winlog.exe muhtemelen bir trojandır. Bu satırda winlog.exe dosya ismini silerseniz
shell=Explorer.exe
şeklinde de işir satırımız. Artık açılışta bu program çalıştırılmayacak dolayısıyla portlarınız açılmayacaktır. Fakat bu ismi silmekle trojanı silmiş olmayız sadece çalıştırılmasını önlemiş olduk.
3) C:\WIDOWS\SYSTEM dizini
c:\windows\system dizini altında bilgisayarınızın kullanmış oldu u donanım sürücüleri ve daha pek program açılışta bilgisayarınız tarafından sisteme yüklenir. Bu dizini yerleştirilmiş bir trojan (örne in schoolbus bu şekilde grcframe.exe adındaki trojanı buraya kopyalar) bilgisayar açılırken sisteme yüklenir. İşte bu dizin içinde yer alan dosyanın silinmesiyle trojandan kurtulmuş olursunuz. Fakat windows ortamında silmeye kalkarsanız. Program şu anda kullanımda silemezsiniz gibi bir hata mesajıyla karşılaşırsınız. Bu sorunu aşmak için başlat ta bilgisayarı kapat bölümünde Ms-Dos kipinde başlat seçene i işaretli olarak kapatırsanız. Sistemininiz Ms-dos kipinde açılacaktır.
c:\windows>
şeklinde bir satır karşınıza çıkacak.
c:\windows>cd system
yazıp enter a basarsanız
c:\windows\system>
satırı oluşur. İşte burada silmek istedi imiz dosyanın adını yazarak silebiliriz. Örne in dosyamız winloger.exe ise
c:\windows\system>del winloger.exe
satırını yazıp enter a basarsak dosya sistemden silinmiş olur.
4)Registery
Başlat ta regedit yazıp enter a basarsanız registery ayarlarına ulaşmiş olursunuz. Aşa ıda görüldü ü gibi
buradan
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
bölümüne geçersek aşa ıdakine benzer bir ekranla karşılaşmış oluruz
Bu ekranda görülen Run, RunOnce, RunOnceEx, RunServices ve RunServicesOnce klasörleri bilgisayar açılırken sisteme yüklenecek programları belirtir. Mesela Run klasörünün içeri ine bakarsak aşa ıdakine benzer bir ekran görürüz.
burada görülen programlardan şayet trojan oldu unu düşündü ümüz varsa sa daki bölümden program üzerine gelerek sa tıkladı ınızda çıkan menüden sil i seçerseniz dosya kayıttan silinmiş olur. Bu işlemi di er bölümlerde de yapabilirsiniz(tabiki bu görüntüler benim bilgisayarımın yapılandırması sizin ki farklı olabilir. Yukarıda gösterilen programlardan LoadPowerProfil, ScanRegistry, SystemTray, TaskMonitor sistem tarafından kullanılan temel programlardan dır. Di erleri kullanıcı tarafından eklenmiş olabilir(Sizin bilgisayarınız için de geçerli).
Start up programlarının kontrolü:
Bu programları kontrol edebilmek için windows ile birlikte gelen oldukça kullanışlı her bilgisayarda olan bir program var. Msconfig.exe adındaki bu program ile start up (başlangıç) dosyalarını kontrol edebilirsiniz. Dolayısıyla sizden habersiz hiçbir dosya bilgisayarınızda çalıştırılamaz.
Başlat ta çalıştır a gelerek msconfig yazıp enter a basarsanız aşa ıdaki gibi bir ekranla karşılaşmış olursunuz.
Görüldü ü gibi biraz önce bahsetti imiz win.ini, system.ini ve registery ayarlarını buradan kontrol etmek de mümkün. Örne in win.ini den tehlikeli gördü ümüz bir satırı kaldırmak istersek sadece yanındaki onay işaretini siliyoruz. Bilgisayar açılırken o satırı çalıştırmıyor. Fakat system.ini yi buradan düzeltmenizi tavsiye etmiyorum.
Ayrıca yukarıda görülen başlangıç kartını aktif yaparsanız aşa ıdaki gibi bir ekranla karşılaşırsınız.
yukarıda gördü ümüz programlar bilgisayar açılırken yüklenen (system.ini ve c:\windows\system dizini hariç) win.ini ve registery de bulunan dosyalardır. Bu dosyalardan herhangi birini yanındaki onay işaretini kaldırarak çalışmaz hale getirebilirsiniz. Ço unlukla msconfig ile sisteminizde trojan olup olmadı ını anlamak mümkün olur. Bilgisayarınızın kullandı ı programları biliyorsanız. Geriye kalanlar tehlike işaretidir. Özellikle yukarıda da görüldü ü gibi c:\windows, c:\windows\system veya c:\windows\temp dizini altındaki dosyalara dikkat edilmesi gereklidir.
Start up dosyalarını kontrol etmek için bir yol daha vardır. Başlat ta programlar-donatılar-sistem araçları-sitembilgisi çalıştırılırsa aşa ıdakine benzer bir ekran çıkar.
buradan Yazılım Ortamı aktif hale getirilirse bizim işimize yarayacak iki bölüm karşımıza çıkar; Başlangıç programları ve Çalışan Görevler. Başlangıç programını aktif hale getirirseniz msconfig den tanıdı ımız programları görürüz. Bizim için asıl önemli olan yer Çalışan görevler bölümü, bu bölüm aktif yapılırsa
bilgisayarınızda çalışan system dizini de dahil tüm programlar gösterilir. Fakat sadece seyredebilirsiniz, de işiklik buradan mümkün de il. Dikkat edilmesi gereken sürüm, üretici ve tanım kısımları boş olan programlardır. Yukarıda ki örnekte bu şartlara uyan üç program mevcut bunlardan grcframe.exe dosyası schoolbus tarafından system dizinine yerleştirilen trojandır. Di erleri benim kontrolümde sisteme yüklenmiş olan www.ntvmsnbc.com haber uyarı programı ile homesite 4.0 site yapım programıdır. Fakat yine de dikkat etmek gerekir tanımadık ama sistem tarafından kullanılan programlar olabilir. Fakat şüphe duyulan bir program bulundu u dizine gidilerek incelenebilir. Örne in boyutu oluşturulma tarihi gibi kriterler bizim için önemli. Yazımızda bahsetti imiz ve yaygın olarak kullanılan trojanların boyutları işinize yarayabilir. Sisteminizde mevcut olan trojan adı, iconu, portu de iştirilmiş olabilir fakat bulundu u yer ve boyut size bunun hangi tür trojan oldu u hakkında ip ucu verecektir. Örne in sisteminizde trojan oldu unu zannetti iniz bir program var. Bu program c:\windows dizini altında ve yaptı ınız araştırmalar onun hakkında pek de iyi şeyler söylemiyorsa, boyut ve oluşturulma tarihine bakabilirsiniz. Oluşturulma tarihi yakın ve boyutu 374 KB ise yakın zamanda sisteminize bir program yüklemediyseniz muhtemelen bir subseven trojanıdır. Çünkü subseven ın boyutu 374 KB dır.
İnternet üzerinden iletişim artık vazgeçilmez bir olay haline gelmiştir. Gelecek yıllarda tüm bilgisayarların bu devasa a a ba lanabilece i hesaba katılırsa insanların henüz tam olarak tanıyamadıkları internet, artıları ve eksileriyle bizleri beklemektedir. Artıları elbette tartışılamayacak kadar fazladır fakat insanların fazla bilmedikleri eksileri ise neredeyse artıları kadar fazladır. Siz bilgisayarınızın başında oturarak internetin nimetlerinden faydalanırken, başka bir kullanıcı sizin bilgisayarınıza internet üzerinden girerek tahmin dahi edemeyece iniz zararlar verebilir. Mesela bilgisayarınızın hard diskini formatlayabilir, En tehlikeli virüsleri size bulaştırarak sisteminizin zarar görmesine sebep olabilir. Gizli zannetti iniz şifrelerinizi alabilirler. Bunlardan daha tehlikelisi ise sizin bilgisayarınızı ya da internet giriş şifrelerinizi kullanarak suç işleyebilir ve sorumlu olarak siz aranabilirsiniz. Mesela Bursa da bir ö renci interpol tarafından suç işledi i için Türk yetkililerine bildirilerek yakalanmıştır. Ö rencimizin suçsuz oldu u daha sonradan anlaşılmıştır. Aslında ö rencimiz sade bir internet kullanıcısıdır ve bilgisayarını kullanan kişilerin saldırısına u ramıştır. Örneklerin sayısı her geçen gün artmaktadır.
Güvenlik konusuna geçmeden önce bilgisayarın işleyişi ile ilgili temel birkaç bilginin verilmesi gerekiyor. A (Network) birden fazla bilgisayarın birbirlerine ba lanarak bilgilerin paylaşımı esasıyla çalışır. A daki her bilgisayarın bir ismi vardır ve bir bilgisayardan çıkarak di erine giden bilgi alıcı ve gönderici bilgisayar bilgilerini kullanarak yerine ulaşır. İşte bu sırada alıcı gibi davranabilen bir bilgisayar sizin bilgilerinize ulaşabilir. İnternet de aslında büyük bir a dır. İnternational Network (uluslar arası a )kelimelerinin kısaltılmasıyla ortaya çıkmıştır. İnternet ortamında her bilgisayarın İP olarak isimlendirilen bir adresi vardır.
Her İP adresi ***.***.***.*** formatındadır. Örne in superonline kullanıcısı olan bir bilgisayarın İP si 212.252.145.218 şeklinde olabilir. Kulanıcıların İP adresleri internete her ba lantı kuruldu unda de işir(Şayet statik İP tercihi yapmamış iseniz.). Fakat hangi saat ve tarihte, hangi telefon ve İP numarası ile nereye ba lanıldı ı gibi bilgiler İSS(İnternet servis sa layıcısı) tarafından dosyalandı ı için yapılan bir suçun tesbitide kolaylaşmaktadır. Bilgisayarların internet üzerinde nasıl tanındı ını çok basit bir şekilde anlattıktan sonra bilgisayarların internete ba lanırken nasıl çalıştı ı üzerine de birkaç şey söylemek gerekir. Bilgisayarlarda bulunan veriler internete giderken veya aynı şekilde bilgiler size gelirken sanal kapılar olarak kabul edilen portlardan geçerler (Bazı bilgiler hariç). Portları bilgisayara giriş kapıları olarak ta düşünebiliriz. İşte sizin internetteki en önemli güvenlik noktanız bu portlardır. Şayet portlarınız açık ise başka bir kulanıcı bilgisayarınıza girerek, sizin bilgisayarınızda yapabilece iniz herşeyi yapabilir. Bu noktada bilgisayarı korumanın en iyi yolunun portları kontrol etmekten geçti i elbette anlaşılmıştır.
TROJANLAR
Trojanlar aslında sizin bilgisayarınızın başka bir bilgisayar tarafından a üzerinden kontrol edilmesine yarayan programlardır. Bilgisayarınızın portlarından herhangi birisini açarak di er kullanıcıların bilgisayarınıza girmesini sa larlar. Server ve Client dosyalarından oluşur. Server portları açarak bilgisayarınızı hedef haline getirirken, Client ise bilgisayarınıza girilmesini sa lar. Örne in bir kullanıcıya trojan bulaştırarak bilgisayarına girelim. İcq da hedef seçti imiz(vaya chat te) kurbanımıza elimizde bulunan Server programını herhangi bir şekilde gönderiyoruz. Güzel bir program kullan vazgeçemeyeceksin diyebilece imiz gibi, içinde mükemmel bir resim arşivi var istersen bir bak diyerek te kurbanın Server programını almasını ve çalıştırmasını sa layabiliriz. (Aslında trojanlar başka programlara entegre edilerekte karşı tarafa bulaştırılabilirler(Truva atı). Mesela kurbanımıza çok popüler İcq programını trojan ile birleştirilmiş halde verebilirsiniz. Bu durumda kurban İcq yu çalıştırdı ında normalde farklı hiçbir şey fark etmeyecektir.) Kurbanımız gönderdi imiz Server programını çalıştırınca trojanı bilgisayarına bulaştırmış olacaktır. Bu aşamadan sonra kurbanımızın İP sini alarak bilgisayarına girmek kalıyor. Bizdeki Client programını çalıştırdı ımızda bizden bir İP numarası isteyecek. Oraya buldu umuz kurbanımıza ait İP yi yazarak Connect tuşuna bastı ımızda kurbanımızın bilgisayarına ba lanmış oluyoruz. Artık gerisi size kalmış, ister format atın, ister internet giriş şifrelerini çalın.(Meseleyi anlatırken teknik detaya girerek insanların Hacker World aracılı ıyla bu işi ö renmelerini istemedik. Verilen bilgiler sadece korunma amaçlıdır.) Kurbanımızda varolan trojan silinmedi i sürece varlı ını devam ettirecektir. Bugün benim girebildi im bu bilgisayara yarın başka birisi girerek istedi ini yapabilir. İnternet ortamında trojan yedi i halde haberi olmayan bir çok insan vardır. Port Scanner diye bilinen programlarla bu insanları tesbit ederek, sahip oldu u trojana göre kullanaca ımız bir Client programı sayesinde bu bilgisayarlara da girebiliriz. Port Scanner programıyla kontrol etmeniz durumunda internette 10 dakika içinde Netbus 2.0 (20034 numaralı portu kullanır.) trojanını yiyen en az 5 kişi bulabilirsiniz. Norton veya Mcaffe tarafından tanınmayan trojan sayısı çok sınırlı oldu u için bu anti virüs yazılımlarından birini yüklemeniz durumunda trojanların ekserisinden korunmuş olursunuz. (kendi bilgisayarımda denemedi im trojan kalmadı Norton 5.0 anti virüs programı trojanları yakalama konusunda harika. Fakat schoolbus isimli trojanı bulamıyor. Aşa ıda bu trojanın nasıl temizlenece i anlatılıyor.) . Aslında ço u trojan internet üzerinde sörf yaparken birisi sizin bilgisayarınıza girmedi i sürece zararsızdır. İnternette iken bilgisayarınızda bir trojan olup olmadı ını anlamanın çok kolay bir yolu vardır. Ayrıca bir trojan varsa bile, bilgisayarınızın içindeki bu casusun kimlere bilgisayarınızın kapılarını açtı ını da ö renebiliriz. Dos ortamında netstat -an komutunu yazarak enter tuşuna basarsanız bilgisayarınızın internet ortamındaki tüm ba lantılarını görebilir ve anormal bir durum olup olmadı ını kontrol edebilirsiniz. Eskiden herbir trojanın kullandı ı port numarası farklı idi. Örne in netbus ın ilk versiyonu 12345 numaralı portu kullanırken Bo trojanı 31337 numaralı portu kullanıyordu. Şimdilerde ise her bir trojan kullanıcının(trojanı size bulaştırmak isteyen kişi) iste ine göre de işebilen portları açabiliyor. Bu nedenle trojanların kullandı ı portlarda bir anormallik gözünüze çarpmasa bile bu bilgisayarınızda trojan yoktur anlamına gelmez. Peki trojanlar bilgisayarımıza nasıl bulaşırlar. Chat te veya İcq da muhabbet ederken size gönderilen herhangi bir resim(aslında çalışabilir bir program olup resim iconu yerleştirilmiştir) ve dosya trojan taşıyor olabilir. Sizin o dosyayı açmanızla birlikte bilgisayarınıza da trojan bulaşacaktır. Korunmanın en iyi yolu dosya almamak. Hatta dosyayı aldı ınız kişi tanıdık bile olsa dosya almamak. Çünkü o da gönderdi i programda trojan oldu unu bilmiyor olabilir. Aşa ıda bilgisayarınızın kullandı ı portların numaraları vardır. Bu port numaraları haricinde bir ba lantınız var ise muhtemelen bir trojandır. Fakat İcq programı çalışıyor veya Chat te muhabbet halinde iseniz. Normal harici kullanılan portlar olacaktır. Bu portları Chat programınız veya İcq programınzı açmış olabilir. Aşa ıda en çok kullanılan trojanlar ve kontrol ettikleri portlar verilmiştir. Gerisi size kalmış.
(Aşa ıda trojanlara yönelik verilen bilgiler ve savunma yöntemleri server dosyasının ayarları de iştirilmedi i takdirde geçerlidir. Fakat Çoğunlukla ayarlar de iştirilmeden kullanılır)
SUBSEVEN
Adı: ratgele seçilmiş bir isim. (uyfghj.exe gibi)
Boyutu: 374 KB
Yerleşti i yer: Çalıştırıldı ı dizin
Start up yöntemi: Win.ini dosyasına ekleme yaparak
En belirgin özelli i: Çok zengin kullanım seçenekleri sunması.
Özellikleri:
En yaygın trojandır. Kullanım kolaylı ı ve ba lantı anında sa ladı ı gelişmiş özellikleriyle tercih sebebidir. Ba lanılan bilgisayarın registery ayarları, şifreleri, icq ve mail hesapları kolayca kullanılabilir. File manager ile karşı bilgisayarın dosyalarına erişebilir, key logger ile hedef bilgisayarda klavye aracılı ıyla yazılan herşeyi görebilir, screen capture özelli i ile hedef bilgisayarın anlık ekran görüntüsüne mous ile müdahele edebilirsiniz. Kısacası son derece gelişmiş ve profesyonelce hazırlanmış bir remote control aracıdır subseven(daha bir çok özelli i de vardır.). Edir server ile server programı kullanıcı tarafından ayarlanabilir. Yani kullanılan port, start up metodu ve server dosyasının iconu de iştirilebilir. Bu şekilde bulunması da zorlaşmaktadır. Fakat ço u kullanıcı subseven ı default ayarlarıyla kullanmaktadır. Aslında bu da bizim için bir avantajdır. Bu ayarlar bilindi i için bulunması da kolay olur.
Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan bir trojan da de ildir. Aynı zamanda bu trojanı başkalarına ba lanmak için kullanan kişinin de bilgisayarında ki özel bilgileri internetten başkalarına göndermektedir(Sisteminize bir firewall programı kurarak sadece subseven client programını çalıştırmanız durumunda 20-30 dk sonra }-xæØ gibi anlamsız isimlere sahip bir dosya aracılı ıyla bilgileriniz internette ilgili kişiye gönderilir. Muhtemelen subseven ı yapan şahsa. ).Ayrıca yine client programının çok kullanımı sonrasında sistem ayarlarınız de işebilmekte, programlarınız çalışmayı durdurabilmektedir.
Default olarak(yani edit server ile de iştirilmemişse) 27374 numaralı port u kullanır. Start up metodu olarak kendini win.ini dosyasına Windows altına "run= dosya ismi" ekler. Dosya ismi rastgele seçilmiş bir isimdir. Bu satır sayesinde bilgisayarın her açılışında kendini yükleyerek 27374 numaralı port u açık hale getirerek bekler. Port ları açmak için kullanılan bu dosya c:\windows altında bulunur.
Temizlenmesi:
Öncelikle subseven ın kullandı ı yardımcı server programını bulmalıyız. Biraz önce start up yöntemi olarak win.ini dosyasını kullandı ını söylemiştik. Başlat tan çalıştır a gelerek win.ini yazıp enter a basın. Karşınıza win.ini dosyasının içeri i gelecek. Burada
[windows]
NullPort=None
Options=85663
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=nyuw.exe
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
.........
gibi satırlar karşınıza çıkmış olmalı. Windows altında run=nyuw.exe trojanımızın server programının ismi. Yani bilgisayar açıldı ında bu program 27374 numaralı port umuzu açıyor. Şimdi "run=nyuw.exe" satırını silelim win.ini dosyasından saklayarak çıkalım. (fakat bahsetti imiz bu server programı her makinede farklıdır. Yani rastgele seçilmiştir. Sizin bilgisayarınızda run= dan sonra başka bir isim yazıyor olmalı.) Burada dikkat etmemiz gereken server programımızın ismi. Bu ismi bir yere kaydederek. İşlemimize devam edelim. Buraya kadar yaptıklarımızla artık bilgisayar açıldı ında portlarımızı açan programın çalışmasını önlemiş olduk. Fakat server programı her açılışta çalışmasa bile hala bilgisayarımız içinde(aslında buraya kadarki işlemlerle trojandan kurtulmuş olduk. Yani artık zararsız.). Başlat tan bilgisayarı kapat ı seçin ve çıkan ekranda ms-dos kipinde başlat seçene ini aktif yaparak tamam tuşuna basın. Bilgisayarınız ms-dos kipinde açılacak. Karşınıza
c:\windows> işareti gelecek.
c:\windows>del nyuw.exe
yukarıdaki satırı yazıp enter tuşuna basınca artık server programı bilgisayarınızdan silinmiş olacak.(tabi ki siz nyuw.exe yerine win.ini de görüp kaydetti iniz dosya ismini yazacaksınız.)
SCHOOLBUS:
Adı: grcframe.exe(hidden olarak bulunur), runonce.exe
Boyutu: 321 KB
Yerleşti i yer: c:\windows\system
Start up yöntemi: System dizinine yerleşti i için açılışta sisteme yüklenir.
En belirgin özelli i: Önceden norton ve mcafee tarafından bulunamıyordu. Fakat bu virüs tarama programlarının yeni sürümleri schoolbus ı buluyor.
Özellikleri:
Son zamanlarda özellikle Türkiye de oldukça yaygınlaşan bir trojandır. Bir Türk tarafından yapılmış olması ve norton tarafından bulunamaması en önemli yaygınlaşma sebebidir. Ba lantı yapıldıktan sonra bir çok kullanım seçene i sunar(fakat subseven kadar zengin seçenekleri yoktur). Bu sayede karşı tarafın şifreleri, icq hesabı, dosyaları kontrol edilebilir. Edit server programı ile server dosyası istenildi i şekilde ayarlanabilir. Kullanılan port ve server dosyasının icon u de iştirilebilir. Bu trojan bilgisayarınızın 54321 ve 4****(de işiyor sürekli) numaralı portlarını açar. Elbette bu portların açık olması için bilgisayarınızda sürekli çalışır halde bir programın mevcut olması gerekli. Bu program c:\windows\system\ dizinindeki grcframe.exe isimli programdır.
Schoolbus sadece bulaştırılmış kişiye zarar vermez. Aynı zamanda bu trojanı kötü amaçlar için kullanan kişilerin şifrelerini de trojanı yapan kişinin mail hesabına gönderir. Kısacası kullanan da bulaştırılan da zarar görür.
Ayrıca trojanımız c:\windows\system dizinindeki runonce.exe isimli bir backdoor virüsünü de bilgisayarınıza bulaştırıyor. İşte bu programların silinmesiyle trojanımız da etkisiz hale geliyor. Fakat windows ortamında bu programları silmenin imkânı olmadı ı için dos ortamına geçmeliyiz.
Temizlenmesi:
Bilgisayarı kapat bölümünde Ms-dos kipinde başlat seçene ini işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında sırasıyla aşa ıda söylenenleri yapın
C:\windows> cd system
C:\windows\system>attrib -h -r grcframe.exe (aradaki boşluklara dikkat ediniz)
C:\windows\system>del grcframe.exe
C:\windows\system>del runonce.exe
Trojandan bu şekilde kurtulmuş olursunuz. Sisteminizi yeniden başlatın.
BO (BACK ORİFİCE)(BO2K 2000):
Adı: bo2k.exe
Boyutu: 112 KB
Yerleşti i yer: Çalıştırıldı ı dizin.
Start up yöntemi: TCP/IP yapılandırmasında kullanılan bir dosyaya enfekte olarak sisteme bu sürücünün çalıştırılmasıyla yüklenir.
En önemli özelli i: Sistemde bir sürücüye enfekte olarak çalışır. Dolayısıyla bulunması zordur.
Özellikleri:
Yaygın olarak kullanılan trojanlardan birisidir. En önemli özelli i kendisini TCP yapılandırmasında kullanılan sürücülerden birine enfekte ederek görülemez hale getirmektir. Bu sebeple bu yazıda bahsedilen start up yöntemlerinin hiç birisiyle tesbit edilemez. Çünkü kendisi direkt olarak çalışıyor görünmez. Bilgisayarın kullanmak zorunda oldu u sürücülerden birisine kendisini yerleştirir ve o sürücü sisteme yüklenince otomatik olarak sisteme yerleşir; .com ve .exe virüslerinin mantı ına sahip. Bu pek de bilinmeyen özelli i dışında, kurbana gönderilen server programı istenildi i gibi ayarlanabiliyor(port, dosya adı de işebiliyor). Ba lantı kurulan makiye yönelik çok zengin bir kullanım seçene i mevcut. Default olarak 31337 numaralı (ya da 54321) portu kullanır. server programının ismi bo2k.exe(config programı ile bu isim de iştirilebilir), boyutu 112 KB dır. Bu dosya herhangi özel bir dizine kendisini kopyalamaz. Çalıştırıldı ı dizin içerisinde kalır. Zaten çalıştırıldıktan sonra silmeye kalkarsanız windows tarafından kullanıldı ı için silinemez mesajını alırsınız.
Temizlenmesi:
Di er trojanlar gibi sistemde direkt çalışmadı ı için temizlenmesi için de farklı bir yöntem takip edilir. Kendisini TCP yapılandırmasında kullanılan sürücülere enfekte ederek sisteme yükledi i için, bozulmuş olan bu sürücülerin yenilenmesi ile sistemde çalışamaz hale gelir. Bunun için de o an mevcut olan TCP yapılandırmasının kaldırılarak sisteme yeniden kurulması gerekir. Bunun için başlat-ayarlar-denetim masasına gelmeliyiz. Burada A adıyla belirtilen icona tıkladı ımızda karşımıza a yapılandırmamız gelecek.
Burada TCP/IP ile gösterilen seçene i işaretleyerek kaldır butonuna basarsak TCP/IP yapılandırmamızı kaldırmış oluruz.
Buradan Tamam butonuna basarak çıkıyoruz. Bize bilgisayarı yeniden başlatma ile ilgili bir ekran çıkacak tamam diyerek bilgisayarı yeniden başlatın.
Bilgisayarınız yeniden başladı ında biraz önce kaldırdı ımız TCP/IP yapılandırmasını tekrar kuraca ız. Bunun için başlat-ayarlar-denetim masası buradan a a tıkladı ımızda karşımıza çıkan ekranda ekle butonuna basıyoruz. Buradan çıkan menüden iletişim kurallarını tıkladı ımızda çıkan ekranda sol tarafta microsoft seçili iken sa tarafta TCP/IP yi seçerek tamam larla menülerden çıkıyoruz.
Artık TCP/IP tekrar kurulmuş oldu. Son olarak bilgisayarı tekrar kapatıp açtı ımızda TCP/IP yüklenmiş ve BO trojanından kurtulmuş oluruz.(Tabi bu işlemler sırasında gerekli dosyaları kopyalayabilmek için sizden win98 cd si istenebilir.)
START UP (BAŞLANGIÇ) PROGRAMLARI:
Bilgisayarımız açılırken bazı programlar sistem ihtiyaçlarından bazılarıda kullanıcı ihtiyaçlarından dolayı otomatik olarak çalıştırılırlar. Örne in bir virüs tarama programınız varsa başlangıçta bu program otomatik olarak sisteminize yüklenir. Başlangıç programlarının çalışma sistemini kavrayabilmek ve onları kontrol edebilmek trojanları ortadan kaldırmada en etkili yöntemdir. Start up dosyaları bilgisayarınız açılırken çeşitli yollarla kendisini sisteme yükler.
1) Win.ini
Başlat a gelerek çalıştırda win.ini yazıp enter a basarsanız aşa ıdaki gibi bir metinle karşılaşırsınız.
[windows]
NullPort=None
Options=85663
load=
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
[intl]
iCountry=90
ICurrDigits=2
iCurrency=3
iDate=1
iDigits=2
iLZero=1
iMeasure=0
iNegCurr=8
iTime=1
iTLZero=1
s1159=
s2359=
sCountry=Turkey
sCurrency=TL
sDate=.
sDecimal=,
sLanguage=trk
sList=;
sLongDate=dd MMMM yyyy dddd
sShortDate=dd.MM.yyyy
sThousand=.
sTime=:
..................
...............
yukarıdaki [windows] başlı ı altındaki "load= " ve "run= "ifadelerinden sonra gelecek olan dosya ismi bilgisayarınız tarafından açılışta otomatik olarak sisteminize yüklenir. Bilgisayarınız için gerekli bazı dosyalarda burada bulunarak başlangıçta çalıştırılabilir. Fakat aynı yeri bir trojan da kullanabilir. Bu durumda hangi dosyanın trojan hangisinin normal bir dosya oldu unu ayırt etmek sizin elinizde. Trojan oldu unu tahmin etti iniz dosya ismini silerseniz trojanın açılışta çalışmasını önlemiş olursunuz. Ama trojan hala bilgisayarınızdadır. Sadece çalışması engellenmiştir.
2) System.ini
Başlat a gelerek çalıştır da system.ini yazıp enter a basarsanız karşınıza aşa ıdaki gibi bir dosya çıkar.
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll ctpnpscn.drv power.drv
shell=Explorer.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=mouse.drv
keyboard.drv=keyboard.drv
*DisplayFallback=0
fonts.fon=vgasys.fon
fixedfon.fon=vgafix.fon
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
scrnsave.exe=
user.exe=user.exe
[keyboard]
keyboard.dll=
oemansi.bin=xlat857.bin
subtype=
type=4
[boot.description]
system.drv=Standart PC
keyboard.typ=Standart 101/102-Tuşlu veya Microsoft Natural Klavye
aspect=100,96,96
mouse.drv=Standart fare
display.drv=3D Artist PA50
.........................
.........................
yukarıdaki satırlar arasında yer alan(üstten 4. sırada) shell=Explorer.exe satırına dikkat etmeniz gerekir. Bu satır da yazan dosya isimleri bilgisayarınız açılırken sisteme yüklenir (bu dosyanın trojan veya normal bir program olup olmadı ını ayıretmek sizin elinizde). örne in:
shell=Explorer.exe Winlog.exe
şeklindeki bir satır tehlike işaretidir. Explorer.exe ve winlog.exe açılışta sisteminize yüklenmektedir. Explorer.exe sisteminizin kullandı ı bir program oldu u biliniyor. Öyleyse winlog.exe muhtemelen bir trojandır. Bu satırda winlog.exe dosya ismini silerseniz
shell=Explorer.exe
şeklinde de işir satırımız. Artık açılışta bu program çalıştırılmayacak dolayısıyla portlarınız açılmayacaktır. Fakat bu ismi silmekle trojanı silmiş olmayız sadece çalıştırılmasını önlemiş olduk.
3) C:\WIDOWS\SYSTEM dizini
c:\windows\system dizini altında bilgisayarınızın kullanmış oldu u donanım sürücüleri ve daha pek program açılışta bilgisayarınız tarafından sisteme yüklenir. Bu dizini yerleştirilmiş bir trojan (örne in schoolbus bu şekilde grcframe.exe adındaki trojanı buraya kopyalar) bilgisayar açılırken sisteme yüklenir. İşte bu dizin içinde yer alan dosyanın silinmesiyle trojandan kurtulmuş olursunuz. Fakat windows ortamında silmeye kalkarsanız. Program şu anda kullanımda silemezsiniz gibi bir hata mesajıyla karşılaşırsınız. Bu sorunu aşmak için başlat ta bilgisayarı kapat bölümünde Ms-Dos kipinde başlat seçene i işaretli olarak kapatırsanız. Sistemininiz Ms-dos kipinde açılacaktır.
c:\windows>
şeklinde bir satır karşınıza çıkacak.
c:\windows>cd system
yazıp enter a basarsanız
c:\windows\system>
satırı oluşur. İşte burada silmek istedi imiz dosyanın adını yazarak silebiliriz. Örne in dosyamız winloger.exe ise
c:\windows\system>del winloger.exe
satırını yazıp enter a basarsak dosya sistemden silinmiş olur.
4)Registery
Başlat ta regedit yazıp enter a basarsanız registery ayarlarına ulaşmiş olursunuz. Aşa ıda görüldü ü gibi
buradan
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
bölümüne geçersek aşa ıdakine benzer bir ekranla karşılaşmış oluruz
Bu ekranda görülen Run, RunOnce, RunOnceEx, RunServices ve RunServicesOnce klasörleri bilgisayar açılırken sisteme yüklenecek programları belirtir. Mesela Run klasörünün içeri ine bakarsak aşa ıdakine benzer bir ekran görürüz.
burada görülen programlardan şayet trojan oldu unu düşündü ümüz varsa sa daki bölümden program üzerine gelerek sa tıkladı ınızda çıkan menüden sil i seçerseniz dosya kayıttan silinmiş olur. Bu işlemi di er bölümlerde de yapabilirsiniz(tabiki bu görüntüler benim bilgisayarımın yapılandırması sizin ki farklı olabilir. Yukarıda gösterilen programlardan LoadPowerProfil, ScanRegistry, SystemTray, TaskMonitor sistem tarafından kullanılan temel programlardan dır. Di erleri kullanıcı tarafından eklenmiş olabilir(Sizin bilgisayarınız için de geçerli).
Start up programlarının kontrolü:
Bu programları kontrol edebilmek için windows ile birlikte gelen oldukça kullanışlı her bilgisayarda olan bir program var. Msconfig.exe adındaki bu program ile start up (başlangıç) dosyalarını kontrol edebilirsiniz. Dolayısıyla sizden habersiz hiçbir dosya bilgisayarınızda çalıştırılamaz.
Başlat ta çalıştır a gelerek msconfig yazıp enter a basarsanız aşa ıdaki gibi bir ekranla karşılaşmış olursunuz.
Görüldü ü gibi biraz önce bahsetti imiz win.ini, system.ini ve registery ayarlarını buradan kontrol etmek de mümkün. Örne in win.ini den tehlikeli gördü ümüz bir satırı kaldırmak istersek sadece yanındaki onay işaretini siliyoruz. Bilgisayar açılırken o satırı çalıştırmıyor. Fakat system.ini yi buradan düzeltmenizi tavsiye etmiyorum.
Ayrıca yukarıda görülen başlangıç kartını aktif yaparsanız aşa ıdaki gibi bir ekranla karşılaşırsınız.
yukarıda gördü ümüz programlar bilgisayar açılırken yüklenen (system.ini ve c:\windows\system dizini hariç) win.ini ve registery de bulunan dosyalardır. Bu dosyalardan herhangi birini yanındaki onay işaretini kaldırarak çalışmaz hale getirebilirsiniz. Ço unlukla msconfig ile sisteminizde trojan olup olmadı ını anlamak mümkün olur. Bilgisayarınızın kullandı ı programları biliyorsanız. Geriye kalanlar tehlike işaretidir. Özellikle yukarıda da görüldü ü gibi c:\windows, c:\windows\system veya c:\windows\temp dizini altındaki dosyalara dikkat edilmesi gereklidir.
Start up dosyalarını kontrol etmek için bir yol daha vardır. Başlat ta programlar-donatılar-sistem araçları-sitembilgisi çalıştırılırsa aşa ıdakine benzer bir ekran çıkar.
buradan Yazılım Ortamı aktif hale getirilirse bizim işimize yarayacak iki bölüm karşımıza çıkar; Başlangıç programları ve Çalışan Görevler. Başlangıç programını aktif hale getirirseniz msconfig den tanıdı ımız programları görürüz. Bizim için asıl önemli olan yer Çalışan görevler bölümü, bu bölüm aktif yapılırsa
bilgisayarınızda çalışan system dizini de dahil tüm programlar gösterilir. Fakat sadece seyredebilirsiniz, de işiklik buradan mümkün de il. Dikkat edilmesi gereken sürüm, üretici ve tanım kısımları boş olan programlardır. Yukarıda ki örnekte bu şartlara uyan üç program mevcut bunlardan grcframe.exe dosyası schoolbus tarafından system dizinine yerleştirilen trojandır. Di erleri benim kontrolümde sisteme yüklenmiş olan www.ntvmsnbc.com haber uyarı programı ile homesite 4.0 site yapım programıdır. Fakat yine de dikkat etmek gerekir tanımadık ama sistem tarafından kullanılan programlar olabilir. Fakat şüphe duyulan bir program bulundu u dizine gidilerek incelenebilir. Örne in boyutu oluşturulma tarihi gibi kriterler bizim için önemli. Yazımızda bahsetti imiz ve yaygın olarak kullanılan trojanların boyutları işinize yarayabilir. Sisteminizde mevcut olan trojan adı, iconu, portu de iştirilmiş olabilir fakat bulundu u yer ve boyut size bunun hangi tür trojan oldu u hakkında ip ucu verecektir. Örne in sisteminizde trojan oldu unu zannetti iniz bir program var. Bu program c:\windows dizini altında ve yaptı ınız araştırmalar onun hakkında pek de iyi şeyler söylemiyorsa, boyut ve oluşturulma tarihine bakabilirsiniz. Oluşturulma tarihi yakın ve boyutu 374 KB ise yakın zamanda sisteminize bir program yüklemediyseniz muhtemelen bir subseven trojanıdır. Çünkü subseven ın boyutu 374 KB dır.
Yorum yap