Trojan (Truva atı); iki kısımdan oluşan ve bilgisayarları uzaktan kumanda etme amaçıyla yazılmış programlardır.Bu program sayesinde windows kullanmaya yeni baslayan bir insan bile bilgisayarınızda bir çok yetkiye sahip olabilir. Bu programların birinci kısmı uzaktaki bilgisayarı kontrol etmeye yararken diğer kısmı ise uzaktan yönetilecek bilgisayarla kontrol kısmı arasında bağlantı kurmasını sağlayacak açıklık yaratır.Yani bizim problemimiz trojan programının bilgisayarımızda acık port bırakan kısmıyla ilgilidir.Bir çok programcı, masum programlarına "Arka Kapı (Back Door)" tabir edilen kodlar ilave ederler. Kullanıcılar bunları bilmezler. Ancak gerektiğinde programcı tarafından kullanılırlar. Mesela şifre korumalı bir program satın aldığınızı düşünün. Program bir ara çalışmaz oldu ve teknik destek istediniz. Programcı sizin şifrenize ihtiyaç duymadan programını çalıştırabilmesi için programa bir parametre ile kendini tanıtır. Program, içerdiği rutin icabı, çalıştıranın kendi programcısı olduğunu anlar ve hata analiz prosedürünü çalıştırır. Böylece programcı hataları bulur, onarır ve programı çalışır hale getirir. Siz bu prosedürü bilmiyordunuz bile. Bu çok basit bir Arka Kapı. Elbetteki kötü niyetli değil, sadece uzman olmayan kişilerin ulaşmasını engellemek amacıyla yapılmış bir prosedür.
Delikler sadece yazılımlarda değil, bilgisayar entegrelerinde de olabilmektedir. Mesela bir zamanların en yaygın ev bilgisayarı olan Commodore 64'ün en alt ekran satırı haricinde normalde kimsenin ulaşamadığı bir satırının da olduğunu üreticileri bile bilmiyordu. Bir grup programcı, bilgisayar entegresindeki delikten faydalanarak bu satırı kullanmayı başardı.
İşte bazı hacker tabir edilen ve sistem hakkında son derece yüksek bilgiye sahip kişiler, Windowsun ağ bağlantılarındaki Arka Kapılarını ve eksiklerini (hole,delik) tesbit etmişler ve yukarıda anlattığımız Truva Atı programlarını ve Truva Atlarını uzaktan kontrol etmeye yarayan programları bu deliklere göre yazmışlardır.
Trojanların ilk çıkışı sanıldığı gibi kötü niyetli olmamıştır. 90'lı yılların başlarında, şirketlerde çalışan bazı kişiler, akşama işlerini bitiremediklerinde evde de bilgisayar başında çalışmaları gerekmiştir. Ancak tüm şirket bilgileri şirketlerdeki bilgisayarlarda kaldığı için o bilgilere devamlı ulaşmak istemişlerdir.
İşteki bilgisayarını eve taşıması yerine, evdeki bilgisayarından iş yerindeki bilgisayarına bağlanıp işlerini evden takip etmek istemişlerdir.
Bundan dolayı işteki bilgisayarında trojanın server'ını çalıştırıp, eve gidince de client'i ile bağlanmışlardır. Fakat sonraları, bu bilgisayarlara kaçak olarak başka kişilerin girmesiyle trojanlar bu günkü hallerini almışlardır. Geçmişte basit yapıda olan trojanlar, günümüzde gelişmiştir.
Bir yöntem de server'ı başka bir dosya ile birleştirmektir. Geçmişteki basit trojanlarla bu yapılamıyordu fakat günümüzde mümkün. Birleştireceğiniz dosyanın resim (jpg, gif, bmp), video (mpeg, avi) veya program dosyası (exe) olması da önemli değildir. Hangi dosya ile birleştirirseniz birleştirin, birleştirilmiş bir server’ın uzantısı exe olmalıdır. Yani bir trojan gif, avi, jpg vb. formatlarda olamaz. Bir jpg ile birleştirilmiş bir server'ı girmek istediğiniz bilgisayar çalıştırırsa, o sadece resmi görecektir ama arka planda trojanda çoktan bulaşmış olacaktır.
Trojan bulaşırken iki işlem gerçekleştirir:
1. Windows'un her açılışında otomatik olarak çalışacak şekilde kendini açılışa koyar.
Bunun için; win.ini, system.ini, autoexec.bat, config.sys veya regedit dosyalarından birine, kendini kayıt eder.
Trojanın bu özelliği sayesinde, karşı bilgisayara bir kere değil, o PC her online olduğunda girebilme şansınız vardır.
2. Kurban bilgisayarın bir portunu açmak.
İnternete girmek için kullandığınız Modem'lerin 65536 tane sanal portu vardır.
Modem gelen-giden byte�ların yerini karıştırmamak için bu portları kullanır.
Mesela explorer 80., ICQ 1029., FTP (Dosya transferi) 21. portu kullanır.
Siz de trojan kullanarak karşı bilgisayara girerken bir porttan girmeniz gerekli.
Bu portun hangisi olacağı trojana göre değişir.
Mesela netbus 1234., Blade runner ise 5401. portu kullanır.
Şimdiki trojanların çoğunda istediğiniz portu seçebiliyorsunuz.
Trojan bu iki işlemi de arka planda yapar ve saniye bile sürmez.
Türkler tarafından yapılmış trojanlar da vardır: Truva atı, Schoolbus, Thief ve Casus.
Trojanlar Windows ortamında çalıştıkları için; işletim sisteminizin Linux olması durumunda hiçbir tehlikeyle karşılaşmazsınız.
Truva Atının Etkileri
Kullanıcının yapabildiği her şey Truva atları aracılığıyla yapılabilir:
•Dosyalar silinebilir.
•Dosyalar bilgisayar korsanlarına gönderilebilir.
•Dosyalar üzerinde değişiklik yapılabilir.
•Kullanıcının hakları kullanılarak, ağa sistem tarafından denetimsiz (kullanıcı adı ve şifre sorulmadan) girilme imkanı veren programlar kurulup çalıştırılabilir.
•Saldıran kullanıcının saldırılan sistem üzerindeki yetki seviyesi yükseltilebilir.
•Virus programları kurulabilir.
•Başka Truva atları kurulabilir.
Kullanıcı sistemdeki sistem yöneticisi haklarını kullanabiliyorsa Truva atları da sistem yöneticisinin yapabildiği her şeyi yapar. Bu Unix'teki "root", Microsoft Windows NT'deki sistem yöneticisi hesapları ya da herhangi bir işletim sistemindeki yönetici haklarını kullanabilen herhangi bir kullanıcı olabilir. Sıralanan hesaplardan biri ya da tek kullanıcılı işletim sistemi (Windows95, MacOS) kullanılıyorsa Truva atları yardımı ile saldırı gerçekleştirilebilir.
Kullanıcının ağında Truva atlarını içeren herhangi bir sistem, ağdaki başka sistemleri de etkileyebilir. Paylaştırılmış ağlarda şifre gibi bilgileri basit şifrelenmiş ya da şifrelenmemiş şekilde gönderen sistemlerin güvenliği de azalmaktadır. Kullanıcının sistemi ya da ağı Truva atlarını içeriyor ise bilgisayar korsanları ağ yoklayıcısını çalıştırıp bilgisayardaki -kullanıcı adı ve şifreler dahil- özel bilgileri kaydedebilir.
Truva Atının Kurulması
Genelde yasadışı yazılımlara veya internet'ten yükleyebileceğiniz diğer dosya ve programlara gizlenmiş olarak gelir. E-postalarda veya anlık iletilerde komik resimler, tebrik kartları veya ses ve video dosyalarıymış gibi de görünebilirler. Ekleri tıklatarak açarsanız, bir truva atı gizlice karşıdan yüklenebilir. Bazı durumlarda, hiçbir işlem yapmasanız datruva atı, yazılımlardaki veya internet'teki güvenlik açıklarından yararlanarak bilgisayarınıza bulaşabilir.
Truva atları kullanıcılar yanıltılarak kurulabilir. Örneğin: Bilgisayar oyunlarını içeren herhangi bir e-posta ile de truva atları gönderilebilir. Kullanıcı oyunun tanıtımından etkilenerek oyunu bilgisayarına kurabilir. Kullanıcı gerçekten bir oyun kurmasına rağmen arka planda kolay fark edilemeyen bir işlem çalışmaya başlar. Başka bir örnek ise, Web güvenliği üzerinde araştırmalar yapan şirketlerin dağıttığı bültenlerin sahtelerinin yapılıp, bültenlerle birlikte gelen yamaların sistem yöneticilerine kurdurulmasıdır.
Yazılım dağıtan sitelerde bilgisayar korsanı tarafından Truva atları ile değiştirilmiş yazılımlar olabilir. Truva atları içeren bir dağıtım sitesi başka dağıtım sitelerinin yansıtıcılarını içeriyor ise Truva atları birçok site tarafından çekilir ve İnternet'in her yerine hızlı bir şekilde yayılır. DNS (Domain Name Server - Alan Adı Sistemi) güçlü bir kullanıcı denetlemesi (authentication) sağlamadığı için, kullanıcılar farklı bir Web sitesine bağlanmak istediği zaman bilgisayar korsanları bağlantının arasına girip kullanıcıya hala güvenli bir bağlantı içinde olduğunu hissettirir. Bundan yararlanarak bilgisayar korsanı, kullanıcılara Truva atlarını karşıdan yükletebilir ya da özel bilgileri açığa çıkartabilir.
Truva atı sistemde hatayı oluşturduktan sonra bilgisayar korsanları, sistem yardımcısı programların Truva atı içeren versiyonlarını kurabilir.
Bazen Truva atı koleksiyonları bilgisayar korsanları tarafından kırılmış olan araç takımlarında da yer alabilir. Bilgisayar korsanlarının bir kere sistemdeki yönetici haklarını elde ettikten sonra sistemin güvenli hale getirilmesi için baştan kurulması gerekmektedir.
Son olarak, Truva atları Java applet, ActiveX control, JavaScript formlarında da bulunabilirler.
Trojan Neler Yapabilir?
Bilgisayarınızın Internet bağlantınız üzerinden uzaktan denetlenmesine olanak tanır. Dolandırıcılar bu beceriyi kullanarak şunları yapabilir:
•Sizi dolandırıcılık suçlarıyla yüz yüze bırakabilir. Bazı truva atı programları, bilgisayarınızın sahte bir web sitesinin gerçekte güvendiğiniz bir web sitesi (çevrimiçi bir banka sitesi gibi) olduğunu düşünmesine neden olabilir. Sahte siteye girdiğiniz parolalar ve diğer bilgiler, paranızı veya kimliğinizi çalmak için kullanılabilir.
•Dosyalarınızı bulabilir ve onları görüntüleyebilir, kopyalayabilir, değiştirebilir veya silebilir. Truva atları, bunu bir kereliğine veya bilgisayarınızı her başlattığınızda bu görevleri gerçekleştirebilecek biçimde programlanabilir.
•Yazdıklarınızı kaydedebilir ve bu bilgileri başka bir bilgisayara gönderebilir. Dolandırıcılar bu bilgileri özel yazılımlar aracılığıyla işleyerek, bilgisayarınızda yazdığınız kullanıcı adlarını ve parolaları bulmaya çalışır.
•Bilgisayarınıza bağladığınız aygıtlardan video ve ses öğeleri yakalayabilir, bu medyayı dosya olarak kaydedebilir ve daha sonra da dolandırıcıların bilgisayarına gönderebilir.
•Bilgisayarınızdaki bir programı, işlemi veya bağlantıyı çalıştırabilir veya sonlandırabilir.
•Ekranda can sıkıcı veya kötü amaçlı web sitelerine bağlanmaya ikna etmeye çalışan açılır pencereler oluşturabilir.
•Diğer bilgisayarlara saldırabilir. Bazı truva atları, dolandırıcıların gönderdikleri iletilerle sunucuda yük oluşturma veya virüs ve casus yazılımları yayma gibi görevleri gerçekleştirmek için denetim altında tuttukları çok sayıda bilgisayar olan "hortlak ordular" oluşturmak amacıyla kullanılır.
Trojan Yayma ve Bulaştırma Yöntemleri
1. Chat : Dünyada bilgisayar kullanıcıların internet ile ilk tanışmalarından bu yana her işte ve her şekilde kullanılan Chat ortamı. kandırarak her şekilde bilgisayarlarına girerler ve hakim olurlar. Ondan sonra kurban olarak kullanır ve istediklerini yaparlar. Bir zamanların en ünlü Trojan yayma yolu IRC Server, Komut ve mıRC Programları, IRC Scriptleri olmuştur.
2. P2P : Son zamanlarda en çok Trojan yazarlarinin başvurduğu ve trojanlarini yaymaya çalıştıkları ortamdir. Popüler yazılım isimleri ile özelliklede yeni kullanıcılara bu tür ortamlardan virüsler ve trojanlar atılmaktadır.
Örneğin : Firefox.exe gibi.
3. Mesaj Yollama/Mesajlaşma Yöntemi : Anlık ileti gönderilmesine olanak veren ve son yılların gözde sohbet programlarindan olan AOL ve MSN Messenger gibi ortamlarda Trojanlar için harika bir ortamdır. Msn Messenger gibi dev bir ortama trojan yaymak demek herşeyi yapabilmek ve binlerce kişi kendine bağlamak, kurban etmek demektir.
4. Web Sitesi Yoluyla Bulaştırma : Çeşitli Warez program siteleri ve Program *****/****** sitelerinin içine program ve ya ****** gibi dosyalar göndererek, Trojan yaymakta oldukca kullanılan bir yöntemdir.
5. Yazılım Güvenlik Açıkları : Bu kategori ise, ünlü MyDoom virüsü gibi bilgisayarlarda bulunan ünlü programlarin hatalarindan ve ya açıklarından yararlanarak yayılan ve sisteme zarar veren bir Trojan yayma yöntemidir.
6. Sosyal Mühendislik : Sosyal Mühendislik aslında çok eski ve geniş bir kavramdır. Bu kavram son seneler de sıkça gündeme gelmektedir. Çünkü güvenlik, saldırılara paralel olarak gelişmektedir. Sosyal mühendislik olayinda ise asla ama asla tamamen bir saldırı söz konusu değildir. Hedef yani kurban sosyal mesajlar ile söz ile yada dil ile kandırılır ve aldatılır.
Çözümler
•Kullanıcılara Truva atları ve tehlikeleri hakkında bilgi verilmelidir.
•Sistem yöneticisi tarafından (tek kullanıcılı sistemler dahil), güvenilir kaynaklardan kurulan yazılımın her bölümü kontrol edilmeli ve geçiş sırasında üzerinde değişiklik olup olmadığına dikkat edilmelidir.
•Sayısal imza sağlanmış olduğu zaman kullanıcıların imzayı onaylaması desteklenmelidir. Sayısal imzası olmayan yazılımlar CD gibi somut kaynaklarından edinilebilir.
•Yazılım üreticileri ve dağıtıcıları tüm üretilen ve dağıtılan programlar için zor çözülebilen şifrelemeler kullanmalıdır.
•Elekronik posta üzerinden gelen her dosya çalıştırılmamalıdır. Birincil e-posta adresinizi yalnızca tanıdığınız kişilere verin. E-posta adresinizi büyük Internet dizinlerinde ve iş bulmaya yönelik web sitelerinde listelemekten kaçının, çevrimiçi kullanıcı gruplarına katılırken dikkatli olun. E-posta ve anlık iletilerdeki eklerin içeriğinden ve kimden geldiğinden emin olmadıkça bunları açmayın. Şüpheli e-postayla baş ederken yapılması ve yapılmaması gerekenler makalesini okuyun.
•Web sayfalarında Java applet, ActiveX kontrolü, JavaScript çalıştırılacağı zaman dikkatli olunmalıdır.
•Web sayfalarının içeriklerinin otomatik çalıştırılmaları devredışı bırakılmalıdır.
•Günlük çalışmalarda "en az ayrıcalık" prensibi uygulanmalıdır.
•Firewall ve yaygın Truva atlarını tespit edebilen antivirus programları kullanılmalı ve güncelleştirmeleri düzenli olarak yapılmalıdır. Firewall ve antivirus ürünleri kullanılarak tüm Truva Atları'nın bulunması imkansız olmasına rağmen, bu ürünler en popüler Truva atlarının sisteme zarar vermesine engel olurlar.
•Kurulmaya ve çalıştırılmaya karar verilen tüm ürünlerin kaynak kodları kontrol edilmelidir. Truva atlarının çok hızlı bir şekilde bulunması ve kaynak kodlarının geniş bir şekilde gözden geçirilebildiği açık kodlu yazılımlar; kodu görünmeyen yazılımlarla karşılaştırıldığında daha avantajlıdır. Bununla birlikte, açık kaynak kodlu yazılım birçok kişi tarafından, tam kontrollü olmayan ya da az kontrollü geliştirilmeye elverişlidir. Kaynak kodunun gözden geçirilmesi pratik olmayabilir ve birçok Truva atlarının yazılımda olup olmadığı açık koddan anlaşılamayabilir. Dosyanın Truva atını içerip içermediği öğrenilmek istendiği zaman değiştirilme tarihi, büyüklüğü gibi dosya özelliklerine güvenilmemelidir.
•Uçbirim öykünmesi (Terminal Emulation) için SSH, Web sunucusu için X.509 anahtar sertifikaları, elektronik posta için S/MIME veya PGP, değişik servisler için kerberos gibi şifrelemesi güçlü olan iki taraflı kullanıcı denetimi yapan sistemler tercih edilmelidir.
•İnternet'ten gerçeğini kanıtlamayan bir yazılım çekildiğinde dikkatli olunmalıdır. Güvenilmeyen kaynaktan asla yazılım yüklenmemelidir. Truva atları ücretsiz olarak yüklenilen yazılımlarda da bulunabilir. Microsoft güncelleştirmeleri ve düzeltme ekleri her zaman Microsoft Windows Update veya Microsoft Office Update'ten yüklenmelidir.
•İnternet, ücretsiz olarak veya çok az bir ücret karşılığında eğlence veya değerli işlevler sağlayan yazılımlarla doludur. Ancak gerçek maliyet, zaman zaman bu programların içerdiği kötü amaçlı yazılımlarda gizlidir. tanıdığınız ve güvendiğiniz kaynaklardan gelmeyen bir yazılımı çalıştırmadan, karşıdan yüklemeden veya kullanmadan önce dikkatlice karar verin.
Bilgisayarda Trojan olup olmadıgını nasıl anlarız:
Bunu anlamanın bir cok yolu var örneğin:
Bilgisayarmızda Kontrolumuz Dısında Çalısmalar Oluyorsa:Ama eğer siz nette önünüze gelen siteden ve önünüze gelen disket/cd den program vs.. yüklüyorsanız, internetteyken siz herhangi bir islem yapmamanıza ragmen bilgisayarınız bir seyler yuklemeye devam ediyor ,cd kapagınız acılıp kapanıyor , mouseunuzun isteginizin dısında hareket ediyor ,ekranınıza resim veya yazılar geliyorsa ..yani bilgisayrınızda sizin kontrolunuz dısında herhangi bir olay gerveklesiyorsa bilgisayranızda trojan vardır diyebiliriz ama yinede bu kesindir diye bir yargı verilemez. Eğer internetten dosya download etmiyorsanız , chatte herhangi birisinden dosya almıyorsanız ve bilmediğiniz disketlerden veya cdlerden birşeyler yüklemiyorsanız,programlarınızı veya oyunlarınızı dergi cdlerinden vaya güvenilir yerlerden kuruyorsanız trojan kesinlikle yoktur sizde.
Bilgisayarımızda baslat (start) tusundan programlar (programs) ordanda baslangıc (startup) tusuna bastıgımız zaman bilgisayarımızın acılısıyla birlikte calısan programları goruruz eger burda bizim kurmadıgımız herhangi ibr program varsa bu program bir trojan olabilir.
Diger ve en kesin yontemlerden birisi ise dos moduna geçip komut satırında ntstat -a yazmaktır. Bu komut sizin bilgisayarınız internette kimlerle hangi porta baglı oldugunu gosterir. Eger bu program bilgisayarınızda calısmıyorsa herhangi bir problem yok eger ornegin 0.0.0.0:12345 gibi bir sonuc veriyorsa bilgisayarınızda netbus isimli bir trojan vardır.Bunu nerden anladın diyorsanız trojanlar bilgisayarımıza baglanmak icin bilgisayarımızda ki portları kullanırlar trojanlar arasından netbus ise bilgisayraımıza baglanmak icin 12345 portunu kullanır. Diger trojanların kullandıgı portlar aşağıdadır.
NO/PORT/TROJAN NAME
1 31 Hackers Paradise
2 41 Deep Throat
3 58 DMSetup
4 79 FireHotcker
5 121 BO jammerkillahV
6 421 TCP Wrappers
7 456 Hackers Paradise
8 531 Rasmin
9 555 Stealth Spy
10 666 Attack FTP
11 911 Dark Shadow
12 999 Deep Throat
13 1001 Silencer
14 1011 Doly
15 1012 Doly
16 1024 NetSpy
17 1033 NetSpy
18 1042 Bla
19 1045 Raspin
20 1080 WinGate
21 1090 Xtreme
22 1095 Rat
23 1097 Rat
24 1098 Rat
25 1099 Rat
26 1170 Streaming Audio
27 1234 Ultors
28 1243 SubSeven
29 1245 Voodoo
30 1269 Mavericks Matrix
31 1492 FTP99CMP
32 1509 Psyber Streming Server
33 1600 Shiva Burka
34 1807 SpySender
35 1981 ShockRave
36 1999 BackDoor
37 2001 TrojanCow
38 2023 PassRipper
39 2115 Bugs
40 2140 The Invasor
41 2283 HVL Rat5
42 2565 Striker
43 2583 WinCrash
44 2600 Digital RootBeer
45 2801 Phineas
46 2989 Rat
47 3024 WinCrash
48 3129 Masters Paradise
49 3150 Deep Throat
50 3700 Portal Of Doom
52 4567 FileNail
53 4590 ICQ Trojan
51 4902 WinCrash
54 5000 Sockets De Troje
55 5001 Sockets De Troje
56 5321 Firehotcker
57 5400 Blade Runner
58 5401 Blade Runner
59 5402 Blade Runner
60 5550 XTCP
61 5555 ServeMe
62 5556 BO Facil
63 5557 BO Facil
64 5569 RoboHack
65 5742 WinCrash
66 6400 The Thing
67 6670 Deep Throat
68 6671 Deep Throat
69 6776 SubSeven
70 6883 Delta Source
71 6939 Indoctrination
72 6969 GateCrasher
73 7000 RemoteGrab
74 7300 NetMonitor
75 7301 NetMonitor
76 7306 NetMonitor
77 7307 NetMonitor
78 7308 NetMonitor
79 7789 ICKiller
80 9872 Portal Of Doom
81 9873 Portal Of Doom
82 9874 Portal Of Doom
83 9875 Portal Of Doom
84 9989 IniKiller
85 10067 Portal Of Doom
86 10167 Portal Of Doom
87 10520 Acid Shivers
88 10607 Coma
89 11000 Senna Spy
90 11223 Progenic Trojan
91 12067 Gjamer
92 12223 Hack'99 KeyLogger
93 12345 NetBus
94 12346 NetBus
95 12361 Whack A Mole
96 12362 Whack A Mole
97 12631 WhackJob
98 13000 SennaSpy
99 16969 Priority
100 17300 Kuang2 The Virus
101 20000 Millenium
102 20001 Millenium
103 20034 NetBus PRO
104 20331 Bla
105 21554 GirlFriend
106 22222 Prosiak
107 23456 WhackJob
108 23476 Donald Dick
109 23477 Donald Dick
110 26274 Delta
111 29891 The Unexplained
112 30029 AOL Trojan
113 30100 NetSphere
114 30101 NetSphere
115 30102 NetSphere
116 30103 NetSphere
117 30303 Socket23
118 30999 Kuang
119 31337 Back Orifice
120 31338 Deep Back Orifice
121 31339 NetSpy
122 31666 BOWhack
123 31787 Hack Attack
124 32100 B
125 33333 Prosiak
126 33911 Trojan Spirit 2000
127 34324 Big Gluck
128 40412 The Spy
129 40421 Masters Paradise
130 40422 Masters Paradise
131 40423 Masters Paradise
132 40426 Masters Paradise
133 47262 Delta
134 50505 Sockets De Troje
135 50766 Fore
136 53001 Remote Windows Shutdown
137 54320 Back Orifice 2000
138 54321 SchoolBus
139 60000 Deep Throat
140 61466 Telecommando
141 65000 Devil
Peki, netstat komutuyla rastladığımız bir bağlantının doğal olup olmadığını nasıl anlayacağız?
1. Öncelikle bağlantıların portlarını gözden geçirin. İnternet üzerinde en çok kullanılan protokoller ve kullandıkları portlar şunlardır: 80 http (WEB sayfalarına bağlanmak için kullanılan port) 21 ftp (FTP serverlarına bağlanmak için kullanılan port) 23 telnet (Telnet ile başka sistemlere bağlanmak için kullanılan port) 25 mailto (E-mail atmak için kullanılan port) 110 POP3 (E-mail almak için kullanılan port) 6660-7000 IRC (IRC serverlarına bağlanmak için kullanılan genel portlar) 4000 ICQ (ICQ, servera ilk bağlantısında bu portu kullanır) 1000-1080 ICQ (ICQ, servera bağlandıktan sonra bu portlardan birini kullanır) PC'niz bir proxy, yerel ağ, vs. üzerinde yer almıyorsa veya bu tür ağlar için kullanılan programlardan birini çalıştırmıyorsa, bu portlarda gözüken bağlantılarda genelde tehlikeli bir durum sözkonusu değildir. Ancak hackerların sık sık kullandıkları portlardan birinden yapılmış bir bağlantınız varsa (456, 31337, 12345,30303 gibi), davetsiz bir misafirinizin olma ihtimali çok yüksektir.
2. Tehlikeli bir port gözükmemesine rağmen bir bağlantıdan şüphelenirseniz, şüphelendiğiniz bağlantının karşısında yazan IP adresini bir yere not alın. Sözkonusu IP adresinin 194.242.74.130 olduğunu farz edersek, mIRC üzerinden bir IRC serverına bağlıyken /dns 194.242.74.130 komutunu kullanmanız gerekir. Bu komut, size o adresin açılımını verecektir (mesela dialup03.fornet.tr, hotmail.com, microsoft.com, vs.). Eğer adresin açılımı o anda bağlı olduğunuz bir IRC, ICQ, WEB, FTP, vs. serverı ise herşey yolundadır. Ancak bir İSS (İnternet Servis Sağlayıcısı) ismi içeren bir adresle karşılaşırsanız, bu internet üzerinde bulunan başka bir PC ile bağlantı halinde olduğunuz anl***** gelir (Eğer o anda bir arkadaşınızla dosya transferi yapıyorsanız, mIRC içinde aktif DCC Chat pencereniz varsa veya ICQ Chat tarzı bir sohbet ortamındaysanız, bu bağlantının olması doğaldır). Bu durumda, o IP adresinin sahibini tespit etmelisiniz. Eğer şüphelendiğiniz kişi ICQ'da Online ise, ICQ listesinde o kişinin nickinin üzerine tıkladığınızda açılan menüde INFO komutunu seçin, bu size o kişinin IP adresini verir. mIRC'de ise, /dns NICKNAME komutunu kullanarak şüphelendiğiniz kişilerin IP adresini öğrenebilirsiniz. Eğer mIRC'de şüphelendiğiniz belli biri yoksa, sadece IP adresinin sahibinin o anda sizin bulunduğunuz IRC serverında olup olmadığını görmek istiyorsanız, /who 194.242.74.130 /who dialup03.fornet.tr komutlarını kullanarak STATUS başlıklı pencerenizi izleyin (tabii buradaki IP adresi ve açılımı sadece örnek, siz netstat penceresinde gördüğünüz IP adresini ve açılımını kullanmalısınız). Aradığınız IP adresinin sahibi ile aynı IRC serverındaysanız, mIRC bunu size söyleyecektir. PC'nizle bağlantı kurmuş kişiyi tespit ettikten sonrası size kalmış. Onunla konuşabilirsiniz, konuşmadan bağlantınızı kesebilirsiniz, ya da bağlantılarınızda neden onun adresinin gözüktüğünü sorabilirsiniz (belki de sadece Ident'inize bakan iyi niyetli biridir).
Bilgisayara Bulasmıs Trojanı Temizlemek:
Bilgisayarımıza bulasmis trojanı ik farklı yontemle temizleyebilriz :
1. Anti Trojan Programı kullanmak: Bir anti trojan programıyla bilgisayarınızı scan ederek bilgisayarımızdaki trojanları bulabiliriz ancak yeni cıkan trojanlar genelde bu tip programlarla bulunamıyor bu yuzden surekli olarak programı resmi web sayfasından update etmekte yarar var.
2. Yontem ise trojanları elle silmek diye tabir edebilicegimiz bir yontem bu yontemde trojanın eger biz bilgisayraımızdaki ismini ve regeditteki yerini biliyorsak kolayca ortadan kaldırabiliriz.Simdi bunu nasıl yapacagımızı ve yaparken nelere dikkat edecegimizi adım adım gorelim:
Trojan temizliğine başlamadan önce, PC'nizdeki gizli ve sistem dosyalarınızın tümünü görünür hale getirin.Bunun için Windows Gezgini'nde Görünüm Klasör seçenekleri (View Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show All Filles) kutucuğunun işaretli olduğuna emin olun.Ayrıca altındaki "Bilinen Dosya Türlerinin Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız da yararınıza olacaktır.
Bazı trojan'ların açıklamalarında aynı ada ve farklı dizine sahip birden fazla dosyanın silinmesi gerektiği yazmaktadır.Eğer söz konusu dosya dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır.
Unutmayın ki, trojanların isimlerini ve diğer bilgilerini değiştirmek pek zor değildir.Burada verdiklerimiz, taşıdıkları orjinal özelliklerdir.Adı değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını inceleyebilirsiniz.
Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli olun.Özellikle Registry, Windows için hayati önem taşır.Yanlış bir şey silmeniz sisteminizde aksaklıklara yol açabilir.
Bazı Trojanlar ve elle silinmeleri hakkında bilgi
ACID SHIVERS
Port Numarası: 10520
Dosya Adı: "msgsvr16.exe"
Boyutu: 186 Kb
Dizini: C:Windows
1. Registy'nizdeki HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Explorer | msgsvr16.
exe" kaydını silin.
2. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "Explorer | msgsvr16.exe" kaydını silin.
3. PC'nizi MS-DOS kipinde başlatın.
4. "C:Windowsmsgsvr16.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.
BACK ORIFICE
Port Numarası: 31337
Dosya Adı: ".exe"
Boyutu: 122 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.
2. PC'nizi yeniden başlatın.
3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.
3. "C:WindowsSystem.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
BACKDOOR
Port Numarası: 1999
Dosya Adı: "icqnuke.exe"
Boyutu: 102 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "icqnuke.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsicqnuke.exe" ve "C:WindowsSystemicqnuke.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.
BIG GLUCK
Port Numarası: 34324
Dosya Adı: "bg10.exe"
Boyutu: 100 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "bg10.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsbg10.exe" ve "C:
WindowsSystembg10.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.
BLADE RUNNER
Port Numarası: 21, 5400, 5401, 5402
Dosya Adı: "server.exe"
Boyutu: 323 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "server.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsserver.exe" ve "C:
WindowsSystemserver.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.
BUGS
Port Numarası: 2115
Dosya Adı: "bugs.exe"
Boyutu: 78 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "bugs.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsbugs.exe" ve "C:
WindowsSystembugs.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.
DEEP BACK ORIFICE
Port Numarası: 31338
Dosya Adı: ".exe"
Boyutu: 122 Kb
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.
2. PC'nizi yeniden başlatın.
3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.
4. "C:WindowsSystem.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.
DEEP THROAT
Port Numarası: 2140, 3150
Dosya Adı: "systempatch.exe"
Boyutu: 255 Kb
Dizini: ?
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını açın. "systemDLL32 | systempatch.exe" kaydının işaret ettiği dizini bir kenara not aldıktan sonra söz konusu kaydı silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. Not etmiş olduğunuz dizin altındaki "systempatch.exe" dosyasını silin. MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri kısaltılacağı için, "system~1.exe" veya benzeri ada sahip bir dosyayı aramalısınız. Eğer "system~" şeklinde başlayan birden fazla EXE dosyası varsa hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin.
4. PC'nizi yeniden başlatın.
DOLY TROJAN
Port Numarası: 1011, 21
Dosya Adı: "tesk.exe"
Boyutu: 169 Kb
Dizini: C:Wİndows , C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "tesk.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowstesk.exe" ve "C:WindowsSystemtesk.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.
GIRLFRIEND
Port Numarası: 21554
Dosya Adı: "windll.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "windll.exe" kaydını silin.
2. PC'nizi yeniden başlatın.
3. "C:Windowswindll.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
HACK A TACK
Port Numarası: 31785, 31787
Dosya Adı: "expl32.exe"
Boyutu: 236 Kb
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Explorer32 | C:Windowsexpl32.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsexpl32.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
INIKILLER
Port Numarası: 9989
Dosya Adı: "bad.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Explorer" kaydını silin.
2. PC'nizi yeniden başlatın.
3. "C:Windowsbad.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
MASTERS PARADISE
Port Numarası: 3129, 40421, 40422,40423,
40426
Dosya Adı: "sysedit.exe", "keyhook.dll"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "sysedit.exe" kaydını silin.
2. PC'nizi yeniden başlatın.
3. "C:Windowssysedit.exe" ve "C:
Windowskeyhook.dll" dosyalarını silin.
4. PC'nizi yeniden başlatın.
5. Gerçek "sysedit.exe" dosyasını Windows CD'nizden veya güvendiğiniz bir arkadaşınızdan tekrar yükleyin.
NETBUS PRO
Port Numarası: 20034
Dosya Adı: "NBSvr.exe"
Boyutu: 599 Kb
Dizini: C:Windows , C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "NetBus Server Pro | nbsvr.exe" kaydını silin.
2. Registry'nizdeki HKEY_CURRENT_
USERNetBus Server anahtarını silin.
3. PC'nizi MS-DOS kipinde başlatın.
4. "C:WindowsNBSvr.exe" , "C:WindowsNBHelp.dll" , "C:WindowsLog.txt" dosyalarını silin. (Aynı dosyalar C:WindowsSystem dizininde de olabilir)
5. PC'nizi yeniden başlatın.
NETBUS
Port Numarası: 12345, 12346
Dosya Adı: "patch.exe"
Boyutu: 470 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "patch.exe" kaydını arayın. Söz konusu kaydı bulamazsanız trojan'ın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın. 470 KB boyutunda olan dosya, adı değiştirilmiş NetBus trojanıdır. Registry kaydını silin.
2. Bir MS-DOS Komut İstemi penceresi açın ve "C:WindowsSystempatch.
exe /remove" komutunu kullanın. (Trojanın adı değiştirilmişse, patch.exe yerine PC'nizdeki adını yazın.)
3. "C:WindowsSystempatch.exe" dosyasını silin.
NETSPHERE
Port Numarası: 30100, 30101, 30102
Dosya Adı: "nssx.exe"
Boyutu: 640 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "NSSX | C:WindowsSystemnssx.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsnssx.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
RAT
Port Numarası: 1095, 1097, 1098, 1099
Dosya Adı: " .exe", "mswinsck.ocx",
"wavestream.dll", "regsvr32.exe"
Boyutu: 298 KB, 99 Kb, 35 Kb, 20 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki şu anahtarları silin:
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Implemented Categories
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
Implemented Categories{40FC6ED5-2438-11CF-A3DB-080036F12502}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}ProgID
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Programmable
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}TypeLib
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Version
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid32
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{ 925B0F6B-605D- 11CF-BAEF-F89005C10000}TypeLib
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{ 925B0F6D-605D-11CF-BAEF-F89005C10000}
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{ 925B0F6D-605D-11CF-BAEF-F89005C10000}1.0
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{ 925B0F6D-605D-11CF-BAEF-F89005C10000}1.0
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{ 925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{ 925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0HELPDIR
HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStream
HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid
2) Registry'nizdeki şu kayıtları silin:
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} @="WaveStreaming.WaveStream"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} InprocServer32@="C:WINDOWSSYSTEMWAVESTREAM.DLL "
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} ProgID@="WaveStreaming.Wave Stream"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Version@="1.0"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} @="WaveStream"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid@="{00020424-0000-0000-C000-000000000046}"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid32@="{00020424-0000-0000-C000-000000000046}"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLibVersion="1.0"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 @="MS Internet Audio Streaming Support"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib {925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32 @="C:WINDOWSSYSTEMWAVESTREAM.DLL"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib {925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS @="0"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib {925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 HELPDIR@="C:WINDOWSSYSTEM"
HKEY_LOCAL_MACHINESOFTWAREClassesWaveSt reaming.WaveStream@="WaveStreaming.Wave Stream"
HKEY_LOCAL_MACHINESOFTWAREClassesWaveSt reaming.WaveStreamClsid @="{925B0F6C-605D-11CF-BAEF-F89005C10000}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindo wsCurrentVersionRun Explorer="C:WINDOWSsystem
MSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosof tWindowsCurrentVersionRunServicesDefault=" "
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunServicesExplorer=" "
3. PC'nizi MS-DOS kipinde başlatın.
4. "C:WindowsSystem .exe" , "C:WindowsSystemMSGSVR16.EXE" , "C:WindowsSystemwaveStream.dll" dosyalarını silin.
5. PC'nizi yeniden başlatın.
SUBSEVEN
Port Numarası: 1243, 1999, 6711, 6776
Dosya Adı:
1. Dosya: "server.exe", "rundll16.exe",
"systray.dl", "Task_bar.exe"
2. Dosya: "FAVPNMCFEE.dll",
""MVOKH_32.dll", "nodll.exe",
"watching.dll"
Boyutu: 328 Kb, 35 Kb
Dizini: C:Windows, C:WindowsSystem
1. "C:WindowsSystemSysEdit.exe" dosyasını çalıştırın. SYSTEM.INI dosyasının [boot] bölümündeki "shell=Explorer.exe" satırını inceleyin. Satırın sağına yukarıda adı geçen dosya adlarından biri eklenmişse, dosya adını bir kenara not edin ve satırı "shell=Explorer.exe" haline getirin.
2. Aynı penceredeki WIN.INI dosyasının [windows] bölümünde "run=" ve "load=" diye başlayan satırları inceleyin. Söz konusu satırlardan biri yukarıda adı geçen dosyalardan birine işaret ediyorsa, dosya adını not edin ve satırı silin.
3. Yapmış olduğunuz değişiklikleri kaydedip SysEdit penceresini kapatın.
4. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını inceleyin ve yukarıda adı geçen dosyalara işaret eden kayıtları silin. Herhangi bir kayıt bulamazsanız trojanın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:Windows dizinindeki EXE dosyalarıyla karşılaştırın. 328 Kb boyutunda olan dosya, adı değiştirilmiş SubSeven trojanıdır. Registry kaydını silin.
5. PC'nizi yeniden başlatın.
6. C:Windows dizinindeki trojan dosyasını silin.
WHACK A MOLE
Port Numarası: 12361, 12362
Dosya Adı: "whack.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki şu kayıtları silin:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "NetBuster"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "SysCopy"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll32"
2. Registry'nizdeki HKEY_CLASSES_
ROOT.dl_ anahtarını silin.
3. PC'nizi MS-DOS kipinde başlatın.
4. C:Windows dizini altındaki Şu dosyaları silin:
keyhook.dll
keyhook.dl_
nbsetup.reg
nb2setup.reg
ntsetup.reg
nt2setup.reg
rundll.dl_
whack.exe
5. PC'nizi yeniden başlatın.
WINCRASH
Port Numarası: 5742
Dosya Adı: "server.exe"
Boyutu: 290 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "MsManager | SERVER.EXE" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:WindowsSystemserver.exe" dosyasını silin.
4. PC'nizi yeniden başlatın
Anti-Virüs Çözümleri
AV-Test" organizasyonu tarafından yapılan ve "PC-Welt" dergisinde yayınlanan güncel bir testin sonuçları aşağıdadır.
AV-test, Alman Magdeburg üniversitesi kökenli bir gruptan oluşmakta olup testlerine güvenilen ve objektif bir organizasyondur.
Bu test sırasında toplam 33 güvenlik yazılımı kullanılmış ve test 2006 senesinde elde edilen 300.000 truva atı (trojan horse) ile yapılmıştır. Testte kullanılan zararlı örnekleri özellikle "sadece truva atlarından" seçilmiştir, aralarında başka türde bir zararlı bulunmamaktadır.
Bu açıdan bu test, son dönemlerde çok güncel olan, hızla sayı ve türü artan truva atlarına karşı güvenlik yazılımlarının başarısını göstermesi açısından da çok anlamlıdır.
Antitrojan programları
Hepimizin Anti Virüs testlerinden iyi bildigimiz Av-Comparatives, Anti Trojan programlara da bir test yapti ve yapilan testte yaklasik 78.000 backdoor ve bot, 69.000 trojan ve 6.000 diger zararli kullanildi.
Test edilen Anti Trojan Programlar;
Test Sonuclari;
Ayrintili bilgi icin: http://www.av-comparatives.org/seite...report2006.pdf
Anti-trojan-software-reviews antitrojan programlarını şu sırayla önermekte:
1.Trojan Hunter
2.Ewido
3.A Squared (a2)
4.The Cleaner
5.BOClean
6.Tauscan
7.Pest Patrol
Bir diğer çalışma; Trojan Faceoff 2006 [Anti-trojan Test] 15.Ekim.2006
Test ve Metodoloji
Tüm testler, Nisan 2006 tarihindeki, tüm güncelleştirmeler yapılmış windows XP SP2, üzerinde yapılmıştır. Sistem geri yükleme özelliği kapatılmıştır.
Optix Pro 1.33 by Evil Eye Software ve Assasin 2.0 by LOM ve Annndy malware örnekleri kullanılmıştır. Anti-torjan özelliği vardır diyerek lanse edilen tüm ürünler teste katılmıştır. Varsayılan ayarlar kullanılmış ve güncellenmişlerdir.
Anahtar
- Exact: güvenlik yazılımı, zarartlıyı"Optix Pro 1.33" ve ya "Assasin 2.0" olarak tesbit etmiş ve önlemiştir.
- Delayed: güvenlik yazılımı, örnek trojanı, trojan bir müddet çalıştıktan sonra tesbit etmiştir.
- Pass: güvenlik yazılımı trojanı tanımlayamamış ancak durdurmuştur.
- Fail: güvenlik yazılımı trojanı tanımlayamamış ve çalışmasına izin vermiştir
? - Prompt: güvenlik yazılımı emin değil ancak kullanıcıya uyarı vermiştir
† - yazılım DFK Threat Simulator version 2 tarafında devre dışı bırakılmıştır.
A - Armadillo by Silicon Realms Toolworks
G - UPX Graphical by Dirk Paehl
M - Morphine by Holy_Father & Ratter (NT compatible only)
P - PE Explorer by Heaventools
R - Rebase by Microsoft Corporation
T - Themida by Oreans Technologies
U - UPX by Markus F.X.J. Oberhumer & László Molnár
VB100 - Virus Bulletin performs extensive independent antivirus testing and their VB100% award is widely recognized within the security industry. Percentages below reflect average pass rates for the last two years (August 2004 - August 2006).
AV-C - AV-Comparitives is a project coordinated by Andreas Clementi which performs extensive independent antivirus testing. Percentages below reflect average on-demand comparitives (without DOS & Other OS malware) for the last two years (August 2004 - August 2006).
0 Yorum:
Yorum Gönder