Yeni baslayanlar için PC Güvenligi Konusu ve Birazda Trojan vs. ile ilgili temel bilgiler bulacaksiniz.
Bu dokümanin bazi kisimlari çeviri, bazi kisimlari da tarafimdan eklentidir.
Baglantiniz süresince gözünüz Windows görev çubugundaki modem
göstergesinde olsun. Eger modem durumunu göremiyorsaniz görünür kilmak
için asagidakileri uygulayin:
start menu/programlar/aksesuarlar/komünikasyon/network ve dialup baglantilar
1. Açilan "Dial up" klasöründe internete baslanmanizi saglayan ikon
üzerine fareyi getirip sag fare tusuna basip çikan menüden "Özellikler"
i seçin.
2. Çikan pencerenin altinda kullandiginiz modem tanimi yer almaktadir. Alt kismindaki "Yapilandir"
düsmesini klikleyin.
3. Buradan da "Seçenekler" sekmesini seçin.
4. Son pencerede "Modem durumunu göster" seçenegini seçili duruma getirin.
5. "Tamam" düsmelerine klikleyip menülerden çikin.
Artik internete baslandiginizda Windows görev çubugunda modem simgesi
belirecek ve yapilan tüm islemler es zamanli olarak gözükecektir. Modem
durumunu izlemek çok önemlidir. Unutulmamalidir ki komutunuz harici bir
islemin yapilip yapilmadigini ancak bu sekilde anlayabilirsiniz.
Denemek için internete önce baglanin ve hiçbir islem yapmayip bir süre
bekleyin. Modem isigi kisa süreli yanip sönüyorsa birileri! sizin orada
olup olmadiginizi arastiriyor demektir.
Eger sizin komutunuz harici modem/ya da network simgesi isiklari
sürekli yaniyorsa çift tiklayarak modem durum göstergesini açin. "veri
alma" isigi sürekli yaniyorsa ve sabit diskiniz çildirmisçasina
çalisiyorsa DERHAL baglantinizi kesin çünkü sisteminizde bir truva ati
olabilir.
Truva Ati (Trojan Horse yada kisaca Trojan ) Nedir?
Eglenceli yada faydali bir program gibi gözüken, ancak maksadi hedef
sisteme zarar vermek olan programlardir. Bilmeyen yoktur: eskiden
basimizda programlarimizi yok eden Trojanlar vardi simdi ise ayni isi
yapabilen ama uzaktan kontrol edilebilen Trojanlar var.
En Yayginlar "Back Orifice, kisaca BO) " ve "NetBus"
Her iki Truva Ati (Trojan), yukarida anlatildigi yolla sisteme
girmektedir. Kendi baslarina sisteme dokunmazlar. Ancak sisteme
girdikten sonra Windows kayitlarinda degisiklik yaparak her Windows
oturumunda kendilerini çalisir hale getirirler. Her iki Trojani de
uzaktan kontrol edebilmek için ayni adi tasiyan programlar mevcuttur.
söyle düsünelim:
Siz internet baglantisi olan bir bilgisayar kullanicisisiniz. Aksamlari
internete baglanip söyle bir gezintiye çikiyorsunuz. Bilgisayarin
karsisinda çayinizi içerken E-Mektuplarinizi kontrol ediyor,
arkadaslarinizla sohbet ediyorsunuz. Her ne sekilde olursa olsun
yukarida anlatilan Truva Atlari sisteminize bulasmis olsun. Eser
önleyici programlariniz yoksa, söz konusu Trojan kontrol eden programi
olan herkes sisteminize girebilir. Burada Truva Ati, bilgisayarinizi
bir tür server haline sokar ve internet üzerinden gelen komutlari sizin
bilgisayarinizda uygulayip sonucunu hizmet ettigi karsi tarafa iletir.
Eger dikkatli bir kullanici degilseniz tüm bunlardan haberiniz dahi
olmaz. Daha yeni versiyonlarinda ise, girilen bilgisayari kontrol etmek
için Trojan tarafindan açilacak olan port degistirilebilmektedir. Daha
da önemlisi, gelistirilen bazi trojanlarda, portun belirli süreler ya
da uzaktan kontroller degistirilebilmesi, trojanin çalistigi portun
degismesine sebep olacaktir ki bu sayede izlenmeleri de gayet
zorlasacaktir.
Trojan kontrol programlariyla gönderilen komutlardan en önemlileri sunlardir:
-Klasör içerisine bakma, Klasör yaratma/silme
-Dosya arama, dosya silme, dosya içerisine bakma
-Bilgisayarinizi hizmetçi hale getirme (sabit diskinizde gezinebilir, dosya çekebilir)
-Windows oturumunu kapatma, windowsu kilitleme
-Windows kayitlarina erisme, kayit silme, kayit yaratma
-Sistem bilgisini alma, zuladaki sifreleri alma
-Dosya gönderme, dosya alma
Görüldügü üzere Trojan, internet hattinin diger ucundaki sahibi için
yukaridaki komutlari sizin bilgisayarinizda uygulayabilmektedir.
Trojan tespiti ve yok edilmesine geçmeden evvel "Bütün bunlar nasil
olabilir?" sorusuna cevap arayalim. Bildiginiz gibi (bilmiyorsaniz
açikliyorum) bir çok programci, masum programlarina "Arka Kapi (Back
Door)" tabir edilen kodlar ilave ederler. Kullanicilar bunlari
bilmezler. Ancak gerektiginde programci tarafindan kullanilirlar.
Mesela sifre korumali bir program satin aldiysaniz düsünün, Program bir
ara çalismaz oldu ve teknik destek istediniz. Programci sizin sifrenize
ihtiyaç duymadan programini çalistirabilmesi için programa bir
parametre ile kendini tanitir. Program, içerdigi rutin icabi,
çalistiranin kendi programcisi oldugunu anlar ve hata analiz
prosedürünü çalistirir. Böylece programci hatalari bulur, onarir ve
programi çalisir hale getirir. Siz bu prosedürü bilmiyordunuz bile. Bu
çok basit bir Arka Kapi. Elbette ki kötü niyetli degil, sadece uzman
olmayan kisilerin ulasmasini engellemek amaciyla yapilmis bir prosedür.
Delikler sadece yazilimlarda degil, bilgisayar entegrelerinde de
olabilmektedir. Mesela bir zamanlarin en yaygin ev bilgisayari olan
Commodore 64ün en alt ekran satiri haricinde normalde kimsenin
ulasamadisi bir satirinin da oldugunu üreticileri bile bilmiyordu. Bir
grup programci, bilgisayar entegresindeki delikten faydalanarak bu
satiri kullanmayi basardi.
Görünüse bakilirsa, Windows var oldugu sürece back door açiklari kapanmayacaktir. Zaten pek de mümkün gözükmemektedir.
BO ve NetBus Trojanlarinin Tespiti ve Yok Edilmesi
UYARI:
Windows kayit düzenleyicisi (Registry Editor) kullanimi ile ilgili deneyiminiz yoksa yardim alin!
Ayrica herhangi bir hataya karsi Windows klasöründeki USER.DAT ve
SYSTEM.DAT dosyalarini ayri bir klasöre kopyalayin. Yapacaginiz
islemler bu dosyalarda gerçeklesecektir.
BO Trojan Tespiti
1. Baslat/Çalistirdan Kayyt Düzenleyicisini Çalistirin (REGEDIT yazyp Entere basyn).
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion anahtaryny açyn.
3. Bu anahtarda iken Run, RunOnce, RunOnceEX, RunServices, RunServicesOnce alt tuslarina
tek tek bakarak asagidakine benzer degerleri arayin.
".EXE" satirini gördüyseniz sisteminizde BO Trojani var demektir.
Bu program, her windows oturumunda çalismasi gereken diger programlarla birlikte Çalisir.
Dolayisi ile diger satirlara dokunmadan, yukaridaki adi içeren satiri silin.
4. Bilgisayarinizi yeniden baslatin.
5. Windows gezginiyle Windows\System klasörüne bakyn. Burada 122 kBayt uzunlusunda ady
olmayan bir dosya göreceksiniz. Silin! Ayny klasörde WINDLL.DLL dosyasyny bulun ve
önyargysyz silin. Her iki dosya da BO Trojany dosyalarydyr.
BO Trojanyndan kurtuldunuz, simdi Bilgisayarinizi yeniden baslatin.
Trrojany dosyalary farkly isimlerde olabilir. Emin olmak için,
Baslat/Bul/Dosyalar ve Klasörler sekmesini seçin. Konum olarak Windows
klasörünü belirtin ve Gelismis sekmesine geçin. Yçerdisi Metin kutusuna
"bofile" yazarak aramaya baslayin. Bulunan dosyalar BO Trojani
dosyalaridir.
Dosya isimlerini biryere not edin ve yukarydaki kayyt anahtarynda bu
isimleri bulun ve o anahtari silin. Ayrica dosyalari da silmeyi
unutmayin.
NetBus Trojani Tespiti
1. Baslat/Çalistirdan Kayit Düzenleyicisini Çalistirin (REGEDIT yazip Entere basin).
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion anahtarini açin.
3. Bu anahtarda iken Run, RunOnce, RunOnceEX, RunServices, RunServicesOnce alt tuslarina
tek tek bakarak asagidakine benzer degerleri arayin.
"PATCH.EXE" satirini gördüyseniz sisteminizde NetBus Trojani var demektir.
Bu program, her windows oturumunda çalismasi gereken diger programlarla birlikte Çalisir.
Dolayisi ile diger satirlara dokunmadan, yukaridaki adi içeren satiri silin.
4. Bilgisayarinizi yeniden baslatin.
5. Windows gezginiyle Windows çekmecesine bakin. Burada 400 Kb civari uzunlugunda "PATCH.EXE"
dosyasini göreceksiniz. Silin! NetBus Trojanindan kurtuldunuz.
6. Bilgisayarinizi yeniden baslatin.
SIMDI BÜTÜN INTERNET SIFRELERINIZ DEGISTIRIN
Internete baglanmanizi saglayan sifrelerinizi ve diger tüm önemli
internet sifrelerinizi degistirmeyi de unutmayin, zira birileri! bu
sifreleri kullaniyor olabilir.
Sistemleri koruma ile ilgili öneriler ise söyle;
Bilindigi ya da CWnin ilgili bölümünde de yazdigi gibi, bilgisayariniza
korunma için artik personel yani kisisel firewalllar kurabilir, yada
ileri düzeyde, son trojan ve virüs tanimlamalarini içeren Anti-Virüs
yazilimlari kurabilirsiniz ancak, kisisel tavsiyem kaynagini
bilmediginiz programlari sisteminizde pek Çalistirmamaniz, en azindan
ileri düzeyde kullanici seviyesine gelene kadar. Buna ilaveten, süpheli
sitelerden program indirmeyin. Kullanacaginiz Anti- Virüs yazilimlari
zaten çogu popüler virüs ve trojani bulup etkisiz hale getirecek yada
sizi ikaz edecektir ancak unutulmamasi gereken önemli bir konu, eger
yeni virüs ya da trojanlar çikmazsa Anti-Virüs Yazilimi sirketlerinin
para kazanamayacagi, hatta kisisel düsüncem ise, bu virüs ve
trojanlarin çogunun yine anti-virüs yazilim sirketleri tarafindan
yazildigi ya da en azindan desteklendigi yönünde. Internette aradiginiz
zaman, ileri düzeyde programcilik bilgisi gerektirmeyen ve virüs
yazilimi gerçeklestirmek için yapilmis programlar görebilirsiniz.
Unutmayin ki bunlarla yaratacaginiz virüsler, yine anti-virüs yazilim
sirketlerinin kasasina para olarak dönecektir.