Anasayfa
Portal
Latest images
Arama
Paz Tem. 10, 2011 10:57 pm tarafından OzeLPiYaDe
Mesaj Sayısı
İnternet üzerinden iletişim artık vazgeçilmez bir olay haline gelmiştir.
Gelecek yıllarda tüm bilgisayarların bu devasa ağa bağlanabileceği
hesaba katılırsa insanların henüz tam olarak tanıyamadıkları internet,
artıları ve eksileriyle bizleri beklemektedir. Artıları elbette
tartışılamayacak kadar fazladır fakat insanların fazla bilmedikleri
eksileri ise neredeyse artıları kadar fazladır. Siz bilgisayarınızın
başında oturarak internetin nimetlerinden faydalanırken, başka bir
kullanıcı sizin bilgisayarınıza internet üzerinden girerek tahmin dahi
edemeyeceğiniz zararlar verebilir. Mesela bilgisayarınızın hard diskini
formatlayabilir, En tehlikeli virüsleri size bulaştırarak sisteminizin
zarar görmesine sebep olabilir. Gizli zannettiğiniz şifrelerinizi
alabilirler. Bunlardan daha tehlikelisi ise sizin bilgisayarınızı ya da
internet giriş şifrelerinizi kullanarak suç işleyebilir ve sorumlu
olarak siz aranabilirsiniz. Mesela Bursa da bir öğrenci interpol
tarafından suç işlediği için Türk yetkililerine bildirilerek
yakalanmıştır. Öğrencimizin suçsuz olduğu daha sonradan anlaşılmıştır.
Aslında öğrencimiz sade bir internet kullanıcısıdır ve bilgisayarını
kullanan kişilerin saldırısına uğramıştır. Örneklerin sayısı her geçen
gün artmaktadır.
Güvenlik konusuna geçmeden önce bilgisayarın işleyişi ile ilgili temel
birkaç bilginin verilmesi gerekiyor. Ağ (Network) birden fazla
bilgisayarın birbirlerine bağlanarak bilgilerin paylaşımı esasıyla
çalışır. Ağ daki her bilgisayarın bir ismi vardır ve bir bilgisayardan
çıkarak diğerine giden bilgi alıcı ve gönderici bilgisayar bilgilerini
kullanarak yerine ulaşır. İşte bu sırada alıcı gibi davranabilen bir
bilgisayar sizin bilgilerinize ulaşabilir. İnternet de aslında büyük bir
ağdır. İnternational Network (uluslar arası ağ)kelimelerinin
kısaltılmasıyla ortaya çıkmıştır. İnternet ortamında her bilgisayarın İP
olarak isimlendirilen bir adresi vardır.
Her İP adresi ***.***.***.*** formatındadır. Örneğin superonline
kullanıcısı olan bir bilgisayarın İP si 212.252.145.218 şeklinde
olabilir. Kulanıcıların İP adresleri internete her bağlantı kurulduğunda
değişir(Şayet statik İP tercihi yapmamış iseniz.). Fakat hangi saat ve
tarihte, hangi telefon ve İP numarası ile nereye bağlanıldığı gibi
bilgiler İSS(İnternet servis sağlayıcısı) tarafından dosyalandığı için
yapılan bir suçun tesbitide kolaylaşmaktadır. Bilgisayarların internet
üzerinde nasıl tanındığını çok basit bir şekilde anlattıktan sonra
bilgisayarların internete bağlanırken nasıl çalıştığı üzerine de birkaç
şey söylemek gerekir. Bilgisayarlarda bulunan veriler internete giderken
veya aynı şekilde bilgiler size gelirken sanal kapılar olarak kabul
edilen portlardan geçerler (Bazı bilgiler hariç). Portları bilgisayara
giriş kapıları olarak ta düşünebiliriz. İşte sizin internetteki en
önemli güvenlik noktanız bu portlardır. Şayet portlarınız açık ise başka
bir kulanıcı bilgisayarınıza girerek, sizin bilgisayarınızda
yapabileceğiniz herşeyi yapabilir. Bu noktada bilgisayarı korumanın en
iyi yolunun portları kontrol etmekten geçtiği elbette anlaşılmıştır.
(isteyen kullanıcılar için meselenin teknik detayını içeren dosyaları
gönderebilirim). Temel bilgileri verdikten sonra bilgisayarınıza
yapılabilecek saldırılar ve bunları önlemenin yolları üzerine yazıya
devam edebiliriz.
TROJANLAR
Trojanlar aslında sizin bilgisayarınızın başka bir bilgisayar tarafından
ağ üzerinden kontrol edilmesine yarayan programlardır. Bilgisayarınızın
portlarından herhangi birisini açarak diğer kullanıcıların
bilgisayarınıza girmesini sağlarlar. Server ve Client dosyalarından
oluşur. Server portları açarak bilgisayarınızı hedef haline getirirken,
Client ise bilgisayarınıza girilmesini sağlar. Örneğin bir kullanıcıya
trojan bulaştırarak bilgisayarına girelim. İcq da hedef seçtiğimiz(vaya
chat te) kurbanımıza elimizde bulunan Server programını herhangi bir
şekilde gönderiyoruz. Güzel bir program kullan vazgeçemeyeceksin
diyebileceğimiz gibi, içinde mükemmel bir resim arşivi var istersen bir
bak diyerek te kurbanın Server programını almasını ve çalıştırmasını
sağlayabiliriz. (Aslında trojanlar başka programlara entegre edilerekte
karşı tarafa bulaştırılabilirler(Truva atı). Mesela kurbanımıza çok
popüler İcq programını trojan ile birleştirilmiş halde verebilirsiniz.
Bu durumda kurban İcq yu çalıştırdığında normalde farklı hiçbir şey fark
etmeyecektir.) Kurbanımız gönderdiğimiz Server programını çalıştırınca
trojanı bilgisayarına bulaştırmış olacaktır. Bu aşamadan sonra
kurbanımızın İP sini alarak bilgisayarına girmek kalıyor. Bizdeki Client
programını çalıştırdığımızda bizden bir İP numarası isteyecek. Oraya
bulduğumuz kurbanımıza ait İP yi yazarak Connect tuşuna bastığımızda
kurbanımızın bilgisayarına bağlanmış oluyoruz. Artık gerisi size kalmış,
ister format atın, ister internet giriş şifrelerini çalın. Kurbanımızda
varolan trojan silinmediği sürece varlığını devam ettirecektir. Bugün
benim girebildiğim bu bilgisayara yarın başka birisi girerek istediğini
yapabilir. İnternet ortamında trojan yediği halde haberi olmayan bir çok
insan vardır. Port Scanner diye bilinen programlarla bu insanları
tesbit ederek, sahip olduğu trojana göre kullanacağımız bir Client
programı sayesinde bu bilgisayarlara da girebiliriz. Port Scanner
programıyla kontrol etmeniz durumunda internette 10 dakika içinde Netbus
2.0 (20034 numaralı portu kullanır.) trojanını yiyen en az 5 kişi
bulabilirsiniz. Norton veya Mcaffe tarafından tanınmayan trojan sayısı
çok sınırlı olduğu için bu anti virüs yazılımlarından birini yüklemeniz
durumunda trojanların ekserisinden korunmuş olursunuz. (kendi
bilgisayarımda denemediğim trojan kalmadı Norton 5.0 anti virüs programı
trojanları yakalama konusunda harika. Fakat schoolbus isimli trojanı
bulamıyor. Aşağıda bu trojanın nasıl temizleneceği anlatılıyor.) .
Aslında çoğu trojan internet üzerinde sörf yaparken birisi sizin
bilgisayarınıza girmediği sürece zararsızdır. İnternette iken
bilgisayarınızda bir trojan olup olmadığını anlamanın çok kolay bir yolu
vardır. Ayrıca bir trojan varsa bile, bilgisayarınızın içindeki bu
casusun kimlere bilgisayarınızın kapılarını açtığını da öğrenebiliriz.
Dos ortamında netstat -an komutunu yazarak enter tuşuna basarsanız
bilgisayarınızın internet ortamındaki tüm bağlantılarını görebilir ve
anormal bir durum olup olmadığını kontrol edebilirsiniz. Eskiden herbir
trojanın kullandığı port numarası farklı idi. Örneğin netbus ın ilk
versiyonu 12345 numaralı portu kullanırken Bo trojanı 31337 numaralı
portu kullanıyordu. Şimdilerde ise her bir trojan kullanıcının(trojanı
size bulaştırmak isteyen kişi) isteğine göre değişebilen portları
açabiliyor. Bu nedenle trojanların kullandığı portlarda bir anormallik
gözünüze çarpmasa bile bu bilgisayarınızda trojan yoktur anlamına
gelmez. Peki trojanlar bilgisayarımıza nasıl bulaşırlar. Chat te veya
İcq da muhabbet ederken size gönderilen herhangi bir resim(aslında
çalışabilir bir program olup resim iconu yerleştirilmiştir) ve dosya
trojan taşıyor olabilir. Sizin o dosyayı açmanızla birlikte
bilgisayarınıza da trojan bulaşacaktır. Korunmanın en iyi yolu dosya
almamak. Hatta dosyayı aldığınız kişi tanıdık bile olsa dosya almamak.
Çünkü o da gönderdiği programda trojan olduğunu bilmiyor olabilir.
Aşağıda bilgisayarınızın kullandığı portların numaraları vardır. Bu port
numaraları haricinde bir bağlantınız var ise muhtemelen bir trojandır.
Fakat İcq programı çalışıyor veya Chat te muhabbet halinde iseniz.
Normal harici kullanılan portlar olacaktır. Bu portları Chat programınız
veya İcq programınzı açmış olabilir. Aşağıda en çok kullanılan
trojanlar ve kontrol ettikleri portlar verilmiştir. Gerisi size kalmış.
(Aşağıda trojanlara yönelik verilen bilgiler ve savunma yöntemleri
server dosyasının ayarları değiştirilmediği takdirde geçerlidir. Fakat
Çoğunlukla ayarlar değiştirilmeden kullanılır.)
SUBSEVEN
Adı: ratgele seçilmiş bir isim. (uyfghj.exe gibi)
Boyutu: 374 KB
Yerleştiği yer: Çalıştırıldığı dizin
Start up yöntemi: Win.ini dosyasına ekleme yaparak
En belirgin özelliği: Çok zengin kullanım seçenekleri sunması.
Özellikleri : En yaygın trojandır. Kullanım kolaylığı ve bağlantı anında
sağladığı gelişmiş özellikleriyle tercih sebebidir. Bağlanılan
bilgisayarın registery ayarları, şifreleri, icq ve mail hesapları
kolayca kullanılabilir. File manager ile karşı bilgisayarın dosyalarına
erişebilir, key logger ile hedef bilgisayarda klavye aracılığıyla
yazılan herşeyi görebilir, screen capture özelliği ile hedef
bilgisayarın anlık ekran görüntüsüne mous ile müdahele edebilirsiniz.
Kısacası son derece gelişmiş ve profesyonelce hazırlanmış bir remote
control aracıdır subseven(daha bir çok özelliği de vardır.). Edir server
ile server programı kullanıcı tarafından ayarlanabilir. Yani kullanılan
port, start up metodu ve server dosyasının iconu değiştirilebilir. Bu
şekilde bulunması da zorlaşmaktadır. Fakat çoğu kullanıcı subseven ı
default ayarlarıyla kullanmaktadır. Aslında bu da bizim için bir
avantajdır. Bu ayarlar bilindiği için bulunması da kolay olur.
Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan bir trojan da
değildir. Aynı zamanda bu trojanı başkalarına bağlanmak için kullanan
kişinin de bilgisayarında ki özel bilgileri internetten başkalarına
göndermektedir(Sisteminize bir firewall programı kurarak sadece subseven
client programını çalıştırmanız durumunda 20-30 dk sonra }-xæØ gibi
anlamsız isimlere sahip bir dosya aracılığıyla bilgileriniz internette
ilgili kişiye gönderilir. Muhtemelen subseven ı yapan şahsa. ).Ayrıca
yine client programının çok kullanımı sonrasında sistem ayarlarınız
değişebilmekte, programlarınız çalışmayı durdurabilmektedir.
Default olarak(yani edit server ile değiştirilmemişse) 27374 numaralı
port u kullanır. Start up metodu olarak kendini win.ini dosyasına
Windows altına "run= dosya ismi" ekler. Dosya ismi rastgele seçilmiş bir
isimdir. Bu satır sayesinde bilgisayarın her açılışında kendini
yükleyerek 27374 numaralı port u açık hale getirerek bekler. Port ları
açmak için kullanılan bu dosya c:\windows altında bulunur.
Temizlenmesi:
Öncelikle subseven ın kullandığı yardımcı server programını bulmalıyız.
Biraz önce start up yöntemi olarak win.ini dosyasını kullandığını
söylemiştik. Başlat tan çalıştır a gelerek win.ini yazıp enter a basın.
Karşınıza win.ini dosyasının içeriği gelecek. Burada
[windows]
NullPort=None
Options=85663
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=nyuw.exe
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
.........
gibi satırlar karşınıza çıkmış olmalı. Windows altında run=nyuw.exe
trojanımızın server programının ismi. Yani bilgisayar açıldığında bu
program 27374 numaralı port umuzu açıyor. Şimdi "run=nyuw.exe" satırını
silelim win.ini dosyasından saklayarak çıkalım. (fakat bahsettiğimiz bu
server programı her makinede farklıdır. Yani rastgele seçilmiştir. Sizin
bilgisayarınızda run= dan sonra başka bir isim yazıyor olmalı.) Burada
dikkat etmemiz gereken server programımızın ismi. Bu ismi bir yere
kaydederek. İşlemimize devam edelim. Buraya kadar yaptıklarımızla artık
bilgisayar açıldığında portlarımızı açan programın çalışmasını önlemiş
olduk. Fakat server programı her açılışta çalışmasa bile hala
bilgisayarımız içinde(aslında buraya kadarki işlemlerle trojandan
kurtulmuş olduk. Yani artık zararsız.). Başlat tan bilgisayarı kapat ı
seçin ve çıkan ekranda ms-dos kipinde başlat seçeneğini aktif yaparak
tamam tuşuna basın. Bilgisayarınız ms-dos kipinde açılacak. Karşınıza
c:\windows> işareti gelecek.
c:\windows>del nyuw.exe
yukarıdaki satırı yazıp enter tuşuna basınca artık server programı
bilgisayarınızdan silinmiş olacak.(tabi ki siz nyuw.exe yerine win.ini
de görüp kaydettiğiniz dosya ismini yazacaksınız.)
SCHOOLBUS :
Adı: grcframe.exe(hidden olarak bulunur), runonce.exe
Boyutu: 321 KB
Yerleştiği yer: c:\windows\system
Start up yöntemi: System dizinine yerleştiği için açılışta sisteme yüklenir.
En belirgin özelliği: Önceden norton ve mcafee tarafından bulunamıyordu.
Fakat bu virüs tarama programlarının yeni sürümleri schoolbus ı
buluyor.
Özellikleri : Son zamanlarda özellikle Türkiye de oldukça yaygınlaşan
bir trojandır. Bir Türk tarafından yapılmış olması ve norton tarafından
bulunamaması en önemli yaygınlaşma sebebidir. Bağlantı yapıldıktan sonra
bir çok kullanım seçeneği sunar(fakat subseven kadar zengin seçenekleri
yoktur). Bu sayede karşı tarafın şifreleri, icq hesabı, dosyaları
kontrol edilebilir. Edit server programı ile server dosyası istenildiği
şekilde ayarlanabilir. Kullanılan port ve server dosyasının icon u
değiştirilebilir. Bu trojan bilgisayarınızın 54321 ve 4****(değişiyor
sürekli) numaralı portlarını açar. Elbette bu portların açık olması için
bilgisayarınızda sürekli çalışır halde bir programın mevcut olması
gerekli. Bu program c:\windows\system\ dizinindeki grcframe.exe isimli
programdır.
Schoolbus sadece bulaştırılmış kişiye zarar vermez. Aynı zamanda bu
trojanı kötü amaçlar için kullanan kişilerin şifrelerini de trojanı
yapan kişinin mail hesabına gönderir. Kısacası kullanan da bulaştırılan
da zarar görür.
Ayrıca trojanımız c:\windows\system dizinindeki runonce.exe isimli bir
backdoor virüsünü de bilgisayarınıza bulaştırıyor. İşte bu programların
silinmesiyle trojanımız da etkisiz hale geliyor. Fakat windows ortamında
bu programları silmenin imkânı olmadığı için dos ortamına geçmeliyiz.
Temizlenmesi :
Bilgisayarı kapat bölümünde Ms-dos kipinde başlat seçeneğini
işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında sırasıyla
aşağıda söylenenleri yapın
C:\windows> cd system
C:\windows\system>attrib -h -r grcframe.exe (aradaki boşluklara dikkat ediniz)
C:\windows\system>del grcframe.exe
C:\windows\system>del runonce.exe
Trojandan bu şekilde kurtulmuş olursunuz. Sisteminizi yeniden başlatın.
BO (BACK ORİFİCE)(BO2K 2000)
Adı: bo2k.exe
Boyutu: 112 KB
Yerleştiği yer: Çalıştırıldığı dizin.
Start up yöntemi: TCP/IP yapılandırmasında kullanılan bir dosyaya
enfekte olarak sisteme bu sürücünün çalıştırılmasıyla yüklenir.
En önemli özelliği: Sistemde bir sürücüye enfekte olarak çalışır. Dolayısıyla bulunması zordur.
Özellikleri : Yaygın olarak kullanılan trojanlardan birisidir. En önemli
özelliği kendisini TCP yapılandırmasında kullanılan sürücülerden birine
enfekte ederek görülemez hale getirmektir. Bu sebeple bu yazıda
bahsedilen start up yöntemlerinin hiç birisiyle tesbit edilemez. Çünkü
kendisi direkt olarak çalışıyor görünmez. Bilgisayarın kullanmak zorunda
olduğu sürücülerden birisine kendisini yerleştirir ve o sürücü sisteme
yüklenince otomatik olarak sisteme yerleşir; .com ve .exe virüslerinin
mantığına sahip. Bu pek de bilinmeyen özelliği dışında, kurbana
gönderilen server programı istenildiği gibi ayarlanabiliyor(port, dosya
adı değişebiliyor). Bağlantı kurulan makiye yönelik çok zengin bir
kullanım seçeneği mevcut. Default olarak 31337 numaralı (ya da 54321)
portu kullanır. server programının ismi bo2k.exe(config programı ile bu
isim değiştirilebilir), boyutu 112 KB dır. Bu dosya herhangi özel bir
dizine kendisini kopyalamaz. Çalıştırıldığı dizin içerisinde kalır.
Zaten çalıştırıldıktan sonra silmeye kalkarsanız windows tarafından
kullanıldığı için silinemez mesajını alırsınız.
Temizlenmesi :
Diğer trojanlar gibi sistemde direkt çalışmadığı için temizlenmesi için
de farklı bir yöntem takip edilir. Kendisini TCP yapılandırmasında
kullanılan sürücülere enfekte ederek sisteme yüklediği için, bozulmuş
olan bu sürücülerin yenilenmesi ile sistemde çalışamaz hale gelir. Bunun
için de o an mevcut olan TCP yapılandırmasının kaldırılarak sisteme
yeniden kurulması gerekir. Bunun için başlat-ayarlar-denetim masasına
gelmeliyiz. Burada Ağ adıyla belirtilen icona tıkladığımızda karşımıza
ağ yapılandırmamız gelecek.
Burada TCP/IP ile gösterilen seçeneği işaretleyerek kaldır butonuna basarsak TCP/IP yapılandırmamızı kaldırmış oluruz.
Buradan Tamam butonuna basarak çıkıyoruz. Bize bilgisayarı yeniden
başlatma ile ilgili bir ekran çıkacak tamam diyerek bilgisayarı yeniden
başlatın.
Bilgisayarınız yeniden başladığında biraz önce kaldırdığımız TCP/IP
yapılandırmasını tekrar kuracağız. Bunun için başlat-ayarlar-denetim
masası buradan ağa tıkladığımızda karşımıza çıkan ekranda ekle butonuna
basıyoruz. Buradan çıkan menüden iletişim kurallarını tıkladığımızda
çıkan ekranda sol tarafta microsoft seçili iken sağ tarafta TCP/IP yi
seçerek tamam larla menülerden çıkıyoruz.
Artık TCP/IP tekrar kurulmuş oldu. Son olarak bilgisayarı tekrar kapatıp
açtığımızda TCP/IP yüklenmiş ve BO trojanından kurtulmuş oluruz.(Tabi
bu işlemler sırasında gerekli dosyaları kopyalayabilmek için sizden
win98 cd si istenebilir.)
START UP (BAŞLANGIÇ) PROGRAMLARI
Bilgisayarımız açılırken bazı programlar sistem ihtiyaçlarından
bazılarıda kullanıcı ihtiyaçlarından dolayı otomatik olarak
çalıştırılırlar. Örneğin bir virüs tarama programınız varsa başlangıçta
bu program otomatik olarak sisteminize yüklenir. Başlangıç
programlarının çalışma sistemini kavrayabilmek ve onları kontrol
edebilmek trojanları ortadan kaldırmada en etkili yöntemdir. Start up
dosyaları bilgisayarınız açılırken çeşitli yollarla kendisini sisteme
yükler.
1) Win.ini
Başlat a gelerek çalıştırda win.ini yazıp enter a basarsanız aşağıdaki gibi bir metinle karşılaşırsınız.
[windows]
NullPort=None
Options=85663
load=
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
[intl]
iCountry=90
ICurrDigits=2
iCurrency=3
iDate=1
iDigits=2
iLZero=1
iMeasure=0
iNegCurr=8
iTime=1
iTLZero=1
s1159=
s2359=
sCountry=Turkey
sCurrency=TL
sDate=.
sDecimal=,
sLanguage=trk
sList=;
sLongDate=dd MMMM yyyy dddd
sShortDate=dd.MM.yyyy
sThousand=.
sTime=:
..................
...............
yukarıdaki [windows] başlığı altındaki "load= " ve "run= "ifadelerinden
sonra gelecek olan dosya ismi bilgisayarınız tarafından açılışta
otomatik olarak sisteminize yüklenir. Bilgisayarınız için gerekli bazı
dosyalarda burada bulunarak başlangıçta çalıştırılabilir. Fakat aynı
yeri bir trojan da kullanabilir. Bu durumda hangi dosyanın trojan
hangisinin normal bir dosya olduğunu ayırt etmek sizin elinizde. Trojan
olduğunu tahmin ettiğiniz dosya ismini silerseniz trojanın açılışta
çalışmasını önlemiş olursunuz. Ama trojan hala bilgisayarınızdadır.
Sadece çalışması engellenmiştir.
2) System.ini
Başlat a gelerek çalıştır da system.ini yazıp enter a basarsanız karşınıza aşağıdaki gibi bir dosya çıkar.
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll ctpnpscn.drv power.drv
shell=Explorer.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=mouse.drv
keyboard.drv=keyboard.drv
*DisplayFallback=0
fonts.fon=vgasys.fon
fixedfon.fon=vgafix.fon
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
scrnsave.exe=
user.exe=user.exe
[keyboard]
keyboard.dll=
oemansi.bin=xlat857.bin
subtype=
type=4
[boot.description]
system.drv=Standart PC
keyboard.typ=Standart 101/102-Tuşlu veya Microsoft Natural Klavye
aspect=100,96,96
mouse.drv=Standart fare
display.drv=3D Artist PA50
.........................
.........................
yukarıdaki satırlar arasında yer alan(üstten 4. sırada)
shell=Explorer.exe satırına dikkat etmeniz gerekir. Bu satır da yazan
dosya isimleri bilgisayarınız açılırken sisteme yüklenir (bu dosyanın
trojan veya normal bir program olup olmadığını ayıretmek sizin
elinizde). örneğin:
shell=Explorer.exe Winlog.exe
şeklindeki bir satır tehlike işaretidir. Explorer.exe ve winlog.exe
açılışta sisteminize yüklenmektedir. Explorer.exe sisteminizin
kullandığı bir program olduğu biliniyor. Öyleyse winlog.exe muhtemelen
bir trojandır. Bu satırda winlog.exe dosya ismini silerseniz
shell=Explorer.exe
şeklinde değişir satırımız. Artık açılışta bu program çalıştırılmayacak
dolayısıyla portlarınız açılmayacaktır. Fakat bu ismi silmekle trojanı
silmiş olmayız sadece çalıştırılmasını önlemiş olduk.
3) C:\WIDOWS\SYSTEM dizini
c:\windows\system dizini altında bilgisayarınızın kullanmış olduğu
donanım sürücüleri ve daha pek program açılışta bilgisayarınız
tarafından sisteme yüklenir. Bu dizini yerleştirilmiş bir trojan
(örneğin schoolbus bu şekilde grcframe.exe adındaki trojanı buraya
kopyalar) bilgisayar açılırken sisteme yüklenir. İşte bu dizin içinde
yer alan dosyanın silinmesiyle trojandan kurtulmuş olursunuz. Fakat
windows ortamında silmeye kalkarsanız. Program şu anda kullanımda
silemezsiniz gibi bir hata mesajıyla karşılaşırsınız. Bu sorunu aşmak
için başlat ta bilgisayarı kapat bölümünde Ms-Dos kipinde başlat
seçeneği işaretli olarak kapatırsanız. Sistemininiz Ms-dos kipinde
açılacaktır.
c:\windows>
şeklinde bir satır karşınıza çıkacak.
c:\windows>cd system
yazıp enter a basarsanız
c:\windows\system>
satırı oluşur. İşte burada silmek istediğimiz dosyanın adını yazarak silebiliriz. Örneğin dosyamız winloger.exe ise
c:\windows\system>del winloger.exe
satırını yazıp enter a basarsak dosya sistemden silinmiş olur.
4)Registery
Başlat ta regedit yazıp enter a basarsanız registery ayarlarına ulaşmiş olursunuz. Aşağıda görüldüğü gibi
buradan
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
bölümüne geçersek aşağıdakine benzer bir ekranla karşılaşmış oluruz
Bu ekranda görülen Run, RunOnce, RunOnceEx, RunServices ve
RunServicesOnce klasörleri bilgisayar açılırken sisteme yüklenecek
programları belirtir. Mesela Run klasörünün içeriğine bakarsak
aşağıdakine benzer bir ekran görürüz.
burada görülen programlardan şayet trojan olduğunu düşündüğümüz varsa
sağdaki bölümden program üzerine gelerek sağ tıkladığınızda çıkan
menüden sil i seçerseniz dosya kayıttan silinmiş olur. Bu işlemi diğer
bölümlerde de yapabilirsiniz(tabiki bu görüntüler benim bilgisayarımın
yapılandırması sizin ki farklı olabilir. Yukarıda gösterilen
programlardan LoadPowerProfil, ScanRegistry, SystemTray, TaskMonitor
sistem tarafından kullanılan temel programlardan dır. Diğerleri
kullanıcı tarafından eklenmiş olabilir(Sizin bilgisayarınız için de
geçerli).
Start up programlarının kontrolü:
Bu programları kontrol edebilmek için windows ile birlikte gelen oldukça
kullanışlı her bilgisayarda olan bir program var. Msconfig.exe adındaki
bu program ile start up (başlangıç) dosyalarını kontrol edebilirsiniz.
Dolayısıyla sizden habersiz hiçbir dosya bilgisayarınızda
çalıştırılamaz.
Başlat ta çalıştır a gelerek msconfig yazıp enter a basarsanız aşağıdaki gibi bir ekranla karşılaşmış olursunuz.
Görüldüğü gibi biraz önce bahsettiğimiz win.ini, system.ini ve registery
ayarlarını buradan kontrol etmek de mümkün. Örneğin win.ini den
tehlikeli gördüğümüz bir satırı kaldırmak istersek sadece yanındaki onay
işaretini siliyoruz. Bilgisayar açılırken o satırı çalıştırmıyor. Fakat
system.ini yi buradan düzeltmenizi tavsiye etmiyorum.
Ayrıca yukarıda görülen başlangıç kartını aktif yaparsanız aşağıdaki gibi bir ekranla karşılaşırsınız.
yukarıda gördüğümüz programlar bilgisayar açılırken yüklenen (system.ini
ve c:\windows\system dizini hariç) win.ini ve registery de bulunan
dosyalardır. Bu dosyalardan herhangi birini yanındaki onay işaretini
kaldırarak çalışmaz hale getirebilirsiniz. Çoğunlukla msconfig ile
sisteminizde trojan olup olmadığını anlamak mümkün olur.
Bilgisayarınızın kullandığı programları biliyorsanız. Geriye kalanlar
tehlike işaretidir. Özellikle yukarıda da görüldüğü gibi c:\windows,
c:\windows\system veya c:\windows\temp dizini altındaki dosyalara dikkat
edilmesi gereklidir.
Start up dosyalarını kontrol etmek için bir yol daha vardır. Başlat ta
programlar-donatılar-sistem araçları-sitembilgisi çalıştırılırsa
aşağıdakine benzer bir ekran çıkar.
Buradan Yazılım Ortamı aktif hale getirilirse bizim işimize yarayacak
iki bölüm karşımıza çıkar; Başlangıç programları ve Çalışan Görevler.
Başlangıç programını aktif hale getirirseniz msconfig den tanıdığımız
programları görürüz. Bizim için asıl önemli olan yer Çalışan görevler
bölümü, bu bölüm aktif yapılırsa bilgisayarınızda çalışan system dizini
de dahil tüm programlar gösterilir. Fakat sadece seyredebilirsiniz,
değişiklik buradan mümkün değil. Dikkat edilmesi gereken sürüm, üretici
ve tanım kısımları boş olan programlardır. Yukarıda ki örnekte bu
şartlara uyan üç program mevcut bunlardan grcframe.exe dosyası schoolbus
tarafından system dizinine yerleştirilen trojandır. Diğerleri benim
kontrolümde sisteme yüklenmiş olan [ haber uyarı programı ile homesite 4.0
site yapım programıdır. Fakat yine de dikkat etmek gerekir tanımadık ama
sistem tarafından kullanılan programlar olabilir. Fakat şüphe duyulan
bir program bulunduğu dizine gidilerek incelenebilir. Örneğin boyutu
oluşturulma tarihi gibi kriterler bizim için önemli. Yazımızda
bahsettiğimiz ve yaygın olarak kullanılan trojanların boyutları işinize
yarayabilir. Sisteminizde mevcut olan trojan adı, iconu, portu
değiştirilmiş olabilir fakat bulunduğu yer ve boyut size bunun hangi tür
trojan olduğu hakkında ip ucu verecektir. Örneğin sisteminizde trojan
olduğunu zannettiğiniz bir program var. Bu program c:\windows dizini
altında ve yaptığınız araştırmalar onun hakkında pek de iyi şeyler
söylemiyorsa, boyut ve oluşturulma tarihine bakabilirsiniz. Oluşturulma
tarihi yakın ve boyutu 374 KB ise yakın zamanda sisteminize bir program
yüklemediyseniz muhtemelen bir subseven trojanıdır. Çünkü subseven ın
boyutu 374 KB dır.
PORTLARIN KONTROLÜYazımızda da belirttiğimiz gibi trojanlar açık
olan portlar aracılığıyla diğer bilgisayar ile irtibat kurar. Artık
neredeyse tüm yeni trojanların portlarını değiştirmek mümkün olmaktadır.
Fakat trojan kullanmayı seven arkadaşlar genellikle port ve diğer
ayarlarını değiştirmeden kullandıkları için default olarak trojanlar
tarafından kullanılan portların bilinmesinde fayda var(en azından çok
kullanılan trojanların). Peki sisteminizde tehlikeli bir port un açık
olduğunu nasıl anlayabiliriz. Burada yine windows imdadımıza yetişiyor.
Başlat-Programlar-MsDos komut istemi çalıştırılırsa karşımıza ms-dos
ortamı çıkar. Burada
c:\windows>netstat -an
yazıp enter a basarsanız o anda bilgisayarınızın iletişim halinde olduğu
bilgisayar ile arasındaki kullanılmakta olan portlar ve ip numaraları
gösterilir. (Portları kontrol için totostat adında bir programı tavsiye
ederim. Netstat ile aynı işlemi yapıyor. Kullanımı daha pratik. Buraya
tıklayarak
download edebilirsiniz.)
Yukarıdaki şekilde yerel adres sizi, yabancı adres bağlantı kurduğunuz
karşı bilgisayarı gösterir. Dikkat edersek 54321 ve 31337 numaralı
portlar açık görünüyor. Bunlar kesinlikle bilgisayarda trojan olduğunun
göstergesidir. 54321 schoolbus 31337 BO trojanın kullandığı default
portlardır. Ayrıca aktif olan iki bağlantı var. Bunlardan ikisi de bir
web sayfasına bağlı olduğumuzu gösteriyor. Şayet web sayfasına
bağlanırsak karşı bilgisayarın kullandığı port olarak 80 (8080 de
olabilir.), mail server a bağlanarak mailleri kontrol ediyorsak 110, ftp
programı ile web sitemize dosya gönderiyorsak 21, telnet ile bağlantı
kurmuş isek 25 numaralı portlar yabancı bilgisayarın açık portları
olarak görünür. Bunun haricindeki portlardan yapılan(yabancı
bilgisayarın portları) bağlantılar tehlikeli olabilir. Fakat ve Chat ve
proxy istisnası var. Chat programı karşı tarafın 6667, 7000 gibi
portlarını açabilir. Eğer internete bir proxy üzerinden bağlanıyorsak
bağlantı yapılan bilgisayarın portu 1080 olarak görünebilir(tabi ki
proxy istisna bir durumdur. Çoğu kullanıcı normal bağlantı kurar.)
Bir portun açık olması bağlantı kurulduğu anlamına gelmez. Yukarıda
görüldüğü gibi 54321 numaralı port açık fakat yabancı adreste bir
bağlantı görünmüyor. Bu o anda bağlantı olmadığını gösterir. 54321
numaralı porta bir bağlantı olduğunu görmüş olsaydık. Kesinlikle
birisinin bilgisayara girdiğinden bahsedebilirdik.
Bİ
LGİSAYARINIZIN KULLANDIĞI PORTLAR
Port.zip dosyasını alarak öğrenebilirsiniz.(Dosyanın
ismi üstüne tıklarsanız kopyalanmaya başlar. Dosya çok uzun olduğu için
yazılmadı.)
TROJANLARIN KULLANDIĞI PORTLAR
Aşağıda gösterilen port numaraları server dosyasının ayarları değiştirilmediği sürece doğrudur.
TROJAN İSMİ KULLANDIĞI PORT
icqtrojana 4950
girlfriend 21554
bo 31337
ftp99cmp 1492
master paradise 40421
fire hotker 5321
sockets de troje 30303
executor 80
gate crasher 6969
hackers paradise 456
hack99 keyloger 12223
netspy 31339
net monitor 7300
subseven 1243-27374
invasor 2140
Wincrach 1.03 5742
Wincrach 2.0 2583
Silencer 1001
Devil 65000
Millenium 20001
Phineas 2801
Backdoor 1999
Evilftp 23456
Phasezero 555
Psyber Streaming Server 1509
SSTROJG 11000
Voice Client 1514
Netbus 12345-20034
Schoolbus 54321
MAİL BOMBALARI
İnternet ortamında mail hesabının olması olmazsa olmaz şartlardan
birisi. Ne varki insanların rahatı onları rahatsız eden kötü niyetli
kişiler tarafından yazılan mail bomber lar ile mail hesabınız işleyemez
hale gelebilir. Sahip oldukları bir mail bomber programı ile istediği
mail hesabına sayısı oldukça yüksek mail gönderebilirler. Mail
göndermenin ne zararı olabilir diyebilirsiniz. Fakat mail hesapları
belli bir kapasiteyle sınırlıdır. Mesela 5 Mb kapasiteye sahip mail
hesabınıza her biri 20 Kb lık 300 e-mail gönderilmesi durumunda
hesabınız çalışamaz durumu gelecek ve size gelen mailler yerine
ulaşamayacaktır.
Bu operasyonun zarar vermek isteyen kişiye kaybettirdiği zaman ise
sadece yarım saattir. O yarım saat sörf yaparken aynı zamanda program
size mailleri gönderecektir.
NÜKELER
Windows işletim sistemi (özellikle Win 95) aslında sanıldığı kadar
kusursuz değildir. İşte nuke diye bilinen programlar işletim
sisteminizin bu açıklarını iyi bilen ve sürekli yeni açıklar bulmaya
çalışan programcılar tarafından yazılan programlardır. Çeşitleri bir
hayli fazladır. Özellikle win 95 işletim sistemini tehdit ederler. Mavi
ekran hataları sonrası sisteminizin yeniden başlatılması, hattınızın
kopması(şu an çok popüler olan ve modem resetleyici diye bilinen nuke
çeşitlerine karşı ise korunma neredeyse imkansız) ya da internette sörf
hızınızın yavaşlamasına sebep olan değişik bir çok çeşidi vardır. Hatta
çoğu kullanıcı sürekli hattan düştüğünü ve bunun nedeninin internet
servis sağlayıcısı olduğunu zanneder. Gerçekte işler biraz farklıdır.
Bunu anlamanın en kolay yolu ise firewall(aşağıda anlatılacak) diye
bilinen programlardan birinin sisteminize kurularak saldırılara şahit
olmanızdır. Hatta işin boyutları o kadar büyümüştür ki. Nuke programları
temin eden sitelerden bazıları işin çığırından çıktığını fark ederek bu
işi yapmaktan vazgeçmiş, hatta koruma yollarını anlatmaya
başlamışlardır. Bilgisayar kullanıcılarının büyük bir çoğunluğu
internette güvenlik meselesinin halâ lüks olduğunu zannetmektedirler.
Hedef kitle ise bu çoğunluktur. Aşağıda anlatılacak tekniklerin
uygulanmasıyla internette rahatça sörf yapabilecek yapılan saldırıları
çoğunlukla emin olarak tebessüm ederek seyredeksiniz. Nukelerden yüzde
yüz korunmanın bir yolu yoktur. Fakat güvenlik için uygulanacak
teknikler sayesinde büyük çoğunluğu bertaraf edebilirsiniz. Hatta nuke
atanların çoğu işin teknik detayını bilmeden ellerindeki nuke programını
kullanan liseli öğrencilerdir.
VİRÜS:
Virüsler bilgisayarınızda sizin isteğiniz dışında çalışarak zarar veren
programlardır. İnternet dünyasının gelişmesiyle yayılma hızları da bir
hayli artmıştır. Boot sektöre bulaşarak orada yaşayanlardan, programlara
kendini enjekte edenlere, FAT da bozuk sektör göstererek hard
diskinizde kendine yer sağlayanlara kadar bir çok çeşidi vardır. Bulaşma
yolları ise aynıdır. Virüs bulaştırılmış herhangi bir disketi okumanız
veya yine virüslü bir programı çalıştırmanız durumunda kendisinin
önceden belirlediği saklanma stratejisine göre(az önce bir kaçını
sıralamıştık.) bilgisayarınıza bulaşarak aktif hale geçebilir.(
Sisteminizde kurulu bir virüs tarama programınız var ise bulaşma anında
anti virüs yazılımınız aktif hale geçerek sizi uyarır.) Aktif hale geçen
virüs programı ise gelişen şartlara göre sisteminize zarar verebilir.
Gelişen şartlar diyorum çünkü, Dos 6.22 li işletim sistemlerinin
kullanıldığı zamanlarda kullanılan zarar verme teknikleriyle şu an
kullanılan teknikler sayıca biribirinden farklıdır. Mesela modemlerin
yaygın olduğu günümüzde modeminizi kullanarak milletler arası arama
yapan ve yüklü telefon faturalarının gelmesine sebep olan virüs
çeşitlerinin eskiden olmasına imkan yoktu çünkü modem fazla kullanılan
bir donanım değildi. Virüslerden korunmanın en iyi yolu ise Anti-virüs
yazılımlarını kullanmanız ve şüpheli bulduğunuz programları mümkün
oldukça sisteminize kopyalamamanızdır. Şayet yine de sisteminize bir
virüsün girmesine mani olamamış iseniz. Bilgisayarınızı Dos ortamında
çalıştırarak virüsleri bulup yok etmeye çalışabilirsiniz.(Norton ve
Mcaffee programlarının Dos ortamında çalışan parçaları mevcuttur.)
Bilinen en iyi anti virüs yazılımları Norton ve Mcaffe programlarıdır.
Fakat bunlardan Mcaffe sistemi diğerine göre daha fazla yavaşlattığından
dolayı benim tercihim Norton un anti-virüs yazılımıdır.(Norton 5.0 ve
Mcaffee 4.0.5 programlarını cracklı hali ile Download bölümünden
alabilirsiniz.) Virüs tarama programları sadece virüslere karşı etkili
değildir. Aslında isimleri anti-virüs yazılımları olsada daha sonra
açıklayacağımız trojanlara karşı da bilgisayarınızı korurlar. Anti-virüs
yazılımları sisteminizi korurken iki yöntemi kullanır. Normal olarak
her virüsün bir bilgisayar kodu vardır. Virüs tarama programları bir
dosyayının virüslü olup olmadığını veri bankasında bulunan, bilinen
virüs kodlarıyla, kontrol ettiği programın kodlarını kontrol ederek
yapar. Şayet kontrol ettiği programın kodu virüs tarama programımızın
veri bankasında bulunan virüs kodlarından birini içeriyorsa program
virüslü kabul edilir. Yazılanlardan da anlaşıldığı gibi virüs tarama
programımızın veri bankası ne kadar zengin ise virüs ve trojanlara karşı
da o kadar rahat olabiliriz demektir. İş te bu noktada virüs tarama
programımızın veri bankasını güncellemek son derece önemlidir. Eski veri
bankasına sahip bir anti-virüs programının size pek bir faydası olmaz.
Anti-virüs yazılımlarının kullandığı ikinci yöntem biraz farklıdır.
Diyebilirsiniz ki anti-virüs yazılımı ne kadar güncellenirse
güncellensin. Sonuçta bir yerlerde birilerinin yazdığı virüs ve ya
trojanlar anti-virüs yazılım şirketlerinin veri bankalarına dahil
olmadan bize bulaşabilirler. İşte anti-virüs yazılımlarının kullandığı
ikinci teknik bu endişe düşünülerek tasarlanmıştır. Bu yönteme göre
virüs veya trojanlar bilgisayar sistemlerinde benzer davranışlar
sergilerler. Mesela diskete yazma ve okuma işlemlerini gerçekleştiren
interruptı kontrol ederek herhangi bir disk veya disket okunmaya
başlandığında aktif olarak kendini disk ve ya disketin boot sektörüne
bulaştıran boot sektör virüsleri gibi bir çok virüsün hayatlarını devam
ettirebilmeleri için benzer davranışları sergilemesi gerekir. İşte bu
davranışlar bilindiğinde virüslerin kodları olamasa da virüs davranışı
sergileyen programlar tesbit edilerek yakalanır. Sonuç olarak sahip
olduğunuz iyi bir virüs tarama programı sayesinde (aynı zamanda sürekli
güncellenen) virüslerin saldırısından büyük çoğunlukla korunmuş
olursunuz.
ŞİFRELEME
İnternet dünyasında şifre kullanımı oldukça yaygındır. Mail alırken,
site kurarken, internete bağlanırken ya da herhangi bir şekilde
güvenliğimiz için bir çok güvenlik şifresi kullanmak zorunda kalırız.
Fakat bizim için oldukça önemli olan şifrelerimiz şayet yeterince güçlü
(az sonra açıklanacak) değilse başkaları tarafında bulunabilir ve bu da
bizim için pek de iyi olmayabilir. Örneğin mail hesabınıza ait şifreniz
şayet 4 basamaklı rakamlardan oluşuyorsa, şifrenizin çözülmesi için
yaklaşık 15 dk sürecektir(tabi mail server ın hızına da bağlı). Şayet
şifreniz 5 basamaklı bir sayı ise yaklaşık 90 dk içinde şifreniz
bulunacaktır.(tabi bu arada mail hesabınızın user name ini hesaba
katmıyoruz, çünkü çoğunlukla mail hesabındaki isim olacaktır.). Şonuçta
doğru orantılı olarak 6, 7 ya da 8 basamaklı sayıların ne kadar zamanda
çözülebileceği malum. Şonuç olarak şifreniz güçlü değilse isteyen birisi
biraz azimle buna ulaşabilir. Gelelim güçlü şifre işine. Güçlü kabul
edilen şifreler içerisinde büyük, küçük harfler, rakamlar ve özel
işaretler olan şifrelerdir. Şayet şifreniz b iraz önce saydığımız farklı
gruplardan elemanlarla oluşmuş ise çözülmesi neredeyse imkansız güçlü
bir şifredir.
FİREWALL
Firewall diye bilinen programlar, bilgisayarınızın portları ile internet
arasına yerleşerek yabancı veya sizin onaylamadığınız girişimlere mani
olurlar. Özellikle bilgisayarınızda bir trojan var ise bile firewall
sayesinde, trojan ile başkalarının size ulaşmasını önler. Biraz önce
söylemiştik, firewall virüs veya trojan bulmaz sadece internete giriş
kapılarınız olan portların önünde durarak istemediğiniz giriş ve
çıkışlara mani olur. Bu durumda haberiniz olmadan bilgi girişi veya
çıkışı olmaz. Tüm kontroller sizin elinizdedir. Tabiiki iş bu kadar
kolay değil bu programların da bir takım ayarlamaları var fakat bu
ayarlamaları öğrendikten sonra geriye sadece saldırıları gülerek
seyretmek kalıyor. En iyi bilinen firewall programları Norton İnternet
Security 2000, Conseal Pc Firewall ile Black İce dır. Fakat bunlar
ücretlidir. Ücretsiz olan Zone Alarm programı da vardır. Ayrıca Firewall
programlarında saldıran kişinin ip numarası da yazıldığı için karşı
atak için kullanılabilir.
Alıntıdır...
Gelecek yıllarda tüm bilgisayarların bu devasa ağa bağlanabileceği
hesaba katılırsa insanların henüz tam olarak tanıyamadıkları internet,
artıları ve eksileriyle bizleri beklemektedir. Artıları elbette
tartışılamayacak kadar fazladır fakat insanların fazla bilmedikleri
eksileri ise neredeyse artıları kadar fazladır. Siz bilgisayarınızın
başında oturarak internetin nimetlerinden faydalanırken, başka bir
kullanıcı sizin bilgisayarınıza internet üzerinden girerek tahmin dahi
edemeyeceğiniz zararlar verebilir. Mesela bilgisayarınızın hard diskini
formatlayabilir, En tehlikeli virüsleri size bulaştırarak sisteminizin
zarar görmesine sebep olabilir. Gizli zannettiğiniz şifrelerinizi
alabilirler. Bunlardan daha tehlikelisi ise sizin bilgisayarınızı ya da
internet giriş şifrelerinizi kullanarak suç işleyebilir ve sorumlu
olarak siz aranabilirsiniz. Mesela Bursa da bir öğrenci interpol
tarafından suç işlediği için Türk yetkililerine bildirilerek
yakalanmıştır. Öğrencimizin suçsuz olduğu daha sonradan anlaşılmıştır.
Aslında öğrencimiz sade bir internet kullanıcısıdır ve bilgisayarını
kullanan kişilerin saldırısına uğramıştır. Örneklerin sayısı her geçen
gün artmaktadır.
Güvenlik konusuna geçmeden önce bilgisayarın işleyişi ile ilgili temel
birkaç bilginin verilmesi gerekiyor. Ağ (Network) birden fazla
bilgisayarın birbirlerine bağlanarak bilgilerin paylaşımı esasıyla
çalışır. Ağ daki her bilgisayarın bir ismi vardır ve bir bilgisayardan
çıkarak diğerine giden bilgi alıcı ve gönderici bilgisayar bilgilerini
kullanarak yerine ulaşır. İşte bu sırada alıcı gibi davranabilen bir
bilgisayar sizin bilgilerinize ulaşabilir. İnternet de aslında büyük bir
ağdır. İnternational Network (uluslar arası ağ)kelimelerinin
kısaltılmasıyla ortaya çıkmıştır. İnternet ortamında her bilgisayarın İP
olarak isimlendirilen bir adresi vardır.
Her İP adresi ***.***.***.*** formatındadır. Örneğin superonline
kullanıcısı olan bir bilgisayarın İP si 212.252.145.218 şeklinde
olabilir. Kulanıcıların İP adresleri internete her bağlantı kurulduğunda
değişir(Şayet statik İP tercihi yapmamış iseniz.). Fakat hangi saat ve
tarihte, hangi telefon ve İP numarası ile nereye bağlanıldığı gibi
bilgiler İSS(İnternet servis sağlayıcısı) tarafından dosyalandığı için
yapılan bir suçun tesbitide kolaylaşmaktadır. Bilgisayarların internet
üzerinde nasıl tanındığını çok basit bir şekilde anlattıktan sonra
bilgisayarların internete bağlanırken nasıl çalıştığı üzerine de birkaç
şey söylemek gerekir. Bilgisayarlarda bulunan veriler internete giderken
veya aynı şekilde bilgiler size gelirken sanal kapılar olarak kabul
edilen portlardan geçerler (Bazı bilgiler hariç). Portları bilgisayara
giriş kapıları olarak ta düşünebiliriz. İşte sizin internetteki en
önemli güvenlik noktanız bu portlardır. Şayet portlarınız açık ise başka
bir kulanıcı bilgisayarınıza girerek, sizin bilgisayarınızda
yapabileceğiniz herşeyi yapabilir. Bu noktada bilgisayarı korumanın en
iyi yolunun portları kontrol etmekten geçtiği elbette anlaşılmıştır.
(isteyen kullanıcılar için meselenin teknik detayını içeren dosyaları
gönderebilirim). Temel bilgileri verdikten sonra bilgisayarınıza
yapılabilecek saldırılar ve bunları önlemenin yolları üzerine yazıya
devam edebiliriz.
TROJANLAR
Trojanlar aslında sizin bilgisayarınızın başka bir bilgisayar tarafından
ağ üzerinden kontrol edilmesine yarayan programlardır. Bilgisayarınızın
portlarından herhangi birisini açarak diğer kullanıcıların
bilgisayarınıza girmesini sağlarlar. Server ve Client dosyalarından
oluşur. Server portları açarak bilgisayarınızı hedef haline getirirken,
Client ise bilgisayarınıza girilmesini sağlar. Örneğin bir kullanıcıya
trojan bulaştırarak bilgisayarına girelim. İcq da hedef seçtiğimiz(vaya
chat te) kurbanımıza elimizde bulunan Server programını herhangi bir
şekilde gönderiyoruz. Güzel bir program kullan vazgeçemeyeceksin
diyebileceğimiz gibi, içinde mükemmel bir resim arşivi var istersen bir
bak diyerek te kurbanın Server programını almasını ve çalıştırmasını
sağlayabiliriz. (Aslında trojanlar başka programlara entegre edilerekte
karşı tarafa bulaştırılabilirler(Truva atı). Mesela kurbanımıza çok
popüler İcq programını trojan ile birleştirilmiş halde verebilirsiniz.
Bu durumda kurban İcq yu çalıştırdığında normalde farklı hiçbir şey fark
etmeyecektir.) Kurbanımız gönderdiğimiz Server programını çalıştırınca
trojanı bilgisayarına bulaştırmış olacaktır. Bu aşamadan sonra
kurbanımızın İP sini alarak bilgisayarına girmek kalıyor. Bizdeki Client
programını çalıştırdığımızda bizden bir İP numarası isteyecek. Oraya
bulduğumuz kurbanımıza ait İP yi yazarak Connect tuşuna bastığımızda
kurbanımızın bilgisayarına bağlanmış oluyoruz. Artık gerisi size kalmış,
ister format atın, ister internet giriş şifrelerini çalın. Kurbanımızda
varolan trojan silinmediği sürece varlığını devam ettirecektir. Bugün
benim girebildiğim bu bilgisayara yarın başka birisi girerek istediğini
yapabilir. İnternet ortamında trojan yediği halde haberi olmayan bir çok
insan vardır. Port Scanner diye bilinen programlarla bu insanları
tesbit ederek, sahip olduğu trojana göre kullanacağımız bir Client
programı sayesinde bu bilgisayarlara da girebiliriz. Port Scanner
programıyla kontrol etmeniz durumunda internette 10 dakika içinde Netbus
2.0 (20034 numaralı portu kullanır.) trojanını yiyen en az 5 kişi
bulabilirsiniz. Norton veya Mcaffe tarafından tanınmayan trojan sayısı
çok sınırlı olduğu için bu anti virüs yazılımlarından birini yüklemeniz
durumunda trojanların ekserisinden korunmuş olursunuz. (kendi
bilgisayarımda denemediğim trojan kalmadı Norton 5.0 anti virüs programı
trojanları yakalama konusunda harika. Fakat schoolbus isimli trojanı
bulamıyor. Aşağıda bu trojanın nasıl temizleneceği anlatılıyor.) .
Aslında çoğu trojan internet üzerinde sörf yaparken birisi sizin
bilgisayarınıza girmediği sürece zararsızdır. İnternette iken
bilgisayarınızda bir trojan olup olmadığını anlamanın çok kolay bir yolu
vardır. Ayrıca bir trojan varsa bile, bilgisayarınızın içindeki bu
casusun kimlere bilgisayarınızın kapılarını açtığını da öğrenebiliriz.
Dos ortamında netstat -an komutunu yazarak enter tuşuna basarsanız
bilgisayarınızın internet ortamındaki tüm bağlantılarını görebilir ve
anormal bir durum olup olmadığını kontrol edebilirsiniz. Eskiden herbir
trojanın kullandığı port numarası farklı idi. Örneğin netbus ın ilk
versiyonu 12345 numaralı portu kullanırken Bo trojanı 31337 numaralı
portu kullanıyordu. Şimdilerde ise her bir trojan kullanıcının(trojanı
size bulaştırmak isteyen kişi) isteğine göre değişebilen portları
açabiliyor. Bu nedenle trojanların kullandığı portlarda bir anormallik
gözünüze çarpmasa bile bu bilgisayarınızda trojan yoktur anlamına
gelmez. Peki trojanlar bilgisayarımıza nasıl bulaşırlar. Chat te veya
İcq da muhabbet ederken size gönderilen herhangi bir resim(aslında
çalışabilir bir program olup resim iconu yerleştirilmiştir) ve dosya
trojan taşıyor olabilir. Sizin o dosyayı açmanızla birlikte
bilgisayarınıza da trojan bulaşacaktır. Korunmanın en iyi yolu dosya
almamak. Hatta dosyayı aldığınız kişi tanıdık bile olsa dosya almamak.
Çünkü o da gönderdiği programda trojan olduğunu bilmiyor olabilir.
Aşağıda bilgisayarınızın kullandığı portların numaraları vardır. Bu port
numaraları haricinde bir bağlantınız var ise muhtemelen bir trojandır.
Fakat İcq programı çalışıyor veya Chat te muhabbet halinde iseniz.
Normal harici kullanılan portlar olacaktır. Bu portları Chat programınız
veya İcq programınzı açmış olabilir. Aşağıda en çok kullanılan
trojanlar ve kontrol ettikleri portlar verilmiştir. Gerisi size kalmış.
(Aşağıda trojanlara yönelik verilen bilgiler ve savunma yöntemleri
server dosyasının ayarları değiştirilmediği takdirde geçerlidir. Fakat
Çoğunlukla ayarlar değiştirilmeden kullanılır.)
SUBSEVEN
Adı: ratgele seçilmiş bir isim. (uyfghj.exe gibi)
Boyutu: 374 KB
Yerleştiği yer: Çalıştırıldığı dizin
Start up yöntemi: Win.ini dosyasına ekleme yaparak
En belirgin özelliği: Çok zengin kullanım seçenekleri sunması.
Özellikleri : En yaygın trojandır. Kullanım kolaylığı ve bağlantı anında
sağladığı gelişmiş özellikleriyle tercih sebebidir. Bağlanılan
bilgisayarın registery ayarları, şifreleri, icq ve mail hesapları
kolayca kullanılabilir. File manager ile karşı bilgisayarın dosyalarına
erişebilir, key logger ile hedef bilgisayarda klavye aracılığıyla
yazılan herşeyi görebilir, screen capture özelliği ile hedef
bilgisayarın anlık ekran görüntüsüne mous ile müdahele edebilirsiniz.
Kısacası son derece gelişmiş ve profesyonelce hazırlanmış bir remote
control aracıdır subseven(daha bir çok özelliği de vardır.). Edir server
ile server programı kullanıcı tarafından ayarlanabilir. Yani kullanılan
port, start up metodu ve server dosyasının iconu değiştirilebilir. Bu
şekilde bulunması da zorlaşmaktadır. Fakat çoğu kullanıcı subseven ı
default ayarlarıyla kullanmaktadır. Aslında bu da bizim için bir
avantajdır. Bu ayarlar bilindiği için bulunması da kolay olur.
Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan bir trojan da
değildir. Aynı zamanda bu trojanı başkalarına bağlanmak için kullanan
kişinin de bilgisayarında ki özel bilgileri internetten başkalarına
göndermektedir(Sisteminize bir firewall programı kurarak sadece subseven
client programını çalıştırmanız durumunda 20-30 dk sonra }-xæØ gibi
anlamsız isimlere sahip bir dosya aracılığıyla bilgileriniz internette
ilgili kişiye gönderilir. Muhtemelen subseven ı yapan şahsa. ).Ayrıca
yine client programının çok kullanımı sonrasında sistem ayarlarınız
değişebilmekte, programlarınız çalışmayı durdurabilmektedir.
Default olarak(yani edit server ile değiştirilmemişse) 27374 numaralı
port u kullanır. Start up metodu olarak kendini win.ini dosyasına
Windows altına "run= dosya ismi" ekler. Dosya ismi rastgele seçilmiş bir
isimdir. Bu satır sayesinde bilgisayarın her açılışında kendini
yükleyerek 27374 numaralı port u açık hale getirerek bekler. Port ları
açmak için kullanılan bu dosya c:\windows altında bulunur.
Temizlenmesi:
Öncelikle subseven ın kullandığı yardımcı server programını bulmalıyız.
Biraz önce start up yöntemi olarak win.ini dosyasını kullandığını
söylemiştik. Başlat tan çalıştır a gelerek win.ini yazıp enter a basın.
Karşınıza win.ini dosyasının içeriği gelecek. Burada
[windows]
NullPort=None
Options=85663
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=nyuw.exe
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
.........
gibi satırlar karşınıza çıkmış olmalı. Windows altında run=nyuw.exe
trojanımızın server programının ismi. Yani bilgisayar açıldığında bu
program 27374 numaralı port umuzu açıyor. Şimdi "run=nyuw.exe" satırını
silelim win.ini dosyasından saklayarak çıkalım. (fakat bahsettiğimiz bu
server programı her makinede farklıdır. Yani rastgele seçilmiştir. Sizin
bilgisayarınızda run= dan sonra başka bir isim yazıyor olmalı.) Burada
dikkat etmemiz gereken server programımızın ismi. Bu ismi bir yere
kaydederek. İşlemimize devam edelim. Buraya kadar yaptıklarımızla artık
bilgisayar açıldığında portlarımızı açan programın çalışmasını önlemiş
olduk. Fakat server programı her açılışta çalışmasa bile hala
bilgisayarımız içinde(aslında buraya kadarki işlemlerle trojandan
kurtulmuş olduk. Yani artık zararsız.). Başlat tan bilgisayarı kapat ı
seçin ve çıkan ekranda ms-dos kipinde başlat seçeneğini aktif yaparak
tamam tuşuna basın. Bilgisayarınız ms-dos kipinde açılacak. Karşınıza
c:\windows> işareti gelecek.
c:\windows>del nyuw.exe
yukarıdaki satırı yazıp enter tuşuna basınca artık server programı
bilgisayarınızdan silinmiş olacak.(tabi ki siz nyuw.exe yerine win.ini
de görüp kaydettiğiniz dosya ismini yazacaksınız.)
SCHOOLBUS :
Adı: grcframe.exe(hidden olarak bulunur), runonce.exe
Boyutu: 321 KB
Yerleştiği yer: c:\windows\system
Start up yöntemi: System dizinine yerleştiği için açılışta sisteme yüklenir.
En belirgin özelliği: Önceden norton ve mcafee tarafından bulunamıyordu.
Fakat bu virüs tarama programlarının yeni sürümleri schoolbus ı
buluyor.
Özellikleri : Son zamanlarda özellikle Türkiye de oldukça yaygınlaşan
bir trojandır. Bir Türk tarafından yapılmış olması ve norton tarafından
bulunamaması en önemli yaygınlaşma sebebidir. Bağlantı yapıldıktan sonra
bir çok kullanım seçeneği sunar(fakat subseven kadar zengin seçenekleri
yoktur). Bu sayede karşı tarafın şifreleri, icq hesabı, dosyaları
kontrol edilebilir. Edit server programı ile server dosyası istenildiği
şekilde ayarlanabilir. Kullanılan port ve server dosyasının icon u
değiştirilebilir. Bu trojan bilgisayarınızın 54321 ve 4****(değişiyor
sürekli) numaralı portlarını açar. Elbette bu portların açık olması için
bilgisayarınızda sürekli çalışır halde bir programın mevcut olması
gerekli. Bu program c:\windows\system\ dizinindeki grcframe.exe isimli
programdır.
Schoolbus sadece bulaştırılmış kişiye zarar vermez. Aynı zamanda bu
trojanı kötü amaçlar için kullanan kişilerin şifrelerini de trojanı
yapan kişinin mail hesabına gönderir. Kısacası kullanan da bulaştırılan
da zarar görür.
Ayrıca trojanımız c:\windows\system dizinindeki runonce.exe isimli bir
backdoor virüsünü de bilgisayarınıza bulaştırıyor. İşte bu programların
silinmesiyle trojanımız da etkisiz hale geliyor. Fakat windows ortamında
bu programları silmenin imkânı olmadığı için dos ortamına geçmeliyiz.
Temizlenmesi :
Bilgisayarı kapat bölümünde Ms-dos kipinde başlat seçeneğini
işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında sırasıyla
aşağıda söylenenleri yapın
C:\windows> cd system
C:\windows\system>attrib -h -r grcframe.exe (aradaki boşluklara dikkat ediniz)
C:\windows\system>del grcframe.exe
C:\windows\system>del runonce.exe
Trojandan bu şekilde kurtulmuş olursunuz. Sisteminizi yeniden başlatın.
BO (BACK ORİFİCE)(BO2K 2000)
Adı: bo2k.exe
Boyutu: 112 KB
Yerleştiği yer: Çalıştırıldığı dizin.
Start up yöntemi: TCP/IP yapılandırmasında kullanılan bir dosyaya
enfekte olarak sisteme bu sürücünün çalıştırılmasıyla yüklenir.
En önemli özelliği: Sistemde bir sürücüye enfekte olarak çalışır. Dolayısıyla bulunması zordur.
Özellikleri : Yaygın olarak kullanılan trojanlardan birisidir. En önemli
özelliği kendisini TCP yapılandırmasında kullanılan sürücülerden birine
enfekte ederek görülemez hale getirmektir. Bu sebeple bu yazıda
bahsedilen start up yöntemlerinin hiç birisiyle tesbit edilemez. Çünkü
kendisi direkt olarak çalışıyor görünmez. Bilgisayarın kullanmak zorunda
olduğu sürücülerden birisine kendisini yerleştirir ve o sürücü sisteme
yüklenince otomatik olarak sisteme yerleşir; .com ve .exe virüslerinin
mantığına sahip. Bu pek de bilinmeyen özelliği dışında, kurbana
gönderilen server programı istenildiği gibi ayarlanabiliyor(port, dosya
adı değişebiliyor). Bağlantı kurulan makiye yönelik çok zengin bir
kullanım seçeneği mevcut. Default olarak 31337 numaralı (ya da 54321)
portu kullanır. server programının ismi bo2k.exe(config programı ile bu
isim değiştirilebilir), boyutu 112 KB dır. Bu dosya herhangi özel bir
dizine kendisini kopyalamaz. Çalıştırıldığı dizin içerisinde kalır.
Zaten çalıştırıldıktan sonra silmeye kalkarsanız windows tarafından
kullanıldığı için silinemez mesajını alırsınız.
Temizlenmesi :
Diğer trojanlar gibi sistemde direkt çalışmadığı için temizlenmesi için
de farklı bir yöntem takip edilir. Kendisini TCP yapılandırmasında
kullanılan sürücülere enfekte ederek sisteme yüklediği için, bozulmuş
olan bu sürücülerin yenilenmesi ile sistemde çalışamaz hale gelir. Bunun
için de o an mevcut olan TCP yapılandırmasının kaldırılarak sisteme
yeniden kurulması gerekir. Bunun için başlat-ayarlar-denetim masasına
gelmeliyiz. Burada Ağ adıyla belirtilen icona tıkladığımızda karşımıza
ağ yapılandırmamız gelecek.
Burada TCP/IP ile gösterilen seçeneği işaretleyerek kaldır butonuna basarsak TCP/IP yapılandırmamızı kaldırmış oluruz.
Buradan Tamam butonuna basarak çıkıyoruz. Bize bilgisayarı yeniden
başlatma ile ilgili bir ekran çıkacak tamam diyerek bilgisayarı yeniden
başlatın.
Bilgisayarınız yeniden başladığında biraz önce kaldırdığımız TCP/IP
yapılandırmasını tekrar kuracağız. Bunun için başlat-ayarlar-denetim
masası buradan ağa tıkladığımızda karşımıza çıkan ekranda ekle butonuna
basıyoruz. Buradan çıkan menüden iletişim kurallarını tıkladığımızda
çıkan ekranda sol tarafta microsoft seçili iken sağ tarafta TCP/IP yi
seçerek tamam larla menülerden çıkıyoruz.
Artık TCP/IP tekrar kurulmuş oldu. Son olarak bilgisayarı tekrar kapatıp
açtığımızda TCP/IP yüklenmiş ve BO trojanından kurtulmuş oluruz.(Tabi
bu işlemler sırasında gerekli dosyaları kopyalayabilmek için sizden
win98 cd si istenebilir.)
START UP (BAŞLANGIÇ) PROGRAMLARI
Bilgisayarımız açılırken bazı programlar sistem ihtiyaçlarından
bazılarıda kullanıcı ihtiyaçlarından dolayı otomatik olarak
çalıştırılırlar. Örneğin bir virüs tarama programınız varsa başlangıçta
bu program otomatik olarak sisteminize yüklenir. Başlangıç
programlarının çalışma sistemini kavrayabilmek ve onları kontrol
edebilmek trojanları ortadan kaldırmada en etkili yöntemdir. Start up
dosyaları bilgisayarınız açılırken çeşitli yollarla kendisini sisteme
yükler.
1) Win.ini
Başlat a gelerek çalıştırda win.ini yazıp enter a basarsanız aşağıdaki gibi bir metinle karşılaşırsınız.
[windows]
NullPort=None
Options=85663
load=
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
[intl]
iCountry=90
ICurrDigits=2
iCurrency=3
iDate=1
iDigits=2
iLZero=1
iMeasure=0
iNegCurr=8
iTime=1
iTLZero=1
s1159=
s2359=
sCountry=Turkey
sCurrency=TL
sDate=.
sDecimal=,
sLanguage=trk
sList=;
sLongDate=dd MMMM yyyy dddd
sShortDate=dd.MM.yyyy
sThousand=.
sTime=:
..................
...............
yukarıdaki [windows] başlığı altındaki "load= " ve "run= "ifadelerinden
sonra gelecek olan dosya ismi bilgisayarınız tarafından açılışta
otomatik olarak sisteminize yüklenir. Bilgisayarınız için gerekli bazı
dosyalarda burada bulunarak başlangıçta çalıştırılabilir. Fakat aynı
yeri bir trojan da kullanabilir. Bu durumda hangi dosyanın trojan
hangisinin normal bir dosya olduğunu ayırt etmek sizin elinizde. Trojan
olduğunu tahmin ettiğiniz dosya ismini silerseniz trojanın açılışta
çalışmasını önlemiş olursunuz. Ama trojan hala bilgisayarınızdadır.
Sadece çalışması engellenmiştir.
2) System.ini
Başlat a gelerek çalıştır da system.ini yazıp enter a basarsanız karşınıza aşağıdaki gibi bir dosya çıkar.
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll ctpnpscn.drv power.drv
shell=Explorer.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=mouse.drv
keyboard.drv=keyboard.drv
*DisplayFallback=0
fonts.fon=vgasys.fon
fixedfon.fon=vgafix.fon
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
scrnsave.exe=
user.exe=user.exe
[keyboard]
keyboard.dll=
oemansi.bin=xlat857.bin
subtype=
type=4
[boot.description]
system.drv=Standart PC
keyboard.typ=Standart 101/102-Tuşlu veya Microsoft Natural Klavye
aspect=100,96,96
mouse.drv=Standart fare
display.drv=3D Artist PA50
.........................
.........................
yukarıdaki satırlar arasında yer alan(üstten 4. sırada)
shell=Explorer.exe satırına dikkat etmeniz gerekir. Bu satır da yazan
dosya isimleri bilgisayarınız açılırken sisteme yüklenir (bu dosyanın
trojan veya normal bir program olup olmadığını ayıretmek sizin
elinizde). örneğin:
shell=Explorer.exe Winlog.exe
şeklindeki bir satır tehlike işaretidir. Explorer.exe ve winlog.exe
açılışta sisteminize yüklenmektedir. Explorer.exe sisteminizin
kullandığı bir program olduğu biliniyor. Öyleyse winlog.exe muhtemelen
bir trojandır. Bu satırda winlog.exe dosya ismini silerseniz
shell=Explorer.exe
şeklinde değişir satırımız. Artık açılışta bu program çalıştırılmayacak
dolayısıyla portlarınız açılmayacaktır. Fakat bu ismi silmekle trojanı
silmiş olmayız sadece çalıştırılmasını önlemiş olduk.
3) C:\WIDOWS\SYSTEM dizini
c:\windows\system dizini altında bilgisayarınızın kullanmış olduğu
donanım sürücüleri ve daha pek program açılışta bilgisayarınız
tarafından sisteme yüklenir. Bu dizini yerleştirilmiş bir trojan
(örneğin schoolbus bu şekilde grcframe.exe adındaki trojanı buraya
kopyalar) bilgisayar açılırken sisteme yüklenir. İşte bu dizin içinde
yer alan dosyanın silinmesiyle trojandan kurtulmuş olursunuz. Fakat
windows ortamında silmeye kalkarsanız. Program şu anda kullanımda
silemezsiniz gibi bir hata mesajıyla karşılaşırsınız. Bu sorunu aşmak
için başlat ta bilgisayarı kapat bölümünde Ms-Dos kipinde başlat
seçeneği işaretli olarak kapatırsanız. Sistemininiz Ms-dos kipinde
açılacaktır.
c:\windows>
şeklinde bir satır karşınıza çıkacak.
c:\windows>cd system
yazıp enter a basarsanız
c:\windows\system>
satırı oluşur. İşte burada silmek istediğimiz dosyanın adını yazarak silebiliriz. Örneğin dosyamız winloger.exe ise
c:\windows\system>del winloger.exe
satırını yazıp enter a basarsak dosya sistemden silinmiş olur.
4)Registery
Başlat ta regedit yazıp enter a basarsanız registery ayarlarına ulaşmiş olursunuz. Aşağıda görüldüğü gibi
buradan
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
bölümüne geçersek aşağıdakine benzer bir ekranla karşılaşmış oluruz
Bu ekranda görülen Run, RunOnce, RunOnceEx, RunServices ve
RunServicesOnce klasörleri bilgisayar açılırken sisteme yüklenecek
programları belirtir. Mesela Run klasörünün içeriğine bakarsak
aşağıdakine benzer bir ekran görürüz.
burada görülen programlardan şayet trojan olduğunu düşündüğümüz varsa
sağdaki bölümden program üzerine gelerek sağ tıkladığınızda çıkan
menüden sil i seçerseniz dosya kayıttan silinmiş olur. Bu işlemi diğer
bölümlerde de yapabilirsiniz(tabiki bu görüntüler benim bilgisayarımın
yapılandırması sizin ki farklı olabilir. Yukarıda gösterilen
programlardan LoadPowerProfil, ScanRegistry, SystemTray, TaskMonitor
sistem tarafından kullanılan temel programlardan dır. Diğerleri
kullanıcı tarafından eklenmiş olabilir(Sizin bilgisayarınız için de
geçerli).
Start up programlarının kontrolü:
Bu programları kontrol edebilmek için windows ile birlikte gelen oldukça
kullanışlı her bilgisayarda olan bir program var. Msconfig.exe adındaki
bu program ile start up (başlangıç) dosyalarını kontrol edebilirsiniz.
Dolayısıyla sizden habersiz hiçbir dosya bilgisayarınızda
çalıştırılamaz.
Başlat ta çalıştır a gelerek msconfig yazıp enter a basarsanız aşağıdaki gibi bir ekranla karşılaşmış olursunuz.
Görüldüğü gibi biraz önce bahsettiğimiz win.ini, system.ini ve registery
ayarlarını buradan kontrol etmek de mümkün. Örneğin win.ini den
tehlikeli gördüğümüz bir satırı kaldırmak istersek sadece yanındaki onay
işaretini siliyoruz. Bilgisayar açılırken o satırı çalıştırmıyor. Fakat
system.ini yi buradan düzeltmenizi tavsiye etmiyorum.
Ayrıca yukarıda görülen başlangıç kartını aktif yaparsanız aşağıdaki gibi bir ekranla karşılaşırsınız.
yukarıda gördüğümüz programlar bilgisayar açılırken yüklenen (system.ini
ve c:\windows\system dizini hariç) win.ini ve registery de bulunan
dosyalardır. Bu dosyalardan herhangi birini yanındaki onay işaretini
kaldırarak çalışmaz hale getirebilirsiniz. Çoğunlukla msconfig ile
sisteminizde trojan olup olmadığını anlamak mümkün olur.
Bilgisayarınızın kullandığı programları biliyorsanız. Geriye kalanlar
tehlike işaretidir. Özellikle yukarıda da görüldüğü gibi c:\windows,
c:\windows\system veya c:\windows\temp dizini altındaki dosyalara dikkat
edilmesi gereklidir.
Start up dosyalarını kontrol etmek için bir yol daha vardır. Başlat ta
programlar-donatılar-sistem araçları-sitembilgisi çalıştırılırsa
aşağıdakine benzer bir ekran çıkar.
Buradan Yazılım Ortamı aktif hale getirilirse bizim işimize yarayacak
iki bölüm karşımıza çıkar; Başlangıç programları ve Çalışan Görevler.
Başlangıç programını aktif hale getirirseniz msconfig den tanıdığımız
programları görürüz. Bizim için asıl önemli olan yer Çalışan görevler
bölümü, bu bölüm aktif yapılırsa bilgisayarınızda çalışan system dizini
de dahil tüm programlar gösterilir. Fakat sadece seyredebilirsiniz,
değişiklik buradan mümkün değil. Dikkat edilmesi gereken sürüm, üretici
ve tanım kısımları boş olan programlardır. Yukarıda ki örnekte bu
şartlara uyan üç program mevcut bunlardan grcframe.exe dosyası schoolbus
tarafından system dizinine yerleştirilen trojandır. Diğerleri benim
kontrolümde sisteme yüklenmiş olan [
site yapım programıdır. Fakat yine de dikkat etmek gerekir tanımadık ama
sistem tarafından kullanılan programlar olabilir. Fakat şüphe duyulan
bir program bulunduğu dizine gidilerek incelenebilir. Örneğin boyutu
oluşturulma tarihi gibi kriterler bizim için önemli. Yazımızda
bahsettiğimiz ve yaygın olarak kullanılan trojanların boyutları işinize
yarayabilir. Sisteminizde mevcut olan trojan adı, iconu, portu
değiştirilmiş olabilir fakat bulunduğu yer ve boyut size bunun hangi tür
trojan olduğu hakkında ip ucu verecektir. Örneğin sisteminizde trojan
olduğunu zannettiğiniz bir program var. Bu program c:\windows dizini
altında ve yaptığınız araştırmalar onun hakkında pek de iyi şeyler
söylemiyorsa, boyut ve oluşturulma tarihine bakabilirsiniz. Oluşturulma
tarihi yakın ve boyutu 374 KB ise yakın zamanda sisteminize bir program
yüklemediyseniz muhtemelen bir subseven trojanıdır. Çünkü subseven ın
boyutu 374 KB dır.
olan portlar aracılığıyla diğer bilgisayar ile irtibat kurar. Artık
neredeyse tüm yeni trojanların portlarını değiştirmek mümkün olmaktadır.
Fakat trojan kullanmayı seven arkadaşlar genellikle port ve diğer
ayarlarını değiştirmeden kullandıkları için default olarak trojanlar
tarafından kullanılan portların bilinmesinde fayda var(en azından çok
kullanılan trojanların). Peki sisteminizde tehlikeli bir port un açık
olduğunu nasıl anlayabiliriz. Burada yine windows imdadımıza yetişiyor.
Başlat-Programlar-MsDos komut istemi çalıştırılırsa karşımıza ms-dos
ortamı çıkar. Burada
c:\windows>netstat -an
yazıp enter a basarsanız o anda bilgisayarınızın iletişim halinde olduğu
bilgisayar ile arasındaki kullanılmakta olan portlar ve ip numaraları
gösterilir. (Portları kontrol için totostat adında bir programı tavsiye
ederim. Netstat ile aynı işlemi yapıyor. Kullanımı daha pratik. Buraya
download edebilirsiniz.)
Yukarıdaki şekilde yerel adres sizi, yabancı adres bağlantı kurduğunuz
karşı bilgisayarı gösterir. Dikkat edersek 54321 ve 31337 numaralı
portlar açık görünüyor. Bunlar kesinlikle bilgisayarda trojan olduğunun
göstergesidir. 54321 schoolbus 31337 BO trojanın kullandığı default
portlardır. Ayrıca aktif olan iki bağlantı var. Bunlardan ikisi de bir
web sayfasına bağlı olduğumuzu gösteriyor. Şayet web sayfasına
bağlanırsak karşı bilgisayarın kullandığı port olarak 80 (8080 de
olabilir.), mail server a bağlanarak mailleri kontrol ediyorsak 110, ftp
programı ile web sitemize dosya gönderiyorsak 21, telnet ile bağlantı
kurmuş isek 25 numaralı portlar yabancı bilgisayarın açık portları
olarak görünür. Bunun haricindeki portlardan yapılan(yabancı
bilgisayarın portları) bağlantılar tehlikeli olabilir. Fakat ve Chat ve
proxy istisnası var. Chat programı karşı tarafın 6667, 7000 gibi
portlarını açabilir. Eğer internete bir proxy üzerinden bağlanıyorsak
bağlantı yapılan bilgisayarın portu 1080 olarak görünebilir(tabi ki
proxy istisna bir durumdur. Çoğu kullanıcı normal bağlantı kurar.)
Bir portun açık olması bağlantı kurulduğu anlamına gelmez. Yukarıda
görüldüğü gibi 54321 numaralı port açık fakat yabancı adreste bir
bağlantı görünmüyor. Bu o anda bağlantı olmadığını gösterir. 54321
numaralı porta bir bağlantı olduğunu görmüş olsaydık. Kesinlikle
birisinin bilgisayara girdiğinden bahsedebilirdik.
Bİ
LGİSAYARINIZIN KULLANDIĞI PORTLAR
Port.zip
ismi üstüne tıklarsanız kopyalanmaya başlar. Dosya çok uzun olduğu için
yazılmadı.)
Aşağıda gösterilen port numaraları server dosyasının ayarları değiştirilmediği sürece doğrudur.
TROJAN İSMİ KULLANDIĞI PORT
icqtrojana 4950
girlfriend 21554
bo 31337
ftp99cmp 1492
master paradise 40421
fire hotker 5321
sockets de troje 30303
executor 80
gate crasher 6969
hackers paradise 456
hack99 keyloger 12223
netspy 31339
net monitor 7300
subseven 1243-27374
invasor 2140
Wincrach 1.03 5742
Wincrach 2.0 2583
Silencer 1001
Devil 65000
Millenium 20001
Phineas 2801
Backdoor 1999
Evilftp 23456
Phasezero 555
Psyber Streaming Server 1509
SSTROJG 11000
Voice Client 1514
Netbus 12345-20034
Schoolbus 54321
MAİL BOMBALARI
İnternet ortamında mail hesabının olması olmazsa olmaz şartlardan
birisi. Ne varki insanların rahatı onları rahatsız eden kötü niyetli
kişiler tarafından yazılan mail bomber lar ile mail hesabınız işleyemez
hale gelebilir. Sahip oldukları bir mail bomber programı ile istediği
mail hesabına sayısı oldukça yüksek mail gönderebilirler. Mail
göndermenin ne zararı olabilir diyebilirsiniz. Fakat mail hesapları
belli bir kapasiteyle sınırlıdır. Mesela 5 Mb kapasiteye sahip mail
hesabınıza her biri 20 Kb lık 300 e-mail gönderilmesi durumunda
hesabınız çalışamaz durumu gelecek ve size gelen mailler yerine
ulaşamayacaktır.
Bu operasyonun zarar vermek isteyen kişiye kaybettirdiği zaman ise
sadece yarım saattir. O yarım saat sörf yaparken aynı zamanda program
size mailleri gönderecektir.
NÜKELER
Windows işletim sistemi (özellikle Win 95) aslında sanıldığı kadar
kusursuz değildir. İşte nuke diye bilinen programlar işletim
sisteminizin bu açıklarını iyi bilen ve sürekli yeni açıklar bulmaya
çalışan programcılar tarafından yazılan programlardır. Çeşitleri bir
hayli fazladır. Özellikle win 95 işletim sistemini tehdit ederler. Mavi
ekran hataları sonrası sisteminizin yeniden başlatılması, hattınızın
kopması(şu an çok popüler olan ve modem resetleyici diye bilinen nuke
çeşitlerine karşı ise korunma neredeyse imkansız) ya da internette sörf
hızınızın yavaşlamasına sebep olan değişik bir çok çeşidi vardır. Hatta
çoğu kullanıcı sürekli hattan düştüğünü ve bunun nedeninin internet
servis sağlayıcısı olduğunu zanneder. Gerçekte işler biraz farklıdır.
Bunu anlamanın en kolay yolu ise firewall(aşağıda anlatılacak) diye
bilinen programlardan birinin sisteminize kurularak saldırılara şahit
olmanızdır. Hatta işin boyutları o kadar büyümüştür ki. Nuke programları
temin eden sitelerden bazıları işin çığırından çıktığını fark ederek bu
işi yapmaktan vazgeçmiş, hatta koruma yollarını anlatmaya
başlamışlardır. Bilgisayar kullanıcılarının büyük bir çoğunluğu
internette güvenlik meselesinin halâ lüks olduğunu zannetmektedirler.
Hedef kitle ise bu çoğunluktur. Aşağıda anlatılacak tekniklerin
uygulanmasıyla internette rahatça sörf yapabilecek yapılan saldırıları
çoğunlukla emin olarak tebessüm ederek seyredeksiniz. Nukelerden yüzde
yüz korunmanın bir yolu yoktur. Fakat güvenlik için uygulanacak
teknikler sayesinde büyük çoğunluğu bertaraf edebilirsiniz. Hatta nuke
atanların çoğu işin teknik detayını bilmeden ellerindeki nuke programını
kullanan liseli öğrencilerdir.
VİRÜS:
Virüsler bilgisayarınızda sizin isteğiniz dışında çalışarak zarar veren
programlardır. İnternet dünyasının gelişmesiyle yayılma hızları da bir
hayli artmıştır. Boot sektöre bulaşarak orada yaşayanlardan, programlara
kendini enjekte edenlere, FAT da bozuk sektör göstererek hard
diskinizde kendine yer sağlayanlara kadar bir çok çeşidi vardır. Bulaşma
yolları ise aynıdır. Virüs bulaştırılmış herhangi bir disketi okumanız
veya yine virüslü bir programı çalıştırmanız durumunda kendisinin
önceden belirlediği saklanma stratejisine göre(az önce bir kaçını
sıralamıştık.) bilgisayarınıza bulaşarak aktif hale geçebilir.(
Sisteminizde kurulu bir virüs tarama programınız var ise bulaşma anında
anti virüs yazılımınız aktif hale geçerek sizi uyarır.) Aktif hale geçen
virüs programı ise gelişen şartlara göre sisteminize zarar verebilir.
Gelişen şartlar diyorum çünkü, Dos 6.22 li işletim sistemlerinin
kullanıldığı zamanlarda kullanılan zarar verme teknikleriyle şu an
kullanılan teknikler sayıca biribirinden farklıdır. Mesela modemlerin
yaygın olduğu günümüzde modeminizi kullanarak milletler arası arama
yapan ve yüklü telefon faturalarının gelmesine sebep olan virüs
çeşitlerinin eskiden olmasına imkan yoktu çünkü modem fazla kullanılan
bir donanım değildi. Virüslerden korunmanın en iyi yolu ise Anti-virüs
yazılımlarını kullanmanız ve şüpheli bulduğunuz programları mümkün
oldukça sisteminize kopyalamamanızdır. Şayet yine de sisteminize bir
virüsün girmesine mani olamamış iseniz. Bilgisayarınızı Dos ortamında
çalıştırarak virüsleri bulup yok etmeye çalışabilirsiniz.(Norton ve
Mcaffee programlarının Dos ortamında çalışan parçaları mevcuttur.)
Bilinen en iyi anti virüs yazılımları Norton ve Mcaffe programlarıdır.
Fakat bunlardan Mcaffe sistemi diğerine göre daha fazla yavaşlattığından
dolayı benim tercihim Norton un anti-virüs yazılımıdır.(Norton 5.0 ve
Mcaffee 4.0.5 programlarını cracklı hali ile Download bölümünden
alabilirsiniz.) Virüs tarama programları sadece virüslere karşı etkili
değildir. Aslında isimleri anti-virüs yazılımları olsada daha sonra
açıklayacağımız trojanlara karşı da bilgisayarınızı korurlar. Anti-virüs
yazılımları sisteminizi korurken iki yöntemi kullanır. Normal olarak
her virüsün bir bilgisayar kodu vardır. Virüs tarama programları bir
dosyayının virüslü olup olmadığını veri bankasında bulunan, bilinen
virüs kodlarıyla, kontrol ettiği programın kodlarını kontrol ederek
yapar. Şayet kontrol ettiği programın kodu virüs tarama programımızın
veri bankasında bulunan virüs kodlarından birini içeriyorsa program
virüslü kabul edilir. Yazılanlardan da anlaşıldığı gibi virüs tarama
programımızın veri bankası ne kadar zengin ise virüs ve trojanlara karşı
da o kadar rahat olabiliriz demektir. İş te bu noktada virüs tarama
programımızın veri bankasını güncellemek son derece önemlidir. Eski veri
bankasına sahip bir anti-virüs programının size pek bir faydası olmaz.
Anti-virüs yazılımlarının kullandığı ikinci yöntem biraz farklıdır.
Diyebilirsiniz ki anti-virüs yazılımı ne kadar güncellenirse
güncellensin. Sonuçta bir yerlerde birilerinin yazdığı virüs ve ya
trojanlar anti-virüs yazılım şirketlerinin veri bankalarına dahil
olmadan bize bulaşabilirler. İşte anti-virüs yazılımlarının kullandığı
ikinci teknik bu endişe düşünülerek tasarlanmıştır. Bu yönteme göre
virüs veya trojanlar bilgisayar sistemlerinde benzer davranışlar
sergilerler. Mesela diskete yazma ve okuma işlemlerini gerçekleştiren
interruptı kontrol ederek herhangi bir disk veya disket okunmaya
başlandığında aktif olarak kendini disk ve ya disketin boot sektörüne
bulaştıran boot sektör virüsleri gibi bir çok virüsün hayatlarını devam
ettirebilmeleri için benzer davranışları sergilemesi gerekir. İşte bu
davranışlar bilindiğinde virüslerin kodları olamasa da virüs davranışı
sergileyen programlar tesbit edilerek yakalanır. Sonuç olarak sahip
olduğunuz iyi bir virüs tarama programı sayesinde (aynı zamanda sürekli
güncellenen) virüslerin saldırısından büyük çoğunlukla korunmuş
olursunuz.
ŞİFRELEME
İnternet dünyasında şifre kullanımı oldukça yaygındır. Mail alırken,
site kurarken, internete bağlanırken ya da herhangi bir şekilde
güvenliğimiz için bir çok güvenlik şifresi kullanmak zorunda kalırız.
Fakat bizim için oldukça önemli olan şifrelerimiz şayet yeterince güçlü
(az sonra açıklanacak) değilse başkaları tarafında bulunabilir ve bu da
bizim için pek de iyi olmayabilir. Örneğin mail hesabınıza ait şifreniz
şayet 4 basamaklı rakamlardan oluşuyorsa, şifrenizin çözülmesi için
yaklaşık 15 dk sürecektir(tabi mail server ın hızına da bağlı). Şayet
şifreniz 5 basamaklı bir sayı ise yaklaşık 90 dk içinde şifreniz
bulunacaktır.(tabi bu arada mail hesabınızın user name ini hesaba
katmıyoruz, çünkü çoğunlukla mail hesabındaki isim olacaktır.). Şonuçta
doğru orantılı olarak 6, 7 ya da 8 basamaklı sayıların ne kadar zamanda
çözülebileceği malum. Şonuç olarak şifreniz güçlü değilse isteyen birisi
biraz azimle buna ulaşabilir. Gelelim güçlü şifre işine. Güçlü kabul
edilen şifreler içerisinde büyük, küçük harfler, rakamlar ve özel
işaretler olan şifrelerdir. Şayet şifreniz b iraz önce saydığımız farklı
gruplardan elemanlarla oluşmuş ise çözülmesi neredeyse imkansız güçlü
bir şifredir.
FİREWALL
Firewall diye bilinen programlar, bilgisayarınızın portları ile internet
arasına yerleşerek yabancı veya sizin onaylamadığınız girişimlere mani
olurlar. Özellikle bilgisayarınızda bir trojan var ise bile firewall
sayesinde, trojan ile başkalarının size ulaşmasını önler. Biraz önce
söylemiştik, firewall virüs veya trojan bulmaz sadece internete giriş
kapılarınız olan portların önünde durarak istemediğiniz giriş ve
çıkışlara mani olur. Bu durumda haberiniz olmadan bilgi girişi veya
çıkışı olmaz. Tüm kontroller sizin elinizdedir. Tabiiki iş bu kadar
kolay değil bu programların da bir takım ayarlamaları var fakat bu
ayarlamaları öğrendikten sonra geriye sadece saldırıları gülerek
seyretmek kalıyor. En iyi bilinen firewall programları Norton İnternet
Security 2000, Conseal Pc Firewall ile Black İce dır. Fakat bunlar
ücretlidir. Ücretsiz olan Zone Alarm programı da vardır. Ayrıca Firewall
programlarında saldıran kişinin ip numarası da yazıldığı için karşı
atak için kullanılabilir.
Alıntıdır...
