TROJANLAR
Trojanlar aslında sizin bilgisayarınızın başka bir
bilgisayar tarafından ağ üzerinden kontrol edilmesine yarayan
programlardır. Bilgisayarınızın portlarından herhangi birisini açarak
diğer kullanıcıların bilgisayarınıza girmesini sağlarlar. Server ve
Client dosyalarından oluşur. Server portları açarak bilgisayarınızı
hedef haline getirirken, Client ise bilgisayarınıza girilmesini
sağlar. Örneğin bir kullanıcıya trojan bulaştırarak bilgisayarına
girelim. İcq da hedef seçtiğimiz(vaya chat te) kurbanımıza elimizde
bulunan Server programını herhangi bir şekilde gönderiyoruz. Güzel bir
program kullan vazgeçemeyeceksin diyebileceğimiz gibi, içinde mükemmel
bir resim arşivi var istersen bir bak diyerek te kurbanın Server
programını almasını ve çalıştırmasını sağlayabiliriz. (Aslında
trojanlar başka programlara entegre edilerekte karşı tarafa
bulaştırılabilirler(Truva atı). Mesela kurbanımıza çok popüler İcq
programını trojan ile birleştirilmiş halde verebilirsiniz. Bu durumda
kurban İcq yu çalıştırdığında normalde farklı hiçbir şey fark
etmeyecektir.) Kurbanımız gönderdiğimiz Server programını çalıştırınca
trojanı bilgisayarına bulaştırmış olacaktır. Bu aşamadan sonra
kurbanımızın İP sini alarak bilgisayarına girmek kalıyor. Bizdeki
Client programını çalıştırdığımızda bizden bir İP numarası isteyecek.
Oraya bulduğumuz kurbanımıza ait İP yi yazarak Connect tuşuna
bastığımızda kurbanımızın bilgisayarına bağlanmış oluyoruz. Artık
gerisi size kalmış, ister format atın, ister internet giriş
şifrelerini çalın.(Meseleyi anlatırken teknik detaya girerek
insanların dergimiz aracılığıyla bu işi öğrenmelerini istemedik.
Verilen bilgiler sadece korunma amaçlıdır.) Kurbanımızda varolan
trojan silinmediği sürece varlığını devam ettirecektir. Bugün benim
girebildiğim bu bilgisayara yarın başka birisi girerek istediğini
yapabilir. İnternet ortamında trojan yediği halde haberi olmayan bir
çok insan vardır. Port Scanner diye bilinen programlarla bu insanları
tesbit ederek, sahip olduğu trojana göre kullanacağımız bir Client
programı sayesinde bu bilgisayarlara da girebiliriz. Port Scanner
programıyla kontrol etmeniz durumunda internette 10 dakika içinde
Netbus 2.0 (20034 numaralı portu kullanır.) trojanını yiyen en az 5
kişi bulabilirsiniz. Norton veya Mcaffe tarafından tanınmayan trojan
sayısı çok sınırlı olduğu için bu anti virüs yazılımlarından birini
yüklemeniz durumunda trojanların ekserisinden korunmuş olursunuz.
(kendi bilgisayarımda denemediğim trojan kalmadı Norton 5.0 anti virüs
programı trojanları yakalama konusunda harika. Fakat schoolbus isimli
trojanı bulamıyor. Aşağıda bu trojanın nasıl temizleneceği
anlatılıyor.) . Aslında çoğu trojan internet üzerinde sörf yaparken
birisi sizin bilgisayarınıza girmediği sürece zararsızdır. İnternette
iken bilgisayarınızda bir trojan olup olmadığını anlamanın çok kolay
bir yolu vardır. Ayrıca bir trojan varsa bile, bilgisayarınızın
içindeki bu casusun kimlere bilgisayarınızın kapılarını açtığını da
öğrenebiliriz. Dos ortamında netstat -an komutunu yazarak enter tuşuna
basarsanız bilgisayarınızın internet ortamındaki tüm bağlantılarını
görebilir ve anormal bir durum olup olmadığını kontrol edebilirsiniz.
Eskiden herbir trojanın kullandığı port numarası farklı idi. Örneğin
netbus ın ilk versiyonu 12345 numaralı portu kullanırken Bo trojanı
31337 numaralı portu kullanıyordu. Şimdilerde ise her bir trojan
kullanıcının(trojanı size bulaştırmak isteyen kişi) isteğine göre
değişebilen portları açabiliyor. Bu nedenle trojanların kullandığı
portlarda bir anormallik gözünüze çarpmasa bile bu bilgisayarınızda
trojan yoktur anlamına gelmez. Peki trojanlar bilgisayarımıza nasıl
bulaşırlar. Chat te veya İcq da muhabbet ederken size gönderilen
herhangi bir resim(aslında çalışabilir bir program olup resim iconu
yerleştirilmiştir) ve dosya trojan taşıyor olabilir. Sizin o dosyayı
açmanızla birlikte bilgisayarınıza da trojan bulaşacaktır. Korunmanın
en iyi yolu dosya almamak. Hatta dosyayı aldığınız kişi tanıdık bile
olsa dosya almamak. Çünkü o da gönderdiği programda trojan olduğunu
bilmiyor olabilir. Aşağıda bilgisayarınızın kullandığı portların
numaraları vardır. Bu port numaraları haricinde bir bağlantınız var
ise muhtemelen bir trojandır. Fakat İcq programı çalışıyor veya Chat
te muhabbet halinde iseniz. Normal harici kullanılan portlar
olacaktır. Bu portları Chat programınız veya İcq programınzı açmış
olabilir. Aşağıda en çok kullanılan trojanlar ve kontrol ettikleri
portlar verilmiştir. Gerisi size kalmış.
(Aşağıda trojanlara yönelik verilen bilgiler ve
savunma yöntemleri server dosyasının ayarları değiştirilmediği
takdirde geçerlidir. Fakat Çoğunlukla ayarlar değiştirilmeden
kullanılır)
SUBSEVEN:
Adı: ratgele seçilmiş bir isim. (uyfghj.exe gibi)
Boyutu: 374 KB
Yerleştiği yer: Çalıştırıldığı dizin
Start up yöntemi: Win.ini dosyasına ekleme yaparak
En belirgin özelliği: Çok zengin kullanım seçenekleri
sunması.
Özellikleri:
En yaygın trojandır. Kullanım kolaylığı ve
bağlantı anında sağladığı gelişmiş özellikleriyle tercih sebebidir.
Bağlanılan bilgisayarın registery ayarları, şifreleri, icq ve mail
hesapları kolayca kullanılabilir. File manager ile karşı bilgisayarın
dosyalarına erişebilir, key logger ile hedef bilgisayarda klavye
aracılığıyla yazılan herşeyi görebilir, screen capture özelliği ile
hedef bilgisayarın anlık ekran görüntüsüne mous ile müdahele
edebilirsiniz. Kısacası son derece gelişmiş ve profesyonelce
hazırlanmış bir remote control aracıdır subseven(daha bir çok özelliği
de vardır.). Edir server ile server programı kullanıcı tarafından
ayarlanabilir. Yani kullanılan port, start up metodu ve server
dosyasının iconu değiştirilebilir. Bu şekilde bulunması da
zorlaşmaktadır. Fakat çoğu kullanıcı subseven ı default ayarlarıyla
kullanmaktadır. Aslında bu da bizim için bir avantajdır. Bu ayarlar
bilindiği için bulunması da kolay olur.
Subseven sadece hedef bilgisayara zarar vermeyi
amaçlayan bir trojan da değildir. Aynı zamanda bu trojanı başkalarına
bağlanmak için kullanan kişinin de bilgisayarında ki özel
bilgileri internetten başkalarına göndermektedir(Sisteminize bir
firewall programı kurarak sadece subseven client programını
çalıştırmanız durumunda 20-30 dk sonra }-xæØ gibi anlamsız isimlere
sahip bir dosya aracılığıyla bilgileriniz internette ilgili kişiye
gönderilir. Muhtemelen subseven ı yapan şahsa. ).Ayrıca yine client
programının çok kullanımı sonrasında sistem ayarlarınız
değişebilmekte, programlarınız çalışmayı durdurabilmektedir.
Default olarak(yani edit server ile
değiştirilmemişse) 27374 numaralı port u kullanır. Start up metodu
olarak kendini win.ini dosyasına Windows altına "run= dosya ismi"
ekler. Dosya ismi rastgele seçilmiş bir isimdir. Bu satır sayesinde
bilgisayarın her açılışında kendini yükleyerek 27374 numaralı port u
açık hale getirerek bekler. Port ları açmak için kullanılan bu dosya
c:\windows altında bulunur.
Temizlenmesi:
Öncelikle subseven ın kullandığı yardımcı server
programını bulmalıyız. Biraz önce start up yöntemi olarak win.ini
dosyasını kullandığını söylemiştik. Başlat tan çalıştır a gelerek win.ini
yazıp enter a basın. Karşınıza win.ini dosyasının içeriği gelecek.
Burada
[windows]
NullPort=None
Options=85663
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=nyuw.exe
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
.........
gibi satırlar karşınıza çıkmış olmalı. Windows altında
run=nyuw.exe trojanımızın server programının ismi. Yani bilgisayar
açıldığında bu program 27374 numaralı port umuzu açıyor. Şimdi "run=nyuw.exe"
satırını silelim win.ini dosyasından saklayarak çıkalım. (fakat
bahsettiğimiz bu server programı her makinede farklıdır. Yani rastgele
seçilmiştir. Sizin bilgisayarınızda run= dan sonra başka bir isim
yazıyor olmalı.) Burada dikkat etmemiz gereken server programımızın
ismi. Bu ismi bir yere kaydederek. İşlemimize devam edelim. Buraya
kadar yaptıklarımızla artık bilgisayar açıldığında portlarımızı açan
programın çalışmasını önlemiş olduk. Fakat server programı her
açılışta çalışmasa bile hala bilgisayarımız içinde(aslında buraya
kadarki işlemlerle trojandan kurtulmuş olduk. Yani artık zararsız.).
Başlat tan bilgisayarı kapat ı seçin ve çıkan ekranda ms-dos kipinde
başlat seçeneğini aktif yaparak tamam tuşuna basın. Bilgisayarınız ms-dos
kipinde açılacak. Karşınıza
c:\windows> işareti gelecek.
c:\windows>del nyuw.exe
yukarıdaki satırı yazıp enter tuşuna basınca artık
server programı bilgisayarınızdan silinmiş olacak.(tabi ki siz nyuw.exe
yerine win.ini de görüp kaydettiğiniz dosya ismini yazacaksınız.)
SCHOOLBUS:
Adı: grcframe.exe(hidden olarak bulunur), runonce.exe
Boyutu: 321 KB
Yerleştiği yer: c:\windows\system
Start up yöntemi: System dizinine yerleştiği için
açılışta sisteme yüklenir.
En belirgin özelliği: Önceden norton ve mcafee
tarafından bulunamıyordu. Fakat bu virüs tarama programlarının yeni
sürümleri schoolbus ı buluyor.
Özellikleri:
Son zamanlarda özellikle Türkiye de oldukça
yaygınlaşan bir trojandır. Bir Türk tarafından yapılmış olması
ve norton tarafından bulunamaması en önemli yaygınlaşma sebebidir.
Bağlantı yapıldıktan sonra bir çok kullanım seçeneği sunar(fakat
subseven kadar zengin seçenekleri yoktur). Bu sayede karşı tarafın
şifreleri, icq hesabı, dosyaları kontrol edilebilir. Edit server
programı ile server dosyası istenildiği şekilde
ayarlanabilir. Kullanılan port ve server dosyasının icon u
değiştirilebilir. Bu trojan bilgisayarınızın 54321 ve 4****(değişiyor
sürekli) numaralı portlarını açar. Elbette bu portların açık olması
için bilgisayarınızda sürekli çalışır halde bir programın mevcut
olması gerekli. Bu program c:\windows\system\ dizinindeki grcframe.exe
isimli programdır.
Schoolbus sadece bulaştırılmış kişiye zarar
vermez. Aynı zamanda bu trojanı kötü amaçlar için kullanan kişilerin
şifrelerini de trojanı yapan kişinin mail hesabına gönderir. Kısacası
kullanan da bulaştırılan da zarar görür.
Ayrıca trojanımız c:\windows\system dizinindeki
runonce.exe isimli bir backdoor virüsünü de bilgisayarınıza
bulaştırıyor. İşte bu programların silinmesiyle trojanımız da etkisiz
hale geliyor. Fakat windows ortamında bu programları silmenin imkânı
olmadığı için dos ortamına geçmeliyiz.
Temizlenmesi:
Bilgisayarı kapat bölümünde Ms-dos kipinde başlat
seçeneğini işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos
ekranında sırasıyla aşağıda söylenenleri yapın
C:\windows> cd system
C:\windows\system>attrib -h -r grcframe.exe (aradaki
boşluklara dikkat ediniz)
C:\windows\system>del grcframe.exe
C:\windows\system>del runonce.exe
Trojandan bu şekilde kurtulmuş olursunuz. Sisteminizi
yeniden başlatın.
BO (BACK ORİFİCE)(BO2K 2000):
Adı: bo2k.exe
Boyutu: 112 KB
Yerleştiği yer: Çalıştırıldığı dizin.
Start up yöntemi: TCP/IP yapılandırmasında kullanılan
bir dosyaya enfekte olarak sisteme bu sürücünün çalıştırılmasıyla
yüklenir.
En önemli özelliği: Sistemde bir sürücüye enfekte
olarak çalışır. Dolayısıyla bulunması zordur.
Özellikleri:
Yaygın olarak kullanılan trojanlardan birisidir.
En önemli özelliği kendisini TCP yapılandırmasında kullanılan
sürücülerden birine enfekte ederek görülemez hale getirmektir. Bu
sebeple bu yazıda bahsedilen start up yöntemlerinin hiç birisiyle
tesbit edilemez. Çünkü kendisi direkt olarak çalışıyor görünmez.
Bilgisayarın kullanmak zorunda olduğu sürücülerden birisine kendisini
yerleştirir ve o sürücü sisteme yüklenince otomatik olarak sisteme
yerleşir; .com ve .exe virüslerinin mantığına sahip. Bu pek de
bilinmeyen özelliği dışında, kurbana gönderilen server programı
istenildiği gibi ayarlanabiliyor(port, dosya adı
değişebiliyor). Bağlantı kurulan makiye yönelik çok zengin bir
kullanım seçeneği mevcut. Default olarak 31337 numaralı (ya da 54321)
portu kullanır. server programının ismi bo2k.exe(config programı ile
bu isim değiştirilebilir), boyutu 112 KB dır. Bu dosya herhangi özel
bir dizine kendisini kopyalamaz. Çalıştırıldığı dizin içerisinde
kalır. Zaten çalıştırıldıktan sonra silmeye kalkarsanız windows
tarafından kullanıldığı için silinemez mesajını alırsınız.
Temizlenmesi:
Diğer trojanlar gibi sistemde direkt çalışmadığı
için temizlenmesi için de farklı bir yöntem takip edilir. Kendisini
TCP yapılandırmasında kullanılan sürücülere enfekte ederek sisteme
yüklediği için, bozulmuş olan bu sürücülerin yenilenmesi ile sistemde
çalışamaz hale gelir. Bunun için de o an mevcut olan TCP
yapılandırmasının kaldırılarak sisteme yeniden kurulması gerekir.
Bunun için başlat-ayarlar-denetim masasına gelmeliyiz. Burada Ağ
adıyla belirtilen icona tıkladığımızda karşımıza ağ yapılandırmamız
gelecek.
Burada TCP/IP ile gösterilen seçeneği işaretleyerek
kaldır butonuna basarsak TCP/IP yapılandırmamızı kaldırmış oluruz.
Buradan Tamam butonuna basarak çıkıyoruz. Bize
bilgisayarı yeniden başlatma ile ilgili bir ekran çıkacak tamam
diyerek bilgisayarı yeniden başlatın.
Bilgisayarınız yeniden başladığında biraz önce
kaldırdığımız TCP/IP yapılandırmasını tekrar kuracağız. Bunun için
başlat-ayarlar-denetim masası buradan ağa tıkladığımızda karşımıza
çıkan ekranda ekle butonuna basıyoruz. Buradan çıkan menüden iletişim
kurallarını tıkladığımızda çıkan ekranda sol tarafta microsoft seçili
iken sağ tarafta TCP/IP yi seçerek tamam larla menülerden çıkıyoruz.
Artık TCP/IP tekrar kurulmuş oldu. Son olarak
bilgisayarı tekrar kapatıp açtığımızda TCP/IP yüklenmiş ve BO
trojanından kurtulmuş oluruz.(Tabi bu işlemler sırasında gerekli
dosyaları kopyalayabilmek için sizden win98 cd si istenebilir.)
START UP (BAŞLANGIÇ) PROGRAMLARI:
Bilgisayarımız açılırken bazı programlar sistem
ihtiyaçlarından bazılarıda kullanıcı ihtiyaçlarından dolayı otomatik
olarak çalıştırılırlar. Örneğin bir virüs tarama programınız varsa
başlangıçta bu program otomatik olarak sisteminize yüklenir. Başlangıç
programlarının çalışma sistemini kavrayabilmek ve onları kontrol
edebilmek trojanları ortadan kaldırmada en etkili yöntemdir. Start up
dosyaları bilgisayarınız açılırken çeşitli yollarla kendisini sisteme
yükler.
1) Win.ini
Başlat a gelerek çalıştırda win.ini yazıp enter a
basarsanız aşağıdaki gibi bir metinle karşılaşırsınız.
[windows]
NullPort=None
Options=85663
load=
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
[intl]
iCountry=90
ICurrDigits=2
iCurrency=3
iDate=1
iDigits=2
iLZero=1
iMeasure=0
iNegCurr=8
iTime=1
iTLZero=1
s1159=
s2359=
sCountry=Turkey
sCurrency=TL
sDate=.
sDecimal=,
sLanguage=trk
sList=;
sLongDate=dd MMMM yyyy dddd
sShortDate=dd.MM.yyyy
sThousand=.
sTime=:
..................
...............
yukarıdaki [windows] başlığı altındaki "load= " ve "run=
"ifadelerinden sonra gelecek olan dosya ismi bilgisayarınız tarafından
açılışta otomatik olarak sisteminize yüklenir. Bilgisayarınız için
gerekli bazı dosyalarda burada bulunarak başlangıçta çalıştırılabilir.
Fakat aynı yeri bir trojan da kullanabilir. Bu durumda hangi dosyanın
trojan hangisinin normal bir dosya olduğunu ayırt etmek sizin
elinizde. Trojan olduğunu tahmin ettiğiniz dosya ismini silerseniz
trojanın açılışta çalışmasını önlemiş olursunuz. Ama trojan hala
bilgisayarınızdadır. Sadece çalışması engellenmiştir.
2) System.ini
Başlat a gelerek çalıştır da system.ini yazıp
enter a basarsanız karşınıza aşağıdaki gibi bir dosya çıkar.
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll ctpnpscn.drv power.drv
shell=Explorer.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=mouse.drv
keyboard.drv=keyboard.drv
*DisplayFallback=0
fonts.fon=vgasys.fon
fixedfon.fon=vgafix.fon
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
scrnsave.exe=
user.exe=user.exe
[keyboard]
keyboard.dll=
oemansi.bin=xlat857.bin
subtype=
type=4
[boot.description]
system.drv=Standart PC
keyboard.typ=Standart 101/102-Tuşlu veya Microsoft Natural Klavye
aspect=100,96,96
mouse.drv=Standart fare
display.drv=3D Artist PA50
.........................
.........................
yukarıdaki satırlar arasında yer alan(üstten 4.
sırada) shell=Explorer.exe satırına dikkat etmeniz gerekir. Bu satır
da yazan dosya isimleri bilgisayarınız açılırken sisteme yüklenir (bu
dosyanın trojan veya normal bir program olup olmadığını ayıretmek
sizin elinizde). örneğin:
shell=Explorer.exe Winlog.exe
şeklindeki bir satır tehlike işaretidir. Explorer.exe
ve winlog.exe açılışta sisteminize yüklenmektedir. Explorer.exe
sisteminizin kullandığı bir program olduğu biliniyor. Öyleyse winlog.exe
muhtemelen bir trojandır. Bu satırda winlog.exe dosya ismini
silerseniz
shell=Explorer.exe
şeklinde değişir satırımız. Artık açılışta bu program
çalıştırılmayacak dolayısıyla portlarınız açılmayacaktır. Fakat bu
ismi silmekle trojanı silmiş olmayız sadece çalıştırılmasını önlemiş
olduk.
3) C:\WIDOWS\SYSTEM dizini
c:\windows\system dizini altında bilgisayarınızın
kullanmış olduğu donanım sürücüleri ve daha pek program açılışta
bilgisayarınız tarafından sisteme yüklenir. Bu dizini yerleştirilmiş
bir trojan (örneğin schoolbus bu şekilde grcframe.exe adındaki trojanı
buraya kopyalar) bilgisayar açılırken sisteme yüklenir. İşte bu dizin
içinde yer alan dosyanın silinmesiyle trojandan kurtulmuş olursunuz.
Fakat windows ortamında silmeye kalkarsanız. Program şu anda
kullanımda silemezsiniz gibi bir hata mesajıyla karşılaşırsınız. Bu
sorunu aşmak için başlat ta bilgisayarı kapat bölümünde Ms-Dos kipinde
başlat seçeneği işaretli olarak kapatırsanız. Sistemininiz Ms-dos
kipinde açılacaktır.
c:\windows>
şeklinde bir satır karşınıza çıkacak.
c:\windows>cd system
yazıp enter a basarsanız
c:\windows\system>
satırı oluşur. İşte burada silmek istediğimiz dosyanın
adını yazarak silebiliriz. Örneğin dosyamız winloger.exe ise
c:\windows\system>del winloger.exe
satırını yazıp enter a basarsak dosya sistemden
silinmiş olur.
4)Registery
Başlat ta regedit yazıp enter a basarsanız
registery ayarlarına ulaşmiş olursunuz. Aşağıda görüldüğü gibi
buradan
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
bölümüne geçersek aşağıdakine benzer bir ekranla
karşılaşmış oluruz
Bu ekranda görülen Run, RunOnce, RunOnceEx,
RunServices ve RunServicesOnce klasörleri bilgisayar açılırken sisteme
yüklenecek programları belirtir. Mesela Run klasörünün içeriğine
bakarsak aşağıdakine benzer bir ekran görürüz.
burada görülen programlardan şayet trojan olduğunu
düşündüğümüz varsa sağdaki bölümden program üzerine gelerek sağ
tıkladığınızda çıkan menüden sil i seçerseniz dosya kayıttan silinmiş
olur. Bu işlemi diğer bölümlerde de yapabilirsiniz(tabiki bu
görüntüler benim bilgisayarımın yapılandırması sizin ki farklı
olabilir. Yukarıda gösterilen programlardan LoadPowerProfil,
ScanRegistry, SystemTray, TaskMonitor sistem tarafından kullanılan
temel programlardan dır. Diğerleri kullanıcı tarafından eklenmiş
olabilir(Sizin bilgisayarınız için de geçerli).
Start up programlarının kontrolü:
Bu programları kontrol edebilmek için windows ile
birlikte gelen oldukça kullanışlı her bilgisayarda olan bir program
var. Msconfig.exe adındaki bu program ile start up (başlangıç)
dosyalarını kontrol edebilirsiniz. Dolayısıyla sizden habersiz hiçbir
dosya bilgisayarınızda çalıştırılamaz.
Başlat ta çalıştır a gelerek msconfig yazıp enter
a basarsanız aşağıdaki gibi bir ekranla karşılaşmış olursunuz.
Görüldüğü gibi biraz önce bahsettiğimiz win.ini,
system.ini ve registery ayarlarını buradan kontrol etmek de mümkün.
Örneğin win.ini den tehlikeli gördüğümüz bir satırı kaldırmak istersek
sadece yanındaki onay işaretini siliyoruz. Bilgisayar açılırken o
satırı çalıştırmıyor. Fakat system.ini yi buradan düzeltmenizi tavsiye
etmiyorum.
Ayrıca yukarıda görülen başlangıç kartını aktif
yaparsanız aşağıdaki gibi bir ekranla karşılaşırsınız.
yukarıda gördüğümüz programlar bilgisayar açılırken
yüklenen (system.ini ve c:\windows\system dizini hariç) win.ini ve
registery de bulunan dosyalardır. Bu dosyalardan herhangi birini
yanındaki onay işaretini kaldırarak çalışmaz hale getirebilirsiniz.
Çoğunlukla msconfig ile sisteminizde trojan olup olmadığını anlamak
mümkün olur. Bilgisayarınızın kullandığı programları biliyorsanız.
Geriye kalanlar tehlike işaretidir. Özellikle yukarıda da görüldüğü
gibi c:\windows, c:\windows\system veya c:\windows\temp dizini
altındaki dosyalara dikkat edilmesi gereklidir.
Start up dosyalarını kontrol etmek için bir yol
daha vardır. Başlat ta programlar-donatılar-sistem araçları-sitembilgisi
çalıştırılırsa aşağıdakine benzer bir ekran çıkar.
buradan Yazılım Ortamı aktif hale getirilirse bizim
işimize yarayacak iki bölüm karşımıza çıkar; Başlangıç programları ve
Çalışan Görevler. Başlangıç programını aktif hale getirirseniz
msconfig den tanıdığımız programları görürüz. Bizim için asıl önemli
olan yer Çalışan görevler bölümü, bu bölüm aktif yapılırsa
bilgisayarınızda çalışan system dizini de dahil tüm
programlar gösterilir. Fakat sadece seyredebilirsiniz, değişiklik
buradan mümkün değil. Dikkat edilmesi gereken sürüm, üretici ve tanım
kısımları boş olan programlardır. Yukarıda ki örnekte bu şartlara uyan
üç program mevcut bunlardan grcframe.exe dosyası schoolbus tarafından
system dizinine yerleştirilen trojandır. Diğerleri benim kontrolümde
sisteme yüklenmiş olan
www.ntvmsnbc.com haber uyarı programı ile homesite 4.0 site yapım
programıdır. Fakat yine de dikkat etmek gerekir tanımadık ama sistem
tarafından kullanılan programlar olabilir. Fakat şüphe duyulan bir
program bulunduğu dizine gidilerek incelenebilir. Örneğin boyutu
oluşturulma tarihi gibi kriterler bizim için önemli. Yazımızda
bahsettiğimiz ve yaygın olarak kullanılan trojanların boyutları
işinize yarayabilir. Sisteminizde mevcut olan trojan adı, iconu, portu
değiştirilmiş olabilir fakat bulunduğu yer ve boyut size bunun hangi
tür trojan olduğu hakkında ip ucu verecektir. Örneğin sisteminizde
trojan olduğunu zannettiğiniz bir program var. Bu program c:\windows
dizini altında ve yaptığınız araştırmalar onun hakkında pek de iyi
şeyler söylemiyorsa, boyut ve oluşturulma tarihine bakabilirsiniz.
Oluşturulma tarihi yakın ve boyutu 374 KB ise yakın zamanda
sisteminize bir program yüklemediyseniz muhtemelen bir subseven
trojanıdır. Çünkü subseven ın boyutu 374 KB dır.
PORTLARIN KONTROLÜ:
Yazımızda da belirttiğimiz gibi trojanlar açık
olan portlar aracılığıyla diğer bilgisayar ile irtibat kurar. Artık
neredeyse tüm yeni trojanların portlarını değiştirmek mümkün
olmaktadır. Fakat trojan kullanmayı seven arkadaşlar genellikle port
ve diğer ayarlarını değiştirmeden kullandıkları için default olarak
trojanlar tarafından kullanılan portların bilinmesinde fayda var(en
azından çok kullanılan trojanların). Peki sisteminizde tehlikeli bir
port un açık olduğunu nasıl anlayabiliriz. Burada yine windows
imdadımıza yetişiyor. Başlat-Programlar-MsDos komut istemi
çalıştırılırsa karşımıza ms-dos ortamı çıkar. Burada
c:\windows>netstat -an
yazıp enter a basarsanız o anda bilgisayarınızın
iletişim halinde olduğu bilgisayar ile arasındaki kullanılmakta olan
portlar ve ip numaraları gösterilir. (Portları kontrol için totostat
adında bir programı tavsiye ederim. Netstat ile aynı işlemi yapıyor.
Kullanımı daha pratik.
Buraya
tıklayarak download edebilirsiniz.)
Yukarıdaki şekilde yerel adres sizi, yabancı
adres bağlantı kurduğunuz karşı bilgisayarı gösterir. Dikkat edersek
54321 ve 31337 numaralı portlar açık görünüyor. Bunlar kesinlikle
bilgisayarda trojan olduğunun göstergesidir. 54321 schoolbus 31337 BO
trojanın kullandığı default portlardır. Ayrıca aktif olan iki bağlantı
var. Bunlardan ikisi de bir web sayfasına bağlı olduğumuzu gösteriyor.
Şayet web sayfasına bağlanırsak karşı bilgisayarın kullandığı port
olarak 80 (8080 de olabilir.), mail server a bağlanarak mailleri
kontrol ediyorsak 110, ftp programı ile web sitemize dosya
gönderiyorsak 21, telnet ile bağlantı kurmuş isek 25 numaralı portlar
yabancı bilgisayarın açık portları olarak görünür. Bunun haricindeki
portlardan yapılan(yabancı bilgisayarın portları) bağlantılar
tehlikeli olabilir. Fakat ve Chat ve proxy istisnası var. Chat
programı karşı tarafın 6667, 7000 gibi portlarını açabilir. Eğer
internete bir proxy üzerinden bağlanıyorsak bağlantı yapılan
bilgisayarın portu 1080 olarak görünebilir(tabi ki proxy istisna bir
durumdur. Çoğu kullanıcı normal bağlantı kurar.)
Bir portun açık olması bağlantı kurulduğu
anlamına gelmez. Yukarıda görüldüğü gibi 54321 numaralı port açık
fakat yabancı adreste bir bağlantı görünmüyor. Bu o anda bağlantı
olmadığını gösterir. 54321 numaralı porta bir bağlantı olduğunu görmüş
olsaydık. Kesinlikle birisinin bilgisayara girdiğinden
bahsedebilirdik.