DostYeri [Korunma]
Bu yazıyı önceki yazımdaki teorik bilgilerin uygulanmasında kolaylık sağlaması amacıyla yayımlıyorum. Sisteminizde trojan olduğundan şüpheleniyorsanız tespit için gerekli bilgileri ve çözüm yollarını bu yazı yardımıyla bulabilirsiniz. Trojanların bilgisayar sistemine nasıl yerleştiklerini anlayabilmek amacıyla hepsini kendi bilgisayarımda denedim. Bu çalışmada Dünya underground yazılım piyasalarında popüler olan 4 trojanın toplam 10 versiyonu ve 2 Türk trojanı olmak üzere toplam 12 popüler trojan hakkında bütün detaylı bilgilere yer verilmiştir. Yazı sitemde sürekli olarak güncellenecektir. Eğer listede yer almayan bir trojanın yaygın şekilde kullanıldığını tespit ederseniz server dosyasını bana yollayın. Birkaç gün içinde trojan hakkında detaylı bilgiyi yazıya eklerim.
Dosya İsmi | Boyut (Kb) |
Trojan İsmi | Start up Yöntemi | Sistemdeki Yeri |
Port | |
wincfg.exe | 45 | GIP 110 (Password Stealer) |
LM (Run) |
System dizini |
Yok | |
info32.exe | 740 | kolaylıkla değişebilir |
InCommand1.5 | win.ini | Windows dizini |
TCP 9400 |
.exe | 122 |
BackOrifice1.2 | LM (RunServices) |
System dizini | UDP 31337 | |
umgr32.exe | 136 | BO2k | LM (RunServices) |
System dizini | UDP 31337 |
|
systray.exe (windows) |
261 | DeepThroat3.0 | LM (Run) |
Windows dizini |
TCP 6671 |
|
mtmtask.dl | 329 | Subseven1.9 | system.ini | Windows dizini |
TCP 1243 |
|
kerne1.exe | 329 | Subseven2.0 | system.ini | Windows dizini |
TCP 1243 |
|
msrexe.exe | 372 | kolaylıkla |
Subseven2.1 | win.ini | Windows dizini |
TCP 27374 |
msrexe.exe | 389 | " |
Subseven2.1gold | win.ini | Windows dizini |
TCP 27374 |
qwhqwu.exe (system) |
57 | " |
Subseven2.2 | connection | System dizini |
TCP 27374 |
grcframe.exe (system) |
562 | değişebilir |
Schoolbus2.0 | Runonce.exe | System dizini |
TCP 54321 |
çalıştırılan dosya | 384 | TruvaAtı1.2 | LM (Run) |
Çalıştırılan dizin |
TCP 80 Telnet |
|
çalıştırılan dosya |
484 | NetBus1.7 | LM (run) |
Windows dizini |
TCP 12345 |
|
çalıştırılan dosya |
612 | NetBus2.0 | LM (RunServices) |
Windows dizini |
TCP 20034 |
Build Güncelleme Notları
BackOrifice1.2 ve 2k UDP portu kullandıkları için portscan yapıldığında farkedilemezler. Deep Throat ve Truva Atı haricindeki trojanların kullandıkları portlar trojanı konfigüre eden kişi tarafından değiştirilebilir. Subseven Trojanı, tecrübeli kullanıcılar tarafından EditServer programı yardımıyla çok geniş bir çeşitlilikte konfigüre edilebilmektedir. Bu trojanın boyutu, iconu, startup yöntemi, sistemde yerleşeceği dizin ve alacağı isim, register anahtarının adı ve kullanacağı port değişiklik göstermektedir. Yukarıdaki tabloda verdiğim bilgiler server'ın default özellikleridir.
SchoolBus serverı çalıştığı bilgisayarın UDP 44767 portunu da açmaktadır. BackOrifice, system klasöründe WINDLL.DLL dosyasını oluşturur. SubSeven'ın 1.9 dan önceki versiyonları SYSTRAY.DL adıyla windows klasörüne yerleşip TCP 1243 portu açarlar. Ayrıca system klasöründe FAVPNMCFEE.DLL dosyasını oluştururlar.
Build 014 Güncellemesi :
InCommand 1.5 Trojanının iconu, sistemde alacağı isim ve kullanacağı port, edit server programı yardımıyla değiştirilebilmektedir.
GIP 110 Programı, register'da özel bir teknik kullanarak registry'de LM (run) ve LM(RunServices) bölgeleri arasında yer değiştirebilir. Bu nedenle, bilgisayarınızı restart yaptıktan sonra mutlaka DOS ortamında açıp program dosyasını silmelisiniz. Eğer bu işlem yapılmazsa Windows yeniden başlatıldığında program tekrar aktif hale gelebilir. GIP programının iconu değişebilir, gönderildiği bilgisayarda windows, system ve temp dizinlerine yerleşebilir, aynı şekilde çalıştırıldıktan sonra alacağı isim de değişebilmektedir. Ayrıca GIP trojanı çalıştırıldığında taşıyıcı dosyayı silebilme fonksiyonuna da sahiptir. Bu trojan bilgisayarınızda çalıştırıldıysa hiç zaman kaybetmeden ICQ ve DialUp passwordleri başta olmak üzere sistemde kullandığınız bütün passwordleri (email, ftp, web-site vb.) değiştirmeniz gerekmektedir.
Çözüm Yöntemleri
1.Start up Fonksiyonunun iptali
1.1. Registrye Yerleşen Trojanlar
Regedit.exe programıyla
LM (RunServices) için ;
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
LM (run) için ;
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
adresine gidip trojan dosyasının oluşturduğu anahtarları sildikten sonra bilgisayarınızı restart etmeniz gereklidir.
* Truva Atı trojanını registry'den temizlemek için öncelikle trojan dosyasının bulunduğu klasörün ismini değiştirip bilgisayarınızı restart ettikten sonra programı registry den silmelisiniz.
1.2 Yapılandırma Dosyalarına Yerleşen Trojanlar
windows dizini altındaki WIN.INI ve SYSTEM.INI dosyalarını notepad'le açıp
WIN.INI de run=
SYSTEM.INI de ise shell=
satırları kontrol edilmelidir. Eşittir işaretinden sonra yazan dosya ismi yukarıdaki listede yazan isimlerden birisi ya da şüphe uyandıran başka bir isimse o bölümü silip yapılandırma dosyasını save ettikten sonra bilgisayarınızı restart edin.
2. Executable dosyanın silinmesi
Registry erişimi engellenemeyen bir dosyayı windows üzerinde silmeniz olanaksızdır. Bu dosyaları silebilmek için bilgisayarı, low level işletim sistemi olan DOS kipinde açmak gereklidir. Dos ortamında dizin değiştirmek için CD dosya silmek için DEL komutlarını kullanırız.
Örnek :
msrexe.exe olarak sisteme yerleşmiş bir SubSeven trojanını silmek için.
del c:\windows\msrexe.exe
komutu verilmelidir. silme işlemi bittikten sonra, dos ortamına shutdown menüsünden girmişsek EXIT boot sırasında girmişsek WIN komutu verilerek windows ortamına dönülür.
Eğer Firewall kullanmıyorsanız haftada bir kez windows ve system klasörünüzdeki dosyaların listesini ;
dir *.exe /od > liste.txt
komutunu vererek liste.txt dosyasına oluşturma tarihi sırasına göre aktarabilirsiniz. Daha sonra bu dosyayı Notepad programıyla açıp incelemeniz haftalık değişimleri farkedebilmenizi sağlar. Hızlı bir portscan yardımıyla bilgisayarınızdaki TCP portlarını haftada bir kez kontrol etmeniz de sistem güvenliğinizi sağlamanıza yardımcı olur.
Computer Security 1
(start up & dosya erişimi)
Günümüzde İnternet, pek çok insan için vazgeçilmez bir gereklilik ve alışkanlıktır. Dünyayı saran internet ağına çeşitli yollardan erişmek mümkündür. İnternet Cafe'ler, işyerleri, okullar ya da kişisel bilgisayarlar. İnternete ulaştığınız yol ne olursa olsun sizi bekleyen çok çeşitli tehlikeler mevcuttur. Birileri kişisel bilgisayarınız, kullandığınız network ya da size özel accountlarınız üzerinde hakimiyet kurmuş olabilir. Bu durum, kişisel dosyalarınızın tanımadığınız kişilerin ellerine geçmesinden, bulunduğunuz ortamdaki konuşmaların dinlenmesine, kişisel hesaplarınızın sizin adınıza kötü amaçlarla kullanılmasından, sizi mahkeme koridorlarına taşıyabilecek işlemlere kadar çeşitli belalara neden olabilir. Bu satırları okuduğunuz sırada sizin bilgisayarınız aracılığıyla bir banka hesabına illegal müdahaleler yapılıyor olabilir. İnanın bana bu hiç de paranoyakça bir düşünce ya da komplo teorisinin bir parçası değil. Bu yazıda "Computer Security" için gerekli olan üst düzey bilgileri yeni kullanıcıların da anlayabileceği bir şekilde açıklamaya çalışacağım.
Computer Security için ilk şart bilgisayarınızın açılırken ve açıldıktan sonra yaptığı her işlemin şeffaf olması gerekliliğidir. Normal şartlarda işletim sisteminiz açıldığında hiçbir şüphe çekmeksizin bilgisayarınızı başkalarının kötü amaçlarına sunabilir. Gerekli şeffaflığın sağlanması için başlıca üç fonksiyonun gözlemlenebilmesi gerekir.
1. Start up dosyaları
2. Dosya ve register erişimi
3. TCP/IP trafiği
1. Start up Dosyaları :
Start up dosyaları bilgisayarınızın her açılışında sizin onayınız ve haberiniz olmaksızın otomatik olarak çalıştırılan dosyalardır. Antivirüs program paketlerinin shield programları, getright ya da netzip gibi download araçları, printer ya da scanner gibi donanımlarınızı yöneten programlar bu yöntemle çalıştırılmaktadır. Ancak bilgisayarınızda trojan ya da bazı pws (password stealer) programları bir defa bile çalıştırılsa kendilerine autostart özelliği kazandıracak bir dizi işlem yaparlar ve her açılışta aktif hale gelirler. Şimdi programların start up özelliği için sisteminizde ne tür değişiklikler yaptıklarını görelim. Programların kendilerini yazabilecekleri yerleri tanıttıktan sonra zararlı programları nasıl tanıyabileceğimizi açıklamaya çalışacağım.
Start up özelliği için en basit yöntem programın başlangıç (start up) klasörüne kısayolunu kopyalamasıdır. Bu klasör
C:\WINDOWS\Profiles\*oturum logininiz*\Start Menu\Programlar\Başlangıç
adresinde bulunur. Bu klasöre START menüsünden rahatlıkla ulaşabilirsiniz.
İkinci yöntem programın kendisini
C:\WINDOWS\
dizinine kopyalayıp windows un yapılandırma ayarlarını
düzenleyen dosyalara kendisini yazmasıdır. Bu dosyalar windows klasörü altında yer
alan WIN.INI ve SYSTEM.INI dosyalarıdır. Dosyalar ASCII modda olduklarından herhangi
bir editör yardımıyla (notepad gibi) açılıp kolayca düzenlenebilirler. Aşağıda
söz konusu iki dosyanın start up fonksiyonu için kullanılan bölümlerini
görebilirsiniz.
[windows] NullPort=None DOSver=3D213E3C6D66 StartUp=3F70 load= run= |
[boot] oemfonts.fon=vgaoem.fon system.drv=system.drv drivers=mmsystem.dll power.drv shell=Explorer.exe |
WIN.INI ve SYSTEM.INI dosyalarının ilgili
bölümleri
WIN.INI dosyasında run anahtarı, SYSTEM.INI de ise shell anahtarı start up sırasında çalıştırılacak dosya adını saklı tutar. SYSTEM.INI de Explorer.exe default olarak kayıtlı durumdadır. Yeni bir dosya eklendiğinde Explorer.exe'nin sağ tarafına yazılır.
Üçüncü yöntem programın windows dizinine kopyalandıktan sonra register anahtarlarını kullanarak autostart özelliği almasıdır. Windows register'ı işletim sisteminin ve install edilen program kayıtlarının ve bazı yapılandırma ayarlarının saklı tutulduğu bir yapıdır. Bilgisayarın isminden, faks için kullanılan telefon numarasına kadar bütün bilgilere buradan erişip değişiklik yapmak mümkündür. Register'ı düzenlemek için windows dizini altında yer alan REGEDIT.EXE programını kullanabilirsiniz. Programlar autostart özelliği almak için registry'de çoğunlukla
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\SOFTWARE\Mirabilis\ICQ\Agent\Apps\ICQ]
Anahtarlarını kullanırlar. Sisteminizin söz ettiğimiz
bölümlerinde birçok program dosyası kayıtlı durumdadır. Bu dosyalar arasından
zararlı olanları ayırabilmek biraz dikkat ve birikim ister. Sizlere
kolaylık olması açısından normal ve zararlı dosyalar için örnekler vermeye
çalışacağım.
Örnek Windows Start up dosya listesi
Yukarıda gördüğünüz tablo benim çoğunlukla
kullandığım windows profiline ait start up dosyalarımın listesidir. Bu liste her
makine için farklılık gösterebilir. Kullandığınız donanımların markası ve
cinsi, kullandığınız yazılımlar bu tablonun içeriğini değiştirmektedir. Casus
programların registry'de aldıkları isimler programı konfigüre eden kişilerin
isteğine göre değişebilir bu nedenle standart bir liste vermek mümkün değildir.
Fakat yine de Türkiye'de sık kullanılan trojan serverlarının sisteme
yerleştikten sonra default olarak aldıkları isimleri açıklamakta fayda görüyorum.
- systray.dl
- systray.exe (system klasöründeki değil)
- msrexe.exe
- grcframe.exe
Sisteminizde şüpheli bir dosya bulunuyorsa (şüpheli dosyalar konusunu birazdan açıklamaya çalışacağım) ve o dosyanın ismi de start up dosyalarınız arasında yer almışsa, söz konusu dosya şüpheli olmaktan çıkmış ve bilgisayarınızdaki verileri başkalarının hizmetine sunmaya başlamış demektir.
2. Dosya Erişimi :
Bilgisayar sistemleri yazılım olmaksızın çalışmaz. Bu nedenle gerekli yazılımları çeşitli yöntemlerle temin edip bilgisayarımıza yükleriz. Bu işlem bilgisayarımızın güvenliğini tehdit eden faktörlerin başında yer alır. Bu konuda çok yaygın yanılgılar vardır. Özellikle yalnızca executable dosyaların zararlı olabileceği yanılgısı pek çok kişinin başını derde sokmuştur. Sizlere belki çok şaşırtıcı gelebilir ama normal işlevini yapan ve işletim sisteminde hiçbir tuhaf görünüme sahip olmayan bir resim, mp3, midi, txt ya da office dosyası (bu liste hayal gücünüzle sınırlıdır) sistem güvenliğinizi tamamen ortadan kaldırabilir. Dosya ve register erişimini kontrol altında tutabilmek için monitör programlarına ihtiyacınız vardır. Ben FILEMON.EXE ve REGMON.EXE adlarında iki program kullanıyorum. Bu programlar hakkında detaylı bilgileri başka bir yazımda açıklayacağım. Şimdi normal bir dosyayla casus fonksiyonlar taşıyan dosyalar arasındaki görünür farkları incelemeye çalışalım.
I - Yalın Trojanlar
Bu dosyalar .exe uzantılı olurlar. boyutları 30Kb ile 1.5Mb
arasında değişmektedir. Popüler olanları 8Kb, 122Kb, 136Kb, 261Kb, 314Kb, 321Kb,
372Kb, 389Kb, 484Kb ve 610Kb boyutlarında karşınıza çıkabilir. İconları
olmayabilir, standart executable iconu (üstte mavi şeritli beyaz dikdörtgen), meşale,
satellite anten ya da windows logosu iconları söz konusu trojanların yalın halleridir.
Bu dosyalar açıldıklarında ya hiçbir şey olmaz ya da sisteminiz hata mesajı verir.
Bu işlem sırasında hard diskinizden yoğun sesler gelir ve sisteminiz yavaşlar. Eğer
dosya pws dosyası ise ve bilgisayarınız internetde değilse internet connection'ı
sağlamaya çalışır. Aşağıda popüler trojan serverlarının yalın haldeki
iconlarını görebilirsiniz.
II - Birleşik Trojanlar
Bu dosyalar iki programın birleşimidir. Animasyon, e-cart, şaka, utility gibi programlara trojan eklenmesiyle oluşturulur. iconları ya da boyutları standart değildir. Bu dosyalar çalıştırıldığında bir çıktı oluşturmadan önce hard diskinizden yoğun sesler gelir. Eğer dosya pws dosyası ise bilgisayarınız internet connection'ı sağlamaya çalışır.
III - Süslü Trojanlar
Bu dosyalar görünürde .exe uzantılı değildir. iconları
media file iconlarına (jpg, gif, bmp vb.) benzetilmeye çalışılmıştır. Ancak
orijinal icon gibi davranmazlar. görünüm modu değiştirildiğinde boyutuyla beraber
şeklinin değişmesi gereken iconun yalnızca boyutu değişir. Ayrıca bazen transparan
olması gereken kısımlarda renkli lekeler bulunmaktadır. Aşağıda orijinal ve taklit
icon örneklerini inceleyebilirsiniz.
Dosyalar çalıştırıldıklarında bir şey olmayabilir, hata mesajı verebilir ya da
taklit edildikleri media dosyasının fonksiyonlarını tam anlamıyla
gerçekleştirebilirler. Ancak her 3 durumda da sistemde yavaşlama, hard diskden gelen
yoğun sesler ve/veya internet connection'ı sağlama çabası görülebilir. Bu tür
dosyaların güvenirliliğini dosya üzerinde sağ butona basarak anlayabilirsiniz.
karşınıza çıkan assist menü normalden 3-4 kat daha genişse dosya, windows üzerinde
uzantısı farklı görünen bir dosyadır. Ayrıca klasör seçeneklerinin görünüm
sekmesinde "Bilinen dosya türlerinin uzantılarını gizle" seçeneğini pasif
hale getirirseniz windows un extensionlar konusunda sizi yanıltmasını engellemiş
olursunuz.
IV - Gizli Trojanlar
Bu trojanlar anlaşılması en zor ve en tehlikeli dosyalardır. uzantısı .exe değildir. sisteminizde çalışmayan bir media file olarak aktif hale geleceği zamanı bekler. Bu dosyalar özel hedefler için oluşturulur. uzantısı .exe olmayan dosyayı bulup uzantısını değiştirip çalıştıran ve gerektiğinde silen çok küçük .exe, .com, veya .bat dosyaları ile aktif hale getirilirler. Genellikle program crack dosyaları, key generator'lar 2. parça için çok ideal programlardır. Bu dosyalardan korunmak için sisteminizde işlevini gerçekleştirmeyen dosyaları kesinlikle barındırmayın.
V - Self extract zip Trojanları
Bu dosyalar .exe uzantılıdır ve üzerlerinde default olarak
aşağıdaki icon bulunur.
Self extract zip file iconu
Zip paketi içerisindeki programları belirli bir sırayla ve otomatik olarak çalıştırmaya yarayan bu dosya türünün içerisine sisteme gizlice yerleşen bir trojan yerleştirmek son derece kolaydır. Bu nedenle bu tür dosyaları açmadan önce sağ butona basıp "Extract to folder..." komutunu vererek içeriğini bir klasöre açmak ve kontrol etmek gerekmektedir.
İnternet erişimi sağlamadan önce kullanacağınız programları (ICQ dahil) önceden açmanız ve connection windowlarını kapatmanız güvenli bir erişime zemin hazırlar. Bilgisayarınızın açıldıktan sonra sizin isteğiniz dışında internete girmeye çalışması şüpheli bir durumdur. Bu isteği onaylamanız halinde verilerinizi tanımadığınız kişilere göndermiş olabilirsiniz.
Computer Security için en önemli koşul TCP/IP trafiğini kontrol altında tutmaktır. Bu kontrol için iyi bir firewall kullanmalı ve firewall rule 'larını en iyi şekilde düzenlemelisiniz. Bu konuyu detaylı olarak yazımın ikinci bölümünde açıklamaya çalışacağım. Firewall kurulumunun yanı sıra TCP ve UDP portlarının çalışma mantıkları ve işlevleri de gelecek yazımın içeriğinde yer alacak.
Bu yazıma son verirken değinmek istediğim birkaç konu var. Öncelikle Hacker'lığın güzel, karizmatik ve itibarlı bir sıfat olduğunu asla düşünmeyin. Bir bilgisayar sistemine gizlice girmekle bir eve gizlice girmek arasında ahlaki açıdan hiçbir fark yoktur. Hiç kimse size illegal bir siteyi hacklediğiniz için madalya vermez. Benden hiçbir saldırı amaçlı yardım istemeyin. Bilgisayarınızda yukarıda söz ettiğim belirtiler meydana geldiyse ya da daha açık bir şekilde bilgisayarınız sizinle sesli ya da yazılı iletişim kurmaya başladıysa ve fonksiyonları sizin kontrolünüzden