Truva Atı (Trojan Horse yada kısaca Trojan ) Nedir ?

Eğlenceli yada faydalı bir program gibi gözüken, ancak maksadı hedef sisteme zarar vermek olan programlardır. Bilmeyen yoktur: eskiden başımızda programlarımızı yokeden Truva Atları vardı şimdi ise aynı işi yapabilen ama uzaktan kontrol edilebilen Truva Atları var. Evet doğru "Uzaktan Kontrol Edilebilen Truva Atları"

En yaygın baş belaları "Back Orifice, kısaca BO) " ve "NetBus"

Her iki Truva Atı, yukarıda anlatıldığı yolla sisteme girmektedir. Kendi başlarına sisteme dokunmazlar. Ancak sisteme girdikten sonra Windows kayıtlarında değişiklik yaparak her Windows oturumunda kendilerini çalışır hale getirirler. Her iki Truva Atını uzaktan kontrol edebilmek için aynı adı taşıyan programlar mevcuttur.

Şöyle düşünelim:
Siz internet bağlantısı olan masum bir bilgisayar kullanıcısısınız. Akşamları internete bağlanıp şöyle bir gezintiye çıkıyorsunuz. Bilgisayarın karşısında çayınızı içerken E-Mektuplarınızı kontrol ediyor, arkadaşlarınızla sohbet ediyorsunuz. Her ne şekilde olursa olsun yukarıda anlatılan Truva Atları sisteminize bulaşmış olsun. Eğer önleyici programlarınız yoksa, söz konusu Truva Atlarını kontrol eden programı olan herkes sisteminize girebilir. Burada Truva Atı, bilgisayarınızı bir tür server haline sokar ve internet üzerinden gelen komutları sizin bilgisayarınızda uygulayıp sonucunu hizmet ettiği karşı tarafa iletir. Eğer dikkatli bir kullanıcı değilseniz tüm bunlardan HABERİNİZ BİLE OLMAZ!

Truva Atına, kontrol programlarıyla gönderilen komutlardan en önemlileri şunlardır:

-Klasör içeriğine bakma, Klasör yaratma/silme
-Dosya arama, dosya silme, dosya içeriğine bakma
-Bilgisayarınızı hizmetçi hale getirme (sabit diskinizde gezinebilir, dosya çekebilir)
-Windows oturumunu kapatma, windowsu kilitleme
-Windows kayıtlarına erişme, kayıt silme, kayıt yaratma
-Sistem bilgisini alma, zuladaki şifreleri alma
-Dosya gönderme, dosya alma

Görüldüğü üzere Truva Atı, telefon hattının diğer ucundaki sahibi için yukarıdaki komutları sizin bilgisayarınızda uygulayabilmektedir. Elbette ki siz masumca internete bağlıyken.

Truva Atlarının tesbiti ve yok edilmesine geçmeden evvel "Bütün bunlar nasıl olabilir ?" sorusuna cevap arayalım. Bildiğiniz gibi (bilmiyorsanız açıklıyorum) bir çok programcı, masum programlarına "Arka Kapı (Back Door)" tabir edilen kodlar ilave ederler. Kullanıcılar bunları bilmezler. Ancak gerektiğinde programcı tarafından kullanılırlar. Mesela şifre korumalı bir program satın aldığınızı düşünün. Program bir ara çalışmaz oldu ve teknik destek istediniz. Programcı sizin şifrenize ihtiyaç duymadan programını çalıştırabilmesi için programa bir parametre ile kendini tanıtır. Program, içerdiği rutin icabı, çalıştıranın kendi programcısı olduğunu anlar ve hata analiz prosedürünü çalıştırır. Böylece programcı hataları bulur, onarır ve programı çalışır hale getirir. Siz bu prosedürü bilmiyordunuz bile. Bu çok basit bir Arka Kapı. Elbetteki kötü niyetli değil, sadece uzman olmayan kişilerin ulaşmasını engellemek amacıyla yapılmış bir prosedür.

Delikler sadece yazılımlarda değil, bilgisayar entegrelerinde de olabilmektedir. Mesela bir zamanların en yaygın ev bilgisayarı olan Commodore 64'ün en alt ekran satırı haricinde normalde kimsenin ulaşamadığı bir satırının da olduğunu üreticileri bile bilmiyordu. Bir grup programcı, bilgisayar entegresindeki delikten faydalanarak bu satırı kullanmayı başardı.

İşte bazı hacker tabir edilen ve sistem hakkında son derece yüksek bilgiye sahip kişiler, Windowsun ağ bağlantılarındaki Arka Kapılarını ve eksiklerini (hole,delik) tesbit etmişler ve yukarıda anlattığımız Truva Atı programlarını ve Truva Atlarını uzaktan kontrol etmeye yarayan programları bu deliklere göre yazmışlardır.

BO ve NetBus Truva Atlarının Tesbiti ve Yok Edilmesi

UYARI:
Windows kayıt düzenleyicisi (Registry Editor) kullanımı ile ilgili deneyiminiz yoksa yardım alın!
Ayrıca herhangi bir hataya karşı Windows klasöründeki USER.DAT ve SYSTEM.DAT dosyalarını
ayrı bir klasöre kopyalayın. Yapacağınız işlemler bu dosyalarda gerçekleşecektir.

BO Truva Atının Tesbiti
1. Başlat/Çalıştır'dan Kayıt Düzenleyicisini çalıştırın (REGEDIT yazıp Enter'e basın).
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion anahtarını açın.
3. Bu anahtarda iken Run, RunOnce, RunOnceEX, RunServices, RunServicesOnce alt tuşlarına
tek tek bakarak aşağıdakine benzer değerleri arayın.
".EXE" satırını gördüyseniz sisteminizde BO Truva Atı var demektir.
Bu program, her windows oturumunda çalışması gereken diğer programlarla birlikte çalıştırılır.
Dolayısıyla diğer satırlara dokunmadan, yukarıdaki adı içeren satırı silin.
4. Bilgisayarınızı yeniden başlatın.
5. Windows gezginiyle Windows\System klasörüne bakın. Burada 122 kBayt uzunluğunda adı
olmayan bir dosya göreceksiniz. Silin! Aynı klasörde WINDLL.DLL dosyasını bulun ve
önyargısız silin. Her iki dosya da BO Truva Atı dosyalarıdır.
Tebrikler, BO Truva Atından kurtuldunuz, şimdi bilgisayarınızı yeniden başlatın.

Truva Atı dosyaları farklı isimlerde olabilir. Emin olmak için, Başlat/Bul/Dosyalar ve Klasörler sekmesini seçin. Konum olarak Windows klasörünü belirtin ve Gelişmiş sekmesine geçin. İçerdiği Metin kutusuna "bofile" yazarak aramaya başlayın. Bulunan dosyalar BO Truva Atı dosyalarıdır.
Dosya isimlerini biryere not edin ve yukarıdaki kayıt anahtarında bu isimleri bulun ve o anahtarı silin. Ayrıca dosyaları da silmeyi unutmayın.

NetBus Truva Atının Tesbiti
1. Başlat/Çalıştır'dan Kayıt Düzenleyicisini çalıştırın (REGEDIT yazıp Enter'e basın).
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion anahtarını açın.
3. Bu anahtarda iken Run, RunOnce, RunOnceEX, RunServices, RunServicesOnce alt tuşlarına
tek tek bakarak aşağıdakine benzer değerleri arayın.
"PATCH.EXE" satırını gördüyseniz sisteminizde NetBus Truva Atı var demektir.
Bu program, her windows oturumunda çalışması gereken diğer programlarla birlikte çalıştırılır.
Dolayısıyla diğer satırlara dokunmadan, yukarıdaki adı içeren satırı silin.
4. Bilgisayarınızı yeniden başlatın.
5. Windows gezginiyle Windows çekmecesine bakın. Burada 4?? kBayt uzunluğunda "PATCH.EXE"
dosyasını göreceksiniz. Silin! Tebrikler, NetBus Truva Atından kurtuldunuz.
6. Bilgisayarınızı yeniden başlatın.

ŞİMDİ BÜTÜN İNTERNET ŞİFRELERİNİZİ DEĞİŞTİRİN!
İnternete bağlanmanızı sağlayan şifrelerinizi ve diğer tüm önemli internet şifrelerinizi değiştirmeyi de unutmayın, zira birileri! bu şifreleri kullanıyor olabilir.

Sisteminiz Saldırılardan (ŞİMDİLİK) Nasıl Korunabilir ?

Eğer Windows95 kullanıyorsanız tercihiniz Windows98'e geçmek olsun. Windows98'in Windows95'e göre daha güvenli olduğu açık. Pekçok delik kapatılmış. Ancak dışarıda biryerlerde pek çok hacker olduğunu unutmamak gerekir!

Hali hazırda Windows95 kullanıyorsanız öncelikle Windows Sockets programlarını güncelleyin. Microsoft'un sitesinden Windows95 için WinSock2.2 'yi indirip kurun. İnternete bağlıyken tüm haberleşme portlarını kontrol altında tutabilen FireWall yada benzeri bir program kullanın.

Beğeniler: 1
Favoriler: 1
İzlenmeler: 2570
favori
like
share
veygun Tarih: 31.08.2011 12:03
system32 içinde rononce.exe var, bu virusten bir türlü kurtulamadım. Siliyorum 3sn sonra tekrar devreye giriyor.
ajanumut Tarih: 25.08.2011 00:45
Valla bende Kayıt defterine baktım.Yazdığınız yolları gördüm.Denedim kayıt defterinde.Run Runonce ve runonceex var.Ama içinde Exe satırları var.Modemi'min kurulum programı yani HG521 Kolay kurulum programı.exe Persistance,HotKeyscmd,AVG_TRAY,egui,IgfxTray, RTHDCPL Bu dosyalar exe.yazıyor sonunda Run'da olan bunlar var.....
veygun Tarih: 21.08.2011 12:13
Bende Runonce diye truva atı bir çeşit virüz avast buluyor ama silemiyor. Ben bu virüsün nereye kendini attığını buldum elle siliyorum ama 3 sn sonra tekrar geliyor.