İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

En unlu 12 trojan hakkinda genis bilgi. Aciklamalar, Kurtulma yollari

06-03-2013 19:33
#1
AeonTr - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
09/2012
Nereden:
Trabzon
Mesajlar:
635
Teşekkür (Etti):
38
Teşekkür (Aldı):
112
Konular:
87
Ticaret:
(0) %
Computer Security için ilk şart bilgisayarınızın açılırken ve açıldıktan sonra yaptığı her işlemin şeffaf olması gerekliliğidir. Normal şartlarda işletim sisteminiz açıldığında hiçbir şüphe çekmeksizin bilgisayarınızı başkalarının kötü amaçlarına sunabilir. Gerekli şeffaflığın sağlanması için başlıca üç fonksiyonun gözlemlenebilmesi gerekir.
1. Start up dosyaları
2. Dosya ve register erişimi
3. TCP/IP trafiği

Bu üç fonksiyonun bilinçli bir şekilde gözlemlenmesi bilgisayarınızı tek kelimeyle kusursuz bir güvenliğe eriştirir. Güvenlik için hiçbir zaman antivirüs programlarına tam olarak güvenmemelisiniz. Bu tür programların koruyucu özelliği bazı durumlarda tamamen ortadan kalkabilmektedir. Şu an kullanımda olan trojanların (bilgisayarların dışarıdan yönetilmesini sağlayan casus programlar) bir kısmı hiçbir antivirüs programı tarafından tespit edilememektedir. Güvenlik konusunu Windows işletim sistemi üzerinde anlatmaya çalışacağım. Çünkü windows hem en yaygın kullanılan hem de en zayıf güvenliğe sahip işletim sistemidir. Eğer internete alternatif bir işletim sistemi üzerinden bağlanıyorsanız yazının geri kalan kısmını genel kültür açısından okuyabilirsiniz. Windows kullanıcılarının ise her kelimesini itinayla okumalarını tavsiye ederim.

1. Start up Dosyaları :

Start up dosyaları bilgisayarınızın her açılışında sizin onayınız ve haberiniz olmaksızın otomatik olarak çalıştırılan dosyalardır. Antivirüs program paketlerinin shield programları getright ya da netzip gibi download araçları printer ya da scanner gibi donanımlarınızı yöneten programlar bu yöntemle çalıştırılmaktadır. Ancak bilgisayarınızda trojan ya da bazı pws (password stealer) programları bir defa bile çalıştırılsa kendilerine autostart özelliği kazandıracak bir dizi işlem yaparlar ve her açılışta aktif hale gelirler. Şimdi programların start up özelliği için sisteminizde ne tür değişiklikler yaptıklarını görelim. Programların kendilerini yazabilecekleri yerleri tanıttıktan sonra zararlı programları nasıl tanıyabileceğimizi açıklamaya çalışacağım.
Start up özelliği için en basit yöntem programın başlangıç (start up) klasörüne kısayolunu kopyalamasıdır. Bu klasör
C:\WINDOWS\Profiles\*oturum logininiz*\Start Menu\Programlar\Başlangıç
adresinde bulunur. Bu klasöre START menüsünden rahatlıkla ulaşabilirsiniz.
İkinci yöntem programın kendisini
C:\WINDOWS\
dizinine kopyalayıp windows un yapılandırma ayarlarını düzenleyen dosyalara kendisini yazmasıdır. Bu dosyalar windows klasörü altında yer alan WIN.INI ve SYSTEM.INI dosyalarıdır. Dosyalar ASCII modda olduklarından herhangi bir editör yardımıyla (notepad gibi) açılıp kolayca düzenlenebilirler. Aşağıda söz konusu iki dosyanın start up fonksiyonu için kullanılan bölümlerini görebilirsiniz.


[windows]
NullPort=None
DOSver=3D213E3C6D66
StartUp=3F70
load=
run=
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll power.drv
shell=Explorer.exe

WIN.INI ve SYSTEM.INI dosyalarının ilgili bölümleri
WIN.INI dosyasında run anahtarı SYSTEM.INI de ise shell anahtarı start up sırasında çalıştırılacak dosya adını saklı tutar. SYSTEM.INI de Explorer.exe default olarak kayıtlı durumdadır. Yeni bir dosya eklendiğinde Explorer.exe'nin sağ tarafına yazılır.
Üçüncü yöntem programın windows dizinine kopyalandıktan sonra register anahtarlarını kullanarak autostart özelliği almasıdır. Windows register'ı işletim sisteminin ve install edilen program kayıtlarının ve bazı yapılandırma ayarlarının saklı tutulduğu bir yapıdır. Bilgisayarın isminden faks için kullanılan telefon numarasına kadar bütün bilgilere buradan erişip değişiklik yapmak mümkündür. Register'ı düzenlemek için windows dizini altında yer alan REGEDIT.EXE programını kullanabilirsiniz. Programlar autostart özelliği almak için registry'de çoğunlukla
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Mirabilis\ICQ\Agent\App s\ICQ]

Anahtarlarını kullanırlar. Sisteminizin söz ettiğimiz bölümlerinde birçok program dosyası kayıtlı durumdadır. Bu dosyalar arasından zararlı olanları ayırabilmek biraz dikkat ve birikim ister. Sizlere kolaylık olması açısından normal ve zararlı dosyalar için örnekler vermeye çalışacağım.



Örnek Windows Start up dosya listesi
Yukarıda gördüğünüz tablo benim çoğunlukla kullandığım windows profiline ait start up dosyalarımın listesidir. Bu liste her makine için farklılık gösterebilir. Kullandığınız donanımların markası ve cinsi kullandığınız yazılımlar bu tablonun içeriğini değiştirmektedir. Casus programların registry'de aldıkları isimler programı konfigüre eden kişilerin isteğine göre değişebilir bu nedenle standart bir liste vermek mümkün değildir. Fakat yine de Türkiye'de sık kullanılan trojan serverlarının sisteme yerleştikten sonra default olarak aldıkları isimleri açıklamakta fayda görüyorum.

- systray.dl
- systray.exe (system klasöründeki değil)
- msrexe.exe
- grcframe.exe

Sisteminizde şüpheli bir dosya bulunuyorsa (şüpheli dosyalar konusunu birazdan açıklamaya çalışacağım) ve o dosyanın ismi de start up dosyalarınız arasında yer almışsa söz konusu dosya şüpheli olmaktan çıkmış ve bilgisayarınızdaki verileri başkalarının hizmetine sunmaya başlamış demektir.
2. Dosya Erişimi :
Bilgisayar sistemleri yazılım olmaksızın çalışmaz. Bu nedenle gerekli yazılımları çeşitli yöntemlerle temin edip bilgisayarımıza yükleriz. Bu işlem bilgisayarımızın güvenliğini tehdit eden faktörlerin başında yer alır. Bu konuda çok yaygın yanılgılar vardır. Özellikle yalnızca executable dosyaların zararlı olabileceği yanılgısı pek çok kişinin başını derde sokmuştur. Sizlere belki çok şaşırtıcı gelebilir ama normal işlevini yapan ve işletim sisteminde hiçbir tuhaf görünüme sahip olmayan bir Sadece Üyeler Linkleri ve Resimleri Görebilir... mp3 midi txt ya da office dosyası (bu liste hayal gücünüzle sınırlıdır) sistem güvenliğinizi tamamen ortadan kaldırabilir. Dosya ve register erişimini kontrol altında tutabilmek için monitör programlarına ihtiyacınız vardır. Ben FILEMON.EXE ve REGMON.EXE adlarında iki program kullanıyorum. Bu programlar hakkında detaylı bilgileri başka bir yazımda açıklayacağım. Şimdi normal bir dosyayla casus fonksiyonlar taşıyan dosyalar arasındaki görünür farkları incelemeye çalışalım.
I - Yalın Trojanlar
Bu dosyalar .exe uzantılı olurlar. boyutları 30Kb ile 1.5Mb arasında değişmektedir. Popüler olanları 8Kb 122Kb 136Kb 261Kb 314Kb 321Kb 372Kb 389Kb 484Kb ve 610Kb boyutlarında karşınıza çıkabilir. İconları olmayabilir standart executable iconu (üstte mavi şeritli beyaz dikdörtgen) meşale satellite anten ya da windows logosu iconları söz konusu trojanların yalın halleridir. Bu dosyalar açıldıklarında ya hiçbir şey olmaz ya da sisteminiz hata mesajı verir. Bu işlem sırasında hard diskinizden yoğun sesler gelir ve sisteminiz yavaşlar. Eğer dosya pws dosyası ise ve bilgisayarınız internetde değilse internet connection'ı sağlamaya çalışır. Aşağıda popüler trojan serverlarının yalın haldeki iconlarını görebilirsiniz.




Popüler trojanların default server iconları
II - Birleşik Trojanlar
Bu dosyalar iki programın birleşimidir. Animasyon e-cart şaka utility gibi programlara trojan eklenmesiyle oluşturulur. iconları ya da boyutları standart değildir. Bu dosyalar çalıştırıldığında bir çıktı oluşturmadan önce hard diskinizden yoğun sesler gelir. Eğer dosya pws dosyası ise bilgisayarınız internet connection'ı sağlamaya çalışır.
III - Süslü Trojanlar

Bu dosyalar görünürde .exe uzantılı değildir. iconları media file iconlarına (jpg gif bmp vb.) benzetilmeye çalışılmıştır. Ancak orijinal icon gibi davranmazlar. görünüm modu değiştirildiğinde boyutuyla beraber şeklinin değişmesi gereken iconun yalnızca boyutu değişir. Ayrıca bazen transparan olması gereken kısımlarda renkli lekeler bulunmaktadır. Aşağıda orijinal ve taklit icon örneklerini inceleyebilirsiniz.


ACDSee BMP İconları.
(soldaki çok kötü bir taklit)
Dosyalar çalıştırıldıklarında bir şey olmayabilir hata mesajı verebilir ya da taklit edildikleri media dosyasının fonksiyonlarını tam anlamıyla gerçekleştirebilirler. Ancak her 3 durumda da sistemde yavaşlama hard diskden gelen yoğun sesler ve/veya internet connection'ı sağlama çabası görülebilir. Bu tür dosyaların güvenirliliğini dosya üzerinde sağ butona basarak anlayabilirsiniz. karşınıza çıkan assist menü normalden 3-4 kat daha genişse dosya windows üzerinde uzantısı farklı görünen bir dosyadır. Ayrıca klasör seçeneklerinin görünüm sekmesinde "Bilinen dosya türlerinin uzantılarını gizle" seçeneğini pasif hale getirirseniz windows un extensionlar konusunda sizi yanıltmasını engellemiş olursunuz.
IV - Gizli Trojanlar
Bu trojanlar anlaşılması en zor ve en tehlikeli dosyalardır. uzantısı .exe değildir. sisteminizde çalışmayan bir media file olarak aktif hale geleceği zamanı bekler. Bu dosyalar özel hedefler için oluşturulur. uzantısı .exe olmayan dosyayı bulup uzantısını değiştirip çalıştıran ve gerektiğinde silen çok küçük .exe .com veya .bat dosyaları ile aktif hale getirilirler. Genellikle program crack dosyaları key generator'lar 2. parça için çok ideal programlardır. Bu dosyalardan korunmak için sisteminizde işlevini gerçekleştirmeyen dosyaları kesinlikle barındırmayın.
V - Self extract zip Trojanları
Bu dosyalar .exe uzantılıdır ve üzerlerinde default olarak aşağıdaki icon bulunur.


Self extract zip file iconu
Zip paketi içerisindeki programları belirli bir sırayla ve otomatik olarak çalıştırmaya yarayan bu dosya türünün içerisine sisteme gizlice yerleşen bir trojan yerleştirmek son derece kolaydır. Bu nedenle bu tür dosyaları açmadan önce sağ butona basıp "Extract to folder..." komutunu vererek içeriğini bir klasöre açmak ve kontrol etmek gerekmektedir.
İnternet erişimi sağlamadan önce kullanacağınız programları (ICQ dahil) önceden açmanız ve connection windowlarını kapatmanız güvenli bir erişime zemin hazırlar. Bilgisayarınızın açıldıktan sonra sizin isteğiniz dışında internete girmeye çalışması şüpheli bir durumdur. Bu isteği onaylamanız halinde verilerinizi tanımadığınız kişilere göndermiş olabilirsiniz.
Computer Security için en önemli koşul TCP/IP trafiğini kontrol altında tutmaktır. Bu kontrol için iyi bir firewall kullanmalı ve firewall rule 'larını en iyi şekilde düzenlemelisiniz. Bu konuyu detaylı olarak yazımın ikinci bölümünde açıklamaya çalışacağım. Firewall kurulumunun yanı sıra TCP ve UDP portlarının çalışma mantıkları ve işlevleri de gelecek yazımın içeriğinde yer alacak.
Bu yazıma son verirken değinmek istediğim birkaç konu var. Öncelikle Hacker'lığın güzel karizmatik ve itibarlı bir sıfat olduğunu asla düşünmeyin. Bir bilgisayar sistemine gizlice girmekle bir eve gizlice girmek arasında ahlaki açıdan hiçbir fark yoktur. Hiç kimse size illegal bir siteyi hacklediğiniz için madalya vermez. Benden hiçbir saldırı amaçlı yardım istemeyin. Bilgisayarınızda yukarıda söz ettiğim belirtiler meydana geldiyse ya da daha açık bir şekilde bilgisayarınız sizinle sesli ya da yazılı iletişim kurmaya başladıysa ve fonksiyonları sizin kontrolünüzden çıkmaya başladıysa 42000000 numaralı uinden bana ulaşın. Bu gibi durumlarda yardım edebilmek için elimden geleni yaparım.
Unutmayın "güvenlik huzur için zorunlu bir koşuldur"

Computer Security II
(Trojan tespiti ve çözümler)



Bu yazıyı önceki yazımdaki teorik bilgilerin uygulanmasında kolaylık sağlaması amacıyla yayımlıyorum. Sisteminizde trojan olduğundan şüpheleniyorsanız tespit için gerekli bilgileri ve çözüm yollarını bu yazı yardımıyla bulabilirsiniz. Trojanların bilgisayar sistemine nasıl yerleştiklerini anlayabilmek amacıyla hepsini kendi bilgisayarımda denedim. Bu çalışmada Dünya underground yazılım piyasalarında popüler olan 4 trojanın toplam 10 versiyonu ve 2 Türk trojanı olmak üzere toplam 12 popüler trojan hakkında bütün detaylı bilgilere yer verilmiştir. Yazı sitemde sürekli olarak güncellenecektir. Eğer listede yer almayan bir trojanın yaygın şekilde kullanıldığını tespit ederseniz server dosyasını bana yollayın. Birkaç gün içinde trojan hakkında detaylı bilgiyi yazıya eklerim.


Build Güncelleme Notları
BackOrifice1.2 ve 2k UDP portu kullandıkları için portscan yapıldığında farkedilemezler. Deep Throat ve Truva Atı haricindeki trojanların kullandıkları portlar trojanı konfigüre eden kişi tarafından değiştirilebilir. Subseven Trojanı tecrübeli kullanıcılar tarafından EditServer programı yardımıyla çok geniş bir çeşitlilikte konfigüre edilebilmektedir. Bu trojanın boyutu iconu startup yöntemi sistemde yerleşeceği dizin ve alacağı isim register anahtarının adı ve kullanacağı port değişiklik göstermektedir. Yukarıdaki tabloda verdiğim bilgiler server'ın default özellikleridir.
SchoolBus serverı çalıştığı bilgisayarın UDP 44767 portunu da açmaktadır. BackOrifice system klasöründe WINDLL.DLL dosyasını oluşturur. SubSeven'ın 1.9 dan önceki versiyonları SYSTRAY.DL adıyla windows klasörüne yerleşip TCP 1243 portu açarlar. Ayrıca system klasöründe FAVPNMCFEE.DLL dosyasını oluştururlar.

Build 014 Güncellemesi :
InCommand 1.5 Trojanının iconu sistemde alacağı isim ve kullanacağı port edit server programı yardımıyla değiştirilebilmektedir.
GIP 110 Programı register'da özel bir teknik kullanarak registry'de LM (run) ve LM(RunServices) bölgeleri arasında yer değiştirebilir. Bu nedenle bilgisayarınızı restart yaptıktan sonra mutlaka DOS ortamında açıp program dosyasını silmelisiniz. Eğer bu işlem yapılmazsa Windows yeniden başlatıldığında program tekrar aktif hale gelebilir. GIP programının iconu değişebilir gönderildiği bilgisayarda windows system ve temp dizinlerine yerleşebilir aynı şekilde çalıştırıldıktan sonra alacağı isim de değişebilmektedir. Ayrıca GIP trojanı çalıştırıldığında taşıyıcı dosyayı silebilme fonksiyonuna da sahiptir. Bu trojan bilgisayarınızda çalıştırıldıysa hiç zaman kaybetmeden ICQ ve DialUp passwordleri başta olmak üzere sistemde kullandığınız bütün passwordleri (email ftp web-site vb.) değiştirmeniz gerekmektedir.


Çözüm Yöntemleri

1.Start up Fonksiyonunun iptali
1.1. Registrye Yerleşen Trojanlar

Regedit.exe programıyla

LM (RunServices) için ;

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]

LM (run) için ;

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]

adresine gidip trojan dosyasının oluşturduğu anahtarları sildikten sonra bilgisayarınızı restart etmeniz gereklidir.
* Truva Atı trojanını registry'den temizlemek için öncelikle trojan dosyasının bulunduğu klasörün ismini değiştirip bilgisayarınızı restart ettikten sonra programı registry den silmelisiniz.
1.2 Yapılandırma Dosyalarına Yerleşen Trojanlar
windows dizini altındaki WIN.INI ve SYSTEM.INI dosyalarını notepad'le açıp
WIN.INI de run=
SYSTEM.INI de ise shell=

satırları kontrol edilmelidir. Eşittir işaretinden sonra yazan dosya ismi yukarıdaki listede yazan isimlerden birisi ya da şüphe uyandıran başka bir isimse o bölümü silip yapılandırma dosyasını save ettikten sonra bilgisayarınızı restart edin.

2. Executable dosyanın silinmesi
Registry erişimi engellenemeyen bir dosyayı windows üzerinde silmeniz olanaksızdır. Bu dosyaları silebilmek için bilgisayarı low level işletim sistemi olan DOS kipinde açmak gereklidir. Dos ortamında dizin değiştirmek için CD dosya silmek için DEL komutlarını kullanırız.
Örnek :
msrexe.exe olarak sisteme yerleşmiş bir SubSeven trojanını silmek için.
del c:\windows\msrexe.exe
komutu verilmelidir. silme işlemi bittikten sonra dos ortamına shutdown menüsünden girmişsek EXIT boot sırasında girmişsek WIN komutu verilerek windows ortamına dönülür.
Eğer Firewall kullanmıyorsanız haftada bir kez windows ve system klasörünüzdeki dosyaların listesini ;
dir *.exe /od > liste.txt
komutunu vererek liste.txt dosyasına oluşturma tarihi sırasına göre aktarabilirsiniz. Daha sonra bu dosyayı Notepad programıyla açıp incelemeniz haftalık değişimleri farkedebilmenizi sağlar. Hızlı bir portscan yardımıyla bilgisayarınızdaki TCP portlarını haftada bir kez kontrol etmeniz de sistem güvenliğinizi sağlamanıza yardımcı olur.


Dosya İsmi Boyut
(Kb)
Icon Trojan İsmi Start up Yöntemi Sistemdeki
Yeri
Port wincfg.exe 45 GIP 110
(Password
Stealer)
LM
(Run)
System
dizini
Yok info32.exe 740 kolaylıkla
değişebilir
InCommand1.5 win.ini Windows
dizini
TCP
9400
.exe 122 BackOrifice1.2 LM
(RunServices)
System
dizini
UDP 31337 umgr32.exe 136 BO2k LM
(RunServices)
System
dizini
UDP
31337
systray.exe
(windows)
261 DeepThroat3.0 system.ini Windows
dizini
TCP
6671
mtmtask.dl 329 Subseven1.9 system.ini Windows
dizini
TCP
1243
kerne1.exe 329 Subseven2.0 win.ini Windows
dizini
TCP
1243
msrexe.exe 372 kolaylıkla
değişebilir
Subseven2.1 win.ini Windows
dizini
TCP
27374
msrexe.exe 389 " Subseven2.1gold Windows
dizini
TCP
27374
qwhqwu.exe
(system)
57 " Subseven2.2 connection System
dizini
TCP
27374
grcframe.exe
(system)
562
değişebilir
Schoolbus2.0 Runonce.exe System
dizini
TCP 54321 çalıştırılan dosya 384 TruvaAtı1.2 LM
(Run)
Çalıştırılan
dizin
TCP 80
Telnet
çalıştırılan dosya 484 NetBus1.7 LM
(run)
Windows
dizini
TCP
12345
çalıştırılan dosya 612 NetBus2.0 LM
(RunServices)
Windows
dizini
TCP
20034

Alıntı:
Alıntıdır
eksen021 Teşekkür etti.

06-03-2013 23:47
#2
eksen021 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2008
Mesajlar:
623
Teşekkür (Etti):
51
Teşekkür (Aldı):
24
Konular:
173
Ticaret:
(0) %
emeğine sağlık

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı