# 10 Common Trojans and properties

Bilinen 10 Trojan Ve Özellikleri

Günümüzde Internet, pek çok insan için vazgeçilmez bir gereklilik ve aliskanliktir. Dünyayi saran internet agina çesitli yollardan erismek mümkündür. Internet Cafe’ler, isyerleri, okullar ya da kisisel bilgisayarlar. Internete ulastiginiz yol ne olursa olsun sizi bekleyen çok çesitli tehlikeler mevcuttur. Birileri kisisel bilgisayariniz, kullandiginiz network ya da size özel accountlariniz üzerinde hakimiyet kurmus olabilir. Bu durum, kisisel dosyalarinizin tanimadiginiz kisilerin ellerine geçmesinden, bulundugunuz ortamdaki konusmalarin dinlenmesine, kisisel hesaplarinizin sizin adiniza kötü amaçlarla kullanilmasindan,  sizi mahkeme koridorlarina tasiyabilecek islemlere kadar çesitli belalara neden olabilir. Bu satirlari okudugunuz sirada sizin bilgisayariniz araciligiyla bir banka hesabina illegal müdahaleler yapiliyor olabilir. Inanin bana bu hiç de paranoyakça bir düsünce ya da komplo teorisinin bir parçasi degil. Bu yazida "Computer Security" için gerekli olan üst düzey bilgileri yeni kullanicilarin da anlayabilecegi bir sekilde açiklamaya çalisacagim. Buna ragmen anlayamadiginiz terimler ya da açiklamalar olursa 42000000 nolu icq uininden bana ulasabilirsiniz.

Computer Security için ilk sart bilgisayarinizin açilirken ve açildiktan sonra yaptigi her islemin seffaf olmasi gerekliligidir. Normal sartlarda isletim sisteminiz açildiginda hiçbir süphe çekmeksizin bilgisayarinizi baskalarinin kötü amaçlarina sunabilir. Gerekli seffafligin saglanmasi için baslica üç fonksiyonun gözlemlenebilmesi gerekir.

1. Start up dosyalari
        2. Dosya ve register erisimi
        3. TCP/IP trafigi

Bu üç fonksiyonun bilinçli bir sekilde gözlemlenmesi bilgisayarinizi tek kelimeyle kusursuz bir güvenlige eristirir. Güvenlik için hiçbir zaman antivirüs programlarina tam olarak güvenmemelisiniz. Bu tür programlarin koruyucu özelligi bazi durumlarda tamamen ortadan kalkabilmektedir. Su an kullanimda olan trojanlarin (bilgisayarlarin disaridan yönetilmesini saglayan casus programlar) bir kismi  hiçbir antivirüs programi tarafindan tespit edilememektedir. Güvenlik konusunu Windows isletim sistemi üzerinde anlatmaya çalisacagim. Çünkü windows hem en yaygin kullanilan hem de en zayif güvenlige sahip isletim sistemidir. Eger internete alternatif bir isletim sistemi üzerinden baglaniyorsaniz yazinin geri kalan kismini genel kültür açisindan okuyabilirsiniz. Windows kullanicilarinin ise her kelimesini itinayla okumalarini tavsiye ederim.

1. Start up Dosyalari :

Start up dosyalari bilgisayarinizin her açilisinda sizin onayiniz ve haberiniz olmaksizin otomatik olarak çalistirilan dosyalardir. Antivirüs program paketlerinin shield programlari, getright ya da netzip gibi download araçlari, printer ya da scanner gibi donanimlarinizi yöneten programlar bu yöntemle çalistirilmaktadir. Ancak bilgisayarinizda trojan ya da bazi pws (password stealer) programlari bir defa bile çalistirilsa kendilerine autostart özelligi kazandiracak bir dizi islem yaparlar ve her açilista aktif hale gelirler. Simdi programlarin start up özelligi için sisteminizde ne tür degisiklikler yaptiklarini görelim. Programlarin kendilerini yazabilecekleri yerleri tanittiktan sonra zararli programlari nasil taniyabilecegimizi açiklamaya çalisacagim.

Start up özelligi için en basit yöntem programin baslangiç (start up) klasörüne kisayolunu kopyalamasidir. Bu klasör

C:\WINDOWS\Profiles\*oturum logininiz*\Start Menu\Programlar\Baslangiç

adresinde bulunur. Bu klasöre START menüsünden rahatlikla ulasabilirsiniz.

Ikinci yöntem programin kendisini 

C:\WINDOWS\

dizinine kopyalayip windows un yapilandirma ayarlarini düzenleyen dosyalara kendisini yazmasidir. Bu dosyalar windows klasörü altinda yer alan WIN.INI ve SYSTEM.INI dosyalaridir. Dosyalar ASCII modda olduklarindan herhangi bir editör yardimiyla (notepad gibi) açilip kolayca düzenlenebilirler. Asagida söz konusu iki dosyanin start up fonksiyonu için kullanilan bölümlerini görebilirsiniz.

WIN.INI ve SYSTEM.INI dosyalarinin ilgili bölümleri 

WIN.INI dosyasinda run anahtari, SYSTEM.INI de ise shell anahtari start up sirasinda çalistirilacak dosya adini sakli tutar. SYSTEM.INI de Explorer.exe default olarak kayitli durumdadir. Yeni bir dosya eklendiginde Explorer.exe’nin sag tarafina yazilir.

Üçüncü yöntem programin windows dizinine kopyalandiktan sonra register anahtarlarini kullanarak autostart özelligi almasidir. Windows register’i isletim sisteminin ve install edilen program kayitlarinin ve bazi yapilandirma ayarlarinin sakli tutuldugu bir yapidir. Bilgisayarin isminden, faks için kullanilan telefon numarasina kadar bütün bilgilere buradan erisip degisiklik yapmak mümkündür. Register’i düzenlemek için windows dizini altinda yer alan REGEDIT.EXE programini kullanabilirsiniz. Programlar autostart özelligi almak için registry’de çogunlukla

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 

       [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] 

       [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

       [HKEY_CURRENT_USER\SOFTWARE\Mirabilis\ICQ\Agent\Apps\ICQ] 

Anahtarlarini kullanirlar. Sisteminizin söz ettigimiz bölümlerinde birçok program dosyasi kayitli durumdadir. Bu dosyalar arasindan zararli olanlari ayirabilmek biraz dikkat ve birikim  ister.  Sizlere kolaylik olmasi açisindan normal ve zararli dosyalar için örnekler vermeye çalisacagim

 Örnek Windows Start up dosya listesi

 Yukarida gördügünüz tablo benim çogunlukla kullandigim windows profiline ait start up dosyalarimin listesidir. Bu liste her makine için farklilik gösterebilir. Kullandiginiz donanimlarin markasi ve cinsi, kullandiginiz yazilimlar bu tablonun içerigini degistirmektedir. Casus programlarin registry’de aldiklari isimler programi konfigüre eden kisilerin istegine göre degisebilir bu nedenle standart bir liste vermek mümkün degildir. Fakat yine de Türkiye’de sik kullanilan trojan  serverlarinin sisteme yerlestikten sonra default olarak aldiklari isimleri açiklamakta fayda görüyorum.

       - systray.dl
        - systray.exe (system klasöründeki degil)
        - msrexe.exe
        - grcframe.exe

Sisteminizde süpheli bir dosya bulunuyorsa (süpheli dosyalar konusunu birazdan açiklamaya çalisacagim) ve o dosyanin ismi de start up dosyalariniz arasinda yer almissa, söz konusu dosya süpheli olmaktan çikmis ve bilgisayarinizdaki verileri baskalarinin hizmetine sunmaya baslamis demektir.

2. Dosya Erisimi :

Bilgisayar sistemleri yazilim olmaksizin çalismaz. Bu nedenle gerekli yazilimlari çesitli yöntemlerle temin edip bilgisayarimiza yükleriz. Bu islem bilgisayarimizin güvenligini tehdit eden faktörlerin basinda yer alir. Bu konuda çok yaygin yanilgilar vardir. Özellikle yalnizca executable dosyalarin zararli olabilecegi yanilgisi pek çok kisinin basini derde sokmustur. Sizlere belki çok sasirtici gelebilir ama normal islevini yapan ve isletim sisteminde hiçbir tuhaf görünüme sahip olmayan bir resim, mp3, midi, txt ya da office dosyasi (bu liste hayal gücünüzle sinirlidir) sistem güvenliginizi tamamen ortadan kaldirabilir. Dosya ve register erisimini kontrol altinda tutabilmek için monitör programlarina ihtiyaciniz vardir. Ben FILEMON.EXE ve REGMON.EXE adlarinda iki program kullaniyorum. Bu programlar hakkinda detayli bilgileri baska bir yazimda açiklayacagim. Simdi normal bir dosyayla casus fonksiyonlar tasiyan dosyalar arasindaki görünür farklari incelemeye çalisalim.

I - Yalin Trojanlar

Bu dosyalar .exe uzantili olurlar. boyutlari 30Kb ile 1.5Mb arasinda degismektedir. Popüler olanlari 8Kb, 122Kb, 136Kb, 261Kb, 314Kb, 321Kb, 372Kb, 389Kb, 484Kb ve 610Kb boyutlarinda karsiniza çikabilir. Iconlari olmayabilir, standart executable iconu (üstte mavi seritli beyaz dikdörtgen), mesale, satellite anten ya da windows logosu iconlari söz konusu trojanlarin yalin halleridir. Bu dosyalar açildiklarinda ya hiçbir sey olmaz ya da sisteminiz hata mesaji verir. Bu islem sirasinda hard diskinizden yogun sesler gelir ve sisteminiz yavaslar. Eger dosya pws dosyasi ise ve bilgisayariniz internetde degilse internet connection’i saglamaya çalisir. Asagida popüler trojan serverlarinin yalin haldeki iconlarini görebilirsiniz.

Popüler trojanlarin default server iconlari 

II - Birlesik Trojanlar

Bu dosyalar iki programin birlesimidir. Animasyon, e-cart, saka, utility gibi programlara trojan eklenmesiyle olusturulur. iconlari ya da boyutlari standart degildir. Bu dosyalar çalistirildiginda bir çikti olusturmadan önce hard diskinizden yogun sesler gelir. Eger dosya pws dosyasi ise bilgisayariniz internet connection’i saglamaya çalisir.

III - Süslü Trojanlar

Bu dosyalar görünürde .exe uzantili degildir. iconlari media file iconlarina (jpg, gif, bmp vb.) benzetilmeye çalisilmistir. Ancak orijinal icon gibi davranmazlar. görünüm modu degistirildiginde boyutuyla beraber seklinin degismesi gereken iconun yalnizca boyutu degisir. Ayrica bazen transparan olmasi gereken kisimlarda renkli lekeler bulunmaktadir. Asagida orijinal ve taklit icon örneklerini inceleyebilirsiniz.

Dosyalar çalistirildiklarinda bir sey olmayabilir, hata mesaji verebilir ya da taklit edildikleri media dosyasinin fonksiyonlarini tam anlamiyla gerçeklestirebilirler. Ancak her 3 durumda da sistemde yavaslama, hard diskden gelen yogun sesler ve/veya internet connection’i saglama çabasi görülebilir. Bu tür dosyalarin güvenirliligini dosya üzerinde sag butona basarak anlayabilirsiniz. karsiniza çikan assist menü normalden 3-4 kat daha genisse dosya, windows üzerinde uzantisi farkli görünen bir dosyadir. Ayrica klasör seçeneklerinin görünüm sekmesinde "Bilinen dosya türlerinin uzantilarini gizle" seçenegini pasif hale getirirseniz windows un extensionlar konusunda sizi yaniltmasini engellemis olursunuz.

IV - Gizli Trojanlar

Bu trojanlar anlasilmasi en zor ve en tehlikeli dosyalardir. uzantisi .exe degildir. sisteminizde çalismayan bir media file olarak aktif hale gelecegi zamani bekler.  Bu dosyalar özel hedefler için olusturulur. uzantisi .exe olmayan dosyayi bulup uzantisini degistirip çalistiran ve gerektiginde silen çok küçük .exe, .com, veya .bat dosyalari ile aktif hale getirilirler. Genellikle program crack dosyalari, key generator’lar 2. parça için çok ideal programlardir. Bu dosyalardan korunmak için sisteminizde islevini gerçeklestirmeyen dosyalari kesinlikle barindirmayin.

V - Self extract zip Trojanlari

Bu dosyalar .exe uzantilidir ve üzerlerinde default olarak asagidaki icon bulunur.

Self extract zip file iconu 

Zip paketi içerisindeki programlari belirli bir sirayla ve otomatik olarak çalistirmaya yarayan bu dosya türünün içerisine sisteme gizlice yerlesen bir trojan yerlestirmek son derece kolaydir. Bu nedenle bu tür dosyalari açmadan önce sag butona basip "Extract to folder..." komutunu vererek içerigini bir klasöre açmak ve kontrol etmek gerekmektedir.

 

Internet erisimi saglamadan önce kullanacaginiz programlari (ICQ dahil) önceden açmaniz ve connection windowlarini kapatmaniz güvenli bir erisime zemin hazirlar. Bilgisayarinizin açildiktan sonra sizin isteginiz disinda internete girmeye çalismasi süpheli bir durumdur. Bu istegi onaylamaniz halinde verilerinizi tanimadiginiz kisilere göndermis olabilirsiniz. 

Computer Security için en önemli kosul TCP/IP trafigini kontrol altinda tutmaktir. Bu kontrol için iyi bir firewall kullanmali ve firewall rule ’larini  en iyi sekilde düzenlemelisiniz. Bu konuyu detayli olarak yazimin ikinci bölümünde açiklamaya çalisacagim. Firewall kurulumunun yani sira TCP ve UDP portlarinin çalisma mantiklari ve islevleri de gelecek yazimin içeriginde yer alacak. 

Bu yazima son verirken deginmek istedigim birkaç konu var. Öncelikle Hacker’ligin güzel, karizmatik ve itibarli bir sifat oldugunu asla düsünmeyin. Bir bilgisayar sistemine gizlice girmekle bir eve gizlice girmek arasinda ahlaki açidan hiçbir fark yoktur. Hiç kimse size illegal bir siteyi hacklediginiz için madalya vermez. Benden hiçbir saldiri amaçli yardim istemeyin. Bilgisayarinizda yukarida söz ettigim belirtiler meydana geldiyse ya da daha açik bir sekilde bilgisayariniz sizinle sesli ya da yazili iletisim kurmaya basladiysa ve fonksiyonlari sizin kontrolünüzden çikmaya basladiysa 42000000 numarali uinden bana ulasin. Bu gibi durumlarda yardim edebilmek için elimden geleni yaparim.

Unutmayin "güvenlik, huzur için zorunlu bir kosuldur"

Computer Security II
(Trojan tespiti ve çözümler)

Bu yaziyi önceki yazimdaki teorik bilgilerin uygulanmasinda kolaylik saglamasi amaciyla yayimliyorum. Sisteminizde trojan oldugundan süpheleniyorsaniz tespit için gerekli bilgileri ve çözüm yollarini bu yazi yardimiyla bulabilirsiniz. Trojanlarin bilgisayar sistemine nasil yerlestiklerini anlayabilmek amaciyla hepsini kendi bilgisayarimda denedim. Bu çalismada Dünya underground yazilim piyasalarinda popüler olan 4 trojanin toplam 10 versiyonu ve 2 Türk trojani olmak üzere toplam 12 popüler trojan hakkinda bütün detayli bilgilere yer verilmistir. Yazi sitemde sürekli olarak güncellenecektir. Eger listede yer almayan bir trojanin yaygin sekilde kullanildigini tespit ederseniz server dosyasini bana yollayin. Birkaç gün içinde trojan hakkinda detayli bilgiyi yaziya eklerim.

Build Güncelleme Notlari

BackOrifice1.2 ve 2k UDP portu kullandiklari için portscan yapildiginda farkedilemezler. Deep Throat ve Truva Ati haricindeki trojanlarin kullandiklari portlar trojani konfigüre eden kisi tarafindan degistirilebilir. Subseven Trojani, tecrübeli kullanicilar tarafindan EditServer programi yardimiyla çok genis bir çesitlilikte konfigüre edilebilmektedir. Bu trojanin boyutu, iconu, startup yöntemi, sistemde yerlesecegi dizin ve alacagi isim, register anahtarinin adi ve kullanacagi port degisiklik göstermektedir. Yukaridaki tabloda verdigim bilgiler server’in default özellikleridir. 

SchoolBus serveri çalistigi bilgisayarin UDP 44767 portunu da açmaktadir. BackOrifice, system klasöründe WINDLL.DLL dosyasini olusturur. SubSeven’in 1.9 dan önceki versiyonlari SYSTRAY.DL adiyla windows klasörüne yerlesip TCP 1243 portu açarlar. Ayrica system klasöründe FAVPNMCFEE.DLL dosyasini olustururlar.

 

Build 014 Güncellemesi : 

InCommand 1.5 Trojaninin iconu, sistemde alacagi isim ve kullanacagi port, edit server programi yardimiyla degistirilebilmektedir.

GIP 110 Programi, register’da özel bir teknik kullanarak registry’de LM (run) ve LM(RunServices) bölgeleri arasinda yer degistirebilir. Bu nedenle, bilgisayarinizi restart yaptiktan sonra mutlaka DOS ortaminda açip program dosyasini silmelisiniz. Eger bu islem yapilmazsa Windows yeniden baslatildiginda program tekrar aktif hale gelebilir. GIP programinin iconu degisebilir, gönderildigi bilgisayarda windows, system ve temp dizinlerine yerlesebilir, ayni sekilde çalistirildiktan sonra alacagi isim de degisebilmektedir. Ayrica GIP trojani çalistirildiginda tasiyici dosyayi silebilme fonksiyonuna da sahiptir. Bu trojan bilgisayarinizda çalistirildiysa hiç zaman kaybetmeden ICQ ve DialUp passwordleri basta olmak üzere sistemde kullandiginiz bütün passwordleri (email, ftp, web-site vb.) degistirmeniz gerekmektedir.

 

Çözüm Yöntemleri

1.Start up Fonksiyonunun iptali

1.1. Registrye Yerlesen Trojanlar

Regedit.exe programiyla

LM (RunServices) için ;

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

LM (run) için ;

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

adresine gidip trojan dosyasinin olusturdugu anahtarlari sildikten sonra bilgisayarinizi restart etmeniz gereklidir.

* Truva Ati trojanini registry’den temizlemek için öncelikle trojan dosyasinin bulundugu klasörün ismini degistirip bilgisayarinizi restart ettikten sonra programi registry den silmelisiniz.

1.2 Yapilandirma Dosyalarina Yerlesen Trojanlar

windows dizini altindaki WIN.INI ve SYSTEM.INI dosyalarini notepad’le açip 

WIN.INI de run= 

SYSTEM.INI de ise shell=  

satirlari kontrol edilmelidir. Esittir isaretinden sonra yazan dosya ismi yukaridaki listede yazan isimlerden birisi ya da süphe uyandiran baska bir isimse o bölümü silip yapilandirma dosyasini  save ettikten sonra bilgisayarinizi restart edin.

2. Executable dosyanin silinmesi

Registry erisimi engellenemeyen bir dosyayi windows üzerinde silmeniz olanaksizdir. Bu dosyalari silebilmek için bilgisayari, low level isletim sistemi olan DOS kipinde açmak gereklidir. Dos ortaminda dizin degistirmek için CD dosya silmek için DEL komutlarini kullaniriz.

Örnek :

msrexe.exe olarak sisteme yerlesmis bir SubSeven trojanini silmek için.

del c:\windows\msrexe.exe

komutu verilmelidir. silme islemi bittikten sonra, dos ortamina shutdown menüsünden girmissek EXIT boot sirasinda girmissek WIN komutu verilerek windows ortamina dönülür.

Eger Firewall kullanmiyorsaniz haftada bir kez windows ve system klasörünüzdeki dosyalarin listesini ;

dir *.exe /od > liste.txt

komutunu vererek liste.txt dosyasina olusturma tarihi sirasina göre aktarabilirsiniz. Daha sonra bu dosyayi Notepad programiyla açip incelemeniz haftalik degisimleri farkedebilmenizi saglar. Hizli bir portscan yardimiyla bilgisayarinizdaki TCP portlarini haftada bir kez kontrol etmeniz de sistem güvenliginizi saglamaniza yardimci olur.