Trojan Nedir? Nasıl Çalışır? Nerelerde İşe Yarar? - Sizin Portal

Trojan Nedir? Nasıl Çalışır? Nerelerde İşe Yarar?

Tuesday, February 5, 2008

1. Trojan nedir?
Trojan, bir kisini baska bir kisinin bilgisayarina girmesi için kullanacagi programlarin genel adidir. Bir çok yerde, özellikle aylik aldigimiz dergilerde karsimiza "Truva ati" olarak çikar. Trojanlar internetin basindan beri var olan ve onu sonuna kadar da birakmayacak olan sadik dostlaridir.

2. Tarihi
Trojanlarin baslangiç tarihi tam olarak belli degildir. Classiclesmis olan "netbus" ve "backdoor" gibi proglarin daha gerisinde küçük çapli çalismalarda kullanilan küçük programlar ile baslamistir. Ilk olarak LAN üzerinde denenen trojanlar zamanla IP üzerinden baglanmak amaçli internet üzerine dagilmistir.

3. Kullanim Amaçlari
Trojanlarin kullanim amaçlari çok fazladir. Bu yüzden katagorilere ayirmayi uygun görüyorum…

1- Çalma Amaçli
a) Net Account, Icq Password
b) Çesitli Dosyalar (Kurbanin dosyalarini download ve upload etme, silme, degistirme)

2- Eglence Amaçli
a. Fiziksel Eglenceler (CD-ROM, Monitor, Mouse)
b. Programsal Eglenceler (Kurbanla chat, Matrix)
c. Görüntüsel Eglenceler (Desktop Capture, )

3- Casusluk
a) Keylogging
b) ICQ spy
c) AOL spy

4. Korunum ve Karsi Saldiri Yöntemleri

A. Korunum
Yukaridakileri yapmak gerçekten çok eglenceli gelmis olabilir. Belki kurbaniniza “Lütfen format atma!” dedirtmis ve bu seyden mutlu olmus olabilirsiniz ama unutmayin her an sizde bu duruma düsebilirsiniz!! Peki nasil kurtulacaksiniz? Bunun için dört yönteminiz var;

1. Trojan cleaner programlari

“The Cleaner” adli bir pro 100 üzerinde trojani buldugunu iddia ediyor. Deneyebilirsiniz ama sakin güvenmeyin!! Çünkü birçok trojani gözden kaçiriyor!! Örnek olarak “mobman” adli hackerin yaptigi ve su an Türkiye’de en büyük tehdidi olusturan “Sub7” Bu programla bulunamiyor. “The Cleaner”in bu konuda en iddiali oldugu göz önüne alinirsa bu programlarin pek isimize yaramayacagi açik ve nettir!

2. Port Dinleyici + Net Help

Portlar, bilgisayarinizla internet arasinda açilan kapilardir. Nasil ki ICQ dan mesaj geleceginde bir portu, mesaj gidecekken baska bir portu, Internet Explorerle bir sayfaya girecekken baska bir portu (80), veya en basitinden Quake oynarken kendine özel bir portu (27910) kullanirsiniz. Trojanlarda bunun gibi çalisir ve bilgisayariniza kendine özel seçtigi porttan girmeyi dener (12345,1243,27374). Iste biz bu anda devreye girecegiz. Port Dinleyici programlari kolay bulunan programlardir. Size hangi porttan baglanilmayi denedigini size aninda gösterecektir. Bu portu bir kenara yazip internette bu portun hangi trojana denk geldigini ögrenebilirsiniz. Tabi ayni adresten bu programdan kurtulmayida ögrenebilrisin (büyük ihtimalle)

3. Norton, Avp türü Anti-virüs programlari

Iste en kisa yöntem… Bilgisayarinizi elinizdeki Anti – virüs programinizla bastan asagi taratin! Elinizde yoksa onu da hiç dert etmeyin. Hemen bir bilgisayar dergisi alin ve o ayin trial veya shareware olarak verilen anti-virüs programini bilgisayariniza kurun ve HDD’nizi aratin. Bir bilgisayar dergisi istemiyorsaniz Norton veya Avp programlarinin sayfasindan denemelik sürümü çekin.

4. Firewall!

Firewall, adindanda anlasilacagi gibi internetle araniza “atesten duvar” koyar. Nasil mi? Siz internette gündelik sörfünüzü yaparken o “systray” inizde durur ve “bodyguard”iniz olarak sizinle oldugunu gösterir. Bakmayin sakinligine, çünkü o, siz gezintinize devam ederken farkinda olmadan açtiginiz, ya da daha önceden açilmis olan portlarinizi denetler ve normal disi gelisen port kullanimlarini size haber verir, tabi isterseniz haber vermeden direk adresi bloke eder. Bu programlar “her internet kullanicisinda olmasi gerekenler” arasinda en üstlerde yer almali.

Firewall’lari yakinda karsilastirip detayli bir bilgi verecegim ama simdilik bir program söyleyeyim; “Norton Internet Security 2001”. 2 Ocakta download edilebilir trial versiyonuyla “Symantec” in ana sayfasinda bulunacak. Bana kalirsa tüm testlerden iyi sonuç alacak olan iddiali bir program.

B. Karsi Saldiri!
Firewall’unuz yada Port Dinleyicinizden “blocked adress : 212.252.38.65 … port : 27374” gibi bir mesaj aldiniz. Hemen gidip portun karsiligina baktiniz ve “27374 = sub7” karsiligini aldiniz. Bu beni çok sinirlendiren bir durumdur ve eminimki siz de çok sinirleneceksiniz! Eger içinizden “bu attack karsiliksiz kalmamali!” diyorsaniz, hiç durmayin ve attack yapani pisman edin…
Tabi bunu yapabilmek pek kolay degil ama yöntemleriniz var.

1. Nuke

Eski ve güvenilmez bir yöntem çünkü “windows 98” ile gelen net korumasi nuke yemiyor. Eger karsinizdakinin eski bir kullanici olduguna inaniyorsaniz nuke atabilirsiniz. Eger bir nuke programi istiyorsaniz; “aggressor” bu konuda bana göre lider bir program…

2. Backfire

Adindanda anlasilabilecegi gibi kisiye atagi geri döndürecektir. Ama bu geri döndürme için her program ayri bir program kullanir. Madem attack “sub7”dan geldi, bizde ona göre isimize bakalim... Sub7’in backfire programi “00[sub]7” adli bir program. Bu programi uzun zaman önce çok arayip, bin çabayla bulmustum… Tabi o zamanlar hack ile ilgili fazla internet sitesi yoktu ve bulmak bayaa zaman almisti. Ama artik internet çok kapsamli oldu ve bu da size kolaylik saglayacaktir. Program sizde sahte bir server portu açacak, sizi kurbani sanan kisi girmek istediginde iste bu port yollamak degil almak için kullanilacak ve böylece siz onun bilgisayarina gireceksiniz. Ama unutmayin bu program sadece Sub7 için geçerli… Eger baska bir trojana backfire istiyorsaniz, o trojan için backfire aratmalisiniz…

5. Artik Saldiralim!

Korunma programlariniz hazirsa ve artik saldirmaya hazirsiniz demektir. Korunma programlariniz hazir olmadan saldirirsaniz, istemeyeceginiz sonuçlarla karsilasabilirsiniz! Bir trojan programini bulup çektiniz. Kurulumunu da yaptiniz. Ve artik birine baglanmak istiyorsunuz. Peki ne yapacaksiniz? Sirasiyla sunlari yapin:

Programlari taniyin! Asla Server programini (büyük ihtimalle server.exe) kendi bilgisayarinizda açmayin!
Server dosyanizi irc veya icqdan bulacaginiz kurbanlariniza yollain.
Kurbanin IP sini ele geçirin (*altta nasil yapacaginiz yazili*)
Açtiklarina emin oldugunuzda “client” olacak programi (ana programi) çalistirin.
Port ile ilgilenmenize gerek yok, çünkü zaten otomatik olarak dogru port girilmis olacak
Kurbaninizin IP sini girin ve “connect” e basin.
Eger baglanabilirseniz ilk yaptiginiz is olan “programi tani”dan bilgi sahibi oldugunuz özellikleri bir bir kurbana uygulayin
Her yapacaginiz isten önce “Bana yapilsa nasil olurdu?” diye düsünmeyi unutmayin, vicdaniniz sizlamasin!

***IP BULMAK***
Mirc de buldugunuz kurbanin üzerinde sag tiklayip “whois?” seçenegini seçin. Whois bölümünde IP si yer alir (not: SOL bu bölümde IP yi saptirilmis sekilde harflerle karisik veriyor. Ama yine de verdigi “sey” i alip internette ip gösteren yerlere düzelttirebilirsiniz). ICQ da buldugunuz kurbanin üzerinde sag tiklayarak “user details” bölümüne girin. Orada IP görünecektir.. Eger IP yi saklayan bir kurbanla karsilasirsaniz “IcqWAR2000” türü programlarla IP-MASK ý devre disi birakabilirsiniz!

0 comments: