TROJAN NEDİR? Trojan (Truva atı); iki kısımdan oluşan ve bilgisayarları uzaktan kumanda etme amacıyla yazılmış programlardır. Bu program sayesinde windows kullanmaya yeni başlayan bir insan bile bilgisayarınızda bir çok yetkiye sahip olabilir. Bu tip programlar genelde kendini hacker sanan insanlar tarafından kullanılıyor ancak gerçek hacker olupta bu trojanları kullanan insanlarda var fakat bu noktada olayın boyutu biraz değişiyor örneğin hackerlar Internetteki trojan bulaşmış tüm bilgisayarları (online olan) kullanarak büyük sitelere D.O.S attack yapıyorlar böylece bu sitelere erişimi uzun bir süre engelleyerek siteleri büyük zarara sokuyorlar. Bu programların birinci kısmı uzaktaki bilgisayarı kontrol etmeye yararken diger kısmı ise uzaktan yönetilecek bilgisayarla kontrol kısmı arasında bağlantı kurmasını sağlayacak açıklık yaratır.Yani bizim problemimiz trojan programının bilgisayarımızda açık port bırakan kısmıyla ilgilidir. TROJANLARIN BİLGİSAYARIMIZA BULAŞMASINI ENGELLEMEK Öncelikle hiç bir trojan siz izin vermediğiniz takdirde sizin bilgisayarınızda çalışmaz yani sizin tanımadığınız kişilerden gelen hiç bir dosyayı almayın böylece trojanlardan kurtulmuş olursunuz. Fakat genelde trojan programları istenilen herhangi bir programın içerisine bulaştırılabildiği için siz farkında olmadan herhangi bir yerden yüklediğiniz program içinde bilgisayarınıza trojan almış olabilirsiniz bunu engellemenin en iyi yolu antivirus programları kullanmaktan geçiyor. Örneğin AVP programıyla bilgisayarınıza bulaşan hem virusleri hemde trojanları engelleyebilirsiniz. Özet olarak tanımadığınız kişilerden (genelde irc ortamında) herhangi bir dosya almayarak (özellikle sonu .ini ve .exe olarak biten dosyaları) ve de kaliteli bir antivirus programı ve firewall programı kurarak trojan tehlikesini büyük ölçüde atlatmış olursunuz. NOT: Antivirus programları genelde yeni çıkan trojan ve virusleri tanımazlar.Bu yüzden kurduğunuz antivirus programının web sayfasını düzenli olarak ziyaret edip programınızı update etmeyi unutmayın. BİLGİSAYARDA TROJAN OLUP OLMADIĞINI ANLAMAK Bunu anlamanın bir çok yolu var. Örneğin: Bilgisayarmızda Kontrolumuz Dışında Çalışmalar Oluyorsa: Internetteyken siz herhangi bir işlem yapmamanıza rağmen bilgisayarınız bir şeyler yüklemeye devam ediyor, cd kapağınız açılıp kapanıyor, mouseunuzun isteğinizin dışında hareket ediyor, ekranınıza resim veya yazılar geliyorsa.. Yani bilgisayarınızda sizin kontrolünüz dışında herhangi bir olay gerçekleşiyorsa bilgisayranızda trojan vardır diyebiliriz ama yinede bu kesindir diye bir yargı verilemez. Anti Trojan Programı kullanmak: Bir anti trojan programıyla bilgisayarınızı scan ederek bilgisayarımızdaki trojanları bulabiliriz ancak genelde yeni çıkan trojanlar genelde bu tip programlarla bulunamıyor bu yüzden sürekli olarak programı resmi web sayfasından update etmekte yarar var. Bilgisayarımızda başlat (start) tuşundan programlar (programs) oradanda başlangıç (startup) tuşuna bastığımız zaman bilgisayarımızın açılışıyla birlikte çalısan programları görürüz eğer burda bizim kurmadığımız herhangi bir program varsa bu program bir trojan olabilir. Diğer ve en kesin yöntemlerden birisi ise dos moduna geçip komut satırında ntstat -a yazmaktır bu komut sizin bilgisayarınız internette kimlerle hangi porta bağlı olduğunu gösterir eğer bu program bilgisayarınızda çalışmıyorsa herhangi bir problem yok eğer örneğin 0.0.0.0:12345 gibi bir sonuç veriyorsa bilgisayarınızda netbus isimli bir trojan vardır. Bunu nerden anladın diyorsanız trojanlar bilgisayarımıza bağlanmak için bilgisayarımızda ki portları kullanırlar trojanlar arasından netbus ise bilgisayraımıza bağlanmak için 12345 portunu kullanır. Bunun gibi daha birçok port üzerinden çalışan trojanlarla karşılaşmak mümkündür. BAZI TROJANLAR VE TEMİZLEME YÖNTEMLERİ ACID SHIVERS Port Numarası: 10520 Dosya Adı: msgsvr16.exe Boyutu: 186 kb Dizini: C:Windows 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRunServices Explorer | msgsvr16.exe kaydını sil. 2. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRunServices Explorervmsgsvr16.exe kaydını sil 3. PCnizi MS-DOS kipinde başlatın. 4. C:Windowsmsgsvr16.exe dosyasını silin. 5. PCnizi yeniden başlatın. BACK ORIFICE Port Numarası: 31337 Dosya Adı: .exe Boyutu: 126 kb Dizini: C:Windowssystem 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRunServices .exe kaydını silin 2. PCnizi yeniden başlatın. 3. Windows Explorerı başlatın.Görünüm Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde Tüm Dosyaları Göster seçeneğinin işaretli olduğundan emin olun. 4. C:WindowsSystem.exe dosyasını silin. 5. PCnizi yeniden başlatın. BACKDOOR Port Numarası: 1999 Dosya Adı: icqnuke.exe Boyutu: 102 Kb Dizini: C:Windows, C:Windowssystem 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRun icqnuke.exe. kaydını silin 2. PCnizi MS-DOS kipinde başlatın. 3. C:Windowsicqnuke.exe ve C:WindowsSystemicqnuke.ex e dosyalarını silin. 4. PCnizi yeniden başlatın. BIG GLUCK Port Numarası: 34324 Dosya Adı: bg10.exe Boyutu: 100 Kb Dizini: C:Windows, C:Windowssystem 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRunServices bg10.exe. kaydını silin. 2. PCnizi MS-DOS kipinde başlatın. 3. C:Windowsbg10.exe ve C:WindowsSystembg10.exe dosyalarını silin. 4. PCnizi yeniden başlatın. BRADE RUNNER Port Numarası: 21,5400,5401,5402 Dosya Adı: server.exe Boyutu: 323 Kb Dizini: C:Windows, C:Windowssystem 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRun server.exe. kaydını silin. 2. PCnizi MS-DOS kipinde başlatın. 3. C:Windowsserver.exe ve C:WindowsSystemserver.exe dosyalarını silin. 4. PCnizi yeniden başlatın. BUGS Port Numarası: 2115 Dosya Adı: bugs.exe Boyutu: 78 Kb Dizini: C:Windows, C:Windowssystem 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRun bugs.exe. kaydını silin. 2. PCnizi MS-DOS kipinde başlatın. 3. C:Windowsbugs.exe ve C:WindowsSystembugs.exe dosyalarını silin. 4. PCnizi yeniden başlatın. CID SHIVERS Port Numarası: 10520 Dosya Adı: msgsvr16.exe Boyutu: 186 kb Dizini: C:Windows 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindows CurrentVersionRunServices Explorer | msgsvr16.exe kaydını sil. 2. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindows CurrentVersionRunServices Explorervmsgsvr16.exe kaydını sil. 3. PCnizi MS-DOS kipinde başlatın. 4. C:Windowsmsgsvr16.exe dosyasını silin. 5. PCnizi yeniden başlatın. DEEP BACK ORIFICE Port Numarası: 31338 Dosya Adı: .exe Boyutu: 122 Kb Dizini: C:Windowssystem 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRunServices .exe kaydını silin 2. PCnizi yeniden başlatın. 3. Windows Explorerı başlatın.Görünüm Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde Tüm Dosyaları Göster seçeneğinin işaretli olduğundan emin olun. 4. C:WindowsSystem.exe dosyasını silin. 5. PCnizi yeniden başlatın. DEEP THROAT Port Numarası: 2140, 3150 Dosya Adı: systempatch.exe Boyutu: 255 Kb Dizini: ? 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRun anahtarını açın. systemDLL32 | systempatch.exe kaydının işaret ettiği dizini bir kenara not aldıktan sonra söz konusu kaydı silin. 2. PCnizi MS-DOS kipinde başlatın. 3. Not etmiş olduğunuz dizin altındaki systempatch.exe dosyasını silin.MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri kısaltılacağı için, system~1.exe veya benzeri ada sahip bir dosyayı aramalısınız.Eğer system~ şeklinde başlayan birden fazla EXE dosyası varsa hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin. 4. PCnizi yeniden başlatın. GIRLFRIEND Port Numarası: 21554 Dosya Adı: windll.exe Boyutu: ? Dizini: C:Windows 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRunServices windll.exe kaydını silin 2. PCnizi yeniden başlatın. 3. C:WindowsSystemwindll.exe dosyasını silin. 4. PCnizi yeniden başlatın. HACK A TACK Port Numarası: 31785, 31787 Dosya Adı: expl32.exe Boyutu: 236 Kb Dizini: C:Windows 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRunExplorer32.exe | C:Window***pl32.exe kaydını silin. 2. PCnizi MS-DOS kipinde başlatın. 3. C:Window***pl32.exe dosyasını silin. 4. PCnizi yeniden başlatın. INIKILLER Port Numarası: 9989 Dosya Adı: bad.exe Boyutu: ? Dizini: C:Windows 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRun Explorer kaydını silin. 2.PCnizi yeniden başlatın. 3. C:Windowsbad.exe dosyasını silin. 4. PCnizi yeniden başlatın. MASTERS PARADISE Port Numarası: 3129, 40421, 40422,40423, 40426 Dosya Adı: sysedit.exe, keyhook.dll Boyutu: ? Dizini: C:Windows Port Numarası: 20034 Dosya Adı: NBSvr.exe Boyutu: 599kb Dizini: C:Windows, C:WindowsSystem2.PCnizi yeniden başlatın. 3. C:Windowssysedit.exe ve C:Windowskeyhook.dll dosyalarını silin. 4. PCnizi yeniden başlatın. 5. Gerçek sysedit.exe dosyasını Windows CDnizden veya güvendiğiniz bir arkadaşınızdan tekrar yükleyin. NETBUS PRO Port Numarası: 20034 Dosya Adı: NBSvr.exe Boyutu: 599 Dizini: C:Windows, C:WindowsSystem 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRunServices NetBus Server Pro | nbsvr.exe kaydını silin. 2. Registrynizdeki HKEY_CURRENT_USERNetBus Server anahtarını silin. 3. PCnizi MS-DOS kipinde başlatın. 4. C:WindowsNBHelp.exe , C:WindowsNBHelp.dll, C:WindowsLog.txt dosyalarını silin.(Aynı dosyalar C:WindowsSystem dizininde de olabilir.) 5. PCnizi yeniden başlatın. NETBUS Port Numarası: 12345, 12346 Dosya Adı: patch.exe Boyutu: 470 Kb Dizini: C:WindowsSystem 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRun patch.exe. kaydını arayın.Söz konusu kaydı bulamazsanız trojanın adı değiştirilmiş demektir.Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın.470 KB boyutunda olan dosya, adı değiştirilmiş NetBus trojanıdır.Registry kaydını silin. 2. Bir MS-DOS Komut İstemi penceresi açın ve C:WindowsSystempatch.exe/remove komutunu kullanın.(Trojanın adı değiştirilmişse, patch.exe yerine PCnizdeki adını yazın.) 3. C:WindowsSystempatch.exe dosyasını silin. NETSPHERE Port Numarası: 30100, 30101, 30102 Dosya Adı: nssx.exe Boyutu: 640 Kb Dizini: C:WindowsSystem 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRun NSSX | C:WindowsSystemnssx.exe kaydını silin. 2. PCnizi MS-DOS kipinde başlatın. 3. C:Windowsnssx.exe dosyasını silin. 4. PCnizi yeniden başlatın. SUBSEVEN Port Numarası: 1243, 1999,6711, 6776 Dosya Adı: 1. Dosya: server.exe, rundll16.exe, systray.dl, Task_bar.exe 2. Dosya: FAVPNMCFEE.dll, MVOKH_32.dll, nodll.exe, watching.dll Boyutu: 328 Kb, 35 Kb Dizini: C:Windows, C:WindowsSystem 1. C:WindowsSystemSysEdit.exe dosyasını çalıştırın.SYSTEM.INI dosyasının [boot] bölümündeki sheel=Explorer.exe satırını inceleyin.Satırın sagına yukarıda adı gecen dosya adlarından biri eklenmisse,dosya adını bir kenara not edin ve satırı shell=Explorer.exe haline getirin. 2. Aynı penceredeki WIN.INI dosyasını [windows] bolumunde run= ve load= diye baslayan satırları inceleyin.Soz konusu satırlardan biri yukardaki adı geçen dosyalardan birini işaret ediyorsa, dosya adını ot edin ve silin. 3. Yapmıs oldugunuz degisiklikleri kaydetip sysedit penceresini acın. 4. Registieydeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRun anahtarını inceleyin ve yukarıda adı gecen dosyalara isaret eden kayıtları silin.Herhangi bir kayıt bulamazsanız trojanın adı değiştirilmiş demektir.Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:Windows dizinindeki EXE dosyalarıyla karşılaştırın.328 Kb boyutunda olan dosya, adı değiştirilmiş SubSeven trojanıdır.Registry kaydını silin. 5. PCnizi yeniden başlatın. 6. C:Windows dizinindeki trojan dosyasını silin. WINCRASH Port Numarası: 5742 Dosya Adı: server.exe Boyutu: 290 Kb Dizini: C:WindowsSystem 1. Registrynizdeki HKEY_LOKAL_MACHINESoftwareMicr osoftWindowsCurr entVersionRun MsManager | SERVER.EXE kaydını silin. 2. PCnizi MS-DOS kipinde başlatın. 3. C:WindowsSystemserver.exe dosyasını silin. 4. PCnizi yeniden başlatın -