GÜVENLİK ve GÜVENLİK AÇIKLARI - Computer Security II Black_Rose - 06 Arl Cmt, 2008 6:03 pm Mesaj konusu: Computer Security IIComputer Security II
(Trojan tespiti ve çözümler)
Build Güncelleme Notları
BackOrifice1.2 ve 2k UDP portu kullandıkları için portscan yapıldığında farkedilemezler. Deep Throat ve Truva Atı haricindeki trojanların kullandıkları portlar trojanı konfigüre eden kişi tarafından değiştirilebilir. Subseven Trojanı, tecrübeli kullanıcılar tarafından EditServer programı yardımıyla çok geniş bir çeşitlilikte konfigüre edilebilmektedir. Bu trojanın boyutu, iconu, startup yöntemi, sistemde yerleşeceği dizin ve alacağı isim, register anahtarının adı ve kullanacağı port değişiklik göstermektedir. Yukarıdaki tabloda verdiğim bilgiler server'ın default özellikleridir.
SchoolBus serverı çalıştığı bilgisayarın UDP 44767 portunu da açmaktadır. BackOrifice, system klasöründe WINDLL.DLL dosyasını oluşturur. SubSeven'ın 1.9 dan önceki versiyonları SYSTRAY.DL adıyla windows klasörüne yerleşip TCP 1243 portu açarlar. Ayrıca system klasöründe FAVPNMCFEE.DLL dosyasını oluştururlar.
Build 014 Güncellemesi :
InCommand 1.5 Trojanının iconu, sistemde alacağı isim ve kullanacağı port, edit server programı yardımıyla değiştirilebilmektedir.
GIP 110 Programı, register'da özel bir teknik kullanarak registry'de LM (run) ve LM(RunServices) bölgeleri arasında yer değiştirebilir. Bu nedenle, bilgisayarınızı restart yaptıktan sonra mutlaka DOS ortamında açıp program dosyasını silmelisiniz. Eğer bu işlem yapılmazsa Windows yeniden başlatıldığında program tekrar aktif hale gelebilir. GIP programının iconu değişebilir, gönderildiği bilgisayarda windows, system ve temp dizinlerine yerleşebilir, aynı şekilde çalıştırıldıktan sonra alacağı isim de değişebilmektedir. Ayrıca GIP trojanı çalıştırıldığında taşıyıcı dosyayı silebilme fonksiyonuna da sahiptir. Bu trojan bilgisayarınızda çalıştırıldıysa hiç zaman kaybetmeden ICQ ve DialUp passwordleri başta olmak üzere sistemde kullandığınız bütün passwordleri (email, ftp, web-site vb.) değiştirmeniz gerekmektedir.
adresine gidip trojan dosyasının oluşturduğu anahtarları sildikten sonra bilgisayarınızı restart etmeniz gereklidir.
* Truva Atı trojanını registry'den temizlemek için öncelikle trojan dosyasının bulunduğu klasörün ismini değiştirip bilgisayarınızı restart ettikten sonra programı registry den silmelisiniz.
1.2 Yapılandırma Dosyalarına Yerleşen Trojanlar
windows dizini altındaki WIN.INI ve SYSTEM.INI dosyalarını notepad'le açıp
WIN.INI de run=
SYSTEM.INI de ise shell=
satırları kontrol edilmelidir. Eşittir işaretinden sonra yazan dosya ismi yukarıdaki listede yazan isimlerden birisi ya da şüphe uyandıran başka bir isimse o bölümü silip yapılandırma dosyasını save ettikten sonra bilgisayarınızı restart edin.
2. Executable dosyanın silinmesi
Registry erişimi engellenemeyen bir dosyayı windows üzerinde silmeniz olanaksızdır. Bu dosyaları silebilmek için bilgisayarı, low level işletim sistemi olan DOS kipinde açmak gereklidir. Dos ortamında dizin değiştirmek için CD dosya silmek için DEL komutlarını kullanırız.
Örnek :
msrexe.exe olarak sisteme yerleşmiş bir SubSeven trojanını silmek için.
Code:
del c:\windows\msrexe.exe
komutu verilmelidir. silme işlemi bittikten sonra, dos ortamına shutdown menüsünden girmişsek EXIT boot sırasında girmişsek WIN komutu verilerek windows ortamına dönülür.
Eğer Firewall kullanmıyorsanız haftada bir kez windows ve system klasörünüzdeki dosyaların listesini ;
Code:
dir *.exe /od > liste.txt
komutunu vererek liste.txt dosyasına oluşturma tarihi sırasına göre aktarabilirsiniz. Daha sonra bu dosyayı Notepad programıyla açıp incelemeniz haftalık değişimleri farkedebilmenizi sağlar. Hızlı bir portscan yardımıyla bilgisayarınızdaki TCP portlarını haftada bir kez kontrol etmeniz de sistem güvenliğinizi sağlamanıza yardımcı olur.