Son zamanlarda, IRC,ICQ, Mail üzerinden karsi tarafin PC'sine bir trojan yollayarak portlarindan birinde acik saglamak ve bu portu kullanan bir program vasitasiyla PC'ye tamamen hükmetmek tehlikeli derecede yaygin bir hal aldi. Siz IRC'de keyifle sohbet ederken bir hacker, haberiniz bile olmadan bilgisayarinizda geziniyor veya bazi sahsi bilgilerinizi çaliyor olabilir.

Bana göre trojanlar farkına varılmadığı sürece en tehlikeli virüslerdir. Çünkü yapılabilecekler kısıtlı değildir. Bir programa bağlı çalıştıkları halde kullanıcı bir beyin olunca hiç de yabana atılamayacak kadar tehlike doğurabilirler. CIH,Melisa gibi virüsler birer programdır tek bir görevleri vardır ve başarıyla yerine getirirler de. Trojanlarda ise birçok virüsün bir arada yapabileceğini tek başına yapabilecek kapasite vardır tabii kullanmasını bilene ve vicdanını sesini duymayana göre.

Şimdi de hack edildiginizi anlamanin yollarindan ve anlayinca bunun önüne nasil geçebileceginizden bahsedecegim.

Bilgisayarinizin hack edildigine dair bazi isaretler vardir.

1. Bilgisayarinizi açtiginizda karsilastiginiz mesajlar. Etraftaki birinin size saka yapmadigindan eminseniz ve bilgisayarinizi açtiginizda "Bilgisayariniz hack edilmistir" tarzi bir mesajla karsilasiyorsaniz, bu mesaji kimin biraktigi açiktir.

2. Harddiskten gelen alisilmadik sesler. Internete bagli oldugunuz süre zarfinda, siz birsey yapmamaniza ragmen harddiskinizden birsey yükleniyormus gibi sürekli olarak gelen sesler, bir hackerin o sirada harddiskinizdeki bazi dosyalari karistirdigina gösterge olabilir. Tabii burada bir internet sayfasi açarken, karsidan dosya yüklerken veya bir program bir dosyayi açarken gelen dogal seslerden bahsetmiyorum; bilgisayarini uzun süre kullananlar bu dogal sesleri zaten tanirlar.

3. Disket sürücüsünün çikarttigi sesler. O anda kullandiginiz hiçbir program disket sürücüsüne ulasmaya çalismamasina ragmen disket sürücüsü içinde bir disket varmis gibi sesler çikartiyorsa, bu PC'nize sizmis bir hackerin sürücüde disket aradigini gösterebilir.

4. CD-ROM sürücünüzün açilip kapanmasi. Bu, hackerlarin en sik yaptigi "Espri"lerden biridir. Siz fiziksel olarak veya bir program araciligiyla hiçbir müdahele yapmamis olmaniza ragmen CD-ROMunuz açilip kapaniyorsa, muhtemelen bir hacker size "saka" yapiyordur. Gülümseyin!!!

5. Kendi kendine kaybolan dosyalar. Bir takim özel dosyalariniz esrarengiz sekilde kaybolduysa ve onlari Geri Dönüsüm Kutusu'nda bile bulamiyorsaniz, bir hackerin kötü niyetinin kurbani oldugunuzdan süphelenebilirsiniz. Tabii bir hackera suç atmadan önce kendinize sormaniz gereken bazi sorular var. 

    Bilgisayarinizi en son kapattiginizda Windows'unuzu normal sekilde mi "Shutdown" ettiniz? Çok sik olmasa da, Windows'un alisilmadik sekilde kapanmasi bazi dosyalara (veya FAT'lara) zarar verebiliyor.

    Bilgisayari en son kapatmanizdan önce hiçbir program hata mesaji verdi mi? Hata mesaji vererek kapanan programlar, kendileriyle ilgili dosyalara zarar vermis veya onlari silmis olabilirler. Mesela Word'ünüz alisilmadik hata mesajlariyla kapanmissa ve bilgisayari tekrar açtiginizda üzerinde en son çalistiginiz .doc dosyalarini bulamiyorsaniz, bunun suçlusu Word olabilir. 

    Bilgisayari ortak kullandiginiz kisiler kaybolan dosyalari silmis olabilirler mi? 

    Eski sürümlü bir program yüklemeyi denediniz mi? Bilgisayariniza yükleyeceginiz eski versiyonlu bir program, kendi eski sistem dosyalarini sizinkilerin üzerine kopyalayabilir. Bu durumda daha yeni versiyonlu programlar eski sistem dosyalariyla çalisamayacaklardir ve size bazi sistem dosyalarinin eksik olduguna dair mesaj verebilirler. Bu da bir hackerin degil, eski sürümlü programinizin suçudur. 

    Sisteminizden paylasimli sistem dosyalari kullanan bir programi tamamen kaldirdiniz mi? Programlarin ortak kullandiklari sistem dosyalari vardir. "Program Ekle/Kaldir"i kullanirken , silmek istediginiz programin diger programlarla ortak kullandigi sistem dosyalarini da silmis olabilirsiniz. Bilgisayariniz paylasilan bir sistem dosyasini silmeden önce bu konuda sizden onay alir; sözkonusu sistem dosyasinin silinmesini onaylamissaniz ve onu kullanan baska programlar "Sistem dosyasi bulunamadi" hatasini veriyorsa, bunun suçlusu bir hacker degildir.

    Bilgisayarinizda o anda davetsiz bir misafirin gezindigini anladiginizda, yapmaniz gereken ilk sey internet baglantinizi kesmektir. Eger internette önemli bir isiniz oldugu için baglantinizi bir hackerin hedefi oldugunuzdan tamamen emin olmadan kesmek istemiyorsaniz, su yolu izleyin.

    1. BASLAT-->PROGRAMLAR menüsünden MS-DOS Komut Istemi penceresini açin.
    2. MS-DOS Komut Istemi penceresinde netstat -a yazin. Bu, bilgisayarinizin o anda hangi IP adresinlerine hangi portlardan bagli oldugunu gösterir. Eger dogal olarak bagli oldugunuz yerlerin disinda (mesela IRC serverlari, ICQ serveri, DCC Chat-ICQ Chat baglantilari, WEB siteleri, FTP serverlari, vs.) baska baglantilara rastlamazsaniz, korkacak birsey yoktur.

    Peki, netstat komutuyla rastladigimiz bir baglantinin dogal olup olmadigini nasil anlayacagiz?
    1. Öncelikle baglantilarin portlarini gözden geçirin. Internet üzerinde en çok kullanilan protokoller ve kullandiklari portlar sunlardir: 80 http (WEB sayfalarina baglanmak için kullanilan port) 21 ftp (FTP serverlarina baglanmak için kullanilan port) 23 telnet (Telnet ile baska sistemlere baglanmak için kullanilan port) 25 mailto (E-mail atmak için kullanilan port) 110 POP3 (E-mail almak için kullanilan port) 6660-7000 IRC (IRC serverlarina baglanmak için kullanilan genel portlar) 4000 ICQ (ICQ, servera ilk baglantisinda bu portu kullanir) 1000-1080 ICQ (ICQ, servera baglandiktan sonra bu portlardan birini kullanir) PC'niz bir proxy, yerel ag, vs. üzerinde yer almiyorsa veya bu tür aglar için kullanilan programlardan birini çalistirmiyorsa, bu portlarda gözüken baglantilarda genelde tehlikeli bir durum sözkonusu degildir. Ancak hackerlarin sik sik kullandiklari portlardan birinden yapilmis bir baglantiniz varsa (456,31337,12345,1243,27374,30303 gibi), davetsiz bir misafirinizin olma ihtimali çok yüksektir.    

    2. Tehlikeli bir port gözükmemesine ragmen bir baglantidan süphelenirseniz, süphelendiginiz baglantinin karsisinda yazan IP adresini bir yere not alin. Sözkonusu IP adresinin 194.242.74.130 oldugunu farz edersek, mIRC üzerinden bir IRC serverina bagliyken /dns 194.242.74.130 komutunu kullanmaniz gerekir. Bu komut, size o adresin açilimini verecektir (mesela dialup03.fornet.tr, hotmail.com, microsoft.com, vs.). Eger adresin açilimi o anda bagli oldugunuz bir IRC, ICQ, WEB, FTP, vs. serveri ise hersey yolundadir. Ancak bir ISS (Internet Servis Saglayicisi) ismi içeren bir adresle karsilasirsaniz, bu internet üzerinde bulunan baska bir PC ile baglanti halinde oldugunuz anlamina gelir (Eger o anda bir arkadasinizla dosya transferi yapiyorsaniz, mIRC içinde aktif DCC Chat pencereniz varsa veya ICQ Chat tarzi bir sohbet ortamindaysaniz, bu baglantinin olmasi dogaldir). Bu durumda, o IP adresinin sahibini tespit etmelisiniz. Eger süphelendiginiz kisi ICQ'da Online ise, ICQ listesinde o kisinin nickinin üzerine tikladiginizda açilan menüde INFO komutunu seçin, bu size o kisinin IP adresini verir. mIRC'de ise, /dns NICKNAME komutunu kullanarak süphelendiginiz kisilerin IP adresini ögrenebilirsiniz. Eger mIRC'de süphelendiginiz belli biri yoksa, sadece IP adresinin sahibinin o anda sizin bulundugunuz IRC serverinda olup olmadigini görmek istiyorsaniz, /who 194.242.74.130 /who dialup03.fornet.tr komutlarini kullanarak STATUS baslikli pencerenizi izleyin (tabii buradaki IP adresi ve açilimi sadece örnek, siz netstat penceresinde gördügünüz IP adresini ve açilimini kullanmalisiniz). Aradiginiz IP adresinin sahibi ile ayni IRC serverindaysaniz, mIRC bunu size söyleyecektir. PC'nizle baglanti kurmus kisiyi tespit ettikten sonrasi size kalmis. Onunla konusabilirsiniz, konusmadan baglantinizi kesebilirsiniz, ya da baglantilarinizda neden onun adresinin gözüktügünü sorabilirsiniz (belki de sadece Ident'inize bakan iyi niyetli biridir). 

    PC'nizin hack edildiginden eminseniz, baglantinizi kestikten sonra hack edildiginiz açigi kapatmadan Chat ortamina yeniden girmemenizi öneriyorum. Mutlaka girmeniz gerekiyorsa da, bütün kimlik bilgilerinizi degistirmeyi ihmal etmeyin.

    Standart bir Windows kullanicisiysaniz, IRC-ICQ hackerlari PC'nize sizmak için genelde iki açik ararlar: Dosya Paylasimi ve Trojan. Öncelikle, sisteminizde bunlardan hangisinin yer aldigini bulmaniz gerekir...

    1.Dosya paylasiminizin açik olup olmadigini görmek için, BASLAT-->AYARLAR-->DENETIM MASASI-->AG menüsünü açin. Açilan ekranda "Dosya ve Yazici Paylasimi" yazan ikona basin ve karsiniza çikacak menüdeki iki kutucugun bos oldugundan emin olun. Eger kutucuklar dolu ise, bu baskalarina erisim hakki verdiginizi gösterir. Dolu kutucuklari bosalttiktan sonra, PC'niz Windows CD'nizi bazi sistem dosyalarini yüklemek üzere isteyebilir (DIKKAT: Eger ag, proxy, vb. gibi bir sistem üzerindeyseniz, "Dosya Paylasimi"nin açik olmasi gerekiyor olabilir. Bu durumda sistem yöneticinizle konusun).

    2.Sisteminizde trojan aramak ise biraz daha uzun bir islemdir. Öncelikle BASLAT-->BUL-->DOSYALAR VEYA KLASÖRLER menüsüne girin. AD kutucuguna *.exe yazin, KONUM kutucuguna ise harddisklerinizin isimlerini yazarak hepsini aratmalisiniz. Tek harddiskiniz varsa KONUM kutucuguna c: yazarak; iki harddiskiniz varsa önce c: sonra d: yazarak aratmaniz gerekir. Aramanin sonucu olarak karsiniza birçok .exe dosyasi çikacaktir. Bu konumda, dosyalarin baslarinda yer alan ikonlara dikkat etmelisiniz. Trojanlar genelde iki ikonla kendilerini belli ederler: 

1. Mesale ikonu: Mavi bir daire üzerinde yer alan egri bir mesale ikonu görürseniz, bu ikonun sahibi çok yüksek ihtimalle bir trojandir. 

2. Bos ikon. Eger bir .exe dosyasinin ikonu yoksa, bu da muhtemelen Back Orifice trojanidir.

    Trojan arayabileceğiniz başka bir yöntem daha söylemek istiyorum. C:\WINDOWS\SYSTEM dizini. IRC,ICQ ya da Mail yoluyla aldığınız ve her nedense hiç tereddüt etmeden çalıştırdığınız trojan dosyalarından bazıları kendini sistemle ilgili başka bir isimle üstelik salt okunur ve de gizli olarak C:\WINDOWS\SYSTEM dizinine kopyalarlar. Bilgisayarınızın bir dahaki açılışında buradaki dosya çalıştırılarak size hçbirşey sezdirilmemeye çalışılır. Acaba benim de C:\WINDOWS\SYSTEM dizininde saklanan böyle bir trojanım var mı derseniz izleyeceğiniz adımlar şunlardır:

1. Bilgisayarım'dan Görünüm/Seçenekler bölümüne giriniz. Burada tekrar Görünüm seçeneğine gelip Tüm Dosyaları Göster kutucugunu klikleyin ve Tamam diyerek masaüstüne dönün.

2. BASLAT-->BUL-->DOSYALAR VE KLASÖRLER menüsüne girin. AD kutucuğuna grcframe.exe;msrexe.exe yazın (bu trojanlar hakkında daha sonra bilgi vereceğim) ve enterlayın. Eğer bu dedikelrimden birini bulursa grcframe.exe veya msrexe.exe vb. o zaman devam ediyoruz.

3. Bilgisayarınızı yeniden başlatın. Memory Test Ekranı geçip diğer Donanım Özelliklerinin yazılı olduğu çerçeveli ekrana gelince F8 tuşuna basın. SADECE KOMUT ISTEMI ni seçerek MS-DoS Komut Istemi ne giriş yapın.

4. Daha sonra bulunduğunuz ekrana şunları yazın:

    cd\    ¿

    cd C:\WINDOWS\SYSTEM   ¿

    attrib -h -r -a grcframe.exe   ¿ (eğer windowstayken arama sonucu msrexe.exe bulduysanız grcframe.exe yerine msrexe.exe yazın)

    del grcframe.exe  ¿   

5.  Bütün bu işlemleri yaptınız şimdi bir de kontrol edelim bakalım aşağıdaki komutu girdiğinizde size eğer Dosya Bulunamadı derse görev tamamdır demezse 4. maddeki yönergeleri en baştan itibaren tekrar uygulamanız gerekecek mutlaka biryerde yanlış yapmışsınız demektir.

    dir grcframe.exe   ¿ 

   Eger sisteminizde trojan bulamazsaniz, IRC-ICQ hackerlarinin çok yüksek bir yüzdesinden korkmaniza gerek yok demektir. Çünkü çogu sistemi bilmeden, sadece ellerine geçen 1-2 programda mouse klikleyip sisteminizde hakimiyet kurarak egolarini tatmin eden kisilerdir. Trojani veya dosya paylasim açigi olmayan bir Windows makinasina sizmak, bu kisiler için mümkün degildir.

   Size C:\WINDOWS\SYSTEM dizininde saklanan trojanlardan bahsettim. Bunların en çok kullanılanı ve en tehlikelileri Schoolbus ve Subseven'dır.

SCHOOLBUS: 54321 default portunu kullanan bu trojanın programında bir de server edit (yani trojanı şekilden şekile sokma) bölümü var. Böylece kurbanın daha çabuk trojanı yemesi ve şüphelenmemesi sağalanıyor. Programın ortak şifresi açıklanana kadar gerçekten birçok kişinin canı yandı ama artık bu trojan kullanılmıyor. Tabii kullanan da vardır kıyıda köşede. Dedim ya IRC-ICQ Hackerlarının birçoğu bu sistemi bilmiyor ve sistemle ilgili gelişmeleri de takip ettiğini sanmıyorum. Bu yüzden bunun farkında olmayabilirler. Trojan sosyasının boyutu 320KB ile başlayıp 340KB a kadar çıkabiliyor.

SUBSEVEN: 27374 default portunu kullanan bu trojan ne SCHOOLBUS la bir tutulabilir, ne NETBUS rakip gösterilebilir... Bu trojan gerçekten size herşeyi ama herşeyi kendi bilgisayarınızda yapabileceğiniz herşeyi kurbanın bilgisayarında yapma imkanı veriyor. ICQ nosunu hacklemeden, o kişinin ip sini kullanmaya kadar bir çok özelliği bulunan bu trojanın da Edit server adı altında ayrı bir programı var ki size trojan dosyası üzerinde uçuk oynamalar yapma imkanı veriyor. Birçok versiyonu hergeçen günü piyasaya sürülen bu programın Password kırıcı (yani SCHOOLBUS taki ortak şifre gibi) versiyonları da piyasa da dolaşıyor. Trojan dosyasının boyutu 373KB la başlayıp 400KB a kadar çıkabiliyor. Siz siz olun öncelikle SUBSEVEN olmak üzere hiçbir trojan dosyasını yememeye dikkat edin!!!

    PC'nizde bos ikonlu bir Back Orifice trojani bulursaniz (bu dosyanin ismi herhangi birsey olabilir), hemen http://www.hotfiles.com http://www.download.com adreslerinden birinden çekeceginiz BoDetect programiyla sisteminizi tarayin. Trojan dosyasini silmeniz asla yeterli olmayacaktir, Back Orifice'dan tamamen kurtulmak için BoDetect'i kullanmalisiniz

(NOT: IRC-ICQ ortaminda aslinda Back Orifice trojaninin ta kendisi olan sahte BoDetect dosyalari elden ele iletiliyormus, bu yüzden baskalarindan gelen BoDetect programlarina güvenmeyin)

   PC'nizde mesale ikonlu bir trojana rastlarsaniz, bu NetBus veya Hackers Paradise türü tek port kullanan bir programa ait demektir. Buldugunuz trojan dosyasinin isminin PATCH.EXE oldugunu farz edersek, ondan kurtulmak için su yolu izlemelisiniz:

   1. Öncelikle Patch.exe 'yi ve diger bütün mesale ikonlu dosyalari silin.
    2. BASLAT-->AYARLAR-->GÖREV ÇUBUGU-->BASLAT MENÜSÜ PROGRAMLARI-->GELISMIS menüsünü açin. Açilan pencerede PROGRAMLAR-->BASLANGIÇ ve         PROGRAMLAR-->STARTUP klasörlerinde mesale ikonlu herhangi bir kisayol olup olmadigina bakin; varsa hemen silin.
    3. BASLAT-->ÇALISTIR menüsüne girerek regedit yazin ve TAMAM ikonunu klikleyin. Açilan pencerede DÜZEN-->BUL menüsüne girerek Anahtarlar, Veriler ve Degerler kutucuklarinin isaretli oldugundan emin olduktan sonra ARANAN: kismina Patch.exe yazarak Sonrakini Bul ikonuna basin. Registrynizde her bulacaginiz Patch.exe ile alakalı kayıdı  silin, ve sildikten sonra F3 tusuna basarak aramaya devam edin. Windows "Kayit Içinde Arama Tamamlandi" mesajini verdiginde, bütün Patch.exe verilerini sildiginizden eminseniz Registry Editor pencerenizi kapatin.
    4. BASLAT-->ÇALISTIR menüsüne girerek c:\windows\system\sysedit.exe yazin. Açilan pencerelerin hiçbirinin Patch.exe ile ilgili kayit içermediginden emin olun, olan kayitlari da sildikten sonra DOSYA-->KAYDET ikonunu tiklayin.
Bunlari yaptiktan sonra trojandan kurtulmus olmalisiniz. Tabii trojan dosyasinin ismi herhangi birsey olabilir, Patch.exe 'yi yalnizca örnek olsun diye verdim.

   Ayrica, çok popüler olarak kullanilan ICQkill adli program da aslinda bir trojandir. Bir kere bu programi çalistirdiysaniz, c:\windows\system\explorer.exe dosyasini silerek etkisiz hale getirebilirsiniz . (c:\program files\internet explorer\explorer.exe`yle karistirmayin)
Sisteminizi güvenli hale getirdikten sonra güvenli kalmasi için ise, baskalarindan gelen .exe veya .com dosyalarindan hiçbirini kabul etmemeyi unutmayin.

    Bunların dışında bir de IRC ortamında kendi kendilerini başka PC'lere otomatik olarak yollayan trojanlar var. DmSetup.exe ve Script.ini, bu trojanların en eskileri ve en ünlüleri. Eğer aynı kanalda bulunduğunuz kişiler kendilerine DmSetup.exe, Script.ini veya benzeri bir dosyayı gönderdiğinizden şikayet ediyorlarsa (tabii trojan kendi kendini yolladığı için sizin bundan haberiniz bile olmayacaktır), ilk önlem olarak mIRC folderınız altında bulacağınız o kendi kendini yollayan dosyayı silin ve mIRC'de "/remote off" komutunu kullanın. Tam garanti için ise mIRC'inizi tamamen silip yeniden yüklemeniz gerekir.

    Ayrıca IRC serverına bağlandığınızda adresinizde "typehere" yazması da mIRC'inizde trojan olduğunu gösterir. Bunu görmek için bulunduğunuz kanalın nickname listesinden kendi nickinizin üzerine çift tıklayarak kendi kendinize Query (yani Whisper) açın ve açılan pencerede birşeyler yazın; pencerenin üzerinde çıkacak adres "typehere@(Ip Adresiniz)" formatında değilse herşey yolundadır.

    Typehere yazısını görürseniz, yine mIRC'inizi tamamen silip yeniden yükleme vakti gelmiştir.

   Trojanlarla ilgili kısa ve öz yazımızın sonuna geldik. Eğerki birşeyler öğrenebildiyseniz ya da kafanızdaki bir soruyu hallettiyseniz ne mutlu bana...