------------------------------------------------------------------------------------------------- # Konu : Virüsler, Wormlar, Truva Atları ( trojenler ) Tarih : 21/01/2006 Saat : 15:26 Yazar : Khalsa Düzenle.: Ibrahim BALIÇ # ------------------------------------------------------------------------------------------------- İçerik : 1.Virüslere Giriş 2.Virüslerin Tarihi 3.Virüs Nedir? 4.Bulaştıkları Yapıya Göre Virüsler 4-1.Boot Virüsleri 4-2.Dosya Virüsleri 4-3.Makro Virüsleri 5.Karakteristik Yapılarına Göre Virüsler 5-1.Polimorfik Virüsler 5-2.Stealth Virüsler 5-3.TSR Virüsler 6.Virüslerin Bulaşma Yolları 7.Virüslerimizi Tanıyalım 8.Virüslerden Çıkış 9.Wormlara Giriş 10.Wormların Tarihi 11.Worm Nedir? 12.Wormlarin Bulaşma Yollari 13.Bir Kaç Worm'a Gözatalim 14.Wormlardan Çıkış 15.Truva Atlarına Giriş 16.Turuva Atları Tarihi 17.Truva Mantığı 18.Truva Atlarının Çalışması ve Incelenmesi 19.Turuvaların Yok Edilmesi 20.Turva Atlarından Çıkış ================================================================================================= [1.Virüslere Giriş] ''''''''''''''''''' ------------------------------------------------------------------------------------------------- İlk Olarak Virüsleri, Genel Olarak Virüs Ve Türleri Tanıyacağız. Öncelikle Çok Kısa Olmak Sureti İle Virüs Tarihine Bir Göz Atalım. [2.Virüs Tarihi] '''''''''''''''' ------------------------------------------------------------------------------------------------- 1946 Yılında EDVAC'ın Yapımcısı Olan Dr.Von Neuman TOCA (Theory and Organization of Compli cated Automata- Karmaşık Özdevinirin Teorisi ve Organizasyonu) Adı Altında Hazirlamış Olduğu Yazı Dizisinde Bilgisyar Programlarının Kendilerini Kopyalayabileceğini Öne Sürmüş. 1950 Yılında belll laboratuvarıında Bu Teori Hayat Bulup, Core Wars İsimli Virüs(oyun) Yazılmış. Virüs Denilemiyecek Kadar Basit Olan Core Wars'in Ardından İlk Gerçek Virüs 1981 Yılında Elk Cloner Adı İle Gözüktü. Bu Virüsün İşlevi İse Ekrana Bir Şiir Yansıtması Idi. it will get all your disks it will infiltrate your chips yes it's cloner it will stick to you like glue it will modify ram to send in the cloner O Tüm Diskleri Alacak O Tüm Çiplerinize Girecek Evet O cloner O Size Zamp Gibi Yapışır O ram'i de Değiştirir cloner'ı Gönderin Ms-Dosta Dosyaya Bulaşabilen Ve 1986 Kayitlara Gecen İlk Virüs Brain Virüsüdür.Şimdi Virüs Nedir Tanıyalım :) [3.Virüs Nedir ?] ''''''''''''''''' ------------------------------------------------------------------------------------------------- Kodu Kötü Amaçlar Üzerine Yazılmış, Kullanıcının İsteği Dışında İşlemler Yapabilen,(Dosya Silmek, Dosya Yaratmak)Tüm Programlara Virüs Diyebiliriz Virüslerin Tek Mantığı Vardır Oda ZARAR VERMEK. [4.Bulaştıkları Yapıya Göre] '''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- [4-1.Boot Virüsleri] '''''''''''''''''''' -Sabit Disklerin, İlk Sektörüne Bulaşan Ve Buradaki Dosyalara Zarar Veren Virüs Türlerine Boot Virüsleri Diyoruz. Boot Virüslerine Örnek Olarak -Michelangelo -Neardark -Stealth [4-2.Dosya Virüsleri] ''''''''''''''''''''' -Dosyalarin Kaynak Kodlarına Kendilerini Ekleyen Virüslere Dosya Virüsleri Diyoruz. Dosya Virüslerine Örnek Olarak -Chernobyl -Fun Love -Nimda [4-3.Makro Virüsler] '''''''''''''''''''' -Word,Excel Gibi Programların Macro Dili Kullanilarak Yazılan Virüs Türlerine Macro Virüs leri Diyoruz. Macro Virüslerine Örnek Olarak -Melissa -FormatC -Hot -Concept [5.Karakteristik Özelliklerine Göre] '''''''''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- [5-1.Polimorfik Virüsler] ''''''''''''''''''''''''' -Bulaştığı Andan İtibaren Kendi Kaynak Kodlarını Değiştiren Virüs Tür lerine Polimorfik Virüsler Diyoruz. [5-2.Stealth Virüsler] '''''''''''''''''''''' -Buluşatıkları Sistemlerde Kendilerini Geliştirebilen Ve Kodlarında D eğişiklik Yapanbilen Virüs Türlerine Stealth Türü Diyoruz. [5-3.TSR Virüsler] '''''''''''''''''' -Kendilerini Ramin Belleğine Yazanbilen Virüs Türlerine Tsr(Terminate Stay Resident) Virüsleri Diyoruz. [6.Virüslerin Bulaşma Yolları] '''''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Cdler,Disketler,Flash-Diskler,Sd-Kartlar,Harddiskler ,İnternet ,E-posta Yöntemleri İle Bu laşabilir.2001 Den Sonra En Çok Kullanılan Yöntem E-Posta Yolu, Olmuştur. [6-1.Cd-ROM, Cd-RW , Floopy , Flash-Disk, Sd-Kart Riskleri, Harddiskler] '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Hemen Hemen Her Virüs Çıkarılabilir Diskleri Bulaşma Yöntemi Olarak Kullanabilir.Ama Ençok Kullanılan Sanirim Floopy , Flash-Disk Sd-Kart Yöntemleridir.Bunların Sebebi, XP Gibi Bir İşletim Systemde ,Cd-rom, Cd-Rw, Dvd Hariç Diğer Disklere Yazma Hakkında Sınırlamayada Kısıtlama Olmamasıdır. Usb Yada İde İle Bağlaantı Kurulduktan Sonra Disklerin ,Yerel Diskler Gibi Kullanıla Bilmesidir.Çıkartıla Bilir Diskleri Kullanan Virüslere Örnek Olarak -Winfile [6-2.İnternet , E-posta] '''''''''''''''''''' 2000'Li Yıllardan Sonra , İnternetin Yaygınlaşması Ve Hizlanmasından Dolayi , Genel Olarak E-posta Yöntemi Yaygın Olaak Gözükmüştür.Kaspersky in Açıklamasına Göre 2001 De Yayilan Virüs lerin %93'ü E-posta Yöntemini Kullanmış.(İnternet Genel Olarka Alınan Bi Belirtidir.) E-posta Ve İnternet Kullanan Virüslere Örnek Olarak -Meslissa -Nimda -Fun Love -...................(Genel Olarak Hepsi :) ) [7.Virüslerimizi Tanıyalım] ''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- 7-1.Boot Virüslerimiz; -Michelangelo : 1992 Yılında Görünüp Binlerce Pc Bulaştığı Belirtildi. Sabit Diskin Bölüm Tablolarına Bulaşır Ve Bulaştığı Sistemlerde 6 Mart Günü Tüm Dosyaları Silmeyi Dener. -Neardark : Diğer Bilinen Adları Bloomington, No Int, Stoned, Stoned III, LastDirSect, NewZealand Dir.Sabit Diskin Bölüm Tablolarına Ve Disketlerin Açılış Sektörüne Bulaşır. -Stealth : Aktif Olarak Kendini Saklayabilen / Gizleyen Bir Virüstür. Adını Türünden Alır Ve Stealth.b Olarak Boot Virüslerimizin İçinde Bulunur.Diskimizin MBR(Master Boot Record)'sine Kendini Yazdırır. 7-2.Dosya Virüslerimiz; -Chernobyl : Adını Nükleer Kazasından Alan,Bu Virüs Nükleer Kazanın Olduğu Tarhte Çalı şır Ve Çalıştığı An İtibari İle Flash'ını Yazmayı Dener. Büyük Hasarlara Yol Açan Cherno byl Bazı Anakartlarda Düzeltilmez Hasarlar Oluşturabilen Bi Virüstür. -Fun Love : Fun Love Virüsünün En Büyük Ve Şaşırtan Yönü , Microsoft'un Resmi Sitesin den İndirilen Update(Güncelleştirme) Dosyalarınada Bulaşmış Olmasıdır.Virüsün Diğr Özell iklerinden Bahsetmek Gerekirse Hem 9x ve Nt Sistemlerde Çalışabilmesidir.Exe,OCX Dosya T ürlerine Bulaşabilen Bu Tür Ağdan Yazma Hakkının Varolduğu Klasorlerede Bulaşmaktadir. -Nimda : Adını "Admin/Yönetici" Kelimesinin Tersten Okunması İle Alan Nimda Virü sü Worm Virüs Birleşiminden Oluşturmuştur.Bulaştığı Sistemlerde Load.exe İsimli Br Dosya Olu şturur Ve Bu Dosyayi "System.ini" Dosyasina Yazdırar Boot KismA Yazdirir.Explorer Ve E-posta Yolu İle Yayilmasi , Nimda Virüsün Yayılma Hızını Arttirir. 7-3.Makro Virüslerimiz; -Melissa : 99 Yılında Çok Büyük Hasarlara Yol Açan Meslissa Virüsü Word Dosyamizin i cine Kodlanir,Belge Açıldığı Anda,Outlook'u Açarak Contact List'imizde Bulunan İlk 50 Ku llanıcıya Kendini E-posta Araçılığı İle Yollar. -FormatC : Bu Macro Çalıştığı Sistemlerde, Dos Araçılığı İle c: Diskini Formatlamayi Dener. -Hot : Bu Virüsün Garip Yönü , Bulaştığı Sistemlerde 14 Gün Beklemesidir. 14 Gün Sonunda Aktifleşen Bu Virüs Açılan İlk Word Belgesinin İçeriğini Komple Sİler. -Concept : Virüsü İlk Ve En Yaygın Macro Virüsüdür.Halen Daha Farklı İsimler Ve Kodl ar İle Yaşamakta Olan Bu Virüs, Bulaştığı Belgede "1" Mesajı Verir. [8.Virüslerden Çıkış] ''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Örnekler Ve Anlatılan Özellikler Bu Kadarla Sınırlı Değildir.Daha Fazla Bilgi İcin www.trendmicro.com www.symantec.com www.mcafee.com Adreslerini Ziyaret Edebilirsiniz.Toca Yi Okumak İsteyenler Bu Linkini Kullanabilir. http://www.walenz.org/vonNeumann/page0001.html Virüsler Hakkında Vereceğim Genel Bilgi Bukadardir.Dersimizin Sonudur. ################################################################################################# [9.Wormlara Giriş] '''''''''''''''''' ------------------------------------------------------------------------------------------------- İkinci Olarak Wormlara Göz Atacağız, Kısaca Tarihine Göz Atıp Bulaşma Yollarını, Öğrenip Bir İki Örnekle Pekiştireceğiz... [10.Worm Tarihi] '''''''''''''''' ------------------------------------------------------------------------------------------------- Wormların Tarihide Bir Yazi Dizesinden Geliyor.1972 Yılında John Brunner'in Yazdığı Bilim Kurgu Romanından Gelmektedir. Romanda Tenya Adı Verilen pc Ağlarindan Bulaşan Bir Programdan Bah sediliyor.Oluşum yada Yaratılış Tarihleri 1981lere Dayanıyor.Xerox PARC(PALO ALTO RESEARCH CENTER) İlk Bilinen Wormdur.John Shoch Ve Jon Hupp İsimli İki Araştırmaçı Xerox Parci Tasarladi.Amaçlari Otamatik Kurulumdu.Yüzlerce Makinaya Otamatik Kurulacka Bi Yazılm Geliştirip,Adınıda Worm Olarka Koydular.Ve Şuan Halen Günümüzde Çok Sayıda Worm Bulunmakta Ve Son Günlerde Adsl'inde Yay gınla şması İle En Başağrıtı Konular Arasında Yerini Aldılar.Adsl Wormlarin Hızlarına Hız Kattı. (Bunların Sebebini Network Derslerimide Daha Ayrıcalıklı Olarak Öğreneceksiniz) [11.Worm Nedir ?] '''''''''''''''' ------------------------------------------------------------------------------------------------- Virüslerde Olduğu Gibi "Kodlari Kötü Amaçlar Üzerine Yazılmıştır" Virüslerle Çok Benzerlk Gösteren Bu Yazılımlarin Tek Eşsizlik Kılan Noktaları, Girmiş Olduklari Sistemdeki Çoğalma Hızla rı(Otamatik Olarka) Ve Genel Olarakta Dosya Ve Benzeri Programları Etkilemeye Yönelik Yazilmamal arıdır.Kendini Otamatik Olarka Ağdaki Makinalara Kopyalabilen Programlara Kısaca Worm Diyoruz. [12.Wormların Bulaşma Yolları] '''''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Eposta, Sohbet Ve P2P Programları Ve Genel Olarakta Network Aracılığı İle Bulaşırlar. Sis temlere Sistem Acıklarını Kullanarak Girerler. Ve Hızla Diğer Makinaaları Tararlar Ve Hızla Coğa lırlar. Dikkat Edilmesi Gereken En Önemli Nokta,Çoğalmaları Otamatik Olarak Gelişir. [13.Bir Kaç Worm'a Gözatalim] '''''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- -Sasser Çıkış Tarihi 30.04.2004 Olarak Kabul Edilen Wormumuz xp , windows 2000 Sistemlere Bulaşabi liyor.Sasser Lsass(Local Security Authority Subsystem Service) Bellek Taşmasına Sebeb Olur Ve Sis temin Bu Tarz Hatalara Karşı Sistem Kurtarma Programını Çalıştırır.Sistem Kurtarma Programıda Sis teminizi 60 Sanie İcinde Reset Atmaya Programlıdır.(Bu xp'de Sp1'ile Gelen Default Bir Ayardir.De ğiştirmiş Olan Kişiler Etkilenmez) Ve Sisteminiz Durdurulmadığı Zaman Resetlenir. 14$ Milyon Dola ra Zarara Yol Açtığı Söyleniyor.18 Yaşındaki Sven Jaschan'in Yazdiği İdda Edildi.Ve Mahkemeye Cık arıldı. -Code Red İlk Bulunan Parçası 13.07.2001 Tarihli Wormumuz.Web Sunucularını Hedef Almakta. IIS(Inernet Informatıon Server) Kurulu Sistemlerde 80 Portundan Bağlanarak İşlemlerine Başlar. Eğer Sunucuda A cık Mevcut İse Ve Bağlantı Kabul Edilirse Tüm Yayımlanacak Sayfaların İcerikleri Değiştirilir. "Hello! Welcomto Http://ww.*****.com! Hacked By Chinese !" Olarak.Sonradan Türeyen Versiyonlarinda Mesajlar Değiştirilmiş Olarakta Görünebilir. Code Red'in Bulaşmış Olduğu Sistemler 1-19' u Günleri Yayılma Günleri Olarka Belirlenmiştir.20-27'Si İse Kontrol Gunleridir. [14.Wormlardan Çıkış] ''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Wormlar Genel Anlamda Sistem Açıklarını Kullanırlar Ve Bu Açıkların Kapatilması, İçin Kul Lanılan Programların En Güncel Sürümlerinin Tercih Edilmesi Faydalıdır...Koruduğunuz Veya Kullan dığınız Sisteminizi Korumak İçin En Güncel Aciklari Takip Etmeli ve Gidermelisiniz. http://www.milw0rm.com http://www.secunia.com http://www.securityfocus.com http://www.kaspersky.com Gibi Adreslerden Hem Yeni Çıkan Aciklar Hakkında Hemde Giderilmesi Hakkında Bilgi Bulabilirsiniz. Wormlar Hakkında Bölüm Bitmiştir. ================================================================================================= [15.Truva Atlarına Giriş] ''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Ücüncü Olarak Truva Atları (trojenler)'na Göz Atacağız, Mantıkları Hakkında Bilgi Sahibi Olduktan Sonra, Sistemimizden Nasıl Kaldıracağımıza Bakacağız. [16.Truva Atlarının Tarihi] ''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Turuva Atları İsimlerini, Yunanlıların Ve Turuvalıların Yapmış Olduğu Savaşta Yaratılan A ttan Alır. Yakın Bir Zamandada Vizyonda Olan (Brad Pitt (Acliles) & Eric Bana (Hector) Başrolde Oynadı) Troy Adlı Filmi İzleyenler, Filmde Görmüş Olmalılar, Hediye Olarak Birakın Bi Atın İcine Saklanmış Olan Askerler vs vs.Yapılan Kandirmaca Bizim Truva Atlarımızın Mantığı İle Aynıdır. [17.Truva Atlarının Mantığı] '''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Truva Atlarının Mantiği, Kullanıcıyı Kandirarak, Sisteminde Çalışıp, İçerisindeki Kötü Kod Satırlarını İşlemektir. Kötü Kod Satırı Olarak Herşeyi Düşüne Bilirsiniz. Çoğu Truva Atları Virüs lerden Bile Çok Daha Dehlikelidir.Genel Olarak Asla İlk Etapta Zarar Vermezler.Buda İşletim Siste minde Çalıştıklarını Anlamanızı Zorlaştırır.Bazı Truvalar İse Öncelik Olarak Kişisel Yada Özel Bi lgilere Ulaşmayı Amaçlar.Bu Tarz Truvalara Backdoor(Arka Kapı) Diyoruz. Bunların Mantığı İse Özel Bilgileriniz Ve Pc Yönetiminiz İçin,Systemizede Var Olmak. Bunlar Herhangi Bir Virüsten Çok Daha Zararlı Programcıklardır.Kredi Kartlarınızın Şifresinin , Mail Şifresinizin , Özel Listeinizin Ve ya Şirket Dökümanlarınızın (Ve Aklınıza Gelebilecek Her Şey) Gitmesine , Çalınmasına Sebeb Olabil irler. [18.Truva Atlarının Çalışması ve Incelenmesi] ''''''''''''''''''''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Truva Atları Asla Zararlı Bir Dosya Görünümünde Olmazlar.Genel Olarak Kendilerini Kamuflaş Ederek Karşımıza Cikarlar. Resim, Müzik , Oyun , Excell , Word ....(Bir Çok Dosya) Dosyası Olarak Karşımıza Cikabilen Bu Programcıklar,Systeminizde Gizli Olarak Çalışırlar.Türkçe Meali , Saman Al tından Su Yürütmek Gibi...Bunların İşletim Sistemi Üzerinde Çalışıp Çalışmadığı Hakkındaki Bilgil er Bilginiz Dahilindedir.Kontroller İçin Windows Task Manager(Windows Görev Yöneticisi)'den Kont rol Edebiliriz.Bunun İçin İzlememiz Gereken Yolları Sırası İle Anlatıyorum; Burada Vereceğim Örnek Turkojen Adlı Trojenin,Default İsmi Olan Dxnote32.exe İsimli Server Dosyas ıdır.Bu Exe İsmini Kullanan Bir Truvamız Vardir. Örnek Olarak Sisteminizde Bunu Görürseniz Bilgis ayrınızda Turkojen Adlı Trojenin Bulaştığını Ve Çalıştığını Görebilirsiniz... Son Zamanlarda Türkiyede En Çok Kullanılan Trojen Olduğu Ve Yerli Malı Olduğu İçin Ondan Örnekler İle Gidiyorum. 1.Adım : Klavyemizden Ctrl + Alt + Del Tuşlarına Sırası İle Basalım. 2.Adım : Daha Sonra Acılan Windows Task Manager (Windows Görev Yöneticisi)'den Sistemimizde Çalışan Programlara(işlemlere) Göz Atalım. Buradaki Listede, Eğer Dxnote32.exe'i Görürseniz Bu Bir Turkojen Adlı Trojenin Serveridir.Ve Sis temizde Çalışır Durumdadir. Truvaların Nasil Sisteminizde Çalışıp Çalışmadıklarını Buradan Kontr ol Edebilirsiniz. Fakat Bazı Trojenlerin Kendilerini tasklist'de Gizlediği Görülmüştür. Veya Ken dilerini Sısteme Modul Olarak Ekliyorlar, Modul Olarak Ekliyenleri ActiveX Worm ve Türlerinde İş liyeceğiz, Fakat Tasklistte Kendini Gizleyen Exeler İçin, Şu Şekilde List Almanız Daha Güvenlive Mantıklı Olacaktır. Başlat > Çalıştır > cmd.exe /c tasklist /m > c:\listem.txt Bu Adımları Izleyip, Kodu Caliştirdiğiniz Taktirde, C:\ Sürücüsü İçerisinde listem.txt Adlı Bir Dosya Oluşacaktir, Bu Dosyayi Acip Gerekli İncelemeleri Yapabilirsiniz. Bu Daha Güvenli Bir Yön temdir. Not:Kesinlikle Windows Task Manager'de Görmüş Olduğunuz Ve Bilmediğiniz Programları İşlemi SOnla ndir Demeyin, Bu Sisteme Hasarlar Yada Üzeirnde Çalışmış Olduğunuz Programın Kapanıp Bilgilerini zin Yok Olmasına Sebeb Verebili.ilerleyen Derslerimizde Tüm Sistem Programlarını Ve Özelliklerin i Anlatacağim [19.Turuvaların Yok Edilmesi] ''''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Sisteminize Bulaşmış Bir Çok Truva Atını Elle Silmeniz Mümkün Olmayabilir.Bunun Sebebiler i Dosyayi Bulamamanız Yada Sistemde Halen Çalışır Durumda Olmasındandır.Bunlar İçin Genel Olarak Anti-Virüs Yazilimi & Güvenlik Araçları Kullanmaniz Gerekir. [20.Turva Atlarından Çıkış] ''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Truva Atları (Trojenler) Hakkında Analtacaklarımda Bukadardır. Trojenlerden Korunmak İçin Yapmanız Gerekenler, Tanımadiğiniz Kişilerden Dosya Kabul Etmemek, Porno, Crack Sitelerinden Dos ya Indırmemekle Olabilir. ================================================================================================= ######## BİTİŞ ######## ------------------------------------------------------------------------------------- Bu Ders Khalsa Tarafından kodyazıyorum.com'a Yazılmıştır. Ibrahim BALIÇ Tarafından www.turksecuritymaster.com Kullanıcıları İçin Düzenlenmiştir. ======================== Ibrahim BALIÇ TSM Security Programmer. ========================