Virüs bulaştığı anda bilgisayardaki dosya ikonlarının 3 tütsü çubuğu tutan bir panda resmi ile değiştirdiği için ismi, Panda Burning Incense olarak kalmıştı. Aslında bu görüntü sadece bilgisayar sahibini oyalamak için. Virüsün asıl olayı, bilgisayarın şifrelerini çalan bir trojan  yerleştirmesi.

Virüsü yazan kişi, hem dört yıl hapis cezasına hem de bu virüsü tamamen kaldıracak bir yazılım yazmaya mahkum edilmişti.

Geçen hafta yayınlanan uyarı da ise, virüsün bir takım kişiler tarafından modifiye edilerek Piloyd.B ismi ile tekrar bilgisayarlara bulaştırıldığı haberine yer verildi. Yeni virüs tüm exe ve html uzantılı dosyalara bulaşıyor ve yapılarını bozuyor. Ayrıca bu dosyaların düzeltilmesine de engel oluyor. Ayrıca kullandığını herhangi bir antivirüs programı varsa, onu da pasifize edip, bilgisayarınıza trojan yerleştirmek için zararlı sitelere otomatik yönlendirmeler kullanıyor.

“Bir kullanıcı tarafından IRC ile uzaktan kumanda edilebilen solucan kendisini AIM ve MSN üzerinden gönderiyor, C:RECYCLERmyphoto.zip adında bir ZIP arşivinin içerisinde yer alan IMG009.jpg-www.imagehosting.com dosyasına yerleşiyor. Solucan birden fazla dili destekliyor ve kullanılan sistemin dil seçimine göre mesajını değiştirebiliyor. Bu şekilde mesajı alan kişilerin karşı taraftan gerçekten içeriğinde zararsız bilgi içeren bir dosya olduğuna inanması kolaylaşıyor.

Solucan bilgisayara bir kere yerleştikten sonra bilgisayarda BitTorrent uygulamasının kurulu olup olmadığını (bittorrent.exe) araştırıyor. Eğer Bittorrent ı sisteme kurulu ise hemen bir torrent açıp kendisini Internet’ten download ediyor ve torrent üzerinden dağıtmaya başlıyor.”

Bu solucan Bittorent yöntemini kullanan bilinen ilk zararlı kod. Elbette bu şemayı kullanan yeni kodların da sökün etmesinin yakın olacağını tahmin ediyoruz. Kullanıcılar bundan sonra sadece e-mail mesajları değil, anında mesajlaşma ve peer-to-peer dosya paylaşımı programları ile yaptıkları veri alışverişini de sıkı bir denetim altında tutması gerekiyor.

Solucan hakkında ayrıntılı bilgi için:

http://www.sophos.com/virusinfo/analyses/w32imparda.html

Fakat genelde trojan programları istenilen herhangi bir programın içerisine bulaştırılabildiği için siz farkında olmadan herhangi bir yerden yüklediğiniz program içinde bilgisayarınıza trojan almış olabilirsiniz bunu engellemenin en iyi yolu antivirus programları kullanmaktan geçiyor.

Örneğin AVP programıyla bilgisayarınıza bulaşan hem virusleri hemde trojanları engelleyebilirsiniz. Özet olarak tanımadığınız kişilerden (genelde irc ortamında) herhangi bir dosya almayarak (özellikle sonu .ini ve .exe olarak biten dosyaları) ve de kaliteli bir antivirus programı ve firewall programı kurarak trojan tehlikesini büyük ölçüde atlatmış olursunuz. NOT: Antivirus programları genelde yeni çıkan trojan ve virusleri tanımazlar.Bu yüzden kurduğunuz antivirus programının web sayfasını düzenli olarak ziyaret edip programınızı update etmeyi unutmayın.

Anti Trojan Programı kullanmak: Bir anti trojan programıyla bilgisayarınızı scan ederek bilgisayarımızdaki trojanları bulabiliriz ancak genelde yeni çıkan trojanlar genelde bu tip programlarla bulunamıyor bu yüzden sürekli olarak programı resmi web sayfasından update etmekte yarar var. Bilgisayarımızda başlat (start) tuşundan programlar (programs) oradan da başlangıç (startup) tuşuna bastığımız zaman bilgisayarımızın açılışıyla birlikte çalısan programları görürüz eğer burada bizim kurmadığımız herhangi bir program varsa bu program bir trojan olabilir.

Diğer ve en kesin yöntemlerden birisi ise dos moduna geçip komut satırında ntstat -a yazmaktır bu komut sizin bilgisayarınız internette kimlerle hangi porta bağlı olduğunu gösterir eğer bu program bilgisayarınızda çalışmıyorsa herhangi bir problem yok eğer örneğin 0.0.0.0:12345 gibi bir sonuç veriyorsa bilgisayarınızda netbus isimli bir trojan vardır. Bunu nerden anladın diyorsanız trojanlar bilgisayarımıza bağlanmak için bilgisayarımızda ki portları kullanırlar trojanlar arasından netbus ise bilgisayarımıza bağlanmak için 12345 portunu kullanır. Bunun gibi daha birçok port üzerinden çalışan trojanlarla karşılaşmak mümkündür.

ACID SHIVERS Port Numarası: 10520 Dosya Adı: “msgsvr16.exe” Boyutu: 186 kb Dizini: C:Windows 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServices “Explorer | msgsvr16.exe” kaydını sil.

2. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServices “Explorervmsgsvr16.exe” kaydını sil

3. PC’nizi MS-DOS kipinde başlatın.

4. C:Windowsmsgsvr16.exe” dosyasını silin.

5. PC’nizi yeniden başlatın.

BACK ORIFICE

Port Numarası: 31337

Dosya Adı: “.exe”

Boyutu: 126 kb

Dizini: C:Windowssystem

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServices “.exe” kaydını silin

2. PC’nizi yeniden başlatın.

3. Windows Explorer’ı başlatın.Görünüm Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde “Tüm Dosyaları Göster” seçeneğinin işaretli olduğundan emin olun.

4. “C:WindowsSystem.exe” dosyasını silin.

5. PC’nizi yeniden başlatın.

BACKDOOR

Port Numarası: 1999

Dosya Adı: “icqnuke.exe”

Boyutu: 102 Kb

Dizini: C:Windows, C:Windowssystem

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun “icqnuke.exe.” kaydını silin

2. PC’nizi MS-DOS kipinde başlatın.

3. “C:Windowsicqnuke.exe” ve “C:WindowsSystemicqnuke.exe” dosyalarını silin.

4. PC’nizi yeniden başlatın.

BIG GLUCK

Port Numarası: 34324

Dosya Adı: “bg10.exe”

Boyutu: 100 Kb

Dizini: C:Windows, C:Windowssystem

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServices “bg10.exe.” kaydını silin.

2. PC’nizi MS-DOS kipinde başlatın.

3. “C:Windowsbg10.exe” ve “C:WindowsSystembg10.exe” dosyalarını silin.

4. PC’nizi yeniden başlatın.

BRADE RUNNER

Port Numarası: 21,5400,5401,5402

Dosya Adı: “server.exe”

Boyutu: 323 Kb

Dizini: C:Windows, C:Windowssystem

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun “server.exe.” kaydını silin.

2. PC’nizi MS-DOS kipinde başlatın.

3. “C:Windowsserver.exe” ve “C:WindowsSystemserver.exe” dosyalarını silin.

4. PC’nizi yeniden başlatın.

BUGS

Port Numarası: 2115

Dosya Adı: “bugs.exe”

Boyutu: 78 Kb

Dizini: C:Windows, C:Windowssystem

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun “bugs.exe.” kaydını silin.

2. PC’nizi MS-DOS kipinde başlatın.

3. “C:Windowsbugs.exe” ve “C:WindowsSystembugs.exe” dosyalarını silin.

4. PC’nizi yeniden başlatın.

CID SHIVERS

Port Numarası: 10520

Dosya Adı: “msgsvr16.exe”

Boyutu: 186 kb Dizini:

C:Windows 1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRunServices “Explorer | msgsvr16.exe”

kaydını sil. 2. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRunServices “Explorervmsgsvr16.exe” kaydını sil.

3. PC’nizi MS-DOS kipinde başlatın.

4. C:Windowsmsgsvr16.exe” dosyasını silin.

5. PC’nizi yeniden başlatın.

DEEP BACK ORIFICE

Port Numarası: 31338

Dosya Adı: “.exe”

Boyutu: 122 Kb

Dizini: C:Windowssystem

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServices “.exe” kaydını silin

2. PC’nizi yeniden başlatın.

3. Windows Explorer’ı başlatın.Görünüm Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde “Tüm Dosyaları Göster” seçeneğinin işaretli olduğundan emin olun.

4. “C:WindowsSystem.exe” dosyasını silin.

5. PC’nizi yeniden başlatın.

DEEP THROAT

Port Numarası: 2140, 3150

Dosya Adı: “systempatch.exe”

Boyutu: 255 Kb

Dizini: ?

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun anahtarını açın. “systemDLL32 | systempatch.exe” kaydının işaret ettiği dizini bir kenara not aldıktan sonra söz konusu kaydı silin.

2. PC’nizi MS-DOS kipinde başlatın.

3. Not etmiş olduğunuz dizin altındaki “systempatch.exe” dosyasını silin.MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri kısaltılacağı için, “system~1.exe” veya benzeri ada sahip bir dosyayı aramalısınız.Eğer “system~” şeklinde başlayan birden fazla EXE dosyası varsa hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin.

4. PC’nizi yeniden başlatın.

GIRLFRIEND

Port Numarası: 21554

Dosya Adı: “windll.exe”

Boyutu: ?

Dizini: C:Windows

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServices “windll.exe” kaydını silin

2. PC’nizi yeniden başlatın.

3. “C:WindowsSystemwindll.exe” dosyasını silin.

4. PC’nizi yeniden başlatın.

HACK A TACK

Port Numarası: 31785, 31787

Dosya Adı: “expl32.exe”

Boyutu: 236 Kb

Dizini: C:Windows

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun”Explorer32.exe | C:Windowsexpl32.exe” kaydını silin.

2. PC’nizi MS-DOS kipinde başlatın.

3. “C:Windowsexpl32.exe” dosyasını silin.

4. PC’nizi yeniden başlatın.

INIKILLER

Port Numarası: 9989

Dosya Adı: “bad.exe”

Boyutu: ?

Dizini: C:Windows

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun “Explorer” kaydını silin.

2.PC’nizi yeniden başlatın.

3. “C:Windowsbad.exe” dosyasını silin.

4. PC’nizi yeniden başlatın.

MASTERS PARADISE

Port Numarası: 3129, 40421, 40422,40423, 40426

Dosya Adı: “sysedit.exe”, “keyhook.dll”

Boyutu: ?

Dizini: C:Windows

Port Numarası: 20034

Dosya Adı: “NBSvr.exe”

Boyutu: 599kb

Dizini: C:Windows, “C:WindowsSystem2.PC’nizi yeniden başlatın.

3. “C:Windowssysedit.exe” ve “C:Windowskeyhook.dll” dosyalarını silin.

4. PC’nizi yeniden başlatın.

5. Gerçek “sysedit.exe” dosyasını Windows CD’nizden veya güvendiğiniz bir arkadaşınızdan tekrar yükleyin.

NETBUS PRO

Port Numarası: 20034

Dosya Adı: “NBSvr.exe”

Boyutu: 599

Dizini: C:Windows, “C:WindowsSystem

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRunServices “NetBus Server Pro | nbsvr.exe” kaydını silin.

2. Registry’nizdeki HKEY_CURRENT_USERNetBus Server anahtarını silin.

3. PC’nizi MS-DOS kipinde başlatın.

4. “C:WindowsNBHelp.exe” , “C:WindowsNBHelp.dll”, “C:WindowsLog.txt” dosyalarını silin.(Aynı dosyalar “C:WindowsSystem dizininde de olabilir.)

5. PC’nizi yeniden başlatın.

NETBUS

Port Numarası: 12345, 12346

Dosya Adı: “patch.exe”

Boyutu: 470 Kb

Dizini: “C:WindowsSystem

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun “patch.exe.” kaydını arayın.Söz konusu kaydı bulamazsanız trojan’ın adı değiştirilmiş demektir.Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve “C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın.470 KB boyutunda olan dosya, adı değiştirilmiş NetBus trojanıdır.Registry kaydını silin.

2. Bir MS-DOS Komut İstemi penceresi açın ve “C:WindowsSystempatch.exe/remove” komutunu kullanın.(Trojanın adı değiştirilmişse, patch.exe yerine PC’nizdeki adını yazın.)

3. “C:WindowsSystempatch.exe” dosyasını silin.

NETSPHERE

Port Numarası: 30100, 30101, 30102

Dosya Adı: “nssx.exe”

Boyutu: 640 Kb

Dizini: “C:WindowsSystem

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun “NSSX | “C:WindowsSystemnssx.exe” kaydını silin.

2. PC’nizi MS-DOS kipinde başlatın.

3. “C:Windowsnssx.exe” dosyasını silin.

4. PC’nizi yeniden başlatın.

SUBSEVEN

Port Numarası: 1243, 1999,6711, 6776

Dosya Adı:

1. Dosya: “server.exe”, “rundll16.exe”, “systray.dl”, “Task_bar.exe”

2. Dosya: “FAVPNMCFEE.dll”, “MVOKH_32.dll”, “nodll.exe”, “watching.dll”

Boyutu: 328 Kb, 35 Kb

Dizini: C:Windows, C:WindowsSystem

1. C:WindowsSystemSysEdit.exe” dosyasını çalıştırın.SYSTEM.INI dosyasının [boot] bölümündeki “sheel=Explorer.exe” satırını inceleyin.Satırın sagına yukarıda adı gecen dosya adlarından biri eklenmisse,dosya adını bir kenara not edin ve satırı “shell=Explorer.exe” haline getirin.

2. Aynı penceredeki WIN.INI dosyasını [windows] bolumunde “run=” ve “load=” diye baslayan satırları inceleyin.Soz konusu satırlardan biri yukardaki adı geçen dosyalardan birini işaret ediyorsa, dosya adını ot edin ve silin.

3. Yapmıs oldugunuz degisiklikleri kaydetip “sysedit” penceresini acın.

4. Registiey’deki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun anahtarını inceleyin ve yukarıda adı gecen dosyalara isaret eden kayıtları silin.Herhangi bir kayıt bulamazsanız trojanın adı değiştirilmiş demektir.Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:Windows dizinindeki EXE dosyalarıyla karşılaştırın.328 Kb boyutunda olan dosya, adı değiştirilmiş SubSeven trojanıdır.Registry kaydını silin.

5. PC’nizi yeniden başlatın.

6. C:Windows dizinindeki trojan dosyasını silin.

WINCRASH

Port Numarası: 5742

Dosya Adı: “server.exe”

Boyutu: 290 Kb

Dizini: “C:WindowsSystem

1. Registry’nizdeki HKEY_LOKAL_MACHINESoftwareMicrosoftWindowsCurr entVersionRun “MsManager | SERVER.EXE” kaydını silin.

2. PC’nizi MS-DOS kipinde başlatın.

3. “C:WindowsSystemserver.exe” dosyasını silin.

4. PC’nizi yeniden başlatın

The AİDS Information, Twelve Tricks A ve B, ve Darth Vader programları trojanlara örnektir.

Trojanlar genellikle sonradan bilgisayarımıza girerek, trojanın yazarı tarafından belirtilen portu açan veya yazarın belirlediği bir mail adresine veya web bölgesine yazarın istediği bilgileri aktaran programlardır.

Bunlar ne olabilir?

- cookies leriniz.

- kredi kartı numaralarımız

- key log larınız

- ekran görüntülerimiz

- dosya bilgilerimiz

- metin dosyalarımız

Bunlar niçin kullanılır?

1. Kötü amaçlı kendini bilmeyen kişilerin,normal internet kullanıcılarına zarar vermek amacı ile kullanılır.

2. İstihbarat birimleri tarafından bilgisayarlarınızı takip etmek amacı ile …

3. Genelde network ağları üzerinde sistem yöneticisi tarafından da kullanılan sistemi kendi yönetimi altına almak için kullanılan programlardır…

Genel olarak bugüne kadar en çok kullanılan trojan programlarına gelince

- net BUS (1234, 12345, 54321 portlarını kullandı)

- seven BUS

- Satan

Aslına bakarsanız virüslerden ayrılan bir diğer noktası, bugün bir virüs yazmak için genellikle Assembly (bkz: http://tr.wikipedia.org/wiki/Assembly_Dili) programlama diline ve sisteme hakim olmak gerekirken, bir trojan yazmak çok kolaydır.

Bugün Defli(bkz: http://tr.wikipedia.org/wiki/Delfi) az bir bilgisi olan bir insan bile trojan yazabilir. Tabi üst seviyede trojanlarda vardır. Bunları da yazmak o kadar zor değildir ama temizlemesi zordur.

Tojanda olay zaten arka kapı manasına gelir. Amaç gizli bir kapı oluşturmak ve saldırıyı planları bu kapıdan gerçekleştirmektir.

Ama birazcık kendini korumayı bilen bir kişi rahatlıkla bu saldırıları bertaraf edebilir, bunun için hiç bir ek programa ihtiyacınız yoktur. Tek yapmanız gereken windows kullancısı iseniz net stat/nb stat fonksiyonunu kullanarak bilginiz dışındaki bilgi alım verimlerini tespit etmek ve kapatmaktır.

Trojan (Truva atı); iki kısımdan oluşan ve bilgisayarları uzaktan kumanda etme amacıyla yazılmış programlardır.

Bu program sayesinde Windows kullanmaya yeni başlayan bir insan bile bilgisayarınızda bir çok yetkiye sahip olabilir. Bu tip programlar genelde kendini hacker sanan insanlar tarafından kullanılıyor ancak gerçek hacker olup ta bu trojanları kullanan insanlarda var fakat bu noktada olayın boyutu biraz değişiyor örneğin hackerlar İnternetteki trojan bulaşmış tüm bilgisayarları (online olan) kullanarak büyük sitelere D.O.S attack yapıyorlar böylece bu sitelere erişimi uzun bir süre engelleyerek siteleri büyük zarara sokuyorlar.

Bu programların birinci kısmı uzaktaki bilgisayarı kontrol etmeye yararken diğer kısmı ise uzaktan yönetilecek bilgisayarla kontrol kısmı arasında bağlantı kurmasını sağlayacak açıklık yaratır.Yani bizim problemimiz trojan programının bilgisayarımızda açık port bırakan kısmıyla ilgilidir.