02-09-2005, 12:34
[glow=red:2d385f5b26] sub seven hakkında [/glow:2d385f5b26] Ben bilgisayarı kullanmaya başladığımda ortalıkta bir Sub-Seven furyasıdır gidiyordu.
O zamanlar böyle şeylerde pek alışılagelmiş değil tabi ki. Çok merak etmiştim ve beni bu merak bu noktaya getirdi. Benim gibi bu işlere yeni başlayan bir arkadaş programı temin etmiş, bana da yükledik. Ama çaylaklık serveri kendi makineme kurmayayım mı ? (server ne Subseven ne diye soranlara az sonra açıklayacağım) Neyse bilen arkadaşlar aracılığıyla temizledik. Bu yazımda buna yönelik olacak çok eski etkili ve hala geçerliliğini koruyan bir trojan Sub-Seven.Günümüzde bile en yaygın olan trojandır. Hemen hemen her trojan gibi server-client sistemiyle çalışır. Yani makinenize kurduğunuz bir dosya bilgisayarınıza aldığınız bir Truva atı olabilir. Bilgisayarınızın kapısını bilmediğiniz yabancı kişilerin kullanımına sunabilir. Server ismi herhangi bir isim olabilir. Ama boyutu sabittir ve tespit edilme yöntemi de nerdeyse budur. 374kb’tır. Güvenmediğiniz site veya kişilerden dosya download ederken buna dikkat etmenizde fayda var. Trojanı nerde çalıştırsanız oraya yerleşir. Bilgisayar her çalıştığında ise kendini otomatik olarak win.ini dosyasıyla başlatır. En can alıcı noktası kullanım özelliklerinin çok seçenekli olmasıdır. Server bulaşmış bi bilgisayara giren korsanın neredeyse kendi bilgisayarı gibi kullanmasına olanak verir. Bilgisayarınızın registery(kayıt defteri) ayarları, icq, ve mail hesaplarına kolayca ulaşabilir. Bilgisayarınızdan herhangi bir dosyanızı programı kullanana aktarabilir. Klavyede bastığınız bir tuştan tutunda ekranda çizdiğiniz resme kadar her türlü uygulamalarınızı çok bir çaba harcamadan görebilir.
Ve daha neler neler. Kısacası çok gelişmiş ve profesyonelce hazırlanmış bir Truva atı (trojan)’dır. Sub-Seven sadece server bulaşmış kişiye zarar veren bir program deyildir aynı zamanda bunu kullanan kişinin bilgileride tehlikededir. Arka kapısında backdoor adı verilen bi virüs saklamaktadır. Ve kullanıcıya ait olan bilgileri internette ilgili kişilerle (muhtemelen sub-seven’i yapan kişilerle) paylaşmaktadır. Eğer bilgisayara sub-seven’in serveri bulaştığı düşünülüyorsa;
1.Sub-Seven kendisini bilgisayarın win.ini dosyasına yazar. Win.ini dosyasında Windows başlığının altında run=”server ismi” şeklindedir. Bu dosya windowsun kurulu olduğu dizindedir.
Örneğin aşağıdaki gibi bir win.ini dosyası olsun;
[windows]
NullPort=None
Options=85663
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=ys32.exe
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
Burada trojan “run=ys32.exe” satırında kendini yazmış. Bunu fark ettiysek hemen elimize bir kağıt kalem alıyoruz ve trojanın konumu not alıyoruz sonra bu satırı silip win.ini dosyasını kaydedip kapatıyoruz.
2.Trojan şu an için etkinliğini yitirdi. Ama bilgisayarımızda hala trojan var. Bunun için not aldığımız server programını silmemiz gerekiyor. Ama Windows ortamında hala program çalıştığı için bunu dos ortamında yapmamız daha uygun. Yada bilgisayarımızı güvenli kipte başlatarak yapmamız. Bu işlemide tamamladıktan sonra trojan tamamen bilgisayarımızdan silinmiş oluyor.
Diyelimki bu trojanı fark edemedik; trojan her seferinde olduğu gibi win.ini sayesinde windowsla başlayacak bilgisayarımızda 12345 gibi rastgele seçilmiş bi portu dinlemeye alacaktı, ve gelen kullanıcıları direk içeri alacaktı artık gerisini siz düşünün…
Hackerlardan bahsetmiyorum, iyi bir bilgisayar kullanıcısının sub-seven adlı bir program olduğundan ve korunma yöntemlerinden haberdar olması gerekir. Eğer işini tam manasıyla yapmak istiyorsa. Gelecek yazsımda inşallah ProRat veya School Bus dan bahsetmek nasip olur. Kolay gelsin
[glow=red:2d385f5b26]alıntı http://www.e-hack.org/index.php?id=72[/glow:2d385f5b26]
O zamanlar böyle şeylerde pek alışılagelmiş değil tabi ki. Çok merak etmiştim ve beni bu merak bu noktaya getirdi. Benim gibi bu işlere yeni başlayan bir arkadaş programı temin etmiş, bana da yükledik. Ama çaylaklık serveri kendi makineme kurmayayım mı ? (server ne Subseven ne diye soranlara az sonra açıklayacağım) Neyse bilen arkadaşlar aracılığıyla temizledik. Bu yazımda buna yönelik olacak çok eski etkili ve hala geçerliliğini koruyan bir trojan Sub-Seven.Günümüzde bile en yaygın olan trojandır. Hemen hemen her trojan gibi server-client sistemiyle çalışır. Yani makinenize kurduğunuz bir dosya bilgisayarınıza aldığınız bir Truva atı olabilir. Bilgisayarınızın kapısını bilmediğiniz yabancı kişilerin kullanımına sunabilir. Server ismi herhangi bir isim olabilir. Ama boyutu sabittir ve tespit edilme yöntemi de nerdeyse budur. 374kb’tır. Güvenmediğiniz site veya kişilerden dosya download ederken buna dikkat etmenizde fayda var. Trojanı nerde çalıştırsanız oraya yerleşir. Bilgisayar her çalıştığında ise kendini otomatik olarak win.ini dosyasıyla başlatır. En can alıcı noktası kullanım özelliklerinin çok seçenekli olmasıdır. Server bulaşmış bi bilgisayara giren korsanın neredeyse kendi bilgisayarı gibi kullanmasına olanak verir. Bilgisayarınızın registery(kayıt defteri) ayarları, icq, ve mail hesaplarına kolayca ulaşabilir. Bilgisayarınızdan herhangi bir dosyanızı programı kullanana aktarabilir. Klavyede bastığınız bir tuştan tutunda ekranda çizdiğiniz resme kadar her türlü uygulamalarınızı çok bir çaba harcamadan görebilir.
Ve daha neler neler. Kısacası çok gelişmiş ve profesyonelce hazırlanmış bir Truva atı (trojan)’dır. Sub-Seven sadece server bulaşmış kişiye zarar veren bir program deyildir aynı zamanda bunu kullanan kişinin bilgileride tehlikededir. Arka kapısında backdoor adı verilen bi virüs saklamaktadır. Ve kullanıcıya ait olan bilgileri internette ilgili kişilerle (muhtemelen sub-seven’i yapan kişilerle) paylaşmaktadır. Eğer bilgisayara sub-seven’in serveri bulaştığı düşünülüyorsa;
1.Sub-Seven kendisini bilgisayarın win.ini dosyasına yazar. Win.ini dosyasında Windows başlığının altında run=”server ismi” şeklindedir. Bu dosya windowsun kurulu olduğu dizindedir.
Örneğin aşağıdaki gibi bir win.ini dosyası olsun;
[windows]
NullPort=None
Options=85663
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=ys32.exe
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
Burada trojan “run=ys32.exe” satırında kendini yazmış. Bunu fark ettiysek hemen elimize bir kağıt kalem alıyoruz ve trojanın konumu not alıyoruz sonra bu satırı silip win.ini dosyasını kaydedip kapatıyoruz.
2.Trojan şu an için etkinliğini yitirdi. Ama bilgisayarımızda hala trojan var. Bunun için not aldığımız server programını silmemiz gerekiyor. Ama Windows ortamında hala program çalıştığı için bunu dos ortamında yapmamız daha uygun. Yada bilgisayarımızı güvenli kipte başlatarak yapmamız. Bu işlemide tamamladıktan sonra trojan tamamen bilgisayarımızdan silinmiş oluyor.
Diyelimki bu trojanı fark edemedik; trojan her seferinde olduğu gibi win.ini sayesinde windowsla başlayacak bilgisayarımızda 12345 gibi rastgele seçilmiş bi portu dinlemeye alacaktı, ve gelen kullanıcıları direk içeri alacaktı artık gerisini siz düşünün…
Hackerlardan bahsetmiyorum, iyi bir bilgisayar kullanıcısının sub-seven adlı bir program olduğundan ve korunma yöntemlerinden haberdar olması gerekir. Eğer işini tam manasıyla yapmak istiyorsa. Gelecek yazsımda inşallah ProRat veya School Bus dan bahsetmek nasip olur. Kolay gelsin
[glow=red:2d385f5b26]alıntı http://www.e-hack.org/index.php?id=72[/glow:2d385f5b26]