 |
| SUBSEVEN NEDİR, NASIL TEMİZLENİR ? |
 İpucu
Adı: rastgele seçilmiş bir isim. (uyfghj.exe gibi)
Boyutu: 374 KB
Yerleştiği yer: Çalıştırıldığı dizin
Start up yöntemi: Win.ini dosyasına ekleme yaparak
En belirgin özelliği: Çok zengin kullanım seçenekleri sunması.
Özellikleri:
En yaygın trojandır ( Truva Atı). Kullanım kolaylığı ve bağlantı anında sağladığı gelişmiş özellikleriyle tercih sebebidir. Bağlanılan bilgisayarın registery ayarları, şifreleri, icq ve mail hesapları kolayca kullanılabilir. File manager ile karşı bilgisayarın dosyalarına erişebilir, key logger ile hedef bilgisayarda klavye aracılığıyla yazılan herşeyi görebilir, screen capture özelliği ile hedef bilgisayarın anlık ekran görüntüsüne mous ile müdahele edebilirsiniz. Kısacası son derece gelişmiş ve profesyonelce hazırlanmış bir remote control aracıdır subseven(daha bir çok özelliği de vardır.). Edir server ile server programı kullanıcı tarafından ayarlanabilir. Yani kullanılan port, start up metodu ve server dosyasının iconu değiştirilebilir. Bu şekilde bulunması da zorlaşmaktadır. Fakat çoğu kullanıcı subseven ı default ayarlarıyla kullanmaktadır. Aslında bu da bizim için bir avantajdır. Bu ayarlar bilindiği için bulunması da kolay olur.
Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan bir trojan da değildir. Aynı zamanda bu trojanı başkalarına bağlanmak için kullanan kişinin de bilgisayarında ki özel bilgileri internetten başkalarına göndermektedir(Sisteminize bir firewall programı kurarak sadece subseven client programını çalıştırmanız durumunda 20-30 dk sonra }-xæØ gibi anlamsız isimlere sahip bir dosya aracılığıyla bilgileriniz internette ilgili kişiye gönderilir. Muhtemelen subseven ı yapan şahsa. ).Ayrıca yine client programının çok kullanımı sonrasında sistem ayarlarınız değişebilmekte, programlarınız çalışmayı durdurabilmektedir.
Default olarak(yani edit server ile değiştirilmemişse) 27374 numaralı port u kullanır. Start up metodu olarak kendini win.ini dosyasına Windows altına "run= dosya ismi" ekler. Dosya ismi rastgele seçilmiş bir isimdir. Bu satır sayesinde bilgisayarın her açılışında kendini yükleyerek 27374 numaralı port u açık hale getirerek bekler. Port ları açmak için kullanılan bu dosya c:\windows altında bulunur.
Temizlenmesi:
Öncelikle subseven ın kullandığı yardımcı server programını bulmalıyız. Biraz önce start up yöntemi olarak win.ini dosyasını kullandığını söylemiştik. Başlat tan çalıştır a gelerek win.ini yazıp enter a basın. Karşınıza win.ini dosyasının içeriği gelecek. Burada
[windows]
NullPort=None
Options=85663
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=nyuw.exe
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
.........
gibi satırlar karşınıza çıkmış olmalı. Windows altında run=nyuw.exe trojanımızın server programının ismi. Yani bilgisayar açıldığında bu program 27374 numaralı port umuzu açıyor. Şimdi "run=nyuw.exe" satırını silelim win.ini dosyasından saklayarak çıkalım. (fakat bahsettiğimiz bu server programı her makinede farklıdır. Yani rastgele seçilmiştir. Sizin bilgisayarınızda run= dan sonra başka bir isim yazıyor olmalı.) Burada dikkat etmemiz gereken server programımızın ismi. Bu ismi bir yere kaydederek. İşlemimize devam edelim. Buraya kadar yaptıklarımızla artık bilgisayar açıldığında portlarımızı açan programın çalışmasını önlemiş olduk. Fakat server programı her açılışta çalışmasa bile hala bilgisayarımız içinde(aslında buraya kadarki işlemlerle trojandan kurtulmuş olduk. Yani artık zararsız.). Başlat tan bilgisayarı kapat ı seçin ve çıkan ekranda ms-dos kipinde başlat seçeneğini aktif yaparak tamam tuşuna basın. Bilgisayarınız ms-dos kipinde açılacak. Karşınıza
c:\windows> işareti gelecek.
c:\windows>del nyuw.exe
yukarıdaki satırı yazıp enter tuşuna basınca artık server programı bilgisayarınızdan silinmiş olacak.( tabi ki siz nyuw.exe yerine win.ini de görüp kaydettiğiniz dosya ismini yazacaksınız.)
 Sayfa Başı
|
|
 |
