[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
Çoğunuz Windows altında çalışan BackOrifice ve Netbus gibi trojanları duymuşsunuzdur. Daha önce 2600`de onlarla ilgili yazılar çıkmıştı. Bu yazıda öğrenilmesi kolay, kullanıcı dostu bir trojan olan Sub7`i anlatacağım. Sub7 hakkında genel olarak ve nasıl kaldırılacağı, kurbanı olmaktan nasıl korunacağınızı ve en fazla nasıl yararlanabileceğiniz konularına değineceğim. Bu yazı yazıldığında son sürüm 2.1 olduğu için yazılar o sürüm içindir.
Genel Bilgi
Sub7 bir süre önce ortaya çıktı ve Netbus, Back Orifice kadar popüler değildi. Client`lari can sıkıcı şekilde bug`larla doluydu. (özellikle 1.7 sürümündeki ilk IP tarayıcısı - Bende hiç çalışmadı) Fakat, pek çok trojan ve antivirüs sitesinin size söyleceği gibi, 2000 yılına göre, en popüler trojan oldu ve bir 5 sene daha öyle olacak gibi. Aynı zamanda en güçlü ve en tehlikeli olarakda adlandırılıyor. Yaratıcısı, Mobman, çok sık güncelliyor. Son zamanlarda her ay yeni bir sürümü çıkmaya başladı. Bu şekilde yeni sürümler hepsinde olmasada bazı virüs tarayıcıları tarafından yakalanamıyor ve kurbanların makinalarındaki sunucuları güncelleme işlemide zaten kolay. 2.1 sürümü bir süredir nette. Ayrıca 2.1 Gold, 2.1 MUIE ve 2.1 Bonus sürümleride mevcut. 2.2 Beta`nın sınırlı özellikleri olduğundan ve güzel görünmediğinden hiç tutmadım. Fakat 2.2 nin ümit vaadeden özelliklerinden biri, kurbanlardan gelen broadcast`leri yakalayan, SIN`di. Bu özellik sayesinde kurbanları tarayıp bulmanız gerekmiyor. Sub7 pratikte kurbanınıza herşeyi yapabileceğiniz pek çok özellik içeriyor. Tüm kontrol sizde.
Kaldırma
Açılan CD sürücüleri, ekranınızda görünen mesajlar, saçma yazılar basan yazıcınız.... tümü birisinin bir trojan ile makinenizin kontrolünü ele geçirdiğinin işareti. İlk yapılması gereken:
Bir dos komut penceresi açın ve 'netstat -a' yazın. Bu sizde açık olan portları listeleyecek ve size kimlerin bağlı olduğunu gösterecektir. Port`lara bakın ve şüpheli olanlara dikkat edin. Sub7 varsayılan portları eski sürümler için 1234 ve yeni sürümleri için 27374 fakat sunucunun hangi portu dinleyeceği kullanıcı tarafından belirlenebilir. Eğer şüoheli bir porta bağlantılar görüyorsanız muhtemelen sunucu o portu dinliyordur. Emin olmak için, dos komut penceresinde telnet 127.0.0.1 port (port yerine şühelendiğiniz port numarasını) yazın. Eğer sunucu şifre korumalı ise PWD, değil ise aşağıdaki gibi birşeyle karşılaşabilirsiniz:
connected. time/date: 14:27.09 - July 8, 2000, Saturday, version: M.U.I.E. 2.1
Tabiki tarih, saat ve sürüm farklı olabilir fakat genelde bu şekilde görülür.
Şimdi sisteminizde trojan olduğunu biliyorsunuz. İlk çalıştırıldığında sunucu C:\windows dizininde, kullanıcı tarafından belirlenmiş yada gelişigüzel bir isimle bir .exe dosyası yaratır. Internet`te 'regedit`i çalıştırın, şunu silin bunu silin, şu virus tarayıcısını çekin, şu trojan bulucuyu kurun' diyen siteler bulabilirsiniz. Bu bir süre öncesine kadar doğruydu. Fakat artık yeni bir çözüm var. Sub7 anasayfasına gidin (subseven.slak.org) ve en yeni sürüm 2.1 Bonus`u çekin. Bu istemcide (Client) bir şifre geçme (bypass) özelliği var. Unzip edip subseven.exe`yi çalıştırın. 'IP/UIN' kısmına 127.0.0.1 ve 'Port' kısmınada sunucunun çalıştığı port numarasını yazın. Şifre sorulduğunda veya sorarsa enter`a basın. Şimdi 'Connection' menüsünü açın. 'Server Options' a tıklayın, sonra 'Remove Server'a tıklayın ve onaylayın. Eğer bir şekilde bu çalışmaz ise (eğer makinanızdaki sunucu 2.1 Bonus ise çalışmaz) yada makinanıza download etmek istemiyorsanız c:\windows dizinine gidin ve 373kb boyutundaki dosyayı bulup silin. Buda problemi çözecektir. Ayrıca sunucuyu başlatan 'metod'uda kaldırmak isteyebilirsiniz. Bunun için 'Kullanım 1 - Sunucuyu modifiye etme' bölümünü okuyun ve belirttiğim yazıları bulup kaldırın.
Bazı 'hackerlar' (bu programı kullanmak sizi 'l33t hax0r' yapmaz) netstat`ı silecek kadar akıllı davranabilir. Bu durumda (her durumda olması iyi aslında) NetMon (
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]) gibi size açık portları ve bağlantıları gösterecek bir ağ monitör programı kullanabilirsiniz.
Bir sğre sonra Sub7`ın yeni bir sürümü çıkacak ve yukarda sunucuları kaldırmada anlattığım 'Bonus' sürümü download edilemeyecek. Pek çok kullanıcı şifre geçme özelliğinin kaldırılması konusunda Mobman`e şikayetlerde bulunacak. Yeni sürümde bu özelliğin kaldırıldığını görüyorum. Yeni sürümler belkide bu şifre geçme özelliğinden etkilenmeyecek, bu yüzden yukarda anlattığım (sunucunun ve çalışma satırlarının manuel olarak silinmesi) diğer metodlar gerektiğinde kullanılabilir.
Korunma
Başkası tarafından kontrol edilmenizi önlemenin en basit yolu 'dost' larınızın gönderdiği çalıştırılabilir dosyaları (exe vs) çalıştırmamaktır. Eğer Internet`ten edindiğiniz dosyaları makinanızda çalıştırmak istiyorsanız aşağıdaki tavsiyeleri uygulayın:
- Elinizdeki herşey ile tarayın. Bunun Sub7`a karşı etkisiz olduğundan daha önce bahsettim fakat siz yinede yapın. Belki eski bir sürümüdür.
- Dosya boyutuna bakın. Sub7`ın yeni sürümlerinin boyutu 373kb fakat akıllı bir kullanıcı trojanı ufak bir oyun yada benzerine eklemiş olabilir. (ki bu durumda bu metodu kullanamazsınız) Eğer bir arkadaşınız sizden ilk yazdığı C programını test etmenizi isterse ve dosyanın boyutu 10k ise sorun yok demektir.
- Sub7`ı çekin ve size gönderilen exe`yi editserver.exe ile açmayı deneyin. 'Read Current Settings'e tıklayın. Eğer 'Invalid server, proceed anyway?' derse Sub7 olmama ihtimali yüksek (fakat başka bir trojan olabilir). Eğer bir şifre sorar yada ayarları gösterirse, o zaman Sub7 demektir. Eğer şifre yoksa sizi hack etmeye çalışan kişi hakkında ICQ UIN, email adresi gibi bilgileri edinebilirsiniz.
- Son olarak, eğer gelen dosyanın temiz olduğuna eminseniz, c:\windows dizinine gidin, dosya aramak için CTRL+F`e basın, ('Include Subfolders' işaretli olmasın) ve son bir gün içinde yaratılan exe`leri arayın. Burdaki çıktıyı not edin ve size gelen dosyayı çalıştırdıktan sonra tekrar arama yapın. Eğer yeni bir exe var ise herşeye rağmen Sub7 olması muhtemel ve yukarda anlatılan kaldırma metodlarını uygulmanız gerekli. Ayrıca exe`yi çalıştırdıktan sonra sisteminizde yeni bir port açılıp açılmadığına netstat yada diğer bir ağ monitör programı ile bakın.
Kullanım 1 - Editserver.exe
Sub7`ı edindiniz (umarım 2.1 Bonus`dur, yada son sürümü) ve kullanmanızı bekliyor. Eğer hedef olarak belirlediğiniz belirli bir kişi varsa, bu bölümü okumanız gerekli. Eğer gelişigüzel bir şekilde bir kurban bulup eğlenmek istiyorsanız 'Kullanım 2 - Bir kurban bulma' bölümüne geçebilirsiniz.
İlk olarak editserver.exe`yi açın, üstte 'Browse'a tıklayın, 'server.exe'yi seçin ve 'Read Current Settings'i seçin. Sonra ilk yapmanız gereken bilgisayar her boot edildiğinde (tekrardan açıldığında) sunucunun nasıl başlayacağını seçmeniz. İki registry seçeneği bunları HKEY_LOCAL_MACHINE\software\microsoft\windows\curr ent_version\run yada runservices altına yerleştirebilmenize izin veriyor. Eğer kurban Windows`dan fazla anlamıyorsa bu seçenekler işe yarar. Kurbanın kurcalamayacağı (ör: 'Hacker_program' seçmeyin) önemli bir 'registry key' seçmeniz gerekiyor. WIN.INI`de tecrübesiz kurbanlar ve Windows her açıldığında çalışacak sunucular için uygun bir yerdir. Sunucuyu system.ini içine yerleştiren 'Az Bilinen Metod' aşağıdaki gibidir:
[boot]
shell=Explorer.exe sunucuismi.exe
Bu şekilde sunucu, windows her açıldığında bunu explorer.exe ye bir parametre yada seçenek olduğunu düşünerek, çalışacaktır.
Son olarak HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command `ı '%1' %* den 'sunucuismi.exe '%1' %' a değiştiren 'Bilinmeyen Metod' var.
Bu sayede sunucu her exe dosya çalıştığında tekrar çalışacaktır. Eğer kurban Windows`dan fazla anlamıyorsa bu metodu kullanmanıza fazla gerek kalmaz.
Sonraki bölüm, haber verme. Bir kurban ismi verin ve ven ICQ notify`ı tavsiye ederim. ICQ UIN`inizi yazın ve sunucu size aşağıdaki gibi bir mesajı ICQ
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.pager ile gönderecektir:
Sender IP: 127.0.0.1
Subject: my_victim {port=27374}-{ip=127.0.0.1}-{victim=my_victim}-{info=Username:New_User}-{version=M.U.I.E._2.1}-{password=yes_(sub7)}
Bu kurbanın kim olduğunu, IPsini, port numarasını ve varsa şifreyi gösterir. 'IRC Notify' sunucunun belirlenen IRC sunucusuna bağlanıp, belirlenen odaya yada belirlenen kullanıcıya yukardaki bilgiyi göndermesini sağlar. 'Email notify'da ise listedeki sunuculardan birini seçmeli, 'User' kısmını boş bırakmalı ve email adresinizi 'Notfify To' kısmına girmelisiniz. Tecrübelerime göre 'ICQ Notify' (
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]) bence en etkili yöntem.
Sırada kurulum kutusu var. Sunucuyu hangi portta çalıştıracağınızı burdan ayarlayabilirsiniz. Varsayılan ayarları kullanmanızı tavsiye etmem, onlar 'oyunu' bozuyorlar. 'Random Port' ta kullanışlı. Sonuçta hangisi olacağını haber verme yöntemleriyle öğreneceksiniz. Bir sunucu şifresi belirleme ve port`u ve şifreyi koruma tavsiye edilir. 'IRC Bot' kısmı bana pek uygun değil ama siz kullanmak isterseniz Sub7 ile gelen bir text dosyasında bu tamamen açıklanıyor. Bir sunucu ismi belirlemek hem random 'uijharg.exe' lerden hemde kurbanın sunucuyu bulma zorluğu yüzünden iyi bir fikirdir. Önemli bir isim vermek kurbanın kaldırmada tereddüt etmesini sağlar. 'Melt Server After Installation' sunucuyu c:\windows a kuracak ve kurulum sonrası gönderdiğiniz exe yi silecektir. Kurban sunucuyu çalıştırdığında sahte bir uyarı mesajı görüntülenir. İkon`u, yazıyı ve düğmeleri belirleyebilirsiniz. 'Bind With Another exe' ise mükemmel bir metod. Sunucuyu ufak bir oyun yada exe ile birleştirmeyi deneyin ve birleştirmede kulalndığınız exe`yi değilde sunucuyu gönderdiğinize emin olun. Kurban için, birşeyler yapan bir exe, hiçbirşey yapmayan bir exe`den daha az şüphe uyandırıcıdır. Ayrıca sağ üst köşeden, kullanıcıyı kandırmak için, sunucunun ikonunu değiştirebilirsiniz. Son olarak aşağıdaki 'Protect Server'ı işasretleyin ve bir şifre girin. Bunu zeki bir kurbanın editserver.exe kullanarak ICQ UIN yada email adresinizi bulmasını engellemek için yapmalısınız. Eğer bir exe ile birleştirdiyseniz 'Save A New Copy' ye, aksi takdirde 'Save New Settings' e tıklayın.
Şimdi sunucuyu kurbanınıza göndermeniz gerekiyor. Eğer monitör etmek istediğiniz bir arkadaşınız ve PC`sine erişebiliyorsanız sunucuyu bir diskete kopyalayıp arkadaşınızın bilgisayarına götürün ve çalıştırın. Eğer 'Melt Server'ı işaretlemediyseniz silin ve 'Recycle Bin'i boşaltın. Tabiki 'Melt Server' seçeneğini kullanmak daha mantıklı. Eğer kurbanın PC`sine fiziksel erişiminiz yoksa sunucunuz için bir ikon seçin, bir programla birleştirin ve ismini değiştirin. Sonra kurbanınıza email ile yada dcc ile vs. gönderin. Kurban çalıştırdığında/çalıştırırsa ICQ email yada IRC ile bundan haberiniz olacaktır. Bingo! içerdesiniz!
Kullanım 2 - Bir kurban bulma
Sunucuyu istenilen kurbana gönderen okuyucular, gelişigüzel bir kurban aramayla ilgili olduğu için bu bölümü geçebilir. Rastgele bir kurban bulmak isteyenler okumaya devam etsin!
Subseven.exe`yi çalıştırın ve 'Connections' bölümüne girin. 'IP Scanner'a tıklayın ve değerleri girin. Benim tavsiyem, ilk iki numarayı aynı tutun, 3. numaralar arasında 10 sayı boşluk bırakın ve 4. numaralarda 1 den 255`e olsun. ör:
212.126.150.1
212.126.160.255
Bir port (27374 ve 1234 varsayılan portlar unutmayın) ve bir gecikme zamanı (4 tavsiye olunur) belirleyin. Kullanabileceğiniz bir kurban listesi almanız lazım. Eğer bir IP menzili taramak istiyorsanız IRC`de birilerine /dns yapın ve menzilinizi o IP`ye göre belirleyin.
Bir kurban bulduğunuzda client`da IP/UIN kutusuna IPsini yazın ve ve 'Connect'e tıklayın. Eğer 2.1 Bonus kullanıyorsanız şifreyi geçebileceksiniz. Eğer geçemezseniz geri dönüp kullanabileceğiniz bir kurban bulana dek deneyin.