Truva atı

Bilgisayar yazilimi baglaminda Truva ati zararli program barindiran veya yükleyen programdir. ( Bazen “zararli yük” veya sadece “truva” ibareleriyle de nitelendirilmektedir.) Terim klasik Truva Ati mitinden türemistir.Truva atlari masum kullaniciya kullanisli veya ilginç programlar gibi görünebilir ancak yürütüldüklerinda zararlidirlar.

Truva atlarinin iki türü vardir.Birincisi,kullanisli bir programin bir hacker tarafindan tahribata ugrayip içine zararli kodlar yüklenip program açildiginda yayilan cinsi. Örnek olarak çesitli hava durumu uyari programlari, bilgisayar saati ayarlama yazilimlari ve paylasim programlari (p2p) verilebilir. Diger türü ise bagimsiz bir program olup baska bir dosya gibi görünür. Örneklemek gerekirse oyun veya kalip dosyasi gibi kullaniciyi aldatmaya yönelik bir takim yönlendirici karisiklik ile programin harekete geçirilmesine ihtiyaç duyulmaktadir.

Truva atlari diger kötücül yazilimlar, bilgisayar virüsleri ve bilgisayar solucani gibi kendi baslarina islem yapamazlar. Aynen Yunanlarin planlarinin isleyebilmesi için atin Truvalilar tarafindan içeri alinmasi gerektigi gibi Truva atlarinin zararliligi da kullanicinin hareketlerine baglidir. Truva atlari kendilerini kopyalayip dagitsalar bile her kurbanin programi (Truvayi) çalistirmasi gerekir. Bu yüzden Truva atlarinin zararliligi bilgisayar sistem açiklarina veya ayarlarina degil toplum mühendisliginin basarili uygulamalarina baglidir.

Truva atina basit bir örnek

Truva atinin en basit örnegi yüklendiginde bedava ekran koruyucu vaad eden Waterfalls.scr isimli programdir. Çalistirildiginda uzaktan bilgisayara giris saglayabilecektir.

Truva ati zararli yükü (payload) çesitli zararlar vermek için dizayn edilmis olsa da zararsiz da olabilir. Truva atlari sistemde nasil gedik açabildigine ve nasil tahribat yaptigina göre siniflandirilir. 7 ana tür Truva ati zararli yükü vardir

Uzaktan Erisim
E-posta Gönderme
Veri yikimi
Proxy Truva(zararli bulasmis sistemi saklama)
Ftp Truva (zararli bilgisayardan dosya ekleme ya da kopyalama)
Güvenlik yazilimini devre disi birakma
Hizmetin reddi servis saldirilari (Dos Saldirilari)
URL truva (zararli bulasmis bilgisayari sadece pahali bir telefon hatti üzerinden intrernete baglama)

Bazi örnekler;

Veriyi silme ya da üzerine yazma
Dosyalari zorla kriptoviral alikoyma (cryptoviral extortion) ile sifreleme
Ustaca dosyalara zarar verme
Dosyalari internetten çekme veya internete aktarma
Kurbanin bilgisayarina uzaktan erisime izin verme. Buna RAT (Uzaktan yönetim araci) denir.
Diger zararli yazilimilari üzerinde toplama. Bu noktada Truva ati dropper ve vector diye ikiye ayrilir.
DDoS saldirisi yapabilmek veya spam e-posta göndermek için zombi bilgisayar agi kurma
Bilgisayar kullanicisinin aliskanliklarini baska insanlara gizlice rapor etme kisacasi casusluk
arkaplan resmi olusturma
Klavye tuslarini sifreleri ve kredi karti numaralari gibi bilgileri çalabillmek için kaydetme
Suç aktivitelerinde kullanilabilecek banka ya da diger hesap bilgileri için oltalama
Bilgisayar sistemine arka kapi yerlestirme
Optik sürücünün kapagini açip kapama
Spam posta göndermek için e-posta adreslerini toplama
ilgili program kullanildiginda sistemi yeniden baslatma
Güvenlik duvarini veya anti-virüs programina müdahele etmek veya devre disi birakma
Diger zararli çesitlerine müdahele etmek veya devredisi birakmak

Zaman ve bilgi bombalari

Zaman ve bilgi bombalari truva ati çesitlerindendir.
Zaman bombasi uygun tarih ve saat geldiginde harekete geçerken bilgi bombasi bilgisayar uygun duruma geldiginde harekete geçecektir.

Dropperlar

Dropperlar iki görevi birden gerçeklestirirler. Bu program yasal olarak görevini gerçeklestirirken ayni zamanda bilgisayara virüs veya zararli da yükler.

Truva atina karsi önlemler

Truva atlari kullanicinin kendisinden saklanarak görevini yerine getirir.Virüsler kisisel bilgisayarlara yeteri kadar hasar verirken küçük sirketler için hasar verme orani çok daha büyük olacaktir çünkü büyük sirketlerin sahip oldugu virüs koruma sistemlerine sahip degildirler.Bir truva ati sisteminize bulastigi zaman kendini kamufle ettigi için kendinizi veya sirketinizi korumaniz oldukça güç olacaktir fakat yine de koruma yöntemleri mevcuttur: Truva atlari genel olarak e-posta yoluyla bulasmaktadir ayni diger zararli çesitlerinde oldugu gibi ancak tek bir farklari vardir truva atlari genelde kamufledir.

Truva atindan korunma yollari:

Tanimadiginiz birinden bir e-posta alirsaniz veya bilmediginiz bir ek alirsaniz kesinlikle açmayin.Bir e-posta kullanicisi olarak mutlaka kaynagi teyit edin. Bazi bilgisayar korsanlari adres defterlerini çalabilir bu yüzden tanidiginiz birinden bir e-posta alirsaniz bu onun güvenilir olacagi anlamina gelmez
E-posta ayarlariniz yaparken eklerin otomatik olarak açilmayacagindan emin olun. Bazi e-posta servis saglayicilari kendi bünyesinde ekleri açmadan önce virüs taramasi yapilmasini saglayan programlar sunar.Eger servis saglayiciniz bu hizmeti sunmuyorsa ücretsiz bir tane kullanmak veya satin almak mantikli olacaktir.
Bilgisayarinizin bir antivirüs programina sahip oldugunu ve düzenli olarak kendini güncellestirdiginden emin olun.Eger antivirüs programinizin otomatik güncelleme seçenegi varsa aktif edin.Bu yolla güncellemeyi unutsaniz bile yine de tehditlerden korunmus olacaksiniz.
Isletim sistemleri kullanicilarini kesin tehditlerden korumak için güncellemeler yayinlarlar.Microsoft gibi yazilim gelistiricileri Truva ati veya virüslerin kullanabilecekleri açiklari kapatabilmek için yamalar yayinlarlar. Eger sisteminizi bu yamalari kurarak güncel tutarsaniz bilgisayariniz daha güvenli olacaktir. Bununla beraber not olarak bu yamalar sistemlerde daha tehlikeli güvenlik açiklarina neden olabilmektedir.
Peer to peer veya yerel agi paylasan Kazaa,Limewire,Ares ve Gnutella gibi programlarin kullaniminin kisilmasi faydali olur.Çünkü bu programlar genellikle virüs veya truva ati gibi programlarinin yayilmasi konusunda korumasizdirlar. Bu programlardan bazilari virüs koruma programi barindirmasina ragmen içindeki virüs korumasi çok da güçlü degildir.Eger bu tip programlari kullaniyorsaniz nadir bulunan kitap, sarki, resim veya filmleri indrmeniz çok da güvenli olmayacaktir. Bu hassas önlemlerin disinda ücretsiz olarak da bulunabilen bir anti-trojan programi da yüklenilebilir.

Bulasma Yollari

Truva ati bulasmasinin büyük bir çogunlugu hileli programlarin çalistirilmasiyla olusur.Bu sebepten dolayi beklenmedik posta eklerinin açilmamasi tavsiye edilir.Bu program bazen güzel bir animasyon veya erotik bir resim olabilir ancak arka planda program bilgisayara truva veya solucan yüklemektedir.

Zararli bulasmis program direkt e-posta yoluyla gelmemesine ragmen size aninda mesajlasma yazilimlari ile web Ftp sitesinden indirilerek veya cd ve disket yoluyla ulastirilabilir. Fiziksel ulasim çok nadir olmakla birlikte eger hedef direkt sizseniz bu yolda yaygin olarak kullanilabilir.Daha da fazlasi hileli program bilgisayarinizin basina oturan biri tarafindan manuel olarak da yüklenebilir. Virüsü aninda mesajlasma yazilimlari araciligiyla alma sansi çok düsüktür daha çok internetten indirilmeyle ulasilir.
Web sitesi yolu ile
Zararli bir siteyi ziyaret ettiginizde bulasabilir.
E-posta ile
Eger Microsoft Outlook kullaniyorsaniz Internet Explorer kullanmasaniz bile onun etkilendigi açiklardan sizlerde etkilenirsiniz. E-posta virüsleri genellikle kopyalarini zararli bulasmis kullanici adres defterlerini yollarlar.
Açik Portlar ile
Bilgisayarlar dosya paylasimini destekleyen aninda mesajlasma yazilimlari(AOL,MSN gibi) veya dosya paylasimina izin veren (HTTP, FTP, veya SMTP gibi) kendi sunucularini kullanirlar ki bu sunucular yukarida saydigimiz açiklardan etkilenmektedirler. Bu program ve servisler yere ag portunu açabilirlerken, internet üzerinde herhangi birinin bu açiktan faydalanmasina olanak tanir. Bu tip programlarda açiklardan faydalanilarak olusturulan yetkisiz uzaktan erisimlere düzenli olarak rastlanmaktadir.Bu yüzden bu tip programlar kisitlanmali veya güvenli hale getirilmelidir. Açik olan portlari kismak için bir ates duvari kullanilabilinir.Açik olan portlardan olusabilecek zararlar için güvenlik duvarlari pratikte çok siklikla kullanilmasina ragmen yine de kökten bir çözüm saglamayacaktir. Bazi modern truva atlari dogrudan mesajlarla gelebilirler.Çok önemli gibi görünen mesajlar aslinda truva ati içerebilir. Çalistirilabilen dosyalar sistem dosyalariyla ayni veya benzer isimleri tasiyabilirler(Svchost.exe gibi) Bazi benzer truva atlari:

Svchost32.exe
svhost.exe
back.exe

Yok etme yollari

Truva atlari bu kadar çesitlere ulassa da yine kurtulmanin tek yolu var.En basit yolu temporary internet files klasörünü temizlemek veya dogrudan dosyayi bulup silmek. Bazi durumlarda kayit defteri düzenlemesi veya bazi düzenlemeler gerekebillir. Indireceginiz farkli birkaç programla en kötü seneryoda bile verileri kurtara bilirsiniz.