http://www.bilalgunes.com
Özgeçmiş Makaleler Atıflar Bildiriler Kitaplar
Ana Sayfa Fotoğraflar Diğer Linkler Sınav Sonuçları  

 >Fizik/Fizik Eğitimi
Lisans Dersleri
Lisansüstü Dersler
Sanal Fizik Laboratuarı
Fizikte Kavram Yanılgıları
Fizik Müfredat Çalışmaları

 >Kristalografi
Kristalografi Ders Notları
Kristalografi Derneği WebSayfası

 >Bilgisayar
Bilgisayar Destekli Fizik Eğitimi
Bilgisayar Ders Notları
Web Sözlük
Enformatik Bölümü WebSayfası

 >Diğer...
İngilizce Seviye Tespit Sınavı
İnternet Güvenli mi?
Bilgisayarınız Güvenli mi?
Bilişim Toplumu Nedir?

 

TROJAN ve SPYWARE PROGRAMLARI MAALESEF BİLGİSAYARLARIMIZDA!

 

Eğer MS-DOS tabanlı veya 16-bit Windows tabanlı bir programı Windows XP işletim sistemi altında çalıştırdığınızda aşağıdaki mesajlara benzer bir hata mesajı ile karşılaşıyorsanız;

16-bit MS-DOS Subsystem
path to the program that you are trying to start or install
C:\Winnt\System32\config.nt The system file is not suitable for running MS-DOS and Microsoft Windows applications. Choose 'Close' to terminate the application.
 

16-bit MS-DOS Subsystem
path to the program that you are trying to start or install
config.nt The system file is not suitable for running MS-DOS and Microsoft Windows applications. Choose 'Close' to terminate the application.
 

16-bit MS-DOS Subsystem
path to the program that you are trying to start or install
C:\Windows\System32\Autoexec.nt The system file is not suitable for running MS-DOS and Microsoft Windows applications. Choose 'Close' to terminate the application.

 

Bunun sebebi; normal durumda "c:\windows\system32\" klasöründe bulunması gereken

Config.nt
Autoexec.nt
Command.com

dosyalarından birinin veya bir kaçının silinmiş olmasından kaynaklanmaktadır.

Bu silinme bir yanlışlığın sonucu olabileceği gibi, bilgisayarınız için bir tehlikenin de habercisi olabilir!

Bunu anlamak için;

Bilgisayarınızdan Başlat (Start)-->Çalıştır (Run)  sırasını takip ettiğinizde aşağıdaki gibi bir ekran gelecektir.

Bu alanda Aç(Open) yazan alana herhangi bir 16 bit program adı yazabilirsiniz. Örneğin her bilgisayarda olan sysedit yazabilirsiniz. Bilgisayarınız, bu komutu yazdığınızda, normal sistem dosyalarını açıyorsa  bu anlamda aradığımız trojan yok demektir, bu diğer trojan ve spyware programlarının olmadığı anlamına gelmez. Eğer bu komutu yazdığınızda yukarıdaki hata mesajlarından biri ile karşılaşıyorsanız veya bilgisayarınızda diğer trojan ve spyware programlarının bulunabileceğinden şüphe ediyorsanız, aşağıdaki yönergeleri takip etmenizde yarar var.

BİLGİSAYARINIZDA TROJAN VEYA SPYWARE OLUP OLMADIĞINI ANLAMAK İÇİN,

 

a.) Bu hatayı düzelttikten sonra (hatayı düzletmek için http://support.microsoft.com/default.aspx?scid=kb;en-us;324767 adresindeki yönergeleri takip etmeniz gerekmektedir),  bilgisayarınızı RESET ettiğinizde (kapatıp açtığınızda) problem çözülmüş ise bilgisayarınızdaki sorun da çözülmüş denilebilir(en azından geçici bir süre için).

b.) Bu hatayı düzeltmenize rağmen, bilgisayarı her açtığınızda aynı hata mesajı ile karşılaşıyorsanız, büyük bir olasılıkla, bilgisayarınızda SPYWARE  ve TROJAN olarak gruplandırılan programlar var anlamındadır. Maalesef bu tip programları Norton Antivirus  gibi virüs programları veya Ad-aware  gibi diğer trojan removal araçları şimdilik (Aralık 2004 ayı itibari ile) tespit edememektedir. Bunlara en iyi örnekler;

b.1.)  Download Trojan olarak adlandırılan TrojanDownloader.Win32.Dia.a isimli trojan,

b.2.) SPYWARE grubunda bulunan;

        b.2.1 Windows ADService

        b.2.2 Windows ControlAd

        b.2.3 Windows TaskAd

        b.2.4 WinAd Client

        b.2.5 Search Relevancy

    gibi zararlı programlardır. Bu programlar sizden habersiz bilgisayarınızda bulunan bilgileri, internet üzerinden, kendi merkezlerine taşımaktadır. Bunların bazıları kullanıcı bilgilerini bilgi amaçlı toplarken, maalesef, bazıları da bilgisayarınızdaki şifre gibi size özel bilgileri deşifre etmektedir. Hatta bazı Key Logger türü programlar klavyeden her bastığınız tuşu ve dolayısı ile her yazdığınız yazıyı bir doyaya kayıt etmektedir. SPYWARE programlarının isimlerine dikkat edilirse, arazi olmak için çok kullanılan Windows isminden türeyen isimleri tercih etmektedir. Bu durumda kullanıcılar bu casus programları sistemin bir parçası sanarak bunlardan şüphe duymamaktadır.

    Bu bilgiler kullanıcı bilgisayarından SPYWARE veya TROJAN programının ana web sayfasına doğru transfer edildiğinden, tek taraflı bir trafik yoğunluğuna neden olmakta ve band genişliğini etkileyebilmektedir. Son günlerde üniversitemizde özellikle Gazi Eğitim Fakültesi,  Fen Edebiyat Fakültesi, İletişim Fakültesi, Teknik Eğitim Fakültesi ve Öğrenci İşleri Daire Başkanlığı'nın bağlı olduğu switch'lerin şişmesinde ve kilitlenmesinde bunun önemli bir katkısının olduğu kanısındayım.

    Örneğin yukarıdaki resim üniversitemizdeki ana router (yönlendirici) üzerindeki 19.12.2004 gününe ait internet trafiğini gösterirken, aşağıdaki resim de Üniversitemizin Emek Kampüsünde bulunan birimlerimizin 20.12.2004 gününe ait veri trafiğini göstermektedir. Grafikteki yatay eksen zamanı saat olarak, düşey eksen ise veri trafiğini saniyede Megabit olarak ölçeklendirmektedir. Grafikte Mavi eğriler üniversiteden dışarı doğu, yeşil ise içeri doğru veri trafiğini göstermektedir. Üniversiteden dışarı olan trafik yoğunluğunun, içeri doğru olandan, belirgin bir şekilde fazla olması dışarıya daha fazla veri aktarılmakta olduğunun göstergesidir.

Grafikler sağlıksız ve istenmeyen veri trafiğinin somut bir göstergesidir. Bu olumsuzluğu çözmek için Bilgi İşlem Daire Başkanlığı son 2 haftadır yoğun ve fedakar bir çalışma içerisindedir. Sizin üniversite içerisinde kullanmakta olduğunuz bilgisayarınızla ilgili yaşayacağınız her problemin giderilmesinde yardıma hazırdırlar.

NE YAPMALI?

Temelde 2 ayrı çalışma yapmalısınız:

1. Bilgisayarınızda Trojan ve spyware türü programlar olup olmadığını anlamak için PESTPATROL isimli online ücretsiz programı kullanarak bilgisayarınız tarattırabilirsiniz: web adresi http://www.pestpatrol.com .  Bu adrese girdiğinizde tarama yapmak için aşağıdaki resim üzerine tıklamalısınız:

Eğer bu tarama sonucunda bilgisayarınızda tehlikeli programlar var ise ücretsiz virüs, TROJAN ve SPYWARE temizleme programlarını kullanarak bunlardan kurtulmalısınız.

2. Bilgisayarınızda ayrıca yüklenmiş durumda SPYWARE türü program olup olmadığını anlamak için;

    2.1 Denetim Masası (Control Panel)-->Program Ekle Kaldır (Add or Remove Programs)  sırası ile mouse ile tıklayarak bilgisayarınızda yüklü olan programların listesine bakabilirsiniz. Aşağıda örnek bir resim verilmiştir:

 

Yukarıdaki resim dikkatli bir şekilde incelendiğinde bu bilgisayarda 4 adet SPYWARE program olduğu görülür. Bunlar;

            2.1 Search Relevancy (Listenin en üstünde 0,18MB boyutlu program)

        2.2 Windows ADService (Listede, alttan 5. sırada 0,11MB boyutlu program)

        2.3 Windows ControlAd (Listede, alttan 4. sırada 0,11MB boyutlu program)

        2.4 Windows TaskAd (Listede, alttan 3. sırada)

Bu programların ortak özelliği, listeden seçildiklerinde üretici firma gibi bilgiler ( Click here for support information ) yer almaz. Listenizde sizin yüklemediğiniz programlar var ise, bunların ne amaçlı kullanıldığından da emin değil iseniz, bu programları biriminizden bilen birini danışmadan silmeyiniz!.

 

    Bu SPYWARE programlarından kurtulmak için, listeden her biri seçilerek "REMOVE" veya "KALDIR" butonuna tıklanmalıdır. Ancak bu programların REMOVE menüsüde hileli

bir şekilde hazırlandığından gelen uyarı yazılarını dikkatli bir şekilde okuyarak devam etmek gerekmektedir. Örneğin;

Bu programlardan biri seçilip KALDIR veya REMOVE butonuna tıklandığında aşağıdaki gibi bir mesaj gelir.

 

  Yukarıdaki pencerede Yes botunu tıklandığında bu kez aşağıdaki gibi bir pencere daha gelir:

     Bu mesaj dikkatlice okunmadan Yes btonuna tıklanırsa program bilgisayardan kaldırılmaz. Mesaja No cevabı verilmeli ki program bilgisayardan kaldırılsın.

 

Yine Search Relevancy isimli SPYWARE bilgisayardan kaldırılmak istendiğinde aşağıdaki gibi yanıltıcı bir mesaj gelir:

Burada da yine NO butonuna tıklanmalıdır. Bu butona tıklandığında bu kez aşağıdaki gibi yeni bir pencere daha gelir:

Sanki bilgisayarda bu programı bilgisayarda tutmak istiyormuşuz gibi yanıltıcı bu mesaja da yine No denilmelidir. Programların yüzsüzü de bu kadar olur!

Bu programların yüzsüzlüğü bununla da kalmıyor, bilgisayarınızda sildiğiniz zaman bu kez sizi güya SPYWARE  programlarını temizleyen programların reklam sayfasına yönlendiriyor. Örnek:

http://www.windupdates.com/remove.php?soft=Windows+ControlAd

linkine yönlendirerek aşağıdaki gibi bir reklam sayfası ile sizi tanıştırabilir:

 

 

Yukarıda açıklamaya çalıştığım, bu iki işlem gerektiği gibi yapıldığında bilgisayarınız, en azından geçici bir süre için, TROJAN ve SPYWARE türü casus programlardan arındırılmış olacaktır. Sürekli Temiz bir bilgisayara sahip olmak için;

1.) İşletim sisteminize Service Pack isimli yamaları yüklemeli,

2.) Bir kaç günde bir kez güncel yamaları kontrol etmeli,

3.) Bilgisayarınıza en az bir adet Antivirüs programı yüklemeli,

4.) Web sayfalarında gezinirken, açılan Pop-up pencerelerini, ActiveX uygulamalarını ve doğrudan çalıştırılabilir dosyaları(özellikle .exe uzuntılı) bloke etmeli,

5.) E-mailinize tanımadığınız birinden mesajla birlikte gelen  Attachment veya Ek adı verilen dosyaları açmadan silmelisiniz.

Yapılan araştırmalarda (referans), Dünya genelinde internete bağlı bilgisayarların %90'ında SPYWARE programlarının bulunduğu ortaya konulmuştur. Bu oranın bizim üniversitemiz için çok daha yüksek olduğunu düşünüyorum(>%99 olabilir!).

Bu şekilde sorumlu davranmanız durumunda; hem kendi bilgisayarınızın ve dolayısı ile bilgisayarınızda sakladığınız size ait kişisel ve kurumsal bilgilerinizin güvenliğini sağlamış olursunuz, hem de internet alt yapısının sağlıklı bir biçimde işlemesine katkıda bulunursunuz.

 

Bilal GÜNEŞ

http://w3.gazi.edu.tr/web/bgunes

bgunes@gazi.edu.tr 

 

 

 

©2007
Gazi Üniversitesi Gazi Eğitim Fakültesi Bölüm Ana Sayfası