Son dönemde bana ve diğer adminlere sorulan birkaç soruya yanıt vermek için yeni üyelerimizi bilgilendirmek amacı ile yazıyorum. (eski üyemizseniz zaten bizi bilirsiniz... )
Soru şudur: Bilmemne adlı Tahribat.com programlarıma Antivirus programı trojan uyarısı yapıyor. Trojan olabilir mi?
Cevap: Tahribat.com dan indirdiğiniz her program sitede aksi belirtilmediği sürece zararsızdır. Tahribat.com da Kullanıcılarımıza sokma amaçlı yayınladığımız viruslu dosya olmadığı gibi açıldığımız günden bugüne böyle birşey vuku bulmamıştır.
Fakat son zamanlarda bazı kullanıcılarımız küçük çaplı amatör hack sitelerinde tahribat.com un programlarında virus yaydığını okuduklarını söyledikleri için bu açıklamayı uygun gördüm.
AntiVirus programınızdan böyle bir uyarı alıyorsanız 4 farklı sebebi olabilir
a) cektiginiz şey trojandır (Bkz: HolyOne Hard Formatter)
b) Eger cektiginiz seyde açıkça trojan olduğu yada sisteme zarar verdiği yazmıyorsa antivirus programınız hacktool, Joke uyarısı alabilir.
c) Söz konusu programı tahribat.com dışında bir kaynaktan çekmişsinizdir.
d) Eğer çektiğiniz şeyde trojan olduğuna dair bir belirti yoksa ve Antivirus programınız trojan uyarısı veriyorsa kullandığınız antivirus programını dosya türünü yanlış rapor etmektedir ki buna en çok denyolaunch programında rastlıyoruz.
Sebep: Günümüzde birçok virus programı geometrik artan virus ve worm çeşitleriyle başetmek için yeni teknolojilerden faydalanıyor. bunlardan en önemlisi Heuristics denen dosya tanıma yöntemidir.
Heuristics yöntemi birçok gelişmiş virus programında mevcut olan gelişmiş bir virus tanıma teknolojisidir.
Sistem dosyalarınızın etkilerini kendi içindeki bir sanal makinada çalıştırarak inceler ve dosyanın worm yada trojan olabilite ihtimaline göre puanlandırır. eğer puan belli bir sayıyı geçmişse onun virus olduğu uyarısını yapar.
Bu teknoloji, çoğu zaman kendi elinizle yazdığınız bir virüsü daha ilk çalıştırdığınızda virus olduğunu anlayabilecek kadar zekidir.
Fakat bu sistem bir makinanın bakış açısından baktığı için bazı dosyaları yanlış tanıyabilir ki dünya devi yazılım firmalarının dosyalarında bile bunu yaptığına tanık olabilirsiniz.
Peki DenyoLaunch neden bazı antivirus programları tarafından hacktool değil trojan olarak tanınıyor?
1)Örneğin Denyo programını ilk açtığınızda çıkan diyalog registrynize ulaşmak anasayfanızı değiştirmek isteyecektir (bu genelde wormların yapacağı birşey olduğu için buradan eksi puan alır... )
2) Denyo Launch Internet cafelerden gizlice çalıştılması için ihtiyaç duyulan hidden attack mode özelliğine sahip. bu özellik sayesinde program kendini ekrandan ve taskmanagerdan gizlemeye çalışıyor. üstüne üstlük gizlenir gizlenmez soket bağlantısı açıyor.
3) DenyoLaunch 25. portu (mail portu) açmak suretiyle gelen üyelik maillerini otomatik confirm edecek teknolojiyi barındırmaktadır. yani bu özelliği açtığınızda port da dinlemektedir
Burada önemli olan şudur ki söz konusu program bunların hiçbirini sizden habersiz yapmıyor ve yapması gerekenin dışında bir aktivitede bulunmuyor.
Uzun lafın kısasıııı....
Amatörce yapılan yorumlara inanmanız için bir sebep yoktur. basitce anlasilacagi sekilde anlatayım... şu anda sitedeki yayında olan denyolaunch programı hala birkaç antivirus programı tarafindan trojan olarak algılanıyor.
Bugün (18 Temmuz 2006) itibariyla denyolaunch.exe dosyasının boyutu 516.096 byte dir. ayrıca
Adler;1ECC1C96;18AD9D8D
CRC32;18AD9D8D
MD5;18AD9D8D;10BEE4E1F6A5880E187067AC68E1F89B
aylardır sitede olanla aynı...
Bu dosyada yada bugune kadar yayınlanan herhangi bir programda gerçek anlamda bir trojan/virus olduğunu kanıtlayacak adam varsa tahribat.com un kökünü hediye ediyoruz... :) Bunu kanıtlamak çok kolay, sadece bir sniffer ile gidip gelen dataya bakmanız yeter. ve şüpheli bir hareketin logunu elinizdeki (yukarıdaki dosya tanımına uyan) viruslu program ile birlikte herhangi bir rakip sitemize gönderirseniz bayıla bayıla yayınlayacaklardır.... iddia sahiplerinin iddialarını kanıtlayacak yetenege vakif olduklarını ümit ediyorum... Biz herzaman yaptıklarımızın arkasındayız |
