Char Güvenliği için svchost.exe (Dikkat)

    Paylaş
    avatar
    Jr.Die-*
    Admin
    Admin

    Mesaj Sayısı : 720
    Rep Gücü : 40035
    Kayıt tarihi : 05/02/10
    Nerden : Sen ? :)

    Char Güvenliği için svchost.exe (Dikkat)

    Mesaj tarafından Jr.Die-* Bir Paz Haz. 13, 2010 11:47 am

    svchost.exe adı ile gizlenen yeni nesil
    keyloger'a dikkat


    svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında:

    svchost.exe Yeni nesil Türk Yapımı Güzel bir
    Keyloger client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda
    kullanılmaktadır. Buradaki svchost.exe ismini yapımcı istediği zaman
    değişebilmektedir. örnek: aa.exe gibi, svchost.exe adı keyloger
    clientini oluşturan program ile standart olarak gelmektedir.

    Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı
    ile kullanılır.

    Eğer pc nize bulaşmış ise ; Pc nizde girmiş
    olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve
    şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar,
    pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman
    aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.

    Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir fakat
    bulaştığında görev yöneticisi işlemler menusunde svchost.exe olarak
    gözükür. “Eğer yapımcı standart olan svchost.exe ismini değiştirirse
    görev yöneticisinde isim farklı gözüke bilir”

    Şimdi diyeceksiniz sistemde birçok
    svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız.


    Hemen açıklık getirelim;

    [Resimleri görebilmek için üye olun veya giriş yapın.]

    Svchost.exe ler oturum açma adınız ile çalışmazlar
    eğer aşağıdaki gibi çalışıyorsa;


    [Resimleri görebilmek için üye olun veya giriş yapın.]

    Örneğin; Oturum açma
    adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında
    xxx yazıyorsa pc nize keyloger bulaşmış demektir.



    Bu keyloger kendi kendine bulaşmaz bulaşması için svchost.exe dosyasının
    çalıştırılması gerekir Dosya adındaki svchost kısmının değişik
    olabileceğini daha önceden belirtmiştik.

    Dosyanın simgesi farklı olabilir basit bir örnek verecek
    olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi
    ayarlarlıyabilir içine de bir müzik dosyası gömüp bulaştırmak istediği
    kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı
    çalıştırdığında keyloger bulaşmış olur.

    Not: Bu tür durumlarda şüphe duyuyorsanız dosya
    uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının
    uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine
    gömülmüştür.

    Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky
    internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak
    yakalanmaktadır. Eğer yapımcı tarafından keyloger’in güncellemesi
    yapılırsa anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına
    yakalanmamaktadır.



    svchost.exe adı altında bulaşan keyloger Pc
    nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye
    bilirsiniz. Keyloger bizzat tarafımdan test edilmiştir.


    Bulaştığı zaman
    Vindows işletim sistemlerine bulaşır...

    Standart olarak : Xp' de C:\Documents
    and Settings\sizin otorum açma adınız\Application Data içerisine
    svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde
    bulaşır.

    Vista' daC:\Users\sizin otorum açma
    adınız\AppData\Roaming içerisine svchost.exe, SCVHOST.exe, ntlog.sys,
    ntsys.dll olarak 4 dosya şeklinde bulaşır.

    Windows 7' de C:\Users\sizin otorum açma
    adınız\AppData\Roaming içerisine svchost.exe, SCVHOST.exe, ntlog.sys,
    ntsys.dll olarak 4 dosya şeklinde bulaşır.


    Not: Gizli dosya ve klasörler seçeneğini aktif
    hale getirmeden belirtilen dizini göremezsiniz.

    Xp işletim sisteminden Temizlemek için;

    Gizli dosya ve klasörler seçeneğini aktif hale getirin


    CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler
    menusunden

    svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma
    adınız yazıyorsa o svchost.exe işlemini sonlandırın

    C:\Documents and Settings\sizin otorum açma adınız\Application Data
    klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını
    silin



    Akabinde;

    Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve
    aşağıdaki işlemleri yapın.

    **************************************************
    *********


    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

    Bu değeri silin
    svchost "C:\Documents and Settings\ sizin otorum açma adınız
    \Application Data\svchost.exe"


    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Bu değeri
    Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma
    adınız \Application Data\svchost.exe"

    Bu şekil değiştirin
    Shell Explorer.exe

    **************************************************
    *********


    Daha sonra var ise aşagıdaki kayıtlarıda siliniz.


    HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell
    NoRoam\MUICache
    C:\Documents and Settings\sizin otorum açma adınız \Application
    Data\SCVHOST.EXE SCVHOST

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
    C:\Documents and Settings\sizin otorum açma adınız \Application
    Data\svchost.exe svchost


    Vista işletim sisteminden Temizlemek
    için;


    Gizli dosya ve klasörler seçeneğini aktif hale getirin
    Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları
    izleyin.
    1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve
    ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
    2. Görünüm sekmesini tıklatın.
    3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve
    ardından Tamam'ı tıklatın.


    CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler
    menusunden


    svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma
    adınız yazıyorsa o svchost.exe işlemini sonlandırın


    C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp
    svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin



    Akabinde;

    Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve
    aşağıdaki işlemleri yapın.

    **************************************************
    *********


    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

    Bu değeri silin
    svchost "C:\Users\sizin otorum açma
    adınız\AppData\Roaming\svchost.exe"



    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    Bu değeri
    Shell explorer.exe "C:\Users\sizin otorum açma
    adınız\AppData\Roaming\svchost.exe"

    Bu şekil değiştirin
    Shell explorer.exe

    **************************************************
    *********


    Daha sonra var ise aşagıdaki kayıtlarıda siliniz.

    HKEY_CLASSES_ROOT\Local
    Settings\Software\Microsoft\Windows\Shell\MuiCache
    C:\Users\sizin otorum açma adınız\AppData\Roaming\SCVHOST.EXE
    SCVHOST


    HKEY_CLASSES_ROOT\Local
    Settings\Software\Microsoft\Windows\Shell\MuiCache
    C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe
    svchost




    Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den
    önce SCVHOST:EXE yi aratın daha sonra Roaming\svchost.exe 'yi aratın
    eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa
    keyloger temizlenmiş demektir
    .



    Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi
    sorunsuz kullanabilirsiniz.

      Forum Saati Cuma Kas. 24, 2017 10:20 pm