Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - Sahte Windows Servisleri
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

Sahte Windows Servisleri
 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
  Konu Arama Konu Arama  Konu Seçenekleri Konu Seçenekleri
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752 		Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: Sahte Windows Servisleri
    Gönderim Zamanı: 18-04-2010 Saat 11:35

Ne zaman “Ctrl+Alt+Delete” yapıp, Windows görev yöneticisini açsak, karşımıza hemen aşağıda sıralanan “exe” uzantılı dosyalar çıkar. Aslında birer Windows bileşeni olması gereken bu dosyalar, aynı adla gizlenmiş birer kötücül yazılım da olabilirler.

Kötücüller ile koruma yazılımları arasındaki şavaşımda, kötücüllerin sık sık korumaları atlatıp, sisteme sızdıklarını bilirsiniz; o yüzden, bizim de sık sık sisteme sızma olup olmadığını araştırmamız ve varsa, yerini saptayıp yok etmemiz gerekir.

Aşağıda sıralanan Windows servislerinin varsayılan yeri “(Etkin sürücü):\WINDOWS\system32” klasörüdür; aynı adlara bu klasör dışında da rastlarsak, çağrısız bir konuğumuz var demektir ve hemen kolları sıvamamız gerekir…:

WINDOWS SERVİSLERİNİN SAHTELERİ:

winlogon.exe : “W32.Netsky” türevi bir kötücüldür;

wmplayer.exe : “W32.Gaobot” yada “W32.Kelvir” türevidir;

svchost.exe : Kötücüldür; çok değişik türlerde karşımıza çıkabilir;

services.exe : “W32.Akhor”, “W32.Netsky”, “W32.Neveg” ve “W32.Conycspa” türevleri olabilir;

smss.exe : “W32.Sober” türevi bir kötücüldür;

lsass.exe : W32.Nimos.Worm yada benzeri bir kötücüldür;

IEXPLORE.EXE : “Backdoor.Aphexdoor” türündendir;

explorer.exe : Trojan.Kility adlı kötücüldür;

csrss.exe : W.32.Netsky türevi bir kötücüldür;

ctfmon.exe : W32.Mydoom türevidir.

NOT:

1) Gerçek IEXPLORE.EXE: “(Etkin sürücü):\Program Files\Internet Explorer” klasöründedir;

2) Gerçek explorer.exe : “(Etkin sürücü):\WINDOWS” klasöründedir;

3) Gerçek wmplayer.exe : "(etkin sürücü):\Program Files\Windows Media Player" klasöründedir

4) Yine Windows bileşeni olup da görev yöneticisinde yukardakiler gibi her zaman değil arasıra kullanıldığında gözüken Windows servislerinin de sahteleri vardır; konunun altına ekleyerek sahteciler listesi zenginleştirilebilir…

Yukarda da belirttiğim gibi Windows servislerinin sahtesiyle gerçeği aynı adı taşıyor;

"Not"ta belirttiğim üçü dışındaki gerçek Windows servislerinin yeri:
"(Etkin sürücü):\WINDOWS\system32" klasörüdür;

"Acaba bende gözükenler gerçek mi?" diyorsak (ve kimi belirtiler nedeniyle sistemden kuşku da duyuyorsak) yapacağımız ilk iş: arama kutusuna servisin adını yazıp aramak olmalıdır;

A) Arama sonuçlarına baktığımızda servisin yeri olarak:

- "(Etkin sürücü):\WINDOWS\system32"
- "(Etkin sürücü):\WINDOWS\system32\dllcache"(*)
- "(Etkin sürücü):\WINDOWS\prefetch"(**) görünüyorsa, sorun (pek)(***) yok demektir;

B) Başka yerlerde de gözüküyorsa, sahtecilik olayıyla karşıkarşıyayız demektir; sistemimizde varolan koruma yazılımlarını askıya alıp, yeni markalarla ve güvenli kipte arama-tarama-temizlik yapmak gerekir...

(*) "dllcache" klasörü Windows'un, servis dosyalarında hasar oluştuğunda onarım ve değiştirme için başvurduğu kaynaktır;

(**) "Prefetch" klasörü ise yine Windows işletim tekniğiyle ilgili olup -önsıralama, öndepolama- diyebileceğimiz ve de sistemi rahatlatmak için içi sık sık boşaltılması gereken bir klasör;

(***) Aynı adı kullanan sahtecilerin -ender de olsa- "system32" klasörüne bile sızdıkları söyleniyor; dolayısiyle, "salt korunma" diye birşey yok; ne çok kuşkucu olmak ne de "boş ver" dememek, bilinçli olmak gerekiyor...

Saygılar.
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.158 Saniyede Yüklendi.