msnmsgr.exe adı altında bulaşan yeni nesil Keylogger/Trojan'a Dikkat!

   msnmsgr.exe   Adı altında bulaşan; Yeni nesil Türk Yapımı   Güzel bir Trojan client'i  dir.  Ticari amaçlı yapılmıştır ve kötü amaçlarda  kullanılmaktadır. Buradaki  msnmsgr.exe ismini   yapımcı veya kullanıcı istediği zaman değişebilmektedir.   örnek: aa.exe bb.exe  gibi, msnmsgr.exe  ismi  Trojan clientini oluşturan program ile standart olarak gelmektedir.  

Bu makalemde sizlere  msnmsgr.exe   adı altında bulaşan yeni nesil  Keylogger / Trojan'ın tespit ve temizleme yönteminden bahsedeceğim Windows Görev yöneticisi işlemler kısmında gözür fakat görevi sonlandırmak istediğinizde sonlandıramazsınız... 

Konu ile alakalı  hazırlamış olduğum diğer  konulara aşağıdaki linkten ulaşabilirsiniz  bu konuları da incelemenizi tavsiye ederim.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373

Bu Keyloger / Trojan  Bilgisayarınıza bulaşmış ise:  Şifrelerinizin ve kişisel bilgilerinizin  çalınması ile kullanılır. Aynı zamanda sizin haberiniz olmadan Trojan'ı yayan kişi   bilgisayarınızı yönetebilir, kameradan görüntü alabilir, Mikrofondan ortam ses kaydını alabilir... vb işleri sizin haberiniz olmadan yapabilme yetkisine sahiptir

Dosyanın simgesi  farklı olabilir  basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini  "mp3" müzik dosyası gibi ayarlarlıya bilir  içine de  bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir  ve   dosyayı  alan kişi müzik dinlemek için  o dosyayı çalıştırdığında   keylogger bulaşmış olur.

Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsettiğim örnekteki  mp3 dosyasının  uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın  içerisine gömülmüştür.

Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity  yazılımına “Backdoor.Win32.Bifrose.domp” olarak  yakalanmaktadır. Fakat yapımcı tarafından  güncellemesi yapıldığı için   anti virüs yazılımlarına  yakalanmama ihtimali yüksektir. Şuan itibari ile  anti virüs yazılımlarına yakalanmamaktadır. 

Bazı Keylogger ve Trojan  ler  Windows Görev Yöneticisi -  Çalışan İşlemler kısmında gözükmez.  Bunun için windows görev yöneticisi yerine   Process explorer programını  "Gelişmiş görev yöneticisini"   kullanmanızı tavsiye ederim .  Affı yoktur  gizli olarak çalışan Keylogger veya Trojan varsa   Process explorer  ile konumunu tespit edip inceleyebilirsiniz.

Process explorer'i  aşağıdaki linkten indirebilirsiniz 

http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860

Process explorer Hakkında:

Process explorer programını çalıştırarak  sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.

Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz. 

Not : Bazı Trojan ve Keylogger lar sonlanmaz msnmsgr.exe de bunlardan biridir ama sıkmayın canınızı yazının devamında  bu engeli nasıl aşacağınız mevcuttur

msnmsgr.exe  adı altında bulaşan  bu  Trojan eğer pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak tespit edip temizleye bilirsiniz. Bizzat tarafımdan test edilmiştir.
Bazılarınız diye bilir msnmsgr.exe Windows Live Messenger Dosyası değilmidir diye çoklu msn kullanıyorsak görev yöneticisinde birkaç tane gözükebilir diye. Evet normalde Windows Live Messenger dosyasıdır ve C:\Program Files\Windows Live\Messenger\ konumunda msnmsgr.exe olarak bulunur. Fakat bizim bu konuda bahsettiğimizin onunla alakası yoktur.

Peki nasıl anlayacağız msnmsgr.exe nin zararlı bir yazılım olduğunu

Windows görev yöneticisinden tespit etmek zor olduğu için Processexplorer programı ile  çalışan tüm işlemleri  kontrol etmenizi tavsiye ederim.

Processexplorer dan çalışan işlemleri  kontrol ederken system değil explorer.exe altında çalışan işlemleri  inceleyiniz; 

Görüldüğü üzere C:\windows  klasörüne msnmsgr.exe  adında bulaşmış  bu  exe dosyasını buradan sonlandıramazsınız siz sonlandırdıkça tekrar geri gelir
Bunun için aşağıda anlatılan admıları dikkatlice uygulayınız.

Bulaştığı zaman
Xp, Windows 7 ve Vista da Standart olarak c:\windows  klasörü içerisine  msnmsgr.exe  olarak bulaşır.
Siz Windows klasörünün içeriğini görmeyin diye Windows klasörünü gizler 

Dikkat: msnmsgr.exe yi procces explorer ile   görebilirsiniz fakat  sonlandıramazsınız siz sonlandırdıkça o çalışır. Bundan dolayı geri kalan işlemleri  işletim sistemini  güvenli modda açıp devam edeceğiz. 

Xp Windows 7 ve Vista işletim sistemlerinden Temizleme
Öncelikle işletim sisteminizi güvenli modda açınız. Proccess explorer programı yardımı ile msnmsgr.exe çalışıyorsa "Güvenli modda Genelde çalışır  vaziyettedir " sonlandırın.
c:\windows klasörü gözükmüyorsa  Gizli dosya ve klasörler seçeneğini aktif hale getirin. "Kısa yoldan  çalıştıra c:\windows yazıp c:\windows klasörü içeriğinede ulaşabilirsiniz"
Sonra c:\windows klasörü içerisinde bulunan msnmsgr.exe dosyasını silin.

Sonra başlat çalıştıra regedit yazıp registry kayıt defterini açın.

*************************************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run da bulunan 
Bu değeri silin
Windows Live  C:\Windows\mstwain32.exe

Sonra
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon da bulunan Userinit anahtarı aşağıdaki gibi ise
Userinit  C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\msnmsgr.exe 

Bu şekil değiştirin
Userinit C:\WINDOWS\system32\userinit.exe

Sonra

Çalıştıra aşağıdaki kodu yazıp çalıştırın

%HOMEDRIVE%\WINDOWS\system32\drivers\etc\hosts

Birilikte aç ekranı gelecektir not defterini seçip açın

varsa içerisinde de bulunan  sharpn3ss.no-ip.com 1604 satırını silin  

Bu satır farklıda olabilir.
Peki nasıl  anlarız  derseniz  önünde 127.0.0.1 yoksa veya herhangi bir ip numarası yoksa veya bilinmeyen bir site ise o satırları silebilirsiniz. 

işlem bittikten sonra açmış olduğunuz hosts dosyasını  kapatın gelen uyarıya evet diyin.

Bu işlem isteğe bağlıdır. Güvenlik merkezi uyarıları ile alakalıdır  Bahsettiğimiz Trojan bulaştığında bu ayarları da değiştirmektedir
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center da bulunan değerleri inceleyiniz

Sizdeki değerler farklı olabilir fakat  kırmızı ile işaretlemiş olduğum alandaki  AntiVirusDisableNotify ve UpdatesDisableNotify Değeri varsa silin.

Dikkat: Silin dediğim  AntiVirusDisableNotify ve UpdatesDisableNotify değerlerin türü resimde de görüldüğü üzere REG_SZ dir  bu değerler  Trojan ile beraber gelmektedir yanlış anlaşılma olmasın...
*************************************************************************

Bu işlemleri  yaptıktan sonra:  Kontrol etmek için  Kayıt defteri düzenleyicisin den  C:\WINDOWS\msnmsgr.exe 'yi aratın  varsa  ilgili girdi  değeri sadece C:\WINDOWS\msnmsgr.exe yi içeriyorsa silin eğer  ilgili girdi de çift değer mevcutsa değer kısmından  sadece  C:\WINDOWS\msnmsgr.exe kısmını silin. Arama işlemine devam edin     birşey bulunmuyorsa Trojan   temizlenmiş demektir.

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

Not: Tespit için dilerseniz hazırlamış olduğumuz Yeni Nesil Keyloger Tespit Etme Sistemi Programını kullanabilirsiniz

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111

Saygılarımla
invertor

DÃ¼zenleyen invertor - 06-02-2011 Saat 15:59

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
invertor Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional İnventor KayÄ±t Tarihi: 18-01-2008 Status: Aktif DeÄŸil Points: 3365	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± invertor Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: msnmsgr.exe adı altında bulaşan yeni nesil Keylogger/Trojan'a Dikkat! GÃ¶nderim ZamanÄ±: 06-02-2011 Saat 11:31
	msnmsgr.exe Adı altında bulaşan; Yeni nesil Türk Yapımı Güzel bir Trojan client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki msnmsgr.exe ismini yapımcı veya kullanıcı istediği zaman değişebilmektedir. örnek: aa.exe bb.exe gibi, msnmsgr.exe ismi Trojan clientini oluşturan program ile standart olarak gelmektedir. Bu makalemde sizlere msnmsgr.exe adı altında bulaşan yeni nesil Keylogger / Trojan'ın tespit ve temizleme yönteminden bahsedeceğim Windows Görev yöneticisi işlemler kısmında gözür fakat görevi sonlandırmak istediğinizde sonlandıramazsınız... Konu ile alakalı hazırlamış olduğum diğer konulara aşağıdaki linkten ulaşabilirsiniz bu konuları da incelemenizi tavsiye ederim. http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373 Bu Keyloger / Trojan Bilgisayarınıza bulaşmış ise: Şifrelerinizin ve kişisel bilgilerinizin çalınması ile kullanılır. Aynı zamanda sizin haberiniz olmadan Trojan'ı yayan kişi bilgisayarınızı yönetebilir, kameradan görüntü alabilir, Mikrofondan ortam ses kaydını alabilir... vb işleri sizin haberiniz olmadan yapabilme yetkisine sahiptir Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlarlıya bilir içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında keylogger bulaşmış olur. Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsettiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür. Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Bifrose.domp” olarak yakalanmaktadır. Fakat yapımcı tarafından güncellemesi yapıldığı için anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır. Bazı Keylogger ve Trojan ler Windows Görev Yöneticisi - Çalışan İşlemler kısmında gözükmez. Bunun için windows görev yöneticisi yerine Process explorer programını "Gelişmiş görev yöneticisini" kullanmanızı tavsiye ederim . Affı yoktur gizli olarak çalışan Keylogger veya Trojan varsa Process explorer ile konumunu tespit edip inceleyebilirsiniz. Process explorer'i aşağıdaki linkten indirebilirsiniz http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860 Process explorer Hakkında: Process explorer programını çalıştırarak sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz. Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz. Not : Bazı Trojan ve Keylogger lar sonlanmaz msnmsgr.exe de bunlardan biridir ama sıkmayın canınızı yazının devamında bu engeli nasıl aşacağınız mevcuttur msnmsgr.exe adı altında bulaşan bu Trojan eğer pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak tespit edip temizleye bilirsiniz. Bizzat tarafımdan test edilmiştir. Bazılarınız diye bilir msnmsgr.exe Windows Live Messenger Dosyası değilmidir diye çoklu msn kullanıyorsak görev yöneticisinde birkaç tane gözükebilir diye. Evet normalde Windows Live Messenger dosyasıdır ve C:\Program Files\Windows Live\Messenger\ konumunda msnmsgr.exe olarak bulunur. Fakat bizim bu konuda bahsettiğimizin onunla alakası yoktur. Peki nasıl anlayacağız msnmsgr.exe nin zararlı bir yazılım olduğunu Windows görev yöneticisinden tespit etmek zor olduğu için Processexplorer programı ile çalışan tüm işlemleri kontrol etmenizi tavsiye ederim. Processexplorer dan çalışan işlemleri kontrol ederken system değil explorer.exe altında çalışan işlemleri inceleyiniz; Görüldüğü üzere C:\windows klasörüne msnmsgr.exe adında bulaşmış bu exe dosyasını buradan sonlandıramazsınız siz sonlandırdıkça tekrar geri gelir Bunun için aşağıda anlatılan admıları dikkatlice uygulayınız. Bulaştığı zaman Xp, Windows 7 ve Vista da Standart olarak c:\windows klasörü içerisine msnmsgr.exe olarak bulaşır. Siz Windows klasörünün içeriğini görmeyin diye Windows klasörünü gizler Dikkat: msnmsgr.exe yi procces explorer ile görebilirsiniz fakat sonlandıramazsınız siz sonlandırdıkça o çalışır. Bundan dolayı geri kalan işlemleri işletim sistemini güvenli modda açıp devam edeceğiz. Xp Windows 7 ve Vista işletim sistemlerinden Temizleme Öncelikle işletim sisteminizi güvenli modda açınız. Proccess explorer programı yardımı ile msnmsgr.exe çalışıyorsa "Güvenli modda Genelde çalışır vaziyettedir " sonlandırın. c:\windows klasörü gözükmüyorsa Gizli dosya ve klasörler seçeneğini aktif hale getirin. "Kısa yoldan çalıştıra c:\windows yazıp c:\windows klasörü içeriğinede ulaşabilirsiniz" Sonra c:\windows klasörü içerisinde bulunan msnmsgr.exe dosyasını silin. Sonra başlat çalıştıra regedit yazıp registry kayıt defterini açın. *********************************************************************** HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run da bulunan Bu değeri silin Windows Live C:\Windows\mstwain32.exe Sonra HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon da bulunan Userinit anahtarı aşağıdaki gibi ise Userinit C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\msnmsgr.exe Bu şekil değiştirin Userinit C:\WINDOWS\system32\userinit.exe Sonra Çalıştıra aşağıdaki kodu yazıp çalıştırın %HOMEDRIVE%\WINDOWS\system32\drivers\etc\hosts Birilikte aç ekranı gelecektir not defterini seçip açın varsa içerisinde de bulunan sharpn3ss.no-ip.com 1604 satırını silin Bu satır farklıda olabilir. Peki nasıl anlarız derseniz önünde 127.0.0.1 yoksa veya herhangi bir ip numarası yoksa veya bilinmeyen bir site ise o satırları silebilirsiniz. işlem bittikten sonra açmış olduğunuz hosts dosyasını kapatın gelen uyarıya evet diyin. Bu işlem isteğe bağlıdır. Güvenlik merkezi uyarıları ile alakalıdır Bahsettiğimiz Trojan bulaştığında bu ayarları da değiştirmektedir HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center da bulunan değerleri inceleyiniz Sizdeki değerler farklı olabilir fakat kırmızı ile işaretlemiş olduğum alandaki AntiVirusDisableNotify ve UpdatesDisableNotify Değeri varsa silin. Dikkat: Silin dediğim AntiVirusDisableNotify ve UpdatesDisableNotify değerlerin türü resimde de görüldüğü üzere REG_SZ dir bu değerler Trojan ile beraber gelmektedir yanlış anlaşılma olmasın... ********************************************************************* Bu işlemleri yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den C:\WINDOWS\msnmsgr.exe 'yi aratın varsa ilgili girdi değeri sadece C:\WINDOWS\msnmsgr.exe yi içeriyorsa silin eğer ilgili girdi de çift değer mevcutsa değer kısmından sadece C:\WINDOWS\msnmsgr.exe kısmını silin. Arama işlemine devam edin birşey bulunmuyorsa Trojan temizlenmiş demektir. Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz. Not: Tespit için dilerseniz hazırlamış olduğumuz Yeni Nesil Keyloger Tespit Etme Sistemi Programını kullanabilirsiniz** http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111 Saygılarımla invertor DÃ¼zenleyen invertor - 06-02-2011 Saat 15:59
	Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)

wolf Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Üye KayÄ±t Tarihi: 30-07-2009 Status: Aktif DeÄŸil Points: 0	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± wolf Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla GÃ¶nderim ZamanÄ±: 06-02-2011 Saat 16:14
	Ellerine sağlık invertor. Birçoğumuz temizleme yolunu bilmediğimizden PC'ye format atmak zorunda kalıyor. Çok yardımcı oldu..

chakkal Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Üye KayÄ±t Tarihi: 26-01-2011 Konum: Turkey Status: Aktif DeÄŸil Points: 57	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± chakkal Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla GÃ¶nderim ZamanÄ±: 06-02-2011 Saat 22:37
	bunlardan bulasmayan pc yoktur bence (:
	chakkal