usnscv.exe adı altında bulaşan yeni nesil keyloger'a Dikkat

   usnscv.exe adı ile gizlenen yeni nesil keyloger Hakkında:

usnscv.exe  Yeni nesil Türk Yapımı   Güzel bir Keyloger client'i  dir.  Ticari amaçlı yapılmıştır ve kötü amaçlarda  kullanılmaktadır. Buradaki   usnscv.exe  ismini   yapımcı veya kullanıcı istediği zaman değişebilmektedir.   örnek: aa.exe  gibi

Bu keyloger  Şifrelerinizin  ve kişisel bilgilerinizin  çalınması amacı ile kullanılır  
Daha önce  standart olarak farklı isimlerde bulaşan bu keylogger in temizleme yöntemlerini aşağıdaki adreste açıklamıştık. "bkp.exe,svchost.exe, SVCHOST.EXE, rundll.exe, taskmgr.exe, msnmsgr.exe, dllhost.exe,spoolsv.exe, isass.exe... vb"  

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373

Bu makalemde  ise sizlere  standart olarak  usnscv.exe adı altında   çalışan bu keyloger'ın tespit ve temizleme yöntemini anlatacağım.

Şuan standart olarak  usnscv.exe  adı altında bulaşmaktadır.

Eğer pc nize bulaşmış ise ;

  Bulaştığı zaman  hemen aktif olur görev yöneticisinde gözükmez.

- Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.

  Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez. 

- Fakat Pc nizi aç  kapa yaptıktan sonra veya herhangi bir programı açmanız ile    aktif hale gelip Görev yöneticisinde gözükür   bu andan itibaren   Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır. 

Dosyanın simgesi  farklı olabilir  basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini  "mp3" müzik dosyası gibi ayarlarlıyabilir  içine de  bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir  ve   dosyayı  alan kişi müzik dinlemek için  o dosyayı çalıştırdığında   keyloger bulaşmış olur.
Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki  mp3 dosyasının  uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın  içerisine gömülmüştür.

Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity  yazılımına “Backdoor.Win32.Delf.osq” olarak  yakalanmaktadır. Fakat yapımcı tarafından keyloger’in güncellemesi yapıldığı için   anti virüs yazılımlarına  yakalanmama ihtimali yüksektir. Şuan itibari ile  anti virüs yazılımlarına yakalanmamaktadır.

Bazı Keylogger ve Trojan  ler  Windows Görev Yöneticisi -  Çalışan İşlemler kısmında gözükmez.  Bunun için windows görev yöneticisi yerine   Process explorer programını  "Gelişmiş görevyöneticisi"   kullanmanızı tavsiye ederim .  Affı yoktur  gizli olarak çalışan Keylogger veya Trojan varsa   Process explorer  ile konumunu tespit edip inceleyebilirsiniz.

Process explorer'i  aşağıdaki linkten indirebilirsiniz 

http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860

Process explorer Hakkında: 
Process explorer programını çalıştırarak  sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.

Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz.

usnscv.exe  adı altında bulaşan  bu  keyloger  eğer pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger  bizzat tarafımdan test edilmiştir.

Dikkat : 
Son zamanlarda farklı isimlerde bulaştığını tesbit ettik

Bunun üzerine  Yeni Nesil Keyloger Tespit Etme Sistemi  programını hazırladık  isteyen bunu da kullanabilir. 

Gerekli açıklamalar içerisinde mevcuttur.

Buradan indirebilirsiniz sadece tespit için kullanılır.

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742 

Manuel olarak İsim ve Konum Tespiti Yapmak  için:

Processexplorer ile çalışan tüm işlemleri  kontrol etmenizi tavsiye ederim.

Processexplorer dan çalışan işlemleri  kontrol ederken system değil explorer.exe altında çalışan işlemleri  inceleyiniz; 

Temsili resimli örnek 

Görüldüğü üzere usnscv.exe keyloggeri bulaşmış

Bahsettiğimiz bu keyloger'in  sisteminize farklı isimde  bulaştığını tesbit ettiyseniz;

Temizleme işlemi  burda anlattığımız gibi   geçerlidir yani aşağıdaki anlatımlarda bulunan  usnscv.exe   yerine  tesbit ettiğiniz dosya ismini baza alarak temizleme işlemini yapacaksınız . 

****************************

Bulaştığı zaman

Vindows işletim sistemlerine bulaşır...

Bulaşan bu keyloger kendine ait dosyaları aşağıdaki klasörlerden birine kopyalıyabilir bu klasörler harici başka klasörlerde de olabilir;

C:\Documents and Settings\sizin otorum açma adınız\Application Data
C:\Users\sizin otorum açma adınız\AppData\Roaming

C:\WINDOWS\system
C:\WINDOWS
C:\Documents and Settings\Kullanıcı adınız\temp
C:\Program Files
c:\winnt\profiles\username\start menu\programs\startup 

Standart olarak : 

Xp' de C:\Documents and Settings\sizin otorum açma adınız\Local Settings\Application Data      içerisine   usnscv.exe, pagefile.map,  ntldr.dll  olarak 3 dosya şeklinde bulaşır.

Güncel

Xp' de C:\Documents and Settings\sizin otorum açma adınız\Local Settings\Application Data      içerisine   usnscv.exe, info.dat, Yeni WinRAR ZIP arşivi.rar  olarak 3 dosya şeklinde bulaşabilir.

********************************************
Vista'da C:\Users\sizin otorum açma adınız\Local\   içerisine    usnscv.exe, pagefile.map,  ntldr.dll   olarak 3 dosya şeklinde bulaşır. 

Güncel

Vista'da C:\Users\sizin otorum açma adınız\Local\   içerisine    usnscv.exe, info.dat, Yeni WinRAR ZIP arşivi.rar  olarak 3 dosya şeklinde bulaşabilir.

********************************************

Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Local   içerisine    usnscv.exe, pagefile.map,  ntldr.dll   olarak 3 dosya şeklinde bulaşır. 

Güncel

Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Local   içerisine    usnscv.exe, info.dat, Yeni WinRAR ZIP arşivi.rar  olarak 3 dosya şeklinde bulaşabilir. 

********************************************

İşletim sisteminden Bulaşan Keyloggeri  Temizlemek için

Aşağıda   örnek temizleme yöntemleri anlatılmıştır sisteminize bu isimler harici farklı isimlerde  bahsettiğimiz yeni nesil keyloger dan  bulaşmış ise temizleme yöntemi yine aynıdır sadece keyloger isimleri farklıdır.

Xp işletim sisteminden Temizlemek için; 
Gizli dosya ve klasörler seçeneğini aktif hale getirin 
Processexplorer   programı yardımı ile   C:\Documents and Settings\sizin otorum açma adınız\Local Settings\Application Data  içerisinde bulunan usnscv.exe yi sonlandırın

Processexplorer Downlod:
http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860 

C:\Documents and Settings\sizin otorum açma adınız\Local Settings\Application Data  klasörünü açıp usnscv.exe,  pagefile.map, ntldr.dll    dosyalarını silin

Güncel

C:\Documents and Settings\sizin otorum açma adınız\Local Settings\Application Data  klasörünü açıp usnscv.exe,  info.dat, varsa Yeni WinRAR ZIP arşivi.rar    dosyalarını silin

Not: ntldr.dll silinmiyorsa yeniden adlandır yapıp ismini kafanıza göre değiştirin bilgisayarı birdahaki açmanızda silersiniz. 

Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

***********************************************************

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Bu değeri silin
scrss     "C:\Documents and Settings\ sizin otorum açma adınız \Local Settings\Application Data\usnscv.exe"

Güncel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Bu değeri silin
usnscv.exe   "C:\Documents and Settings\Administrator\Local Settings\Application Data\usnscv.exe" /background

***********************************************************

Bu işlemi  yaptıktan sonra:  Kontrol etmek için  Kayıt defterinden  Local Settings\Application Data\usnscv.exe  'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keylogger  temizlenmiş demektir.

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz.  

Vista ve Windows 7  işletim sisteminden Temizlemek için; 

Gizli dosya ve klasörler seçeneğini aktif hale getirin 
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.

indirmiş olduğunuz Procces Explorer programını  açın  scrss.exe yi sonlandırın 

C:\Users\sizin otorum açma adınız\AppData\Local   içerisinde bulunan   usnscv.exe yi sonlandırın

Sonra

C:\Users\sizin otorum açma adınız\AppData\Local  içerisinde bulunan   usnscv.exe, pagefile.map, ntldr.dll dosyalarını silin 
 Güncel
C:\Users\sizin otorum açma adınız\AppData\Local  içerisinde bulunan   usnscv.exe, info.dat, varsa Yeni WinRAR ZIP arşivi.rar dosyalarını silin 

Not: ntldr.dll silinmiyorsa yeniden adlandır yapıp ismini kafanıza göre değiştirin bilgisayarı birdahaki açmanızda silersiniz.

Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

***********************************************************

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Bu değeri silin
scrss     "C:\Users\sizin otorum açma adınız\AppData\Local usnscv.exe"

Güncel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Bu değeri silin
usnscv.exe   "C:\Documents and Settings\Administrator\Local Settings\Application Data\usnscv.exe" /background

***********************************************************

Bu işlemi  yaptıktan sonra:  Kontrol etmek için  Kayıt defterinden AppData\Local usnscv.exe'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keylogger  temizlenmiş demektir.

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz.  

Yapamayanlar Xp ,  VİSTA  ve Windows 7 den   temizlemek için hazırlamış olduğum bu temsili videoyu  örnek alarak temizleyebilirler

Standart olarak  yaygın olan bu  keylogger'in  temizliği yukarıdakigibidir. 

Önemli:  usnscv .exe yerine farklı isimler olabilir. 

Benim analizime göre ismi ne olursa olsun  bu keylogger'ın registry de bulaştığı yerler bellidir. 

Bu gibi durumda  en temiz yöntem Başlat çalıştır regedit ' ten başlangıçta çalışan programları kontrol etmektir başlangıçta da gözükmüyorsa regedit tende tespit edilebilir.

saygılarımla 
invertor

DÃ¼zenleyen invertor - 07-04-2011 Saat 17:03