isass.exe adı ile gizlenen yeni nesil keyloger Hakkında:
isass.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki isass.exe ismini yapımcı veya kullanıcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, isass.exe adı keyloger clientini oluşturan program ile standart olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.
Daha önce standart olarak svchost.exe, SVCHOST.EXE, rundll.exe, taskmgr.exe, msnmsgr.exe, dllhost.exe,spoolsv.exe adı altında bulaşan dosyaların temizleme yönteminini aşağıdaki adreste açıklamıştık.
Aşağıdaki adresten ulaşabilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373
Şimdi ise standart olarak isass.exe adı altında gizlenip çalışan bu keyloger'ın temizleme yöntemini anlatacağım.
Şuan standart olarak isass.exe adı altında bulaşmaktadır.
Bulaştığı yerler ve temizleme yöntemi burda anlatıldığı gibidir.
Eğer pc nize bulaşmış ise ;
1: Bulaştığı zaman hemen aktif olur görev yöneticisinde gözükür.
Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez.
Fakat Pc nizi aç kapa yaptıktan sonra veya herhangi bir programı açmanız ile aktif hale gelip Görev yöneticisinde gözükür bu andan itibaren Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
Şimdi diyeceksiniz isass.exe sistem dosyası değilmidir.
Evet bir sistem dosyasıdır. C:\WINDOWS\system32\ dizininde lsass.exe olarak çalışır
Ozaman Sistemde çalışan isass.exe nin keyloger olup olmadığını nasıl anlayacağız.
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın
isass.exe SYSTEM adı altında çalışıyorsa sorun yok
Fakat
Kırmızı ile işzretlemiş olduğum yere dikkat edin isass.exe Kullanıcı adınız ile devamlı çalışır vaziyette ise; Görüldüğü gibi bilgisayarınıza keyloger bulaşmış demektir
Yukarıdaki
Dosya konumundanda bunu tesbit edebilirsiniz. Yukarıda görüldüğü üzere bulaşmış
Process explorer programını "Gelişmiş görevyöneticisi" kullanmanızı tavsiye ederim.
Burdan indirebilirsiniz.
http://www.bilgineferi.com/forum/url.asp?url=http://www.bilgineferi.com/forum/url.asp?url=http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860
Process explorer programını çalıştırarak sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.
Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz.
**************************************************
Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlarlıyabilir içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında keyloger bulaşmış olur.
Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür.
Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Fakat yapımcı tarafından keyloger’in güncellemesi yapıldığı için anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır.
isass.exe adı altında bulaşan bu keyloger eğer pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger bizzat tarafımdan test edilmiştir.
Dikkat :
Son zamanlarda farklı isimlerde bulaştığını tesbit ettik
Bunun üzerine Yeni Nesil Keyloger Tespit Etme Sistemi v1.8 programını hazırladık isteyen bunu da kullanabilir.
Gerekli açıklamalar içerisinde mevcuttur.
Buradan indirebilirsiniz sadece tespit için kullanılır.
http://www.bilgineferi.com/forum/url.asp?url=http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742
Manuel olarak İsim ve Konum Tespiti Yamak için:
1. Yöntem Pek tavsiye etmem kişi gizlemişse burdan gözükmeyebilir
Başlat - Çalıştır'a msconfig yazıp açılan ekrandan başlangıca gelin
"Buradan bilgisayar açıldıgında başlangıçta çalıştırılan programları kontrol edebilir şüphelendiğiniz programları devre dışı bırakabilirsiniz."
Başlangıçta çalışan programları Kontrol edin;
Xp için C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörü içerisisinde,
Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming
içerisinde çalışan işlem varsa orda bulunan isimden keylogerin ismini tesbit edebilirsiniz.
Örnek:
C:\Documents and Settings\sizin otorum açma adınız\Application Data\xxx.exe
Keylogerin ismi xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.
2.Yöntem Tavsiye ederim
Processexplorer ile çalışan tüm işlemleri kontrol etmenizi tavsiye ederiz.
Processexplorer dan çalışan işlemleri kontrol ederken;
Xp için; C:\Documents and Settings\sizin otorum açma adınız\Application Data
Güncel
C:\Documents and Settings\sizin otorum açma adınız\Application Data\Mİcrosoft
Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming klasörü içerisinde çalışan programa rastlarsanız o keylogerdir.
Güncel
C:\Users\sizin otorum açma adınız\AppData\Roaming\Microsoft klasörü içerisinde çalışan programa rastlarsanız o keylogerdir.
3. Yöntem
Bahsettiğimiz bu keyloger'in başlangıçta çalışan programlar arasında gizlenme özelliği olduğundan böyle bir durum söz konusu ise Keylogerin adını ve konumunu tesbit etmek için;
Registry den
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Da bulunan shell değerini kontrol edin.
Örnek:
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir.
Eğer shell değeri bu şekil ise
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\xxx.exe"
Keylogerin ismi: xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.
Bahsettiğimiz bu keyloger'in sisteminize farklı isimde bulaştığını tesbit ettiyseniz;
Temizleme işlemi burda anlattığımız gibi geçerlidir yani aşağıdaki anlatımlarda bulunan isass.exe yerine tesbit ettiğiniz dosya ismini baza alarak temizleme işlemini yapacaksınız .
**************************** Bulaştığı zaman
Vindows işletim sistemlerine bulaşır...
Bulaşan bu keyloger kendine ait dosyaları aşağıdaki klasörlerden birine kopyalıyabilir;
C:\Documents and Settings\sizin otorum açma adınız\Application Data C:\Users\sizin otorum açma adınız\AppData\Roaming
C:\WINDOWS\system C:\WINDOWS C:\Documents and Settings\Kullanıcı adınız\temp C:\Program Files c:\winnt\profiles\username\start menu\programs\startup
Standart olarak :
Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine isass.exe, pagefile.dat, ntldr.dll olarak 3 dosya şeklinde bulaşır.
********************************************
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine isass.exe, pagefile.dat, ntldr.dll olarak 3 dosya şeklinde bulaşır.
********************************************
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine isass.exe, pagefile.dat, ntldr.dll olarak 3 dosya şeklinde bulaşır.
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.
********************************************
---------------------------------------------------------------------------------------------
Teknik bir detay: (Keyloger'i Bulaştıran kişinin kullanıcı adını bulma)
Aşağıdaki konudan gerekli içeriğe ulaşabilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005
----------------------------------------------------------------------------------------------
İşletim sisteminden Bulaşan Keyloggeri Temizlemek için
Aşağıda örnek temizleme yöntemleri anlatılmıştır sisteminize bu isimler harici farklı isimlerde bahsettiğimiz yeni nesil keyloger dan bulaşmış ise temizleme yöntemi yine aynıdır sadece keyloger isimleri farklıdır.
Xp işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden
isass.exe işlemini sonlandırın
sonra
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp isass.exe, pagefile.dat, ntldr.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
lsass "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\isass.exe"
Güncel
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Bu değeri silin
isass.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\isass.exe"
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Eğer Böyle bir kayıt var ise Bu değeri de Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\isass.exe"
Bu şekil değiştirin
Shell Explorer.exe
***********************************************************
Bunları yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den Application Data\isass.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keylogger temizlenmiş demektir.
Güncel
Bunları yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den Application Data\Microsoft\isass.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keylogger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Vista işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın. 2. Görünüm sekmesini tıklatın. 3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler menusunden
isass.exe işlemini sonlandırın
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp isass.exe, pagefile.dat, ntldr.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Kaynak: http://www.bilgineferi.com/forum/forum_posts.asp?TID=8638
Bu değeri silin
lsass "C:\Users\sizin otorum açma adınız\AppData\Roaming\isass.exe"
Güncel
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Bu değeri silin
isass.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\isass.exe"
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Eğer Böyle bir kayıt var ise Bu değeri de
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\isass .exe"
Bu şekil değiştirin
Shell explorer.exe
***********************************************************
Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den Roaming\isass.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Güncel
Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den Roaming\Microsoft\isass.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Windows 7 işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın. 2. Görünüm sekmesini tıklatın. 3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler menusunden
isass.exe işlemini sonlandırın
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp isass.exe, pagefile.dat, ntldr.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Kaynak: http://www.bilgineferi.com/forum/forum_posts.asp?TID=8638
Bu değeri silin
lsass "C:\Users\sizin otorum açma adınız\AppData\Roaming\isass.exe"
Güncel
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Bu değeri silin
isass.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\isass.exe"
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Eğer Böyle bir kayıt var ise Bu değeri de
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\isass .exe"
Bu şekil değiştirin
Shell explorer.exe
***********************************************************
Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den Roaming\isass.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Yapamayanlar Xp , VİSTA ve Windows 7 den temizlemek için hazırlamış olduğum bu temsili videoyu örnek alarak temizleyebilirler
Standart olarak yaygın olan bu keylogger'in temizliği yukarıdakigibidir.
Önemli: isass .exe yerine farklı isimler olabilir.
Benim analizime göre ismi ne olursa olsun bu keylogger'ın registry de bulaştığı yerler bellidir.
Bu gibi durumda en temiz yöntem Başlat çalıştır regedit ' ten başlangıçta çalışan programları kontrol etmektir.
Konu hakkındaki yorumlarınızı beklerim
Not: Keyloggerin yeni versiyonunun msconfig te gözükmediğini tespit ettik Bu gibi durumlarda
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run anahtarı altında çalışan değerleri inceleyiniz.
Not: Keyloggerin yeni versiyonunun Application Data\ yerine Application Data\Microsoft klasörüne bulaştığını tespit ettik Bu gibi durumlarda
KOnum tespiti için Procces Exlorer programı ile bilgisayarınızda çalışan programları incelemenizi tavsiye ederim
Not: Yeni versiyon registry de farklı isimlerde mevcuttur önce yukarıdaki işlemleri yapın sonra registry den Application Data\Microsoft\isass.exe aratın bulduğunuz kayıtları silin
Saygılarımla
------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|