msnmsgr.exe adı altında bulaşan yeni nesil Keylogger/Trojan'a Dikkat!
Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliği / Computer Security
Forum Adı: Güvenlik Programları, Güvenlik ve Güvenlik açıkları
Forum Tanımlaması: Bilgisayarınızı Her Türlü Saldırılardan Koruyun
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=8793
Tarih: 22-11-2024 Saat 02:19
Konu: msnmsgr.exe adı altında bulaşan yeni nesil Keylogger/Trojan'a Dikkat!
Mesajı Yazan: invertor
Konu: msnmsgr.exe adı altında bulaşan yeni nesil Keylogger/Trojan'a Dikkat!
Mesaj Tarihi: 06-02-2011 Saat 11:31
|
msnmsgr.exe Adı altında bulaşan; Yeni nesil Türk Yapımı Güzel bir Trojan client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki msnmsgr.exe ismini yapımcı veya kullanıcı istediği zaman değişebilmektedir. örnek: aa.exe bb.exe gibi, msnmsgr.exe ismi Trojan clientini oluşturan program ile standart olarak gelmektedir.
Bu makalemde sizlere msnmsgr.exe adı altında bulaşan yeni nesil Keylogger / Trojan'ın tespit ve temizleme yönteminden bahsedeceğim Windows Görev yöneticisi işlemler kısmında gözür fakat görevi sonlandırmak istediğinizde sonlandıramazsınız... Konu ile alakalı hazırlamış olduğum diğer konulara aşağıdaki linkten ulaşabilirsiniz bu konuları da incelemenizi tavsiye ederim.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373
Bu Keyloger / Trojan Bilgisayarınıza bulaşmış ise: Şifrelerinizin ve kişisel bilgilerinizin çalınması ile kullanılır. Aynı zamanda sizin haberiniz olmadan Trojan'ı yayan kişi bilgisayarınızı yönetebilir, kameradan görüntü alabilir, Mikrofondan ortam ses kaydını alabilir... vb işleri sizin haberiniz olmadan yapabilme yetkisine sahiptir Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlarlıya bilir içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında keylogger bulaşmış olur.
Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsettiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür.
Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Bifrose.domp” olarak yakalanmaktadır. Fakat yapımcı tarafından güncellemesi yapıldığı için anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır.
Bazı Keylogger ve Trojan ler Windows Görev Yöneticisi - Çalışan İşlemler kısmında gözükmez. Bunun için windows görev yöneticisi yerine Process explorer programını "Gelişmiş görev yöneticisini" kullanmanızı tavsiye ederim . Affı yoktur gizli olarak çalışan Keylogger veya Trojan varsa Process explorer ile konumunu tespit edip inceleyebilirsiniz.
Process explorer'i aşağıdaki linkten indirebilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860
Process explorer Hakkında:
Process explorer programını çalıştırarak sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.
Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz.
Not : Bazı Trojan ve Keylogger lar sonlanmaz msnmsgr.exe de bunlardan biridir ama sıkmayın canınızı yazının devamında bu engeli nasıl aşacağınız mevcuttur
msnmsgr.exe adı altında bulaşan bu Trojan eğer pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak tespit edip temizleye bilirsiniz. Bizzat tarafımdan test edilmiştir. Bazılarınız diye bilir msnmsgr.exe Windows Live Messenger Dosyası değilmidir diye çoklu msn kullanıyorsak görev yöneticisinde birkaç tane gözükebilir diye. Evet normalde Windows Live Messenger dosyasıdır ve C:\Program Files\Windows Live\Messenger\ konumunda msnmsgr.exe olarak bulunur. Fakat bizim bu konuda bahsettiğimizin onunla alakası yoktur.
Peki nasıl anlayacağız msnmsgr.exe nin zararlı bir yazılım olduğunu Windows görev yöneticisinden tespit etmek zor olduğu için Processexplorer programı ile çalışan tüm işlemleri kontrol etmenizi tavsiye ederim.
Processexplorer dan çalışan işlemleri kontrol ederken system değil explorer.exe altında çalışan işlemleri inceleyiniz;
 Görüldüğü üzere C:\windows klasörüne msnmsgr.exe adında bulaşmış bu exe dosyasını buradan sonlandıramazsınız siz sonlandırdıkça tekrar geri gelir Bunun için aşağıda anlatılan admıları dikkatlice uygulayınız.
Bulaştığı zaman
Xp, Windows 7 ve Vista da Standart olarak c:\windows klasörü içerisine msnmsgr.exe olarak bulaşır. Siz Windows klasörünün içeriğini görmeyin diye Windows klasörünü gizler Dikkat: msnmsgr.exe yi procces explorer ile görebilirsiniz fakat sonlandıramazsınız siz sonlandırdıkça o çalışır. Bundan dolayı geri kalan işlemleri işletim sistemini güvenli modda açıp devam edeceğiz.
Xp Windows 7 ve Vista işletim sistemlerinden Temizleme Öncelikle işletim sisteminizi güvenli modda açınız. Proccess explorer programı yardımı ile msnmsgr.exe çalışıyorsa "Güvenli modda Genelde çalışır vaziyettedir " sonlandırın. c:\windows klasörü gözükmüyorsa Gizli dosya ve klasörler seçeneğini aktif hale getirin. "Kısa yoldan çalıştıra c:\windows yazıp c:\windows klasörü içeriğinede ulaşabilirsiniz" Sonra c:\windows klasörü içerisinde bulunan msnmsgr.exe dosyasını silin.
Sonra başlat çalıştıra regedit yazıp registry kayıt defterini açın. *************************************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run da bulunan Bu değeri silin Windows Live C:\Windows\mstwain32.exe
Sonra HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon da bulunan Userinit anahtarı aşağıdaki gibi ise Userinit C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\msnmsgr.exe Bu şekil değiştirin
Sonra Çalıştıra aşağıdaki kodu yazıp çalıştırın
%HOMEDRIVE%\WINDOWS\system32\drivers\etc\hosts
Birilikte aç ekranı gelecektir not defterini seçip açın
varsa içerisinde de bulunan sharpn3ss.no-ip.com 1604 satırını silin
Bu satır farklıda olabilir.
Peki nasıl anlarız derseniz önünde 127.0.0.1 yoksa veya herhangi bir ip numarası yoksa veya bilinmeyen bir site ise o satırları silebilirsiniz.
işlem bittikten sonra açmış olduğunuz hosts dosyasını kapatın gelen uyarıya evet diyin.
Bu işlem isteğe bağlıdır. Güvenlik merkezi uyarıları ile alakalıdır Bahsettiğimiz Trojan bulaştığında bu ayarları da değiştirmektedir HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center da bulunan değerleri inceleyiniz  Sizdeki değerler farklı olabilir fakat kırmızı ile işaretlemiş olduğum alandaki AntiVirusDisableNotify ve UpdatesDisableNotify Değeri varsa silin.
Dikkat: Silin dediğim AntiVirusDisableNotify ve UpdatesDisableNotify değerlerin türü resimde de görüldüğü üzere REG_SZ dir bu değerler Trojan ile beraber gelmektedir yanlış anlaşılma olmasın... *************************************************************************
Bu işlemleri yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den C:\WINDOWS\msnmsgr.exe 'yi aratın varsa ilgili girdi değeri sadece C:\WINDOWS\msnmsgr.exe yi içeriyorsa silin eğer ilgili girdi de çift değer mevcutsa değer kısmından sadece C:\WINDOWS\msnmsgr.exe kısmını silin. Arama işlemine devam edin birşey bulunmuyorsa Trojan temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Not: Tespit için dilerseniz hazırlamış olduğumuz Yeni Nesil Keyloger Tespit Etme Sistemi Programını kullanabilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111 Saygılarımla
invertor -------------  http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Cevaplar:
Mesajı Yazan: wolf
Mesaj Tarihi: 06-02-2011 Saat 16:14
| Ellerine sağlık invertor. Birçoğumuz temizleme yolunu bilmediğimizden PC'ye format atmak zorunda kalıyor. Çok yardımcı oldu.. |
Mesajı Yazan: chakkal
Mesaj Tarihi: 06-02-2011 Saat 22:37
|
bunlardan bulasmayan pc yoktur bence (: ------------- chakkal |