svchost.exe (Dikkat)

invertor · Mesaj gönderen **invertor** » Cmt May 09, 2009 8:39 am

svchost.exe adı ile gizlenen yeni nesil keyloger'a dikkat

En güncel temizleme yöntemleri konunun sonuna eklenecektir

svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında:

svchost.exe Yeni nesil Türk Yapımı   Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki svchost.exe ismini   yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, svchost.exe adı keyloger clientini oluşturan program ile standart olarak gelmektedir.

Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.

Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu adrese yollamaktadır.

Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir fakat bulaştığında   görev yöneticisi işlemler menusunde svchost.exe olarak gözükür. “Eğer yapımcı standart olan svchost.exe ismini değiştirirse görev yöneticisinde isim farklı gözüke bilir”

Şimdi diyeceksiniz   sistemde birçok svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız.

Hemen açıklık getirelim;

http://www.bilgineferi.com/forum/uploads/20090705_030325_1_copyedited.JPG


Svchost.exe ler oturum açma adınız ile çalışmazlar eğer aşağıdaki gibi çalışıyorsa;

http://www.bilgineferi.com/forum/uploads/20090705_030354_2_copyedited.JPG

Örneğin; Oturum açma adınız xxx ise   svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.

Bu keyloger kendi kendine bulaşmaz bulaşması için   svchost.exe dosyasının çalıştırılması gerekir Dosya adındaki svchost kısmının değişik olabileceğini daha önceden belirtmiştik.

Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlarlıyabilir içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve   dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında   keyloger bulaşmış olur.

Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür.

Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Eğer yapımcı tarafından keyloger’in güncellemesi yapılırsa anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır.

svchost.exe adı altında bulaşan keyloger Pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger bizzat tarafımdan test edilmiştir.

Bulaştığı zaman

Vindows işletim sistemlerine bulaşır...

Standart olarak : Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine svchost.exe, SCVHOST.exe,  ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır.

Güncel

Şuanki Güncellenmiş halinde 2 şekilde bulaşır

1: Bulaştığı andan itibaren aktif olur



C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine SVCHOT.EXE,  ntlog.sys, NTCOM.DLL

S3Z3R · Mesaj gönderen **S3Z3R** » Cmt May 09, 2009 9:02 am

İyi bir çalışma yapmışsın yine :)

Eline sağlık .......

dimenor55 · Mesaj gönderen **dimenor55** » Cmt May 09, 2009 12:52 pm

teşekkürler...

DirtyNigga · Mesaj gönderen **DirtyNigga** » Cmt May 09, 2009 3:30 pm

Çok teşekkürler bu bilgi için. Fakat benim görev yöneticisinde Kullanıcı Adı bölümünde hiçbirşey yazmıyor.
Sadece "Sistem Boşta İşlemi" SYSTEM adlı kullanıcı adı altında çalışıyor. Diğer çalışan bütün uygulamaların Kullancı Adı bölümleri boş. Bu sorun için bir çözüm var mıdır acaba ?

ayhanaz · Mesaj gönderen **ayhanaz** » Pzt May 11, 2009 6:52 am

UYARINIZ İÇİN ÇOK TEŞEKKÜRLER SİZİ SAYGIYLA İZLEMEYE VE PROBLEMLERİMİ SİTENİZDEN GÜVENLE ÇÖZMEYE DEVAM EDİYORUM TEŞEKKÜRLER

S3Z3R · Mesaj gönderen **S3Z3R** » Pzt May 11, 2009 7:42 am

Bilgineferi farkı bu olsa gerek. Her zaman bizi takip etmeye devam edin...

kral · Mesaj gönderen **kral** » Cmt Haz 27, 2009 8:28 am

Konu için teşekkürler invertor

[QUOTE=DirtyNigga]Çok teşekkürler bu bilgi için. Fakat benim görev yöneticisinde Kullanıcı Adı bölümünde hiçbirşey yazmıyor.
Sadece "Sistem Boşta İşlemi" SYSTEM adlı kullanıcı adı altında çalışıyor. Diğer çalışan bütün uygulamaların Kullancı Adı bölümleri boş. Bu sorun için bir çözüm var mıdır acaba ?
[/QUOTE]

Konu hakkında sizin ve diğer kullanıcılar için hazırlamış olduğum Aşağıdaki konuyu inceleyiniz.

http://www.bilgineferi.com/forum/forum_posts.asp?TID=7799&PN=1

invertor · Mesaj gönderen **invertor** » Pzr Tem 19, 2009 3:47 pm

windovs 7 için temizleme yöntemi + video eklenmiştir.

S3Z3R · Mesaj gönderen **S3Z3R** » Pzt Tem 20, 2009 2:37 am

İnvertor Türkiyede bir ilk svchost.exe windows 7 için anlatım ve video

Çalışmaların tüm forumlara kaynak durumda.

invertor · Mesaj gönderen **invertor** » Cmt Tem 25, 2009 6:05 am

Güncelleme eklenmiştir

Standart olarak yaygın olan bu keylogger'in temizliği yukarıdakigibidir.

Önemli: En kötü ihtimal Eğer yapımcı standart olan svchost.exe ismini değiştirirse svchost exe yerine farklı isimler olabilir.

Benim analizime göre ismi ne olursa olsun bu keylogger'ın registry de bulaştığı yerler bellidir.

Bu gibi durumda tesbiti yukarıda anlatılmıştır

[QUOTE=S3Z3R]İnvertor Türkiyede bir ilk svchost.exe windows 7 için anlatım ve video

Çalışmaların tüm forumlara kaynak durumda.
[/QUOTE]

Teşekkürler S3Z3R standart olarak svchost.exe adı altında bulaşan bu keyloggerin ilk anlatımı sanırım bilgineferi.com' a ait.

Konuyu paylaşanlar kaynağı eklerseler devamlı güncel temizleme yöntemi ile irtibatta olur.

Kaynak göstermeleri güzel birşey

Saygılarımla
invertor2009-07-25 06:07:26