Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Trojan ve Virüsler

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.





svchost.exe keyloggerla yapılan trojan virüsü

Trojan ve Virüsler

Yeni Konu aç Cevapla
 
Seçenekler
Alt 29-06-2012 18:10   #1
  • Teğmen
  • Üye Bilgileri
Üyelik tarihi
06/2012
Nereden
Elbistan
Yaş
21
Mesajlar
Konular

Teşekkür (Etti): 53
Teşekkür (Aldı): 25


Exclamation svchost.exe keyloggerla yapılan trojan virüsü



Bu konu daha önce açılmışsa kusuruma bakmayın...

svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında:

svchost.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki svchost.exe ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, svchost.exe adı keyloger clientini oluşturan program ile standart olarak gelmektedir.

Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.

Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.

Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir fakat bulaştığında görev yöneticisi işlemler menusunde svchost.exe olarak gözükür. “Eğer yapımcı standart olan svchost.exe ismini değiştirirse görev yöneticisinde isim farklı gözüke bilir”

Şimdi diyeceksiniz sistemde birçok svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız.

Hemen açıklık getirelim;

Svchost.exe ler oturum açma adınız ile çalışmazlar eğer aşağıdaki gibi çalışıyorsa;

Örneğin; Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.
Her pc de svchost.exe bulunur yalnız karşısında Local Service SYSTEM Network Service yazıyorsa onların virüsle alakası yoktur.Eğer oturum açma adınız yazıyorsa o zaman virüs demektir.


Bu keyloger kendi kendine bulaşmaz bulaşması için svchost.exe dosyasının çalıştırılması gerekir Dosya adındaki svchost kısmının değişik olabileceğini daha önceden belirtmiştik.

Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlarlıyabilir içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında keyloger bulaşmış olur.

Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür.

Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Eğer yapımcı tarafından keyloger’in güncellemesi yapılırsa anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır.


svchost.exe adı altında bulaşan keyloger Pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger bizzat tarafımdan test edilmiştir.

Bulaştığı zaman
Vindows işletim sistemlerine bulaşır...

Standart olarak : Xp' de C:\********s and Settings\sizin otorum açma adınız\Application Data içerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır.

Vista' daC:\Users\sizin otorum açma adınız\AppData\Roaming içerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır.

Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır.


Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.

Xp işletim sisteminden Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin


CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden

svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın

C:\********s and Settings\sizin otorum açma adınız\Application Data klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin



Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.

****************************** ******************** *********

HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Curre ntVersion\Run

Bu değeri silin
svchost "C:\********s and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"


HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon
Bu değeri
Shell explorer.exe "C:\********s and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"

Bu şekil değiştirin
Shell Explorer.exe

****************************** ******************** *********

Daha sonra var ise aşagıdaki kayıtlarıda siliniz.


HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Shell NoRoam\MUICache
C:\********s and Settings\sizin otorum açma adınız \Application Data\SCVHOST.EXE SCVHOST

HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Shell NoRoam\MUICache
C:\********s and Settings\sizin otorum açma adınız \Application Data\svchost.exe svchost

Vista işletim sisteminden Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.


CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler menusunden


svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın


C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin



Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.

****************************** ******************** *********

HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Curre ntVersion\Run

Bu değeri silin
svchost "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost .exe"



HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon

Bu değeri
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost .exe"

Bu şekil değiştirin
Shell explorer.exe

****************************** ******************** *********

Daha sonra var ise aşagıdaki kayıtlarıda siliniz.

HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Wi ndows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\SCVHOST .EXE SCVHOST


HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Wi ndows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost .exe svchost



Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den önce SCVHOST:EXE yi aratın daha sonra Roaming\svchost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.



Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.

Windows 7 işletim sisteminden Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.


CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler menusunden


svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın


C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin



Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.

****************************** ******************** *********

HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Curre ntVersion\Run

Bu değeri silin
svchost "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost .exe"



HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon

Bu değeri
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost .exe"

Bu şekil değiştirin
Shell explorer.exe

****************************** ******************** *********



Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den önce SCVHOST:EXE yi aratın daha sonra Roaming\svchost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.



Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.

****************************** ******************** *********

Standart olarak yaygın olan bu keylogger'in temizliği yukarıdakigibidir.


Önemli: En kötü ihtimal Eğer yapımcı standart olan svchost.exe ismini değiştirirse svchost exe yerine farklı isimler olabilir.

Benim analizime göre ismi ne olursa olsun bu keylogger'ın registry de bulaştığı yerler bellidir.

Bu gibi durumda en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.


Tesbit için:

Farklı isimlerde bulaştığını varsayarsak izlenmeniz gereken yol ilk etapta shell değeridir.

HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon

standart olarak shell değeri

Shell explorer.exe dir ve değerin standart olması gerekir.

Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.

Örnek verecek olursak ;

Shell explorer.exe "C:\********s and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun

Yukarıdaki değeri

Shell explorer.exe olarak değiştirmeniz gerekir + Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.


Not
HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Curre ntVersion\Run da bulunan değerleride kontrol etmekte fayda vardır bu noktayıda atlamamak gerekir.
-------ALINTI-------



___________________________________________

Nasıl ki kıyamet kopana kadar İSLAMİYET var olacaksa TURAN'a kadarda ''BİZ'' (...) var olacağız...!

 Offline  
 
Alıntı ile Cevapla
Alt 29-06-2012 18:41   #2
  • Asteğmen
  • Üye Bilgileri
Üyelik tarihi
05/2012
Nereden
niğde
Mesajlar
Konular
1

Teşekkür (Etti): 3
Teşekkür (Aldı): 2




Güncel//



___________________________________________

HACKERLIĞA GİDEN YOL EMEKTEN GEÇER

 Offline  
 
Alıntı ile Cevapla
Alt 01-07-2012 08:38   #3
  • Forumdan Uzaklaştırıldı
  • Üye Bilgileri
Üyelik tarihi
06/2012
Mesajlar
Konular

Teşekkür (Etti): 30
Teşekkür (Aldı): 20




Teşekkürler
 Offline  
 
Alıntı ile Cevapla
Alt 02-07-2012 14:46   #4
  • Teğmen
  • Üye Bilgileri
Üyelik tarihi
06/2012
Nereden
Elbistan
Yaş
21
Mesajlar
Konular

Teşekkür (Etti): 53
Teşekkür (Aldı): 25




önemli değil...



___________________________________________

Nasıl ki kıyamet kopana kadar İSLAMİYET var olacaksa TURAN'a kadarda ''BİZ'' (...) var olacağız...!

 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau