Char Güvenliği için svchost.exe (Dikkat)

svchost.exe adı ile gizlenen yeni nesil
keyloger'a dikkat

svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında:

svchost.exe Yeni nesil Türk Yapımı Güzel bir
Keyloger client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda
kullanılmaktadır. Buradaki svchost.exe ismini yapımcı istediği zaman
değişebilmektedir. örnek: aa.exe gibi, svchost.exe adı keyloger
clientini oluşturan program ile standart olarak gelmektedir.

Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı
ile kullanılır.

Eğer pc nize bulaşmış ise ; Pc nizde girmiş
olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve
şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar,
pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman
aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.

Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir fakat
bulaştığında görev yöneticisi işlemler menusunde svchost.exe olarak
gözükür. “Eğer yapımcı standart olan svchost.exe ismini değiştirirse
görev yöneticisinde isim farklı gözüke bilir”

Şimdi diyeceksiniz sistemde birçok
svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız.

Hemen açıklık getirelim;



Svchost.exe ler oturum açma adınız ile çalışmazlar
eğer aşağıdaki gibi çalışıyorsa;



Örneğin; Oturum açma
adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında
xxx yazıyorsa pc nize keyloger bulaşmış demektir.


Bu keyloger kendi kendine bulaşmaz bulaşması için svchost.exe dosyasının
çalıştırılması gerekir Dosya adındaki svchost kısmının değişik
olabileceğini daha önceden belirtmiştik.

Dosyanın simgesi farklı olabilir basit bir örnek verecek
olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi
ayarlarlıyabilir içine de bir müzik dosyası gömüp bulaştırmak istediği
kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı
çalıştırdığında keyloger bulaşmış olur.

Not: Bu tür durumlarda şüphe duyuyorsanız dosya
uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının
uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine
gömülmüştür.

Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky
internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak
yakalanmaktadır. Eğer yapımcı tarafından keyloger’in güncellemesi
yapılırsa anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına
yakalanmamaktadır.


svchost.exe adı altında bulaşan keyloger Pc
nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye
bilirsiniz. Keyloger bizzat tarafımdan test edilmiştir.

Bulaştığı zaman
Vindows işletim sistemlerine bulaşır...

Standart olarak : Xp' de C:\Documents
and Settings\sizin otorum açma adınız\Application Data içerisine
svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde
bulaşır.

Vista' daC:\Users\sizin otorum açma
adınız\AppData\Roaming içerisine svchost.exe, SCVHOST.exe, ntlog.sys,
ntsys.dll olarak 4 dosya şeklinde bulaşır.

Windows 7' de C:\Users\sizin otorum açma
adınız\AppData\Roaming içerisine svchost.exe, SCVHOST.exe, ntlog.sys,
ntsys.dll olarak 4 dosya şeklinde bulaşır.


Not: Gizli dosya ve klasörler seçeneğini aktif
hale getirmeden belirtilen dizini göremezsiniz.

Xp işletim sisteminden Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin


CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler
menusunden

svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma
adınız yazıyorsa o svchost.exe işlemini sonlandırın

C:\Documents and Settings\sizin otorum açma adınız\Application Data
klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını
silin



Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve
aşağıdaki işlemleri yapın.

**************************************************
*********

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

Bu değeri silin
svchost "C:\Documents and Settings\ sizin otorum açma adınız
\Application Data\svchost.exe"


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bu değeri
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma
adınız \Application Data\svchost.exe"

Bu şekil değiştirin
Shell Explorer.exe

**************************************************
*********

Daha sonra var ise aşagıdaki kayıtlarıda siliniz.


HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell
NoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application
Data\SCVHOST.EXE SCVHOST

HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application
Data\svchost.exe svchost

Vista işletim sisteminden Temizlemek
için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları
izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve
ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve
ardından Tamam'ı tıklatın.


CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler
menusunden


svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma
adınız yazıyorsa o svchost.exe işlemini sonlandırın


C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp
svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin



Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve
aşağıdaki işlemleri yapın.

**************************************************
*********

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

Bu değeri silin
svchost "C:\Users\sizin otorum açma
adınız\AppData\Roaming\svchost.exe"



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Bu değeri
Shell explorer.exe "C:\Users\sizin otorum açma
adınız\AppData\Roaming\svchost.exe"

Bu şekil değiştirin
Shell explorer.exe

**************************************************
*********

Daha sonra var ise aşagıdaki kayıtlarıda siliniz.

HKEY_CLASSES_ROOT\Local
Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\SCVHOST.EXE
SCVHOST


HKEY_CLASSES_ROOT\Local
Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe
svchost



Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den
önce SCVHOST:EXE yi aratın daha sonra Roaming\svchost.exe 'yi aratın
eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa
keyloger temizlenmiş demektir.



Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi
sorunsuz kullanabilirsiniz.