Virus sildim makinamdan! | Kategori:Güvenlik Yazlma: 07.02.2007 | Okunma: 2504 | Yorumlanma: 0 Virus demekte çok doðru deðil, henüz tanýmlanmamýþ bir "trojen loader"mýþ kendileri. Birkaç haftadýr makinamdaki yavaþlýk ve XP'yi kapatmak istediðim zaman smss.exe sonlandýrýlamýyor uyarýsý yüzünden küçük bir araþtýrma yaptým ve bu smss.exe'nin aslýnda bir trojen olduðunu öðrenir öðrenmez vurdum kellesini. Ýbret olsun diyede sallandýrýyorum burda naciz gövdesini. Tavsiyem makinanýzý bir kontrol edin ve Task Manager'inizde çalýþýyor gözüken ikitane smss.exe varsa yazýnýn devamýndaki çözümü uygulayýn. Fakat unutmayýn biri orjinal ve çalýþmasý gereken bir windows uygulamasý ki bu hafýzada 300K civarýnda yer tutuyor diðeri trojen ki buda 7500K civarýnda yer iþgal ediyor. Herkeze kolay gelsin, virüssüz ve trojensiz günler dilerim.
14-12-2006 Tanýmlanmamýþ Trojan Loader
Rastlanma Tarihi: 14-12-2006
Ýlk Çözümleme Tarihi: 14-12-2006
Çözümleme Durumu: Ýlk çözümleme safhasý
Yayýlma yöntemi:
Zararlý dosya kariyer.net'ten gelen sahte bir email yoluya yayýlmaktadýr.
Yakalanan örnek sahte e-mail; "nur_karayel@kariyer.net" adresi ve "selam"
subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna baðlý
88.233.33.192 ip'si ile gonderilmiþtir.
Mail içeriði de þu þekildedir:
"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..
NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)
iyi calismalar dilegiyle.
Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."
cv.exe dosyasý bir antivirus
yazýlýmlarýnýn halen tanýmlayamadýðý bir trojan loader olarak
çalýþmakta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak
tanýmlanan bir dosyayý yüklemektedir.
smss.exe dosyasý keylogger, screen capturer, spyware-trojan loader olarak çalýþmaktadýr.
Ýlk çözümleme:
Cv.exe dosyasý Borland Delphi ile yazýlmýþ ve içerisine yine Borland
Deplhi ile yazýlmýþ smss.exe ve Bitlogic Software firmasý tarafýndan
eðitim amaçlý açýk kaynak kodlu olarak daðýtýlan MouseHook.dll
dosyalarý gizlenmiþtir. Dosya ilk kez çalýþtýrýldýðýnda,
"HKEY_LOCAL_MACHINE\Software" registry key'i altýna "cupra" Key'i ve bu
key'in de altýna "checker" key'ini oluþturmakta ve deðerini de 1 olarak
belirlemektedir. Hemen sonrasýnda, smss.exe ve mousehook.dll
dosyalarýný "c:\windows\driver cache\Winapp\AppData\" klasörü altýna
kopyalamaya çalýþmakta ve kopyalama iþlemi biter bitmez smss.exe'yi
çalýþtýrmaktadýr.
cv.exe dosyasý smss.exe'yi çalýþtýrdýktan hemen sonra
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
registry key'i içerisine "Winloader" isimli key'i oluþturarak deðerini
de "C:\WINDOWS\Driver Cache\Winapp\AppData\smss.exe" olarak
berlirlemektedir.
smss.exe dosyasý tüm tuþ basýmlarýný ve internet explorer üzerindeki
mouse'un sol butonuna basýlma iþlemlerini takip etmektedir.
Bulaþmasýnýn anlaþýlmasý:
- Registry üzerinde oluþturulan kayýtlar izlenerek:
- Dosya sistemi üzerinde oluþturulan dosyalar izlenerek.
Manuel Temizlenmesi
smss.exe isimli windows iþletim sisteminin "Session Manager Subsystem"
olarak adlandýrýlan bir parçasý da vardýr ve bu parça kapatýlmamalýdýr.
Ancak zararlý yazýlým olan smss.exe'si ile kullandýðý bellek miktarý
ile ayrýlabilir. "Session Manager Subsystem" olan smss.exe dosyasý
genellikle 100-300 KB civarýnda hafýza kullanýrken zararlý yazýlým olan
smss.exe çalýþma zamanýna baðlý olarak çok daha fazla miktarda bellek
kullanmaktadýr. Ancak smss.exe ile oluþturulan iþlem
(process) task manager üzerinden kapatýlamamaktadýr. Bu nedenle
temizlemek için öncelikle registry'deki
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
içerisindeki smss.exe deðerli key silinmelidir. Yakalanan örnekte bu
key daima "Winloader" ismindedir. Daha sonra windows restart
edilmeli; ve "c:\windows\driver cache\Winapp\AppData\" klasörü
altýndaki "smss.exe", "MouseHook.dll", varsa "ioerrors.txt", ve "img"
klasörü silinmelidir.
