svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında:
svchost.exe Yeni nesil Turk Yapımı Guzel bir Keyloger client'i dir. Ticari amaclı yapılmıştır ve kotu amaclarda kullanılmaktadır. Buradaki svchost.exe ismini yapımcı istediği zaman değişebilmektedir. ornek: aa.exe gibi, svchost.exe adı keyloger clientini oluşturan program ile standart olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin calınması amacı ile kullanılır.
Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz butun kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız butun yazılar, pc nizin ekran goruntusu,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
Client ’i oluşturan kişi dosya ismini istediği gibi değiştire bilir fakat bulaştığında gorev yoneticisi işlemler menusunde svchost.exe olarak gozukur. “Eğer yapımcı standart olan svchost.exe ismini değiştirirse gorev yoneticisinde isim farklı gozuke bilir”
Şimdi diyeceksiniz sistemde bircok svchost.exe calışıyor bunun keyloger olduğunu nasıl anlayacağız.
Hemen acıklık getirelim;
Orneğin; Oturum acma adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.
Bu keyloger kendi kendine bulaşmaz bulaşması icin svchost.exe dosyasının calıştırılması gerekir Dosya adındaki svchost kısmının değişik olabileceğini daha onceden belirtmiştik.
Dosyanın simgesi farklı olabilir basit bir ornek verecek olursak gonderen kişi dosyanın simgesini "mp3" muzik dosyası gibi ayarlarlıyabilir icine de bir muzik dosyası gomup bulaştırmak istediği kişiye gonderir ve dosyayı alan kişi muzik dinlemek icin o dosyayı calıştırdığında keyloger bulaşmış olur.
Not: Bu tur durumlarda şuphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim ornekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın icerisine gomulmuştur.
Anti virus yazılımlarına yakalanmamaktadır son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Eğer yapımcı tarafından keyloger ’in guncellemesi yapılırsa anti virus yazılımlarına yakalanmama ihtimali yuksektir. Şuan itibari ile anti virus yazılımlarına yakalanmamaktadır.
svchost.exe adı altında bulaşan keyloger Pc nize bulaşmış ise aşağıda bahsettiğim yontemi kullanarak temizleye bilirsiniz. Keyloger bizzat tarafımdan test edilmiştir.
Bulaştığı zaman
Vindows işletim sistemlerine bulaşır...
Standart olarak : Xp' de C
ocuments and Settingssizin otorum acma adınızApplication Data icerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır.Vista' daC:Userssizin otorum acma adınızAppDataRoaming icerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır.
Windows 7' de C:Userssizin otorum acma adınızAppDataRoaming icerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır.
Not: Gizli dosya ve klasorler seceneğini aktif hale getirmeden belirtilen dizini goremezsiniz.
Xp işletim sisteminden Temizlemek icin;
Gizli dosya ve klasorler seceneğini aktif hale getirin
CTRL+ALT+DEL Tuşlarına basarak gorev yoneticisini acın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum acma adınız yazıyorsa o svchost.exe işlemini sonlandırın
C
ocuments and Settingssizin otorum acma adınızApplication Data klasorunu acıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silinAkabinde;
Başlat-calışr'a regedit yazıp Kayıt defteri duzenleyicisini acın ve aşağıdaki işlemleri yapın.
************************************************** *********
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun
Bu değeri silin
svchost "C
ocuments and Settings sizin otorum acma adınız Application Datasvchost.exe"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Bu değeri
Shell explorer.exe "C
ocuments and Settings sizin otorum acma adınız Application Datasvchost.exe"Bu şekil değiştirin
Shell Explorer.exe
************************************************** *********
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShell NoRoamMUICache
C
ocuments and Settingssizin otorum acma adınız Application DataSCVHOST.EXE SCVHOST HKEY_CURRENT_USERSoftwareMicrosoftWindowsShell NoRoamMUICache
C
ocuments and Settingssizin otorum acma adınız Application Datasvchost.exe svchost Vista işletim sisteminden Temizlemek icin;
Gizli dosya ve klasorler seceneğini aktif hale getirin
Gizli dosyaları ve klasorleri goruntulemek icin aşağıdaki adımları izleyin.
1. Başlat duğmesi , Denetim Masası, Gorunum ve Kişiselleştirme ve ardından Klasor Secenekleri'ni tıklatarak Klasor Secenekleri'ni acın.
2. Gorunum sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya ve klasorleri goster'i ve ardından Tamam'ı tıklatın.
CTRL+ALT+DEL Tuşlarına basarak gorev yoneticisi başlatın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum acma adınız yazıyorsa o svchost.exe işlemini sonlandırın
C:Userssizin otorum acma adınızAppDataRoaming klasorunu acıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin
Akabinde;
Başlat-calışr'a regedit yazıp Kayıt defteri duzenleyicisini acın ve aşağıdaki işlemleri yapın.
************************************************** *********
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun
Bu değeri silin
svchost "C:Userssizin otorum acma adınızAppDataRoamingsvchost.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Bu değeri
Shell explorer.exe "C:Userssizin otorum acma adınızAppDataRoamingsvchost.exe"
Bu şekil değiştirin
Shell explorer.exe
************************************************** *********
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CLASSES_ROOTLocal SettingsSoftwareMicrosoftWindowsShellMuiCache
C:Userssizin otorum acma adınızAppDataRoamingSCVHOST.EXE SCVHOST
HKEY_CLASSES_ROOTLocal SettingsSoftwareMicrosoftWindowsShellMuiCache
C:Userssizin otorum acma adınızAppDataRoamingsvchost.exe svchost
Bunları yaptıktan sonra; Kontrol etmek icin Kayıt defteri duzenleyicisin den once SCVHOST:EXE yi aratın daha sonra Roamingsvchost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.