svchost.exe adı ile gizlenen yeni nesil keyloger'a dikkat svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında: svchost.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki svchost.exe ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, svchost.exe adı keyloger clientini oluşturan program ile standart olarak gelmektedir. Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır. Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır. Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir fakat bulaştığında görev yöneticisi işlemler menusunde svchost.exe olarak gözükür. “Eğer yapımcı standart olan svchost.exe ismini değiştirirse görev yöneticisinde isim farklı gözüke bilir” Şimdi diyeceksiniz sistemde birçok svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız. Hemen açıklık getirelim; Svchost.exe ler oturum açma adınız ile çalışmazlar eğer aşağıdaki gibi çalışıyorsa; Örneğin; Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir. Bu keyloger kendi kendine bulaşmaz bulaşması için svchost.exe dosyasının çalıştırılması gerekir Dosya adındaki svchost kısmının değişik olabileceğini daha önceden belirtmiştik. Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlarlıyabilir içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında keyloger bulaşmış olur. Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür. Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Eğer yapımcı tarafından keyloger’in güncellemesi yapılırsa anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır. svchost.exe adı altında bulaşan keyloger Pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger bizzat tarafımdan test edilmiştir. Bulaştığı zaman Vindows işletim sistemlerine bulaşır... Standart olarak : Xp' de C:Documents and Settingssizin otorum açma adınızApplication Data içerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır. Vista' daC:Userssizin otorum açma adınızAppDataRoaming içerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır. Windows 7' de C:Userssizin otorum açma adınızAppDataRoaming içerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır. Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz. Xp işletim sisteminden Temizlemek için; Gizli dosya ve klasörler seçeneğini aktif hale getirin CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın C:Documents and Settingssizin otorum açma adınızApplication Data klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin Akabinde; Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. ************************************************** ********* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun Bu değeri silin svchost "C:Documents and Settings sizin otorum açma adınız Application Datasvchost.exe" HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Bu değeri Shell explorer.exe "C:Documents and Settings sizin otorum açma adınız Application Datasvchost.exe" Bu şekil değiştirin Shell Explorer.exe ************************************************** ********* Daha sonra var ise aşagıdaki kayıtlarıda siliniz. HKEY_CURRENT_USERSoftwareMicrosoftWindowsShell NoRoamMUICache C:Documents and Settingssizin otorum açma adınız Application DataSCVHOST.EXE SCVHOST HKEY_CURRENT_USERSoftwareMicrosoftWindowsShell NoRoamMUICache C:Documents and Settingssizin otorum açma adınız Application Datasvchost.exe svchost Vista işletim sisteminden Temizlemek için; Gizli dosya ve klasörler seçeneğini aktif hale getirin Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin. 1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın. 2. Görünüm sekmesini tıklatın. 3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın. CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler menusunden svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın C:Userssizin otorum açma adınızAppDataRoaming klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin Akabinde; Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. ************************************************** ********* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun Bu değeri silin svchost "C:Userssizin otorum açma adınızAppDataRoamingsvchost.exe" HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Bu değeri Shell explorer.exe "C:Userssizin otorum açma adınızAppDataRoamingsvchost.exe" Bu şekil değiştirin Shell explorer.exe ************************************************** ********* Daha sonra var ise aşagıdaki kayıtlarıda siliniz. HKEY_CLASSES_ROOTLocal SettingsSoftwareMicrosoftWindowsShellMuiCache C:Userssizin otorum açma adınızAppDataRoamingSCVHOST.EXE SCVHOST HKEY_CLASSES_ROOTLocal SettingsSoftwareMicrosoftWindowsShellMuiCache C:Userssizin otorum açma adınızAppDataRoamingsvchost.exe svchost Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den önce SCVHOST:EXE yi aratın daha sonra Roamingsvchost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir. Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.