Yeni Kayıt
Konudaki Resimler
< Bu mesaj bu kişi tarafından değiştirildi engin_er_26 -- 19 Ocak 2007; 12:38:23 > |
| _____________________________ |
Bildirim
DİKKAT ..... cv.exe ye dikkat...ÇOK TEHLİKELİ......................>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>><
Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Jouis Şemsiye Otomatik Katlanır 8 Telli aç-kapa otomatik-şemsiye çantalı, teflon kaplama, rüzgar geçirmez küçük hafif kompakt seyahat golf şemsiyesi
https://www.amazon.com.tr/dp/B0DLHM8J5D
7 gün önce paylaşıldı
Daha Fazla 
Bu Konudaki Kullanıcılar:
Daha Az 
1 Misafir - 1 Masaüstü
Giriş
Mesaj
-
-
bu konuda sana katılıyorum. Avast genelde sadece sessiz sedasız bi köşede oturuyor çok nadir alarm verdiğini gördüm. Şu anda laptop kullanıyorum sistem biraz eski kasmasa direk kaspersky yüklicem ama anasını ağlatıyor makinenin 
.
_____________________________ -
Virüs
Çözümlemeler
14-12-2006 Tanımlanmamış Trojan Loader
Rastlanma Tarihi: 14-12-2006
İlk Çözümleme Tarihi: 14-12-2006
Çözümleme Durumu: İlk çözümleme safhası
Yayılma yöntemi:
Zararlı dosya kariyer.net'ten gelen sahte bir email yoluya yayılmaktadır. Yakalanan örnek sahte e-mail; "nur_karayel@kariyer.net" adresi ve "selam" subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna bağlı 88.233.33.192 ip'si ile gonderilmiştir.
Mail içeriği de şu şekildedir:
"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..
NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)
iyi calismalar dilegiyle.
Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."
İlgili resime tıklanıldığında, "www.freewebtown.com/nurkarayel/cv-resimlerim.zip" adresinden dosya indirme işlemi yapılmakta, indirilen zip dosyası içerisinde, kendini açan-çalıştırılabilir (self decompress-executable) dosya görüntüsündeki cv.exe dosyası bulunmaktadır.
cv.exe dosyası bir antivirus yazılımlarının halen tanımlayamadığı bir trojan loader olarak çalışmakta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak tanımlanan bir dosyayı yüklemektedir.
smss.exe dosyası keylogger, screen capturer, spyware-trojan loader olarak çalışmaktadır.
İlk çözümleme:
Cv.exe dosyası Borland Delphi ile yazılmış ve içerisine yine Borland Deplhi ile yazılmış smss.exe ve Bitlogic Software firması tarafından eğitim amaçlı açık kaynak kodlu olarak dağıtılan MouseHook.dll dosyaları gizlenmiştir. Dosya ilk kez çalıştırıldığında, "HKEY_LOCAL_MACHINE\Software" registry key'i altına "cupra" Key'i ve bu key'in de altına "checker" key'ini oluşturmakta ve değerini de 1 olarak belirlemektedir. Hemen sonrasında, smss.exe ve mousehook.dll dosyalarını "c:\windows\driver cache\Winapp\AppData\" klasörü altına kopyalamaya çalışmakta ve kopyalama işlemi biter bitmez smss.exe'yi çalıştırmaktadır.
cv.exe dosyası smss.exe'yi çalıştırdıktan hemen sonra "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" registry key'i içerisine "Winloader" isimli key'i oluşturarak değerini de "C:\WINDOWS\Driver Cache\Winapp\AppData\smss.exe" olarak berlirlemektedir.
smss.exe dosyası tüm tuş basımlarını ve internet explorer üzerindeki mouse'un sol butonuna basılma işlemlerini takip etmektedir.
Bulaşmasının anlaşılması:
- Registry üzerinde oluşturulan kayıtlar izlenerek:
- Dosya sistemi üzerinde oluşturulan dosyalar izlenerek.
Manuel Temizlenmesi
smss.exe isimli windows işletim sisteminin "Session Manager Subsystem" olarak adlandırılan bir parçası da vardır ve bu parça kapatılmamalıdır. Ancak zararlı yazılım olan smss.exe'si ile kullandığı bellek miktarı ile ayrılabilir. "Session Manager Subsystem" olan smss.exe dosyası genellikle 100-300 KB civarında hafıza kullanırken zararlı yazılım olan smss.exe çalışma zamanına bağlı olarak çok daha fazla miktarda bellek kullanmaktadır.
Ancak smss.exe ile oluşturulan işlem (process) task manager üzerinden kapatılamamaktadır. Bu nedenle temizlemek için öncelikle registry'deki "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" içerisindeki smss.exe değerli key silinmelidir. Yakalanan örnekte bu key daima "Winloader" ismindedir.
Daha sonra windows restart edilmeli; ve "c:\windows\driver cache\Winapp\AppData\" klasörü altındaki "smss.exe", "MouseHook.dll", varsa "ioerrors.txt", ve "img" klasörü silinmelidir.
_____________________________
-
aşağıdaki sitelerde de bununla ilgili bilgiler var
http://doctus.net/archive/index.php/t-11649.html
http://www.r10.net/guvenlik/24355-keyloger.html
http://groups.google.com.tr/group/internet-guvenligi/browse_thread/thread/8bbf7196291c0db1
< Bu mesaj bu kişi tarafından değiştirildi engin_er_26 -- 19 Ocak 2007; 11:52:58 >_____________________________
-
Merhaba.
Size mks anti virüs programını kurmanı öneririrm_____________________________ ahmetcahan@hotmail.com's uid is fe597aba-73d1-43c7-a8c7-898071cc3df4 -
antivir programı nasııldır arkadaslar? _____________________________ NE GERÇEK -
Ben eTrust kullanıyorum.Şimdiye kadar bir açığını görmedim.Sana da geçmiş olsun. _____________________________ -
quote:
Orjinalden alıntı: webadisi
şu an en iyi antivürüs bence nod 32 onsan sonra kavper .. geriye kalanlar sadece şamata yapıp ram yiyor bilğiniz olsun ..
Oldu te$ekkur ederiz. 2 senelik konuyu hortlattiginiz icin de ayrica te$ekkur
_____________________________
Sayfa:
1
Ip işlemleri
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
