Truva aktif olduğunda aşağıdaki dosyayı bilgisayara bırakıyor:
%Windir%\nview.dll
Daha sonra aşağıdaki dosyayı yaratıyor:
%System%\atmapi.sys
Ve aşağıdaki registry kaydı yaratılıyor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"zwpInit_Dlls" = "C:\WINDOWS\nview.dll"
not: zwpnit_Dlls yerine gelenler rastgele yaratılabiliyor.
İşletim sistemi her başladığında çalışabilmesi için aşağıdaki dosyaları değiştiriyor:
%System%\user32.dll
%System%\dllcache\user32.dll
Virüs Orjinal user32.dll dosyasını aşağıdaki klasörde tutuyor:
%System%\[RASTGELE DOSYA İSMİ]
user32.dll dosyası etkilendiğinde bilgisayarı tekrar başlatıyor.
Aşağıdaki kriptolanmış dosyaları yaratıyor:
%Windir%\Help\access.cni
%Windir%\Help\mwrem.cin
Kriptolanmış bilgileri saklamak için aşağıdaki registry değerlerini yaratıyor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\”zwpInit_Dlls” = “C:\WINDOWS\nview.dll”
HKEY_LOCAL_MACHINE\SOFTWARE\1\"Path" = "C:\WINDOWS\help\access.cni"
HKEY_LOCAL_MACHINE\SOFTWARE\1\"Key" = "[ENCRYPTION KEY]"
HKEY_LOCAL_MACHINE\SOFTWARE\1\"DLoad" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"Path" = "C:\WINDOWS\help\mwrem.cin"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"Key" = "[ENCRYPTION KEY]"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"DLoad" = "0"
Son olarak truva 58.65.239.86 (değişebilir) IP adresinden erişilebilsin diye makinada bir arka kapı açıyor ve saldırganın aşağıdaki işlemleri yapabilmesini sağlıyor:
İşlemleri kapatma
Ağ trafiğini dinleme
Çalıştırılabilir dosyaları indirme
Temizlemek için önce, hata yaparsak diye, registry'nin (kayıt defteri?) bir kopyasını yaratın.
DrWeb's CureIt ile tüm sisteminizi taratın. Eğer temizlemiyorsa kendiniz aşağıdaki adımlarla temizleyin:
Sistem geri yüklemeyi geçici bir süre için kapatın ve bilgisayarı Güvenli Modda açıp temizlik yapın ve tamamen temizlendiğine emin olduğunuzda Sistem geri yüklemeyi tekrar aktif edin. user32.dll kritik bir windows dosyasıdır. Güvenli modda açtığınızda varsa sisteminizle aynı yama seviyesindeki başka bir windows'dan alıp sisteminizdekinin üzerine yazın. user32.dll i silip yerine orjinalini koymazsanız sisteminiz düzgün çalışmaz, açılmaz.
ALINTIDIR
Syspatch Virüsü (User32.dll)
- velociraptor
- Yottabyte4

- Mesajlar: 53966
- Kayıt: 14 Mar 2006, 02:33
- cinsiyet: Erkek
- Teşekkür etti: 19799 kez
- Teşekkür edildi: 11989 kez
- Laneth
- Gigabyte1

- Mesajlar: 1879
- Kayıt: 06 Ara 2007, 16:13
- cinsiyet: Erkek
Re: Syspatch Virüsü (User32.dll)
DrWeb's CureIt iyidir ama tarama hızı bazen 1000 kb/s ulaştığında, "arada birşeyler kaçırıyor mu?" , bayağı düşünürüm 
- loveme
- Terabyte1

- Mesajlar: 3845
- Kayıt: 10 Tem 2007, 11:47
- cinsiyet: Erkek
- Teşekkür etti: 1 kez
- Teşekkür edildi: 117 kez
- İletişim:
Re: Syspatch Virüsü (User32.dll)
Nasıl buluyorsun viruslerin regdeki yerlerini çok güzel ve uzantılarını rahatlıkla görüp bulaştığı programları buluyorsun ve rahatça kaldıracak seçenekler sunuyorsun
teşekkürler
teşekkürler
