Syspatch Virüsü (User32.dll)

PC güvenliği konusundaki bilgi paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
velociraptor
Yottabyte4
Yottabyte4
Mesajlar: 53966
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek
Teşekkür etti: 19799 kez
Teşekkür edildi: 11989 kez

Syspatch Virüsü (User32.dll)

Mesaj gönderen velociraptor »

Truva aktif olduğunda aşağıdaki dosyayı bilgisayara bırakıyor:

%Windir%\nview.dll

Daha sonra aşağıdaki dosyayı yaratıyor:

%System%\atmapi.sys

Ve aşağıdaki registry kaydı yaratılıyor:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"zwpInit_Dlls" = "C:\WINDOWS\nview.dll"

not: zwpnit_Dlls yerine gelenler rastgele yaratılabiliyor.

İşletim sistemi her başladığında çalışabilmesi için aşağıdaki dosyaları değiştiriyor:

%System%\user32.dll

%System%\dllcache\user32.dll

Virüs Orjinal user32.dll dosyasını aşağıdaki klasörde tutuyor:

%System%\[RASTGELE DOSYA İSMİ]

user32.dll dosyası etkilendiğinde bilgisayarı tekrar başlatıyor.

Aşağıdaki kriptolanmış dosyaları yaratıyor:

%Windir%\Help\access.cni

%Windir%\Help\mwrem.cin

Kriptolanmış bilgileri saklamak için aşağıdaki registry değerlerini yaratıyor:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\”zwpInit_Dlls” = “C:\WINDOWS\nview.dll”

HKEY_LOCAL_MACHINE\SOFTWARE\1\"Path" = "C:\WINDOWS\help\access.cni"

HKEY_LOCAL_MACHINE\SOFTWARE\1\"Key" = "[ENCRYPTION KEY]"

HKEY_LOCAL_MACHINE\SOFTWARE\1\"DLoad" = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\2\"Path" = "C:\WINDOWS\help\mwrem.cin"

HKEY_LOCAL_MACHINE\SOFTWARE\2\"Key" = "[ENCRYPTION KEY]"

HKEY_LOCAL_MACHINE\SOFTWARE\2\"DLoad" = "0"

Son olarak truva 58.65.239.86 (değişebilir) IP adresinden erişilebilsin diye makinada bir arka kapı açıyor ve saldırganın aşağıdaki işlemleri yapabilmesini sağlıyor:

İşlemleri kapatma

Ağ trafiğini dinleme

Çalıştırılabilir dosyaları indirme

Temizlemek için önce, hata yaparsak diye, registry'nin (kayıt defteri?) bir kopyasını yaratın.

DrWeb's CureIt ile tüm sisteminizi taratın. Eğer temizlemiyorsa kendiniz aşağıdaki adımlarla temizleyin:

Sistem geri yüklemeyi geçici bir süre için kapatın ve bilgisayarı Güvenli Modda açıp temizlik yapın ve tamamen temizlendiğine emin olduğunuzda Sistem geri yüklemeyi tekrar aktif edin. user32.dll kritik bir windows dosyasıdır. Güvenli modda açtığınızda varsa sisteminizle aynı yama seviyesindeki başka bir windows'dan alıp sisteminizdekinin üzerine yazın. user32.dll i silip yerine orjinalini koymazsanız sisteminiz düzgün çalışmaz, açılmaz.

ALINTIDIR
Kullanıcı avatarı
Laneth
Gigabyte1
Gigabyte1
Mesajlar: 1879
Kayıt: 06 Ara 2007, 16:13
cinsiyet: Erkek

Re: Syspatch Virüsü (User32.dll)

Mesaj gönderen Laneth »

DrWeb's CureIt iyidir ama tarama hızı bazen 1000 kb/s ulaştığında, "arada birşeyler kaçırıyor mu?" , bayağı düşünürüm :mrgreen:
Kullanıcı avatarı
loveme
Terabyte1
Terabyte1
Mesajlar: 3845
Kayıt: 10 Tem 2007, 11:47
cinsiyet: Erkek
Teşekkür etti: 1 kez
Teşekkür edildi: 117 kez
İletişim:

Re: Syspatch Virüsü (User32.dll)

Mesaj gönderen loveme »

Nasıl buluyorsun viruslerin regdeki yerlerini çok güzel ve uzantılarını rahatlıkla görüp bulaştığı programları buluyorsun ve rahatça kaldıracak seçenekler sunuyorsun
teşekkürler
Cevapla