Casus yazılımları yakalayın

'Teknik Yardım' forumunda Scully tarafından 9 Şubat 2009 tarihinde açılan konu



  1. WİNDOWS SİSTEM UYGULAMALARI


    Bilgisayarınız durup dururken yavaşlayıp sebebini anlayamadığınız mesajlar çıkarmaya başlarsa yapılan ilk iş CTRL+ALT+DEL tuş kombinasyonuyla “Windows görev yöneticisi” ni açmak olur.

    Burada işlemler sekmesine geçerek hangi uygulamanın ne kadar bellek ve işlemci tükettiğini görüp,normalin dışında birşeyler olup olmadığını kontrol ederiz. Bilindiği üzere Windows sağlıklı çalışması için sistem hizmetlerinin bir çoğunu otomatik olarak başlatmak zorundadır.
    Çoğumuz hangi sistemin ne işe yaradığını bilmeyiz. Çalışan uygulamalar eğer gözümüzün aşina olduğu teknik bir isim taşıyorsa o hizmeti sonlandırmayı dahi düşünmeyiz. Bu huyumuzu bilen hackerler, sistem hizmetlerine benzer uygulamalar oluşturarak bilgisayarımızı ya ele geçirirler ya da kötü amaçlı işlerinde kullanırlar. Böylece onların yaptığı işlerden siz ve bilgisayarınız sorumlu tutulabilir. Ayrıca bu sahte sistem servisleri kişisel bilgilerinizi de itinayla kendisini yaratan hackerlere iletirler.

    Bu tür casus yazılımları yakalayan çok sayıda yazılım olmasına rağmen sistem servisleri hakkında şüpheci davranmak, çoğu zaman antispy ve güvenlik duvarı yazılımlarının göremediklerini yakalamanızı sağlayabilir. Örneğin; güvenlik yazılımınızın yabancı olduğu bir EXE dosyası internete bağlanmak istiyor ve güvenlik duvarı yazılımınız buna izin verip vermeyeceğinizi soruyor. Dosya adının Win32.exe olduğunu görüp Windows için gerekli bir şey olduğunu düşünerek izin verdiniz. Böylece bilgisayarınızın kapılarını ardına kadar hackerlere açmış oldunuz. Çünkü Win32.exe diye bir Windows hizmeti yoktur.
    Windows XP veya Vista da çalışan belli başlı windows hizmetleri vardır. Bunları bilmek bile istenmeyen bir casus yazılım yakalamanızı sağlayabilir.

    İşte bazı sistem hizmetleri ve sahte uygulamaları


    ALDATAN SİSTEM HİZMETLERİ

    SVCHOST.EXE
    Bu dosyanın görevi DLL kütüphaneleriyle ilgili işlevleri gerçekleştirmektir.Dolayısıyla bu hizmet Windows için hayati önem taşır ve kapatılamaz.
    SAHTELERİ
    (Svchosts.exe ),(soohost.exe),(svchOst.exe),(svshost.exe) gibi uygulamaları sisteminizde görürseniz bir trojan veya virüs almışsınızdır.Bu taklit uygulamalar genellikle şifre çalma işinde kullanılmaktadır.

    SPOOLSV.EXE
    Bu hizmet windows’un yazdırma işlerinde kullandığı hizmettir.İşletim sisteminin kararlı çalışması için büyük önem taşır kapatılamaz.
    SAHTELERİ
    (Spool.exe) bir adware zararlısıdır ve internette nerelere girdiğiniz hakkında bilgiler tutar ve karşımıza pop-up reklamlar getirir. (Spollsv.exe),(spoolsrv.exe) uygulamalarıda birer trojandır.

    TASKMGR.EXE
    Windows Görev Yöneticisi uygulamasının çalıştırılabilir dosyasıdır.CTRL+ALT+DEL tuşlarına basılarak aktif hale getirilir.Otomatik olarakbaşlatılamaz.
    SAHTELERİ
    (Tskmgr.exe) son derece tehlikeli bir virüstür.Çalışan her EXE dosyasına sıçrayan bu virüs bir süre sonra tüm uygulamaları kullanılmaz hale getirir. (Taskmon.exe) Windows 95/98 işltim sistemlerinde kullanılan bir hizmet olmasına karşın windows XP de tehlike sebebidir.

    WINLOGON.EXE
    Bu uygulama kullanıcıların windows’a giriş ve çıkış yapmalarını sağlar.Özellikle sistemi sorunsuz kapatmak için kapatılmaması gereken bir hizmettir.
    SAHTELERİ
    (Winlogin.exe) RANDEX.E virüsüyle gelen bir uygulamadır. Özellikle IRC sohbet ağlarını kullanan sistemlerde etkili olarak,kötü niyetli kişilerin IRC üzerinden bilgisayarınıza girerek sabit diskleri ele geçirmye yarar. Güncel antivirüsler bu sorunu kolayca bertaraf edebilir.

    LSASS.EXE
    Sıkça taklit edilen bu uygulama güvenlik denetlemesi görevini yürütür.Sistemin düzgün çalışması için gereklidir.
    SAHTELERİ
    ( Isass.exe ) Bilgisayarı zamansızca kapatan Sasser virüsünün çalıştırdığı uygulamadır. ( Lssas.exe ) W32.AGOBOT trojanının bir türevidir ve bilgisayarınızı tamamen başkalarının kontrolüne geçirir. ( Lsas.exe ) yine AGOBOT virüsünün bir uygulamasıdır.

    SMSS.EXE
    Bu uygulama windows işletim sisteminin bir parçasıdır. Windowsta açılan oturumların yönetilmesinde kullanılır.Durdurulmaması gerekir.
    SAHTELERİ
    (Smsss.exe) Uygulamaların çalışmasını engelleyen tehlikeli bir virüstür.Kendini ağ üzerinden kopyalayarak yayılır. (Sms.exe) Oldukça aktif bir trojandır. Bu uygulama sisteminiz ve kişisel bilgilerinizi anlık olarak kullanıcısına gönderir.

    MSNMSGR.EXE
    Popüler sohbet yazılımı MSN messenger in uygulama dosyasıdır. MSN messenger çalışmadığı zamanlar aktif uygulama listesinde görülmez.
    SAHTELERİ
    (msmsg.exe) Backdoor.prorat trojanının bir uygulamasıdır ve sisteminizi her türlü kötü atağa karşı elverişli hale getirir. (msmgs.exe) kendine ait bir SMTP sunucusu bulunan bir virüstür.E-posta adresinizi kullanarak yayılır ve bulaştığı bilgisayarlardan bol miktarda kişisel bilgi toplar.


    ZARARLI EXE ler
    adaware.exe ;Rapid blasterın bir türevi popüler Adaware uygulamasını taklit ediyor ve orjinal Adaware dosyasını silip yerine geçiyor..
    arr.exe ;Lohan.Dialerdir ve bazı sitelere yüksek ücretli bağlantıyı dial-up üstünden yapar.
    bargains.exe ;Bir çeşit reklam bot dur.
    bootconf.exe ;Tarayıcınızın anasayfasını coolwebsearch.com yapar sizi delirtir...
    bundle.exe ;shopethome sitesinden boyna reklam indirir.
    bvt.exe ;Autoupder virüsünün parçası sistemi savunmasız bırakır.
    cmd32.exe ;P2P Tanked virüsü kötü niyetli uygulamaları aktive eder.
    cmesys.exe ;GATOR Gain adware idir reklam indirir..
    divx.exe ;Mastak virüsü sonucu çalışır sistemi kararsızlaştırır.
    dllreg.exe ;Dumaru virüsü türevi e-posta adreslerine kendini postalar.
    gator.exe ;Kişisel bilgilerinizi gator şirketine iletir.
    hbinst.exe ;Hotbar ile sisteme sızar ve verileri Hotbar'a gönderir..
    ledll.exe ;Tarayıcıyı komple coolwebsearch.com a yönlendirir.
    Iexplorer.exe ;Iexplore ye isim benxerliğinden yararlanarak gizlenir virüs tür.
    isass.exe ;Sistemde 3410 nolu portu açar sistem hackerlara yol geçen hanı olur.
    kazza.exe ;Sistemde 3410 nolu portu açar sistem hackerlara açılır.
    loader.exe ;Yine coolwebsearch yönlendirmesi..
    md.exe ;Tarayıcıyı siteye yönlendirir. "Hangisi diye merak etmeyin"
    msblast.exe ;Bir çeşit worm port135 i açar sistemi saldırıya karşı savunmasız bırakır..
    msrexe.exe ;Hacking ICQ tools ile gelir win.ini ve System.ini dosyalarını değiştirip bir sürü .exe uygulaması oluşturur.
    nsupdate.exe ;Dialerdir ve bazı sitelere yüksek ücretli bağlantıyı dial-up üstünden yapar.
    patch.exe ;Netbus virüsü sonucu eklenir hackedilmenize olanak verir.
    rundll.exe ;Loxoscam virüsü türevi hacke olanak tanır.
    scvhost.exe ;SVCHOST ile isim benzerliğini kullanır Irc backdoor trojandır.
    svchosts.exe ; SVCHOST ile isim benzerliğini kullanır sistemin tamamen kontrol edilmesine olanak sağlar IRC sunucusuna bağlanarak arka planda çalışır..
    teekids.exe ;Lovesan virüsü varyantı FTP yoluyla gelir ve çok ağır sistem hasarı yapar..
    win32.exe ;Bir çeşit dialer dır yüksek ücretli arama yapar...
    winupdate.exe ;Bu trojan sistemin hacklenmesini sağlar ilk çalışmada "uyumsuz windows sürümü" hatası verir..

    DİĞER ZARARLILAR ;

    alevir.exe , blss.exe , cfd.exe , gmt.exe , iedriver.exe, mscache.exe,infwin.exe , msvxd.exe , mssys.exe,rundll32.exe , run32dll.exe , start.exe , save.exe , svc.exe , system.exe , service.exe , scrsvr.exe ,windows.exe , winmain.exe , msbb.exe

    Bu exe’lerin bilgisayarınızda bulunmaması gerekir dikkatli olun…
     



  2. Cevap: Casus yazılımları yakalayın

    Hemen kontrol ettim bilgisayarımı..Şu an herhangi bir sorun görünmüyor..Yararlı bilgiler için teşekkürler Scully.. :f40: