Sahte Windows Servisleri

[KoJiRo]

Ne zaman “Ctrl+Alt+Delete” yapıp, Windows görev yöneticisini açsak, karşımıza hemen aşağıda sıralanan “exe” uzantılı dosyalar çıkar. Aslında birer Windows bileşeni olması gereken bu dosyalar, aynı adla gizlenmiş birer kötücül yazılım da olabilirler.

Kötücüller ile koruma yazılımları arasındaki şavaşımda, kötücüllerin sık sık korumaları atlatıp, sisteme sızdıklarını bilirsiniz; o yüzden, bizim de sık sık sisteme sızma olup olmadığını araştırmamız ve varsa, yerini saptayıp yok etmemiz gerekir.

Aşağıda sıralanan Windows servislerinin varsayılan yeri “(Etkin sürücü):\WINDOWS\system32” klasörüdür; aynı adlara bu klasör dışında da rastlarsak, çağrısız bir konuğumuz var demektir ve hemen kolları sıvamamız gerekir…:

WINDOWS SERVİSLERİNİN SAHTELERİ:

winlogon.exe : “W32.Netsky” türevi bir kötücüldür;

wmplayer.exe : “W32.Gaobot” yada “W32.Kelvir” türevidir;

svchost.exe : Kötücüldür; çok değişik türlerde karşımıza çıkabilir;

services.exe : “W32.Akhor”, “W32.Netsky”, “W32.Neveg” ve “W32.Conycspa” türevleri olabilir;

smss.exe : “W32.Sober” türevi bir kötücüldür;

lsass.exe : W32.Nimos.Worm yada benzeri bir kötücüldür;

IEXPLORE.EXE : “Backdoor.Aphexdoor” türündendir;

explorer.exe : Trojan.Kility adlı kötücüldür;

csrss.exe : W.32.Netsky türevi bir kötücüldür;

ctfmon.exe : W32.Mydoom türevidir.

NOT:

1) Gerçek IEXPLORE.EXE: “(Etkin sürücü):\Program Files\Internet Explorer” klasöründedir;

2) Gerçek explorer.exe : “(Etkin sürücü):\WINDOWS” klasöründedir;

3) Gerçek wmplayer.exe : "(etkin sürücü):\Program Files\Windows Media Player" klasöründedir

4) Yine Windows bileşeni olup da görev yöneticisinde yukardakiler gibi her zaman değil arasıra kullanıldığında gözüken Windows servislerinin de sahteleri vardır; konunun altına ekleyerek sahteciler listesi zenginleştirilebilir…

Yukarda da belirttiğim gibi Windows servislerinin sahtesiyle gerçeği aynı adı taşıyor;

"Not"ta belirttiğim üçü dışındaki gerçek Windows servislerinin yeri:
"(Etkin sürücü):\WINDOWS\system32" klasörüdür;

"Acaba bende gözükenler gerçek mi?" diyorsak (ve kimi belirtiler nedeniyle sistemden kuşku da duyuyorsak) yapacağımız ilk iş: arama kutusuna servisin adını yazıp aramak olmalıdır;

A) Arama sonuçlarına baktığımızda servisin yeri olarak:

- "(Etkin sürücü):\WINDOWS\system32"
- "(Etkin sürücü):\WINDOWS\system32\dllcache"(*)
- "(Etkin sürücü):\WINDOWS\prefetch"(**) görünüyorsa, sorun (pek)(***) yok demektir;

B) Başka yerlerde de gözüküyorsa, sahtecilik olayıyla karşıkarşıyayız demektir; sistemimizde varolan koruma yazılımlarını askıya alıp, yeni markalarla ve güvenli kipte arama-tarama-temizlik yapmak gerekir...

(*) "dllcache" klasörü Windows'un, servis dosyalarında hasar oluştuğunda onarım ve değiştirme için başvurduğu kaynaktır;

(**) "Prefetch" klasörü ise yine Windows işletim tekniğiyle ilgili olup -önsıralama, öndepolama- diyebileceğimiz ve de sistemi rahatlatmak için içi sık sık boşaltılması gereken bir klasör;

(***) Aynı adı kullanan sahtecilerin -ender de olsa- "system32" klasörüne bile sızdıkları söyleniyor; dolayısiyle, "salt korunma" diye birşey yok; ne çok kuşkucu olmak ne de "boş ver" dememek, bilinçli olmak gerekiyor...