USB Trojan (Truva Atı) ve Virüslerini Kaldırma

Geagad Truva Atı

Mehmet KEÇECİ

13.01.2012

    Özellikle USBlere kendini atayan ve klasörleri *exe ye çeviren genelder trojan olduklarından antivirüs programları ile yakalanmayan bir trojanı kaldıralım.

    Ben bu Trojana “Geagad, Boxif,  Jzdiw Trojanı-Truva Atı” dedim. Fakat bu trojan daha önce tesbit edilen Trojan.Win32.Cosmu.ore, Mal/Dropper-Y, Mal/Mdrop-B, Mal/Emogen-Y, Mal/Dropper-AB, Trojan:Win32/Wisp.B, Trojan.Win32.Wisp, Win-Trojan/Mdrop.42496, Trojan:Win32/Otran olarak adlandırılan Windows ortamında çalışan büyük bir ihtimallede Çin kaynaklı olan uyarı seviyesi yüksek olan bir turva atıdır. Sistemde bir arkakapı (backdoor) açarak port:55010 gibi sistemi uzak bağlantı yapmasına neden olmaktadır. Ayrıca ağlardan geçiş yapabilmektedir. Mutlaka sistemden temizlenmesi gerekir.

    Kendini başlangıca atarak ve USBlerde autorun.inf dosyası aktif ise USB takılır takılmaz kendini USBye yazar ve tıklandıkça da aktif hale geçer.

    Çözüm: Ben bunu aktif olarak kaldıran veya tesbit eden bir antivirüs veya anti-spyware bulamadım. 2010 yılından bu yana bilinmesine ragmen bunda pasif kalınması çok kötü.

Not: Trojan bulaşmış bilgisayrın içinden düzeltmek çok zor. 2. bir işletim sisteminden veya güvenli modda yapabilirsiniz. 64 bit işletim seçerseniz belki faydası olabilir. Ben USBmi Windows8-64 bitten temizledim. Var olduğu söylenen temizleme programlarının hepsi antivirüs testlerinden geçememişlerdir.

 
 
 

    Son yayın tarihine baktığımızda bu trojanın kodunu benden taradıktan sonra tekrar güncellediğini görmekteyiz. (Kodun bir kısmını en sonda yayınlamıştım.) Bendeki kodları ve zipli trojanları gördüğü halde açıkolanları hala görememektedir.

 

 

 

 

 1. Windowsumuzun Başlat*Çalıştır*regedit

 

 

 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

385.exe, boxif.exe ve svcnost.exe satırlarının tamamı silinmesi gerekir. Fakat trojan giriş bir bilgisayarda bunları silseniz dahi kendini tekrar yazmaktadır. Güvenli modda veya dışarıdan müdahale etmek gerekir.

 Olması gereken

 

 Ayrıca sizin adınıza devamlı bir yerlere e-mail göndermeyede çalışmaktadır.

 

 

 

 Aşağıdaki işaretlilerin hepsinin silinmesi gerekir.

 

 Aşagıdaki 385.exe kesinlikle silinmesi gerekir. Fakat trajan bulaşmış bir bilgisayar çalışırken bu kendisini sildirmez.

 

satırını bulalım ve burada olması gereken antivirüs programımızın dışında herhangi bir başlangıç olmasın (note.exe -installkys) gibi başka bir şey varsa bunları kaldıralım.

    İçeriği anlamıyorsanız içindekilerin tamamını kaldırın bir sonraki açılışta antivirüs programını açıldıktan sonra çalıştırdığınızda kendisini buraya atayacaktır.

 2. HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

 

 Burası da boş olsun.

 3. HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings

 alanına gelelim burada  ”ProxyServer” = ”http=127.0.0.1:55555” veya 55010, vs. varsa bunu kaldıralım.

 127.0.0.1 bizim localhostumuzdur. “:”dan sonraki ise bizim açılan arkakapı portumuzu verir.

 

 olması gereken

 

 4. Temp klasörümüzü (C:\\Users\\W7\\AppData\\Local\\Temp) boşaltalım. Özellikle (clipsvc.exe, note.exe, tpnotes.dat, wshipl.dll) gibi dosyalar varsa şüphelerimiz daha da artar.

 

 5. http://labs.bitdefender.com/projects/usb-immunizer/overview/ sitesinden Bitdefender USB Immunizer programını indirelim ve bu programla hem USB’mizi hem de bilgisayarın autorun.inf dosyasının aktif çalışmasını kapatalım. (Bundan sonra USB takıldığında kendiliğinden açılmayacaktır.)

 

 6. Bu trojan USBmize bulaştığında aşağıdaki gibi gözükür ve var olan klasörlerimiz gizlenir ve onların adına *.exe ki bir dosya gelir ve hepsinin boyutu 240 KBtır.

 

 

    Burada dikkat edeceğimiz bir olay uzantılar genelde kapalı olduğundan klasörlerimize tıkladığımızda trojanın aktif hale geleceğini unutmayın. Anti-virüs ve antispyware ile bir taratın bulma ihtimaline karşı uğraşmadan çözerbilirsiniz. Bendeki programlar herhangi bir şey bulamadılar sadece biri autorun.inf dosyasının değiştiğini bulabildi.

 Önemli bir dosyanız yok ise USB’nizi biçimlendirebilirsiniz. USB*Sağ tıklayıp*Biçimlendir/Format

 

 Önemli dosyalarınız varsa devam edelim.

 Başlat*Çalıştır*cmd

 

 Burada USB”mizin olduğu sürücü harfini I: yazıp enter diyelim.

 I:\\>dir dediğimizde bizim kasörler değilde exe haline gelenler görülecektir. dir/ah dediğimizde gizli dosyalarda ortaya çıkacaktır.

    Burada bizim klasörlerimiz durmaktadır. Ayrıca autorun.inf ile trajanın bıraktığı daha doğrusu gizlediği “geagad.exe” dosyası mevcuttur ve bu dosya google da dahi yoktur.

 

 (2 sonuç dediği başka şeylerdir.)

 

 Sonu “-” li olanlar .exe olarak atanmış trojanlardır.

 Şimdi gizli dosya ve klasörleri görünür yapalım. “attrib -r -a -s -h”

 

 Fakat sadece trojan olan geagad.exe görünür oldu. Bizim klasörlerimiz hâlâ kayıp.

 

 Onlar içinde tekrar “attrib /d /s -r -s -h” komutunu verelim.

 

 Şimdi tüm kasörlerimiz artık görünür durumdadır. Diğerlerini artık silebiliriz.

 Ben silmeden hepsini incelemk için bir sıkıştırma dosyasında topladım.

 

 USBmize görünür olarak bunları atamaktadır.

 

 Trojanımızın metin editöründeki görünümü.

 Virüssüz ve Trojansız bir bilgisayar, işletim sistemi, internet dileklerimle.

 

Online Antivirüs Tarama
Online Antivirus Check

Mehmet Keçeci

07.01.2012

Ücretsiz Online ve Antivirüs Programları (Free Online and Antivirus Programs)

  1. https://www.f-secure.com/en/web/home_global/online-scanner
  2. http://www.bitdefender.com/scanner/online/free.html
  3. AVG (Tassiye edilir)
  4. Avast (Tassiye edilir)
  5. Microsoft Security Essentials (OS lisanslı ise kurunuz) (Tassiye edilir)
  6. Avira (Tassiye edilir)
  7. Comodo
  8. ClamAV
  9. Immunet
  10. http://www.quickheal.com/freescan.asp
  11. http://www.virscan.org/ (Şüpelendiğiniz dosyalarınızı taratabilirsiniz.)
  12. https://www.virustotal.com (Şüpelendiğiniz dosyalarınızı taratabilirsiniz.)
  13. https://www.virustotal.com/tr/
  14. http://quttera.com (websitesi tarama)
  15. http://www.phishtank.com (şüpheli linkler ve websiteleri)
  16. http://www.malwaredomainlist.com/mdl.php (malware)
  17. http://sucuri.net (website tarama)
  18. http://sitecheck.sucuri.net/
  19. http://quttera.com/home
  20. https://www.virustotal.com/en/
  21. http://www.malwaredomainlist.com/
  22. http://www.scumware.org/index.scumware
  23. http://www.scumware.org/
  24. http://www.projecthoneypot.org/
  25. http://www.spamhaus.org/
  26. http://www.stopforumspam.com/
  27. http://www.botscout.com/

 

Antivirüs Programları
Antivirüs Ülke Web Siteleri Country      
a-squared Avusturya a-squared Austria      
AhnLab V3 Güney Kore AhnLab V3 Korea-South      
AntiVir Almanya AntiVir Germany      
Antiy Çin Antiy China      
Arcavir Polonya Arcavir Poland      
Authentium ABD   USA      
AVAST! Çek Cumhuriyeti AVAST! Czech      
AVG Çek Cumhuriyeti AVG Czech      
BitDefender Romanya BitDefender Romania      
ClamAV N/A ClamAV N/A      
Comodo ABD Comodo USA      
CP Secure ABD CP Secure USA      
Dr.Web Rusya Dr.Web Russia      
F-Prot İzlanda F-Prot Iceland      
F-Secure Finlandiya F-Secure Finland      
Fortinet ABD Fortinet USA      
GData Almanya GData Germany      
Ikarus Avusturya Ikarus Austria      
JiangMin Çin JiangMin China      
Kaspersky Rusya Kaspersky Russia      
KingSoft Çin KingSoft China      
McAfee ABD USA      
Microsoft ABD Microsoft USA      
NOD32 Slovakya NOD32 Slovakia      
nProtect Güney Kore nProtect Korea-South      
Panda İspanya Panda Spain      
Quick Heal Hindistan India      
Rising Çin Rising China      
Sophos Britanya Sophos Britain      
Sunbelt ABD Sunbelt USA      
Symantec ABD Symantec USA      
The Hacker Peru The Hacker Peru      
Trend Micro ABD Trend Micro USA      
VBA32 Beyaz Rusya VBA32 Belarus      
ViRobot Güney Kore ViRobot Korea-South      
VirusBuster Macaristan VirusBuster Hungary