Geagad Truva Atı

 USB Trojan (Truva Atı) ve Virüslerini Kaldırma

Geagad Truva Atı

Mehmet KEÇECİ

13.01.2012

    Özellikle USBlere kendini atayan ve klasörleri *exe ye çeviren genelder trojan olduklarından antivirüs programları ile yakalanmayan bir trojanı kaldıralım.

    Ben bu Trojana “Geagad, Boxif,  Jzdiw Trojanı-Truva Atı” dedim. Fakat bu trojan daha önce tesbit edilen Trojan.Win32.Cosmu.ore, Mal/Dropper-Y, Mal/Mdrop-B, Mal/Emogen-Y, Mal/Dropper-AB, Trojan:Win32/Wisp.B, Trojan.Win32.Wisp, Win-Trojan/Mdrop.42496, Trojan:Win32/Otran olarak adlandırılan Windows ortamında çalışan büyük bir ihtimallede Çin kaynaklı olan uyarı seviyesi yüksek olan bir turva atıdır. Sistemde bir arkakapı (backdoor) açarak port:55010 gibi sistemi uzak bağlantı yapmasına neden olmaktadır. Ayrıca ağlardan geçiş yapabilmektedir. Mutlaka sistemden temizlenmesi gerekir.

    Kendini başlangıca atarak ve USBlerde autorun.inf dosyası aktif ise USB takılır takılmaz kendini USBye yazar ve tıklandıkça da aktif hale geçer.

    Çözüm: Ben bunu aktif olarak kaldıran veya tesbit eden bir antivirüs veya anti-spyware bulamadım. 2010 yılından bu yana bilinmesine ragmen bunda pasif kalınması çok kötü.

Not: Trojan bulaşmış bilgisayrın içinden düzeltmek çok zor. 2. bir işletim sisteminden veya güvenli modda yapabilirsiniz. 64 bit işletim seçerseniz belki faydası olabilir. Ben USBmi Windows8-64 bitten temizledim. Var olduğu söylenen temizleme programlarının hepsi antivirüs testlerinden geçememişlerdir.

 
 
 

    Son yayın tarihine baktığımızda bu trojanın kodunu benden taradıktan sonra tekrar güncellediğini görmekteyiz. (Kodun bir kısmını en sonda yayınlamıştım.) Bendeki kodları ve zipli trojanları gördüğü halde açıkolanları hala görememektedir.

 

 

 

 

 1. Windowsumuzun Başlat*Çalıştır*regedit

 

 

 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

385.exe, boxif.exe ve svcnost.exe satırlarının tamamı silinmesi gerekir. Fakat trojan giriş bir bilgisayarda bunları silseniz dahi kendini tekrar yazmaktadır. Güvenli modda veya dışarıdan müdahale etmek gerekir.

 Olması gereken

 

 Ayrıca sizin adınıza devamlı bir yerlere e-mail göndermeyede çalışmaktadır.

 

 

 

 Aşağıdaki işaretlilerin hepsinin silinmesi gerekir.

 

 Aşagıdaki 385.exe kesinlikle silinmesi gerekir. Fakat trajan bulaşmış bir bilgisayar çalışırken bu kendisini sildirmez.

 

satırını bulalım ve burada olması gereken antivirüs programımızın dışında herhangi bir başlangıç olmasın (note.exe -installkys) gibi başka bir şey varsa bunları kaldıralım.

    İçeriği anlamıyorsanız içindekilerin tamamını kaldırın bir sonraki açılışta antivirüs programını açıldıktan sonra çalıştırdığınızda kendisini buraya atayacaktır.

 2. HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

 

 Burası da boş olsun.

 3. HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings

 alanına gelelim burada  ”ProxyServer” = ”http=127.0.0.1:55555” veya 55010, vs. varsa bunu kaldıralım.

 127.0.0.1 bizim localhostumuzdur. “:”dan sonraki ise bizim açılan arkakapı portumuzu verir.

 

 olması gereken

 

 4. Temp klasörümüzü (C:\\Users\\W7\\AppData\\Local\\Temp) boşaltalım. Özellikle (clipsvc.exe, note.exe, tpnotes.dat, wshipl.dll) gibi dosyalar varsa şüphelerimiz daha da artar.

 

 5. http://labs.bitdefender.com/projects/usb-immunizer/overview/ sitesinden Bitdefender USB Immunizer programını indirelim ve bu programla hem USB’mizi hem de bilgisayarın autorun.inf dosyasının aktif çalışmasını kapatalım. (Bundan sonra USB takıldığında kendiliğinden açılmayacaktır.)

 

 6. Bu trojan USBmize bulaştığında aşağıdaki gibi gözükür ve var olan klasörlerimiz gizlenir ve onların adına *.exe ki bir dosya gelir ve hepsinin boyutu 240 KBtır.

 

 

    Burada dikkat edeceğimiz bir olay uzantılar genelde kapalı olduğundan klasörlerimize tıkladığımızda trojanın aktif hale geleceğini unutmayın. Anti-virüs ve antispyware ile bir taratın bulma ihtimaline karşı uğraşmadan çözerbilirsiniz. Bendeki programlar herhangi bir şey bulamadılar sadece biri autorun.inf dosyasının değiştiğini bulabildi.

 Önemli bir dosyanız yok ise USB’nizi biçimlendirebilirsiniz. USB*Sağ tıklayıp*Biçimlendir/Format

 

 Önemli dosyalarınız varsa devam edelim.

 Başlat*Çalıştır*cmd

 

 Burada USB”mizin olduğu sürücü harfini I: yazıp enter diyelim.

 I:\\>dir dediğimizde bizim kasörler değilde exe haline gelenler görülecektir. dir/ah dediğimizde gizli dosyalarda ortaya çıkacaktır.

    Burada bizim klasörlerimiz durmaktadır. Ayrıca autorun.inf ile trajanın bıraktığı daha doğrusu gizlediği “geagad.exe” dosyası mevcuttur ve bu dosya google da dahi yoktur.

 

 (2 sonuç dediği başka şeylerdir.)

 

 Sonu “-” li olanlar .exe olarak atanmış trojanlardır.

 Şimdi gizli dosya ve klasörleri görünür yapalım. “attrib -r -a -s -h”

 

 Fakat sadece trojan olan geagad.exe görünür oldu. Bizim klasörlerimiz hâlâ kayıp.

 

 Onlar içinde tekrar “attrib /d /s -r -s -h” komutunu verelim.

 

 Şimdi tüm kasörlerimiz artık görünür durumdadır. Diğerlerini artık silebiliriz.

 Ben silmeden hepsini incelemk için bir sıkıştırma dosyasında topladım.

 

 USBmize görünür olarak bunları atamaktadır.

 

 Trojanımızın metin editöründeki görünümü.

 Virüssüz ve Trojansız bir bilgisayar, işletim sistemi, internet dileklerimle.

 

(Visited 19 times, 1 visits today)
Mehmet Keçeci on FacebookMehmet Keçeci on GithubMehmet Keçeci on GoogleMehmet Keçeci on InstagramMehmet Keçeci on LinkedinMehmet Keçeci on PinterestMehmet Keçeci on RssMehmet Keçeci on TwitterMehmet Keçeci on VimeoMehmet Keçeci on WordpressMehmet Keçeci on Youtube
Mehmet Keçeci
Physicist
Mehmet Keçeci (Kececi, Kecheci)
PhD. Candidate, 2001-2003
Master of Science in Physics (MSc.): Fizik Bilim Uzmanı (1998-2001)
Occupational Safety Specialist, OSS: İş Güvenliği Uzmanı, İGU, 2016
Portion of Lesson is finished 2001-2003 (PhD. Doctorate - Physics)
Physicist: Fizikçi

Mefumetto Kecheji
メフメット ケチェジ
めふめつと けちえじ
محمت (محمد) كچه‌جى
Мехмет Кечеджи

Research Areas: Quantum Field Theory (QFT), Instanton, Conformal Field Theory (CFT), High Energy Physics (HEP), Particle Physics, High Magnetic Fields, Hydrocarbons Behaviour, Biophysics, Astrophysics, Cosmology, Cosmogony, Bioinformatics, Programming Languages, Web Servers, Information Technology (IT), Software, Operating Systems (OSs), History of Science and Technology, Philosophy of Science, Ethics, Science and Technology Management, Leadership, Morals and Religion, Interdisciplinary Relationship, Health Information System (HIS), Occupational Safety, Data Bases, Big Data, Superconductivity, Medical Physics, Radioactivity, Internet of Things (IoTs), Mathematical Physics, Electronics, Intelligent Systems, Education, Physics Education, Philosophy of Physics, Book/e-Book Publish & Edit, CMS, SEO, E-Learning, LMS, L&D, Open Digital Badges, Blockchain.

Affiliation Scientific Journals, Duty at International Scientific Publications: Reviewer

International Scientific Programs: Member of Technical Program Committee (TPC)

International Papers: 2n-Dimensional at Fujii Model Instanton-Like Solutions and Coupling Constant's Role between Instantons with Higher Derivatives. Turkish Journal of Physics
Turk. J. Phys., 35, (2011), 173-178. Mehmet Keçeci
DOI: 10.3906/fiz-1012-66

Online CV (Keçeci Model CV)
1. https://issuu.com/hiperteknoloji/docs/cv-mk (English: Keçeci Model CV, updated: Güncellenen)
2. https://www.kotobee.com/ebook/mkececi#/loading (English: Keçeci Model CV)
3. https://education.microsoft.com/Story/Lesson?token=v9eGC (English)
4. https://education.microsoft.com/Story/Lesson?token=k0o4P (Turkish)
5. https://1drv.ms/o/s!AhhtzpemsW4-hGelP3_wPK3xU9al (English)
6. https://1drv.ms/o/s!AhhtzpemsW4-hGvMecE0bYVR2I3N (Turkish)
7. https://www.youtube.com/watch?v=jq2r7-suRkw
8. https://vimeo.com/218462945
9. http://fliphtml5.com/bookcase/fxth
10. https://mix.office.com/watch/iqdf24j1efu4
11. https://docs.google.com/presentation/d/1ZR8BapjoTxcyuY-YuPFUUZvtHTiJRawEFNsn0f2XjX4/pub
12. https://sway.com/2CKhCaImWnWPz83I
13. https://docs.com/kececi/6848/kececi-model-cv
14. https://www.slideshare.net/hiperteknoloji/kececi-model-cv
15. https://issuu.com/hiperteknoloji/docs/cv-mk
16. https://education.microsoft.com/Status?token=EeDJmtL6

Leave a Comment