03-10-2007, 07:30 AM
Ne zaman “Ctrl+Alt+Delete” yapıp, Windows görev yöneticisini açsak, karşımıza hemen aşağıda sıralanan “exe” uzantılı dosyalar çıkar. Aslında birer Windows bileşeni olması gereken bu dosyalar, aynı adla gizlenmiş birer kötücül yazılım da olabilirler…
Kötücüller ile koruma yazılımları arasındaki şavaşımda, kötücüllerin sık sık korumaları atlatıp, sisteme sızdıklarını bilirsiniz; o yüzden, bizim de sık sık sisteme sızma olup olmadığını araştırmamız ve varsa, yerini saptayıp yok etmemiz gerekir.
Aşağıda sıralanan Windows servislerinin varsayılan yeri “(Etkin sürücü):\WINDOWS\system32” klasörüdür; aynı adlara bu klasör dışında da rastlarsak, çağrısız bir konuğumuz var demektir ve hemen kolları sıvamamız gerekir…
:
WINDOWS SERVİSLERİNİN SAHTELERİ:
winlogon.exe : “W32.Netsky” türevi bir kötücüldür;
wmplayer.exe : “W32.Gaobot” yada “W32.Kelvir” türevidir;
svchost.exe : Kötücüldür; çok değişik türlerde karşımıza çıkabilir;
services.exe : “W32.Akhor”, “W32.Netsky”, “W32.Neveg” ve “W32.Conycspa” türevleri olabilir;
smss.exe : “W32.Sober” türevi bir kötücüldür;
lsass.exe : W32.Nimos.Worm yada benzeri bir kötücüldür;
IEXPLORE.EXE : “Backdoor.Aphexdoor” türündendir;
explorer.exe : Trojan.Kility adlı kötücüldür;
csrss.exe : W.32.Netsky türevi bir kötücüldür;
ctfmon.exe : W32.Mydoom türevidir.
NOT:
1) Gerçek IEXPLORE.EXE: “(Etkin sürücü):\Program Files\Internet Explorer” klasöründedir;
2) Gerçek explorer.exe : “(Etkin sürücü):\WINDOWS” klasöründedir;
3) Gerçek wmplayer.exe : "(etkin sürücü):\Program Files\Windows Media Player" klasöründedir
4) Yine Windows bileşeni olup da görev yöneticisinde yukardakiler gibi her zaman değil arasıra kullanıldığında gözüken Windows servislerinin de sahteleri vardır; konunun altına ekleyerek sahteciler listesi zenginleştirilebilir…
doctus.net
Kötücüller ile koruma yazılımları arasındaki şavaşımda, kötücüllerin sık sık korumaları atlatıp, sisteme sızdıklarını bilirsiniz; o yüzden, bizim de sık sık sisteme sızma olup olmadığını araştırmamız ve varsa, yerini saptayıp yok etmemiz gerekir.
Aşağıda sıralanan Windows servislerinin varsayılan yeri “(Etkin sürücü):\WINDOWS\system32” klasörüdür; aynı adlara bu klasör dışında da rastlarsak, çağrısız bir konuğumuz var demektir ve hemen kolları sıvamamız gerekir…
:WINDOWS SERVİSLERİNİN SAHTELERİ:
winlogon.exe : “W32.Netsky” türevi bir kötücüldür;
wmplayer.exe : “W32.Gaobot” yada “W32.Kelvir” türevidir;
svchost.exe : Kötücüldür; çok değişik türlerde karşımıza çıkabilir;
services.exe : “W32.Akhor”, “W32.Netsky”, “W32.Neveg” ve “W32.Conycspa” türevleri olabilir;
smss.exe : “W32.Sober” türevi bir kötücüldür;
lsass.exe : W32.Nimos.Worm yada benzeri bir kötücüldür;
IEXPLORE.EXE : “Backdoor.Aphexdoor” türündendir;
explorer.exe : Trojan.Kility adlı kötücüldür;
csrss.exe : W.32.Netsky türevi bir kötücüldür;
ctfmon.exe : W32.Mydoom türevidir.
NOT:
1) Gerçek IEXPLORE.EXE: “(Etkin sürücü):\Program Files\Internet Explorer” klasöründedir;
2) Gerçek explorer.exe : “(Etkin sürücü):\WINDOWS” klasöründedir;
3) Gerçek wmplayer.exe : "(etkin sürücü):\Program Files\Windows Media Player" klasöründedir
4) Yine Windows bileşeni olup da görev yöneticisinde yukardakiler gibi her zaman değil arasıra kullanıldığında gözüken Windows servislerinin de sahteleri vardır; konunun altına ekleyerek sahteciler listesi zenginleştirilebilir…
doctus.net