Smss.exe Virüsü Hakkında

[BilisimGunlugu]

Öncelikle merhaba arkadaşlar;


Maalesef son birkaç gündür smss.exe virüsü ile uğraşıyorum birkaç yol denedim olmadı birde sizlere sormak istedim.


Bu resimde de görüldüğü gibi bütün dosyaların içine virüs şeklinde alt dosyalar oluşturuyor.





Virüsün görev yöneticisinde ki çalışan resmi





Bu ise normal sisteme ait çalışan smss servisi.

 

[Creative]

Alıntıdır.

Bazı trojanlar var ki, Anti-virusler yakalayamıyor. smss.exe de bunlardan biri. Denedim, Nod32 farkına varamadı. Windows görev yöneticisinden Administrator kullanıcısına bakın smss.exe çalışıyorsa sisteminize yamanmış demektir. Diğer trojanlar ve riskli yazılımlar için

Smss.exe 14-12-2006 Tanımlanmamış Trojan Loader

Rastlanma Tarihi: 14-12-2006

İlk Çözümleme Tarihi: 14-12-2006

Çözümleme Durumu: İlk çözümleme safhası

Yayılma yöntemi:
Zararlı dosya kariyer.net'ten gelen sahte bir email yoluya yayılmaktadır. Yakalanan örnek sahte e-mail; "nur_karayel@kariyer.net" adresi ve "selam" subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna bağlı 88.233.33.192 ip'si ile gonderilmiştir.

Mail içeriği de şu şekildedir: Nur Karayel dışında başka imzalar ile de gelebilmektedir.

"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..

NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)

iyi calismalar dilegiyle.

Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."

İlgili resime tıklanıldığında, "www.freewebtown.com/nurkarayel/cv-resimlerim.zip" adresinden dosya indirme işlemi yapılmakta, indirilen zip dosyası içerisinde, kendini açan-çalıştırılabilir (self decompress-executable) dosya görüntüsündeki cv.exe dosyası bulunmaktadır.

cv.exe dosyası bir antivirus yazılımlarının halen tanımlayamadığı bir trojan loader olarak çalışmakta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak tanımlanan bir dosyayı yüklemektedir.

smss.exe dosyası keylogger, screen capturer, spyware-trojan loader olarak çalışmaktadır.

İlk çözümleme:
Cv.exe dosyası Borland Delphi ile yazılmış ve içerisine yine Borland Deplhi ile yazılmış smss.exe ve Bitlogic Software firması tarafından eğitim amaçlı açık kaynak kodlu olarak dağıtılan MouseHook.dll dosyaları gizlenmiştir. Dosya ilk kez çalıştırıldığında, "HKEY_LOCAL_MACHINE\Software" registry key'i altına "cupra" Key'i ve bu key'in de altına "checker" key'ini oluşturmakta ve değerini de 1 olarak belirlemektedir. Hemen sonrasında, smss.exe ve mousehook.dll dosyalarını "c:\windows\driver cache\Winapp\AppData" klasörü altına kopyalamaya çalışmakta ve kopyalama işlemi biter bitmez smss.exe'yi çalıştırmaktadır.

cv.exe dosyası smss.exe'yi çalıştırdıktan hemen sonra "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" registry key'i içerisine "Winloader" isimli key'i oluşturarak değerini de "C:\WINDOWS\Driver Cache\Winapp\AppData\smss.exe" olarak berlirlemektedir.

smss.exe dosyası tüm tuş basımlarını ve internet explorer üzerindeki mouse'un sol butonuna basılma işlemlerini takip etmektedir.

Bulaşmasının anlaşılması:
- Registry üzerinde oluşturulan kayıtlar izlenerek:
- Dosya sistemi üzerinde oluşturulan dosyalar izlenerek.


Manuel Temizlenmesi
smss.exe isimli windows işletim sisteminin "Session Manager Subsystem" olarak adlandırılan bir parçası da vardır ve bu parça kapatılmamalıdır. Ancak zararlı yazılım olan smss.exe'si ile kullandığı bellek miktarı ile ayrılabilir. "Session Manager Subsystem" olan smss.exe dosyası genellikle 100-300 KB civarında hafıza kullanırken zararlı yazılım olan smss.exe çalışma zamanına bağlı olarak çok daha fazla miktarda bellek kullanmaktadır.
Ancak smss.exe ile oluşturulan işlem (process) task manager üzerinden kapatılamamaktadır. Bu nedenle temizlemek için öncelikle registry'deki "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" içerisindeki smss.exe değerli key silinmelidir. Yakalanan örnekte bu key daima "Winloader" ismindedir.
Daha sonra windows restart edilmeli; ve "c:\windows\driver cache\Winapp\AppData" klasörü altındaki "smss.exe", "MouseHook.dll", varsa "ioerrors.txt", ve "img" klasörü silinmelidir.

 

[BilisimGunlugu]

Alıntıdır.

Merhabalar öncelikle teşekkür ederim. Registry kayıtlarını açtım fakat run altında varsayılan var sadece ve değer atanmamış

 

[Creative]

Bu program ile temizleyenler varmış. Malwarebytes Anti-Malware Free - Free download and software reviews - CNET Download.com

- - - Mesaj Güncellendi - - -

Eğer temizlenmiyor ise ComboFix kullanabilirsiniz. http://www.combofix.org/

 

[BilisimGunlugu]

Tamamdır teşekkür ederim deneyeceğim.