24 Ocak 2012

SysAnti.exe Virüsü: Deep Freeze Deaktif Yapan RAT

SysAnti.exe virüsü

SysAnti.exe dosyası 17 Eylül 2009 tarihinde tespit edilmiş bir virüstür. SysAnti.exe virüsünün orijinal analiz raporuna buradan bakabilirsiniz. Virüs, Flash bellekler sayesinde USB portundan veya İnternet den downloader şeklinde bulaşabiliyor.

Virüsün asıl amacı Deep Freeze programını de-aktif ederek sisteme sızmaktır. SysAnti.exe virüsü Deep Freeze yazılımını bypass ederek yazılımın açığından yararlanmıştır. Deep Freeze 6'nın güvenlik açığı piyasaya Crack şeklinde değil direk virüs şeklinde sürülmüştür.

Flash bellek içinde kendini kopyalayarak muhafaza edebiliyor ve Autorun.ini dosyasını değiştirerek belleğin takıldığı her bilgisayara kendini kopyalayarak sızabiliyor. Bu virüsü tek başına Güvenli Mod ta açsanız bile silmeniz zor olacaktır. Virüsü görev yöneticisi veya Windows Başlangıç ögesinde görmeniz imkansızdır. SysAnti.exe iyi bir RAT'tır ve kendini gizler bu çeşit virüsler.

SysAnti.exe nin sistemde bulaştığı yerler

C:\Program Files\Common Files\SysAnti.exe (Ana virüs dosyası)
C:\Windows\Fonts\dcgje.dll (Sistemde virüsün kendi kopyaladığı diğer isim dosyaları)
C:\Windows\Fonts\akkna.fon
C:\Windows\Fonts\rdjqa.fon
C:\Windows\Fonts\coju.fon
C:\Windows\Fonts\gdwfs.fon
C:\Windows\Fonts\hfdkj.fon
C:\Windows\Fonts\gccpx.dll
C:\Windows\svghost.exe

Windows Kayıt Defterinde oluşturduğu Dosya ve DWORD'lar

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller\Security

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller]
Type = 0x00000001
Start = 0x00000003
ErrorControl = 0x00000001
ImagePath = "\??\%FontsDir%\mdrf.fon"
DisplayName = "DrvKiller"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller]
Type = 0x00000001
Start = 0x00000003
ErrorControl = 0x00000001
ImagePath = "\??\%FontsDir%\mdrf.fon"
DisplayName = "DrvKiller"

Şunu söylemem gerek, Bu tip virüsleri asla Manuel temizlemeyin çünkü tip virüsler kendini System Volume Information klasörüne kesinlikle kaydeder ve Oraya ulaşmanız Manuel olarak uğraştırıcıdır.

Çözüm
1) Deep Freeze kullanıyorsanız son sürümü yükleyip kullanmanızı tavsiye ederim. Deep Freeze 7 sürümü için buraya bakabilirsiniz.

2) Anti-Virüs veya Internet Security mutlaka kullanın ve Güncel tutun. Kaspersky kullanmanızı öneririm: www.kaspersky.com

3) Flash Belleğinize bulaşan virüsü temizlemek için ComboFix programını kullanabilirsiniz fakat normal kullanıcılar için yapılmış bir program değildir, Teknik bir programdır. ComboFix indir

4) Flash belleğiniz deki gizli dosyaları görmek için MsDos ekranına (cmd) girin ve aşağıdaki kodları kullanarak belleğinize bulaşmış virüs dosyalarını görebilirsiniz.
attrib -s -h *.* /s /d

attrib *.* -r -h -s -a

Anti-Virüs ve Güvenlik Firmalarının SysAnti.exe virüsüne verdikleri isimlendirmeler:

Net-Worm.SillyFDC!rem [PCTools]
W32.SillyFDC [Symantec]
Worm.Win32.AutoRun.btdp [Kaspersky Lab]
W32/Autorun.worm!p [McAfee]
Trojan-PWS.Win32.QQPass [Ikarus]
Win-Trojan/Hupigon.Gen [AhnLab]

Burak Avcıoğlu

Kaynakça
http://comprolive.com/remove/harmful/exe/sysanti-exe
http://comprolive.com/remove/harmful/exe/drvkiller-sysm-exe
threatexpert.com

Hiç yorum yok:

Yorum Gönder