Virüsün asıl amacı Deep Freeze programını de-aktif ederek sisteme sızmaktır. SysAnti.exe virüsü Deep Freeze yazılımını bypass ederek yazılımın açığından yararlanmıştır. Deep Freeze 6'nın güvenlik açığı piyasaya Crack şeklinde değil direk virüs şeklinde sürülmüştür.
Flash bellek içinde kendini kopyalayarak muhafaza edebiliyor ve Autorun.ini dosyasını değiştirerek belleğin takıldığı her bilgisayara kendini kopyalayarak sızabiliyor. Bu virüsü tek başına Güvenli Mod ta açsanız bile silmeniz zor olacaktır. Virüsü görev yöneticisi veya Windows Başlangıç ögesinde görmeniz imkansızdır. SysAnti.exe iyi bir RAT'tır ve kendini gizler bu çeşit virüsler.
SysAnti.exe nin sistemde bulaştığı yerler
C:\Program Files\Common Files\SysAnti.exe (Ana virüs dosyası)
C:\Windows\Fonts\dcgje.dll (Sistemde virüsün kendi kopyaladığı diğer isim dosyaları)
C:\Windows\Fonts\akkna.fon
C:\Windows\Fonts\rdjqa.fon
C:\Windows\Fonts\coju.fon
C:\Windows\Fonts\gdwfs.fon
C:\Windows\Fonts\hfdkj.fon
C:\Windows\Fonts\gccpx.dll
C:\Windows\svghost.exe
Windows Kayıt Defterinde oluşturduğu Dosya ve DWORD'lar
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller\Security
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller]
Type = 0x00000001
Start = 0x00000003
ErrorControl = 0x00000001
ImagePath = "\??\%FontsDir%\mdrf.fon"
DisplayName = "DrvKiller"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller]
Type = 0x00000001
Start = 0x00000003
ErrorControl = 0x00000001
ImagePath = "\??\%FontsDir%\mdrf.fon"
DisplayName = "DrvKiller"
Şunu söylemem gerek, Bu tip virüsleri asla Manuel temizlemeyin çünkü tip virüsler kendini System Volume Information klasörüne kesinlikle kaydeder ve Oraya ulaşmanız Manuel olarak uğraştırıcıdır.
Çözüm
1) Deep Freeze kullanıyorsanız son sürümü yükleyip kullanmanızı tavsiye ederim. Deep Freeze 7 sürümü için buraya bakabilirsiniz.
2) Anti-Virüs veya Internet Security mutlaka kullanın ve Güncel tutun. Kaspersky kullanmanızı öneririm: www.kaspersky.com
3) Flash Belleğinize bulaşan virüsü temizlemek için ComboFix programını kullanabilirsiniz fakat normal kullanıcılar için yapılmış bir program değildir, Teknik bir programdır. ComboFix indir
4) Flash belleğiniz deki gizli dosyaları görmek için MsDos ekranına (cmd) girin ve aşağıdaki kodları kullanarak belleğinize bulaşmış virüs dosyalarını görebilirsiniz.
attrib -s -h *.* /s /d
attrib *.* -r -h -s -aNet-Worm.SillyFDC!rem [PCTools]
W32.SillyFDC [Symantec]
Worm.Win32.AutoRun.btdp [Kaspersky Lab]
W32/Autorun.worm!p [McAfee]
Trojan-PWS.Win32.QQPass [Ikarus]
Win-Trojan/Hupigon.Gen [AhnLab]
Burak Avcıoğlu