Merhaba,

Tüm sistem yöneticilerinin en korkulu rüyası olan truva atları şekil değiştirerek sistemleri tehtit etmeye devam etmektedir. 


 

Coin Miner Nedir?
Kripto madencilik kısaca bilgisayar donanımı veya benzeri donanımlarla İnternet ortamından bir algoritmanın indirilerek deşifre edilmesi ve deşifre edilen blok verinin bir olasılıkla sistem tarafından ödüllendirilmesidir. Bu ödül neticesinde kripto para(Örn: Bitcoin) kazanılır. Yani sanal bir para, en bilinen örnekleri Bitcoin , Litecoin , NameCoin , TerraCoin , FeatherCoin, PPC.
Bu algoritmaların deşifre edilmesi için İnternette olabildiğince açık bilgisayarlar hedef alınmaktadır. Buda tabi ki internette 7/24 hizmet veren sunucuları (Web, mail vb) hedef almaktadır. Sonuç olarak sanal para için çalışacak bir bilgisayar topluluğu.

 

Belirtileri Nelerdir?
- Sunucunuz da hiç işlemci kullanılmamasına rağmen bir yavaşlama olması. Özellikle uzak masa üstü bağlantısında görüntünün geç ve yavaş gelmesi.
- Görev yöneticisini açtığınızda çalışan bazı önemli sistem görevlerinden 2 tane çalışıyor olması. Özellikle 64bit işletim sistemlerinde aynı işlemin 32 bit versiyonununda çalışması. Örn: Csrss.exe ile Csrss.exe (32), Wininit.exe ile Wininit.exe (32) gibi. 
- Hizmet yöneticisinde tamamen rastgele karakterlerden oluşturulmuş bir hizmetin çalışması. Örn: "jADGBHGD" adlı bir hizmet.
- Sunucularda Guest (Misafir) hesabının açık ve administrators yetkili olması. Siz kapatsanız dahi belirli bir zamanlamada tekrar aktif olması.
Temizlemek için Yapılması Gerekenler;

 

Ön hazırlık:
1- Görev yöneticisinden coin miner‘ ait işlemin iptal edilmesi.  Bunun için görev yöneticisini açıp ilgili işlemin (örnek Csrss.exe (32)) işleminin sonlandırılması
2- Sonlandırılan işlemin olduğu dizine gidilerek ilgili dosyanın silinmesi. Genelde c:windows dizininde bulunur
3- Hizmetlerde ilgili rastgele oluşturulmuş hizmetin durdurulması ve silinmesi. Hizmeti durdurduktan sonra komut satırında "sc delete hizmetadı" ile hizmetin silinmesi. Servisi silmeden önce hangi dizin altında hangi dosyanın çalıştırıldığını silmek için not ediniz. Örn: C:WindowsYYHJFXZQlsass.exe 
4- Suncunuza ait TCP 445 nolu portun kapatılması ve Microsoft‘un MS17-010 güncellemesinin yüklenmesi gerekmektedir.
5- Kontrol edilecek ve silinmesi elzem dosyalar.
C:Windowswin32hlp.tmp
C:Windowsun.exe veya unx.exe
C:Windowswinsxslog (Dizin)

 

Asıl temizlik: 
Bu truva atları genelde kendilerini WMI Scipting mödülüne yerleştirir ve script mantığı ile çalışır. Dolayısı ile sizin zamanlanmış görevlerde aramanız zaman kaybıdır. Tüm yukarıdaki işlemleri yaptıktan sonra.
1- Başlat --> Çalıştır --> "WBEMTest" i çalıştırın.
2- Açılan programda "Tüm Öncelikleri Etkinleştir" işaretleyin
3- Bağlan düğmesine tıklayın ve "ad boşluğu" (varsayılan olarak rootcimv2 gelir) kısmına "rootdefault" yazın ve bağlana tıklatın.
4- Tüm menüler aktif hala gelmiştir. "Örnekleri Sırala" ya tıklıyoruz ve "Üst Sınıf Adını Girin" sorulduğunda "ActiveScriptEventConsumer" yazın.
5- Açılan pencerede "ActiveScriptEventConsumer.Name="PowerLog"" listelenecek tir. İşaretleyip "Sil" ile silin ve programı tamamen kapatın.

Bu işlemden sonra sisteminizi bir antivirus ve antimalware programı ile tarayın.
İşlemler bittikten sonra sisteminizi yeniden başlatıp bir süre görev yöneticisinden işlemleri gözlemleyiniz.