Windows System Defender Sahte Antivirüs Uygulaması

Windows System Defender uzun zamandır süregelen sahte antivirüs uygulamalarının bir tanesi.Bu tür uygulamaları üreterek hala insanların parasını gaspetmeye çalışan zihniyetin artık amacına ulaşma şansının az olduğunu bildiğinden olsa gerek yeni bazı eklentilerle yaratmış olduğu sıkıntıyı katlayacak gibi görünüyor.

wsd1

Uygulama kurulduğunda klasik olarak bazı virüslü dosyaları sistem üzerine kopyalıyor.Daha sonra eğer varsa güvenlik duvarı ve AV uygulamanızı iptal ederek ipleri kendi eline alıyor.IE pencerelerini kısıtlayarak internet kullanımınıda ele geçirdikten sonra bildik uyarıları vererek amacına ulaşmayı hedefliyor.Tabi bu hokkabazlık bununlada bitmiyor.Kullanıcıya kendini satamayan uygulama yazılımsal bazı taktiklerle kendi kendine bazı gelirler yaratmaya çalışıyor.

Bunların başında kendi arama motorunu IE ve FF üzerine enjekte ederek kullanıcıları engellemek geliyor.Ayrıca yine bir sistem kaydı açığından yararlanarak imzasız web uygulamalarını da çalıştırılabilir hale getiriyor.Bu durumda bilgisayarınız muhtemel sızıntılara karşıda açık hale gelmiş oluyor.

wsd2

Bu uygulamanın sistem üzerine kopyaladığı dosyalar şöyle :

c:\Documents and Settings\All Users\Application Data\61a60\WSDDSys
c:\Documents and Settings\All Users\Application Data\61a60
c:\Documents and Settings\All Users\Application Data\61a60\WS83b.exe
c:\Documents and Settings\All Users\Application Data\61a60\8727.mof
c:\Documents and Settings\All Users\Application Data\61a60\mozcrt19.dll
c:\Documents and Settings\All Users\Application Data\61a60\sqlite3.dll
c:\Documents and Settings\All Users\Application Data\61a60\WSD.ico
c:\Documents and Settings\All Users\Application Data\61a60\WSDDSys\vd952342.bd
c:\Documents and Settings\All Users\Application Data\WSDDSys
c:\Documents and Settings\All Users\Application Data\WSDDSys\wsd.cfg
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Windows System Defender.lnk
%UserProfile%\Application Data\Windows System Defender\cookies.sqlite
%UserProfile%\Desktop\Windows System Defender.lnk
%UserProfile%\Recent\ANTIGEN.dll
%UserProfile%\Recent\cid.dll
%UserProfile%\Recent\ddv.dll
%UserProfile%\Recent\eb.sys
%UserProfile%\Recent\eb.tmp
%UserProfile%\Recent\energy.sys
%UserProfile%\Recent\exec.dll
%UserProfile%\Recent\exec.tmp
%UserProfile%\Recent\FS.exe
%UserProfile%\Recent\kernel32.drv
%UserProfile%\Recent\PE.drv
%UserProfile%\Recent\PE.sys
%UserProfile%\Recent\PE.tmp
%UserProfile%\Recent\ppal.dll
%UserProfile%\Recent\SICKBOY.exe
%UserProfile%\Start Menu\Windows System Defender.lnk
%UserProfile%\Start Menu\Programs\Windows System Defender.lnk
c:\Program Files\Mozilla Firefox\searchplugins\search.xml

Ayrıca şu kayıt anahtarlarınıda kayıt defteri içine işliyor :

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes “URL” => “http://search-gala.com/?&uid=222&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” => “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “Windows System Defender”

Bu dosyaları ve kayıt anahtarlarını bilgisayarınızı güvenli modda açarak silebilirsiniz.Fakat bunu yaparken eksik bıracağını adımlar size tekrar sorun yaratabilir.Bunun yerine bu uygulamayı kullanarak sorununuzu kökten çözebilirsiniz.

Eğer uygulamayı çalıştırırken sorun yaşıyorsanız şu yazıyı okumanızı ve en sonda bulunan combofix uygulamasını indirmenizi tavsiye ediyorum.