Diziport kullananlar ÖNEMLİ!!

[mokoko]

ekşisözlük - (prf quirrel) said:

windows bilgisayarlarda cok yuksek ihtimalle (edit: dogrulandi!) bir virus calistiran bir sitedir. evet, arka planda bilgisayariniza kurduklari programla klavyeden bastiginiz her tusu (sifreler, mesajlar, vb.) bir dosyaya kaydedip o dosyayi baskasina (!) yolluyor. (bkz: keylogger) (bkz: şeref yoksunlugu)

(cok uzun lan bu, okumam diyenlere ozet: diziport, java applet'ler araciligiyla baska bir siteden keylogger programi indirip onu calistiriyor)

bundan sonrasi teknik aciklama, nasil bir sey yaptiklarini birlikte gorelim. sitenin kaynak kodunda,

--- kod 1---

--- kod 1 ---

seklinde bir satir var. bunun yaptigi sey, siz sitenizi acinca tarayicida gorunmeyen bir pencerede metin ozdogan'in sitesinden (evet adini da yazalim da ne numaralar cevrildigi belli olsun) kodda gorulen sayfayi cagiriyor. (bkz: iframe)

peki bu sayfada ne var? "www.metinozdogan.com.tr/java/client.jar" seklinde bir java applet'i yukleyen bir kod. (dosya silinmis ama entry'nin devaminda butun bu dosyalar indirilebilir)

--- kod 2 ---



--- kod 2 ---

peki bu client.jar'in icinde ne var diyorsaniz, indirip decompile edip gorelim. icinden javaupdater.class cikiyor. hatta bakin ne guzel, hazir yapilmisi var:

--- kod 3 ---
http://pastebin.com/bmfv8xfp
--- kod 3 ---

peki bu java kodu ne yapiyor biraz aciklayacak olursak,

1) (windows bilgisayarlarda) c:documents and settingskullaniciadinizrundll32.exe seklinde, sistem dosyasi gibi gorunen ama aslinda sistem dosyasi olmayan bir dosya yaratiyor.

2) sonra kod 2'deki (bakin yukarda) url parametresinde yazan www.medyaturk24.com/java/java.exe (tiklamayin) dosyasini bilgisayariniza indiriyor ve bu dosyayi iste o rundll32.exe'nin icine yazip bilgisayara koyuyor.

3) sonra da bu internetten indirdigi dosyayi bilgisayarinizda calistiriyor. (kod 3, satir 50).

http://www.medyaturk24.com/java/ adresine gittiginizde muhtemelen daha once kullandiklari virusleri (ya da ne haltsa artik?) bulabiliyorsunuz. (82.exe 83.exe 84.exe 85.exe java.exe)

olur da silinir diye, butun bu dosyalari (exe'ler, .class, jar) zipleyip http://ge.tt/9dzsvf9 adresine koydum. link expire olursa isteyen yazarlar mesaj atabilirler tekrar koyarim.

java.exe adiyla gorunen dosyanin ne yaptigini benden daha tecrubeli reverse engineer'lara birakiyorum. sanirim emrah beyazkaya (https://www.facebook.com/unlemisareti) (diziport'un sahibi) simdi bize bir aciklama borclu, kim bu metin ozdogan, ne bu medyaturk'ten cekilen java.exe ve neden insanlarin bilgisayarlarinda calistiriliyor.

saygilar.

~~~~~~~~~~~~~~~~~~~~~~~

devami unpacked adli sozluk yazarindan geliyor, helal olsun adam ugrasmis.

java.exe sunlari yapiyor:

enigma protector isimli bir yazılımla uygulamayı şifreleyerek antivirüslerden kaçmaya çalışmış ama pek başarılı olamamış sağlam antivirüsler tanıyor hatta 2 kere şifreleme yapılmış. önce aspack isimli uygulama ile (ki asıl dosya bu). sonra onu temp klasörüne çıkarıp çalıştıracak dosyayı da enigma ile şifrelemiş.

bilgisayara uzaktan erişmeyi sağlayan bir trojan bu. tipik trojan hareketi olarak kendini varsayılan tarayıcı gibi gösteriyor processlerde. ayrıca tarayıcı kapanırsa diye yedek olarak svchost.exe'nin de içine giriyor.

kendini c:?windows?system32?installdir?nod.exe olarak kopyalıyor ve bunu bilgisayar başlangıcında açılacak şekilde ayarlıyor. bu büyük ihtimal uac etkin olan sistemlerde c:usersuserappdataroamingnod.exe olur.

yine klasik trojan hareketi olarak registry'de local machine ve current user/software/microsoft/currentversion/run ve local machine/software/microsoft/?active setup/?installed components yerlerine yazarak yapıyor başlangıçta açılma ayarını. installed components altındaki keyi ?{8b51u067-e68s-ar02-qep7-i1l0440op7h3}

yalnız bu başlangıç bilgilerini trojan çalışırken silmek işe yaramaz. yeniler sürekli. önce nod.exe kaldırılmalı.

trojan sahibine ulaşmak için stapler4445.no-ip.org adresinden ip bilgisini alıyor. o dns adresi trojanın sahibinin bağlantısını açıp kapadığında falan değişen ip adresini güncel olarak tutuyor. işte trojan da o ip adresine bağlanıp sahibinin listesinde bağlanılabilir olarak görülüyor. kullandığı port 3361.

keylog bilgilerini yani bastığın her tuşun kaydedildiği dosya c:documents and settingsuserapplication datamicrosoftwindowsuwcuemzbapecg.dat burada tutuluyor bu vista ve üzerinde değişir tabi. c:usersuserappdata içinde bir yerlerde olur. şu uwcuemzbapecg kısmı da bilgisayara göre değişebilir bir ihtimal.

onemli not: buyuk ihtimal bu siteye windows makinayla girdiyseniz virus kapmissiniz demektir. guncel bir anti-virus tarayici program isinizi gorecektir. (bkz: avira) bilgisayariniza full tarama yapin mumkunse.

[applev0dka]

TL;DR

avira virali

[geezus]

saçma sapan konuşma lan

[Crawler]

said:

2) sonra kod 2'deki (bakin yukarda) url parametresinde yazan www.medyaturk24.com/java/java.exe (tiklamayin) dosyasini bilgisayariniza indiriyor ve bu dosyayi iste o rundll32.exe'nin icine yazip bilgisayara koyuyor

http://virusscan.jotti.org/tr/scanresult/a59f4c55902a604f3d4fd33ce98d8de9c164f55e

[Rerore]

java mı kurduruyordu site

[BabacumMostors]

"java hergün mü update çıkarır arkadaş" diyuordum meğersem bu ve türevleriymiş abv :/

ben MSE kullanıyorum da MSE bubları yakalayabiliyor mu?

[haydari]

titleri yakalar ki o da sana yeter sanırsam .) ki ben ara ara sanırım

[reyou]

o-h-a

[GERGE]

Demekki korsan kullanmayin derken aslinda sizi dusunuyormusum :)

[dusuncelihayvan]

benim feysi bunlar mı patlatmış şimdi :(

[7thBreath]

ücretsiz bunları temizlemenin en etkili yolu nedir şimdi ?

[benjani]

başka sitelerde de olmasın böyle.

[Fistan]

%100 yalan
Ezikler siteyi çekememiş bok at izi kalsin, eksiden yardirmiş.
Sende gelmiş ÖNEMLİ!! diye başlık atmışsın.bırak önemini biz karar veririz.

[geezus]

nereye uydurmuş, adamlar kabul etti sızma var dedi

[ShadowFax]

BabacumMostors said:

"java hergün mü update çıkarır arkadaş" diyuordum meğersem bu ve türevleriymiş abv :/

ben MSE kullanıyorum da MSE bubları yakalayabiliyor mu?

aynen MSE kullanıyorum. işe yarıyordur diye tahmin ediyorum. kardeşim burdan dizi izliyordu.

Avira'nın Free edition'ınını kuruyorum şimdi.

[Llama]

ultima şifrelerimizi çalarlardı böyle eskiden

[reyou]

Fistan said:

%100 yalan
Ezikler siteyi çekememiş bok at izi kalsin, eksiden yardirmiş.
Sende gelmiş ÖNEMLİ!! diye başlık atmışsın.bırak önemini biz karar veririz.

yurru beah kim tutar seni.

[Fistan]

kimse :D

[Czentovic]

dizimag FTW!

[BabacumMostors]

ben java updateleri arada yapıyordum hani benim haberim olmadan update yapamıyor şimdi girdim baktım ayarlarına her ayın 20 sinde saat 4 de upate yapıyormuş.. iyi yap bakalım dedeim bu sefer windows iin vermedi "hacı bu adamın imzasına güvenm,yprum o yüzden iptal ediyorum, problem?" dedi.. hadi hayırlısı

o deil de bu sağ alt satırda, saatin orada, java simgesinin sürekli olması normal mi?

[Flassh]

7thBreath said:

ücretsiz bunları temizlemenin en etkili yolu nedir şimdi ?

avira free kur, tarama yap

[bck]

saygıdeğer diziport kullanıcıları,

05.11.2011-07.11.2011 tarihlerinde sitemize karşı düzenlenen saldırıda sunucularımızdan birine kötü niyetli kişilerce sızma olmuş, teknik birimimizce sızma engellenmiş problem düzeltilmiştir.

bu talihsiz olayın böylesine özel bir günde gerçekleşmiş olması sebebiyle üzgün olduğumuzu belirtmek isteriz.

bilindiği üzere diziport yıllardır her türlü saldırıya maruz kalmış, bunu sadık kullanıcı kitlesi sayesinde kısa zamanda çözüme ulaştırmıştır. diziport için çıkan asılsız iddialara karşı düşüncenizin, sadece bu günü değil, 4 yıllık geçmişimizi göz önünde bulundurarak değişmemesini temenni etmekteyiz.

bilmenizi isteriz ki; diziport hiçbir zaman kullanıcıların özel hayatına ilişkin kişisel bilgilerin peşine düşmez ve böyle ahlaksız yollara ne sebeple olursa olsun başvurmaz. yaşadığımız bu sıkıntılı olayı istismar ederek bizlere karşı ağır ithamlarda bulunan, site yöneticilerini acımasızca eleştiren/suçlayan kişiler bilmelidir ki, karşılık beklemeden hizmet eden bu site ne geçmişte ne de bugün yüz kızartıcı bir olaya bulaşmamıştır, bulaşmayacaktır.

bilinmelidir ki, internet ortamında bu tür saldırılara her site maruz kalabilmektedir. kullanıcılarımızdan ricamız, herhangi bir bilgi sızmasını önlemek ve zarar görmemek için kullandığınız güvenlik yazılımlarının güncel olmasına dikkat etmenizdir.

son olarak, bu olayın sorumluları hakkında gerekli işlemleri başlatmış olduğumuzu tüm kullanıcılarımıza duyurmak isteriz.

saygılarımızla
hayırlı bayramlar
ahahah sorumlular hakkinda gerekli islemleri baslatmislar.Site zaten illegal adamin productini stream ediyosun. sifir securi zaten.bi islem baslarsa bence siteye baslar.hic anlam veremiyorum boyle stream dizi film izlemeye.

[GEd]

Dizi izlerken habire bir java app kendini çalıştırmak istiyordu, başka zaman olsa ok verirdim ama buna gıcık oldum hayır dedim, ben hayır dedikçe çıkıyordu hatta tekrar.

Genede bir kontrol lazım şimdi pffff

[bck]

BabacumMostors said:

ben java updateleri arada yapıyordum hani benim haberim olmadan update yapamıyor şimdi girdim baktım ayarlarına her ayın 20 sinde saat 4 de upate yapıyormuş.. iyi yap bakalım dedeim bu sefer windows iin vermedi "hacı bu adamın imzasına güvenm,yprum o yüzden iptal ediyorum, problem?" dedi.. hadi hayırlısı

o deil de bu sağ alt satırda, saatin orada, java simgesinin sürekli olması normal mi?

normal

[Myshkin]

bu java app. yükletmeye çalışmak şuan internetten en kolay rat programı yedirmenin yolu.

Bir sitede yukarıda eklentiyi yükleme izni çıktı diyelim. orada hangi butona basarsanız basın bilgisayarınıza bir rat programı girebilir.

bu program harddiskin tamamına format atmadan kaybolmaz.

keyloggerı geçtim:

adam webcame'inize erişip sizi izleyebilir.
sizin ekranda gördüğünüz her şeyi görebilir
sizin bilgisarınızda sizin yapabileceğiniz her şeyi yapmak bir yana, normalde nerde olduğunu bilmediğiniz ayarlarla bile oynayabilir.

ve bunu yaptıkları program internette freeware. o nedenle asla ama asla hiçbir sitede java yüklentisi yüklemeye falan okey demeyin asla.