

Bu Çinlilere Ne Oluyor.Adamların Amacı Ne ? :|
-
Evet hacılar bugun internet cafeye gittigimde farketttigim bir durumu aktaracagım sizlere.Öncelikle gittiginiz cafede internete girdiginiz zaman web browser adres satırına yazdıgınız siteye baglanmak isteyecektir.Ben internet explorerda farkettim durumu.Web browserin alt satırında hangi uzantıya baglanmak istediginizi gösteren yerde yani sol alt tarafında hanibir bolum var ya orası işte.
Siz mesela www.google.com a girmek istediniz diyelim.Bahsettigim yerde baska bir adres görünüyor.Yani siz internete arada bulunan baska bir site uzerinden baglanıyorsunuz.Çin sitesi oldugunu farkettim.
site ise; http://www.u.dafgfdgf.com/web/fuckxxx.html site boyleydi galiba tam hatırlamıyorum.İşte bu site uzerinden nete baglanıyorsunuz.Arada baska birisi oluyor.Garip bir domain adı ve bu domaine baglı bir subdomain uzerinden nete cıkıyorsunuz.Ben bu dosyayı farkettigimde dosyaya ulaştım ve kaynakgı goruntuledigimde bir java koduyla karsılastım.Script base64 ile encodelenmiş.Sanırım çift encode.Yani geri dönüşümü yok.
Bu sizin agınıza ya da pcnize giren bir virusten kaynaklanıyor.Bir script.Bununla sizin bilgisayarınız bazen sizin kontrolunuzden çıkıyor.Bir nevi zombie davranısları.Benim ünide vizeler bittigi icin memlekete geldim ve bulundugum cafede boyle bir seyin oldugunu bana kafe yetkilsi soyledi.Sonra tanıdıgım baska bir cafeye gittim.Orada da aynı sorun vardı.Hatta 2 gun once 120 masalık cafe tamamen kontrolden cıkmıs.Tabi adam scriptle cafenin tum sifreleri aldı.Cafe sahibi telekomu aramıs.Ama onlar yine klasik yalanı soylemiş.Hiçbir sorun yok demişler :)
Sizler dikkatli olun.Agınızı veya pcniz ele gecireni bir kod olabilir diye dusunuyorum.Daha eve simdi geldim.Cozumunu biliyorum ama tam bilmiyorum.Geniş bir şekilde burada tartısmak için boyle bir topic acmayı uygun gordum.Aman dikkat.
Telekom işte.Napacaksınız.
-
adres veya o virus hakkinda baska bilgi varmi ?
yani bilgisayara bulasmis viruse telekom zaten birsey yapamaz. o inceledigin kaynak kodlari yaninda mi ?
-
http://www.tahribat.com/forumdisplayfolder.asp?folderid=56581
http://www.tahribat.com/forumdisplayfolder.asp?folderid=56676
illet birşeydir, ama kurtulmak mümkün.ağdan yayıyor kendini
edit:telekomla bir alakası tabii yok, tüm bilgisayarları ağdan çıkarıp teker teker temizleyecek
ayrıca kontrolden çıkma durumu yok sadece girdiğin her sayfanın kodlarında bir en üste satır js kodu ekliyor
gördüğüm kadarıyla şifre çalma durumu da yok -
Under hocam su an yanımda bellek yok.Arkadasımla birlikteydim.Cafede tahribata girdim ama kullanıcı adımla giris yapmadım,yapamazdım.o kodları destek@tahribat.com aatarım.actıgımda zararsızdı kodlar.sadece şifrelenmis bir kısmı.biraz bekleyin gönderecem.
-
http://www.tahribat.com/forumdisplayfolder.asp?folderid=56676&sayfa=1#523767
konuda :
totalvoltage bunu yazdı:
-----------------------------Arkadaşlar bu Win32/Alman virusu için AVG nin hazırlamış olduğu bir tool var.İsteğen deneyebilir.
http://free.grisoft.com/doc/29223/us/frt/0/ndi/67799
-----------------------------bunu bir dene bakalim
-
ben şahsen çinlillerin içindeyim..... korkak laızm bu çinlilerden. tam emin değilim amam çinli bir kaç eleman internet dünyasını karıştırıor diye duydum onlar olabilir. çinli bir dotum söylemişti ayrıca çin hükümetide internbete el atmış. allah sonumuzu hayrede.... :S
-
bu kod aga bulastıgı andan itibaren masaustunde Chenzi adında bir VBscript script dosyası olusuyor.icerisinde ise
Set Shell = CreateObject("Wscript.Shell")
Shell.Run ("Chenzi.exe")
Set Shell = Nothingkodları var.
yani bu exe uazntılı dosya bulasıyor banka dolandırlıcıgına benzer bir yontem.
arkadaslar çözümü var mı.Adamlar beni bekliyor.su an basımda en az 15-20 kisi var ve beni bekliyorlar.
-
spyrex hocam yazılanları okumuyormusun?
underzeronun alıntı yaptığı posttaki toolu dene
olmazsa konulardan birinde benim bahsettiğim çözüm var
biraz bakıver -
Bu acık arpspoofing yöntemi ile yayılan, aslında virüsün gözüktüğü makinada değil, ağdaki başka bir makinadan olduğundan dolayı bütün makinalara bulaşan,
bu sadeye networkun tek bir makinanın üzerinden internete cıkmasını sağlayarak, o makina üzerinden bütün bilgileri alabildikleri gelişmiş bi teknoloji...
Windows update yapılmadığı sürece, makinan virüslü olmasa bile girdiğin her web sitesinde o virüs oluyor, aynı şekildeo sorun modeminde var ise, updatede fayda etmiyor...
İnternet kafede akşam 6 dan geçe 4 e kadar bütün network trafiğini monitor ettikten sonra çözüme ulaştım,
Ayrıntılı bir şekilde 1 2 gün içinde döküman yazacam sorunu nası tesbit edip çözebileceğinize dair...
Şimdilik sana kıyak geçeyim,
kafenin ana makinasında
http://www.netoptima.in/ARProtect_Setup_0.12.27.exe
bu programı kur ve çalıştır, yaklaşık 10 dakika içinde virüslü makinaların ipleri gözükecektir...
Modemim ipsi haric diğerlerinin hepsine avg antivirüs free editionu kur ve tam tarama yaptır sorun kalmayacaktır...
Sorunu çözebilen yok şu ana kadar :)
-
-
WebCrow bunu yazdı:
-----------------------------
evet antiarp ve avg ile siliniyor
-----------------------------
Hocam silindiği yok o sadece senin makinandaki temp klasöründeki virüslü htmlleri görüo...
o senin makinan verdiğim programı ana makinaya yükleyeceksin, ondan sonra orada cıkan iplere sahip bilgisayarları bulacaksın ondan sonra o makinaya avgyi yükleyeceksin...