Forum
Aktif konular
Üyeler
Kurallar
Arama
Diziport'ta Tespit Edilen Keylogger Diziport'ta Tespit Edilen Keylogger
-
geçen bulamamıştı nod32, kaldırdım yeni sürümü yükledim bu tespit etti.. Eset Smart Security 5..
-
norton var yakalandı.
-
diziport.com da kaldırıldı downloader düzeneği.
Kruis;
"Kodlarda bir adres içerisinde java yönlendirmesi konulmuş. Sayfaya giren başka bir sunucudaki bu jar uzantılı JAVA Downloader'i çağırmakta.Sisteminde JAVA kurulu bilgisayar kullanıcıları bu jarı çalıştırdığında otomatik olarak daha başka bir sunucudaki Trojan Downloaderi sistemde aktif olan jar dosyasının kendisini adı yanlış hatırlamıyorsam rundll32.exe olarak kullanıcı adı klasörüne dosya oluşturup bu Trojan Downloaderi çağırmasıyla oluşmakta.Trojan Downloader aktif oluncada appdata ve system32 klasörüne kendini kopyalayıp ve kayıt defterinde gerekli ayarlamaları yapıp uzaktan bağlantı sağlamaktadır. exeyi biraz inceleyince xtreme rat olduğu ortaya çıktı. stapler4445.no-ip.org bu adrese bilgisayarınızdaki veriler ( şifreler, tuş hareketleri ,webcam vs..) gitmektedir.Kullandığı port 3361 dir.
Java downloader yani jar uzantılı dosyayı serverdan silmiş. Fakat Trojan Dosyaları halen aktif.
Aşağıda Bilgisayara indirilen Trojan Downloaderin kaynak linklerini veriyorum. Yanlışlıkla tıklamamanız için http://www yerine hxxp://wxw yazdım.
hxxp://wxw.medyaturk24.com/java/java.exe
hxxp://wxw.medyaturk24.com/java/sinan.exe
hxxp://wxw.medyaturk24.com/java/82.exe
hxxp://wxw.medyaturk24.com/java/83.exe
hxxp://wxw.medyaturk24.com/java/84.exe
hxxp://wxw.medyaturk24.com/java/85.exe
hxxp://wxw.medyaturk24.com/java/86.exe
hxxp://wxw.medyaturk24.com/xtreme.exeBu sadece bir kaçı bu ve benzeri sitelerde Java Downloader veya doğrudan çalışan Downloader koyan kişiler çok.Hatta 2005 -2007 senelerinde okadar meşhurdiki daha güvenlik yazılımları bu konuda kendilerini geliştirememiş ve bir çok isim yapmış sitelere giren kullanıcılar zombie olarak kullanılmıştır."
bu diziport.com un bilgisi dışında mı yapıldı yoksa kendileri mi yaptı merak konusu :) -
açıklama yapmışlar saldırı yedik diye..
-
yardım/sahtekarlık bildir
-
Jchan bunu yazdı:
-----------------------------Sistemde birşey yapabilmesi için java applet'in önce bizden onay istemesi gerekmiyor mu?
-----------------------------Şuna bir açıklık getirmek lazım. Bende tam emin değilim ama sanırım şu şekilde: Eğer bilgisayarında java yüklü ise sormadan direk yüklüyor. Eğer java yüklü değil ise ekranda bir popup çıkar sanırım. -ki dizi sitesine giren bir kişide de yüksek ihtimalle java yüklüdür.
Java yüklü ve uyarı çıkmıyorsa pencerede o zamanda bilgisayarın görev çubuğunda java çalıştığında bir popup çıkar herhalde..
-
cemnet bunu yazdı:
-----------------------------Jchan bunu yazdı:
-----------------------------Sistemde birşey yapabilmesi için java applet'in önce bizden onay istemesi gerekmiyor mu?
-----------------------------Şuna bir açıklık getirmek lazım. Bende tam emin değilim ama sanırım şu şekilde: Eğer bilgisayarında java yüklü ise sormadan direk yüklüyor. Eğer java yüklü değil ise ekranda bir popup çıkar sanırım. -ki dizi sitesine giren bir kişide de yüksek ihtimalle java yüklüdür.
Java yüklü ve uyarı çıkmıyorsa pencerede o zamanda bilgisayarın görev çubuğunda java çalıştığında bir popup çıkar herhalde..
-----------------------------Iki cesit java downloader var.
Sorgusuz olan da popup cikmaz calistirayim mi diye sormaz direk calisir ki diziporta atilanda boyledir muhtemelen.
Sorgulu olanda tahmin ettiginiz gibi calistirmak icin uyari goruntuler.
-
önceden girdiğinizde avlerin tanımaması çok normal çünkü exeler fud haldeydi şimdi ise public olduğu için avler tarafından tanınır hale geldi o yüzden şuanda tanıyor dowloaderi indiren varmı inceleyelim bari :)
-
hep diyorum browser pluginlerini disable yapin kullanacaginiz zaman aktif edin.
-
noscripti bu yüzden seviyorum..
Kısayol
Şikayet
Özel Mesaj
Alıntı yap
Cevapla