Merhaba

Bugün Sedo Sedo.com ve Sedo.co.uk adreslerinin server üzerinden yayılan JS trojaninden etkilendiklerini açıklandı. Sedo.nl ve Sedo.fr de bu zararlı kod'lar dan nasibini aldı ama açıklama da yer almamış. Sedo.nl hatta halen uyarı veriyor su an itibari ile.

Aşağıdaki adres su saniye itibari ile saldırının canlı kanıtı. Tabiki bu konu hakkında DN haberlerde bilgi yayınlacanktır yakında.
http://www.sedo.com/ uzun bir süre kapalı kaldı ve sonrasın da sedo.de 'ye herader ile yönlendirildi.
Şuan Sedo.com çalışır halde ama halen zararlı kod'lardan kurtulamadıklarının farkında değiller.

http://www.sedo.com/void.php a giriş yaptığınızda x303.de adresine yönlendiyor. Domain sedo firması çalışanlarından Patrick Müssig tarafından kullanıyordu. durum vahim yani.

Sedo tarafından yapılan açıklama


Başka bir adres üzerinden yönlendirme
Peki bunlara ne sebep oldu? tabiki Server'ı kullanan kişi, 102759751.exe adlı dosya bir şekilde servera girmiş bu da Copies File: C:\102759751.exe konumundan C:\Documents and Settings\Dave\Dave.exe kendini kopyalamış.

Neyse Dave.exe de aşağıdaki dosyaları oluşturmuş.

Daha sonra pmocntr21 Trojani çalıştırmış.

Genel olarak yedikler Torjan'in adı Trojan.Win32.Rebhip

Tabiki saldırı parking JS lerinden birini etkileseydi http://sedoparking.com üzerindeki durum daha da vahim olurdu, tüm parking deki siteler Trojan uyarısı veriyor bir düşünün

Kaynak: http://www.domainabi.com/blog/trojan-yedi/