Tekil Mesaj gösterimi - Verilerin çalınıyor Olabilir Dikkat. ODE4

Konu Verilerin çalınıyor Olabilir Dikkat. ODE4

20-06-2025, 16:02:25

Merhaba arkadaşlar dün bilgisiayarda birden bire terminal kontrolüm dışında açıldı açılan terminalden şüphelenip internet bağlantısını kopardım ve tesadüfen ODE4.EXE Adında bir dosya ile bağlantısı olduğunu gördüm be neki falan bakayım derken tıkladım. Luajit diye bir sistem üzerinden çalışan bir uygulama olduğunu falan farkettim.
Dosyaya tıklayınca
LuaJIT 2.1.0-beta3 -- Copyright (C) 2005-2022 Mike Pall. https://luajit.org/ JIT: ON SSE3 SSE4.1 BMI2 fold cse dce fwd dse narrow loop abc sink fuse >

şeklinde çıktı veriyordu. Luajit ne ki diye bakayım dedim. Bash scriptine benzer bir terminal gibi bişeymiş. Ne alaka dedim acaba indirdiğim yapay zeka uygulamaları orjinal terminal yerine bu terminalleri mi kullanıyor diye baktım hayır öyle birşey yok. Bu işte bir iş olmalı yoksa neden kendi terminalini kullansın ki diye şüphelendim. ve herseyiara programı ile dosya adını arattığımda dosyayı buldum ve dizindeki diğer dosyalara baktım dosyanın birinde şifrelenmiş kodlar gördüm onu görünce tamam dedim bu şüpheli bir dosya. Dosya ODE4 .exe dosyası tam 800 mb 800 mb ne olabilir diye hala merak ediyorum. şifreli dosya adobe.lua yazıyor ama adobenin ode4.exe gibi bir dosyası olmadığı bilgisine ulaştım adobe.lua dosyasında aşağıdaki gibi şifrelenmiş dosyalar var

\076\057\067\079\108\101\107\061";"\043\110\113\070\043\068\076\078\118\114\055\061","\065\075\061\061";"\108\048\110\103";"\098\111\071\056\110\057\061\061","\047\109\112\120\078\113\084\117\052\112\051\056\112\074\052\071\089\056\078\066\065\107\103\120\085\065\120\077\101\079\082\068\114\056\100\069\087\048\070\108\120\075\061\061";"\078\099\043\103\090\118\088\107\097\081\061\061";"\106\121\102\121\104\081\061\061","\083\070\047\085\073\051\121\077\054\087\053\069\053\065\065\085\066\074\108\061","\050\074\115\122\073\109\121\051\099\108\098\103\055\116\053\089\066\085\102\061","\114\077\076\051\048\099\061\061","\083\085\089\120\055\085\107\061","\085\071\048\067\097\067\113\117\083\088\115\051\105\056\119\054\048\108\056\118\107\108\082\115\100\055\089\106\109\119\077\078\052\078\074\118\121\074\116\072\115\049\082\052\120\068\053\122\119\089\057\113\113\109\108\080\053\117\120\083\109\118\082\086\068\090\050\113\053\080\070\116\120\101\081\049\056\115\118\105\077\071\067\072","\055\114\065\115\118\116\053\121","\081\071\116\105";"\106\122\099\121\083\086\120\089\052\103\057\053\078\080\099\086\118\088\084\061";"\083\087\055\061";"\107\081\102\103\051\075\061\061";"\065\078\083\075\122\116\073\057";"\121\070\070\115\078\081\061\061","\077\054\056\084\089\099\061\061";"\076\084\122\083\073\101\116\089\080\099\114\075\055\113\057\061","\083\106\076\082","\100\114\080\097";"\111\077\080\114\053\097\073\111","\075\097\055\097";"\083\051\090\110\068\105\052\070\114\057\117\118\118\081\061\061","\086\105\106\098\105\081\061\061","\100\105\070\065","\083\109\114\122\113\110\120\104\057\065\055\071\082\108\075\061";"\053\110\113\114\050\073\089\121";"\099\071\078\114\099\098\097\049\102\114\113\108\086\103\122\118\057\114\090\073\071\102\084\097\121\048\108\061";"\104\050\109\081\098\048\049\110\105\120\057\120\087\074\056\080\068\089\108\061";"\051\081\102\066\079\099\061\061";"\118\116\066\061";"\111\075\053\057\103\122\050\073\043\115\112\048\078\105\065\120\105\080\103\049\119\057\061\061";"\107\103\098\070\052\065\053\074\073\087\108\085\083\106\121\114\066\081\061\061";"\089\097\047\112\109\099\061\061","\055\103\100\104","\119\080\122\119\099\073\075\061","\085\117\057\051\108\071\099\101\078\056\043\115\047\109\057\119\073\120\070\108\102\076\070\101\086\081\061\061","\055\107\047\049\071\116\098\054\073\073\078\067\051\110\113\077\053\047\107\061","\086\049\065\073\088\081\061\061","\098\057\112\120\085\076\109\078\056\071\098\104\107\050\071\120\103\118\056\089\067\089\053\117\051\072\065\122","\073\101\066\108\080\121\067\065\054\085\112\118\051\111\108\106\117\110\100\065\120\079\116\049\081\116\105\065","\098\051\105\077\073\051\076\089\107\108\113\115\099\085\121\103\073\075\061\061";"\051\121\051\048";"\116\085\107\099\106\057\083\080\070\104\053\053\053\074\099\087\107\113\119\081\083\112\067\067\102\056\082\065\057\073\047\085\114\085\112\068\068\052\100\078\047\112\102\061","\050\047\121\069\071\107\053\071\098\121\053\098\073\107\043\111\052\075\061\061","\104\117\051\087\118\057\061\061","\120\081\061\061";"\108\121\104\087\073\081\061\061","\098\098\077\117\054\104\088\084","\112\084\118\066\075\048\121\097\106\104\120\080\057\105\083\043\050\069\052\116\100\082\084\061";"\121\084\118\074\048\078\048\057";"\050\048\057\070\043\071\048\100\090\067\057\072\087\121\087\076\053\100\078\087\073\119\082\053\066\072\121\099\054\101\088\111\083\050\114\112\047\055\107\085\106\071\082\121\086\087\080\084\083\111\089\112\047\107\055\073\0

Daha detaylı araştırdığımda ise github üzerinden bulaşan birşey olduğunu gördüm özellikle indirilen scriptler üzerinden otomatik yükleniyor. Bu dosya her gün günde 1 kere tetiklenip ne veri topluyorsa bu verileri rus cloud sunucularına gönderiyormuş
Detaylı araştırma için:

https://www.securityblue.team/blog/p...re-in-the-wild

Ayrıca bu betikler sanırım virüsler tarafından tespit edilemiyor. Zaten windows defender banamısın demiyor ama şifreli dosyayı virustotal ile de kontrol ettiğimde sonuç temiz çıktı

C:UsersguzelAppDataLocalODE4
C:UsersguzelAppDataLocalODE3

Bende bu dizinde bulunuyordu kullanıcı adınıza göre sizde kontrol edebilirisniz. Ayrıca

Başlat → Görev Zamanlayıcı yaz → aç → sol menüde “Görev Zamanlayıcı Kitaplığı”na tıkla:

SecurityHealthService_ODE4 şeklinde varsa görevler veya şüpheli birşey buradan görebilirsiniz.