SEDO Trojan Yedi

24-08-2012, 23:23:25

Merhaba

Bugün Sedo Sedo.com ve Sedo.co.uk adreslerinin server üzerinden yayılan JS trojaninden etkilendiklerini açıklandı. Sedo.nl ve Sedo.fr de bu zararlı kod'lar dan nasibini aldı ama açıklama da yer almamış. Sedo.nl hatta halen uyarı veriyor su an itibari ile.

Aşağıdaki adres su saniye itibari ile saldırının canlı kanıtı. Tabiki bu konu hakkında DN haberlerde bilgi yayınlacanktır yakında.

Alıntı

http://www.sedo.com/void.php

http://www.sedo.com/ uzun bir süre kapalı kaldı ve sonrasın da sedo.de 'ye herader ile yönlendirildi.
Şuan Sedo.com çalışır halde ama halen zararlı kod'lardan kurtulamadıklarının farkında değiller.

http://www.sedo.com/void.php a giriş yaptığınızda x303.de adresine yönlendiyor. Domain sedo firması çalışanlarından Patrick Müssig tarafından kullanıyordu. durum vahim yani.

Sedo tarafından yapılan açıklama

Alıntı

Sedo has been made aware that visitors attempting to access the Sedo.com or Sedo.co.uk websites using either the Firefox or Chrome web browsers have been receiving security alerts preventing entry. While the Sedo website is still accessible without warning on both Internet Explorer and Safari, we immediately began investigating the root cause of these warnings to ensure there was in fact no risk to our users or visitors to the site. At this time we can report that no threats have been detected and our technical teams are currently working with Google and others to ensure these false warnings are immediately removed.

Alıntı

http://www.sedo.com/search/service/search.php Kapalı
http://www.sedo.com/search/service/session.php Kalapı
http://www.sedo.com/search/service/update.php Kapalı
http://www.sedo.com/services/auction_number.php düzeltildi
{"amount":105,"text":"Running Auctions"} Devam Eden Müzayede sayısı

Başka bir adres üzerinden yönlendirme

Alıntı

http://www.zeuwran.exofire.com/XpQbY/void.php
Location: http://www.sedo.com/XpQbY/void.php

Peki bunlara ne sebep oldu? tabiki Server'ı kullanan kişi, 102759751.exe adlı dosya bir şekilde servera girmiş bu da Copies File: C:\102759751.exe konumundan C:\Documents and Settings\Dave\Dave.exe kendini kopyalamış.

Neyse Dave.exe de aşağıdaki dosyaları oluşturmuş.

Alıntı

\Device\Tcp
\Device\Ip
\Device\Ip
\Device\RasAcd
\Device\Tcp6
\Device\Ip6
\Device\Ip6
\Device\NetBT_Tcpip_{C4C297E7-CA44-43AB-A397-7208DD3CCA2C}
C:\Documents and Settings\Dave\Local Settings\Application Data\Microsoft\Internet Explorer\MSIMGSIZ.DAT

Daha sonra pmocntr21 Trojani çalıştırmış.

Genel olarak yedikler Torjan'in adı Trojan.Win32.Rebhip

Tabiki saldırı parking JS lerinden birini etkileseydi http://sedoparking.com üzerindeki durum daha da vahim olurdu, tüm parking deki siteler Trojan uyarısı veriyor bir düşünün

Kaynak: http://www.domainabi.com/blog/trojan-yedi/

25-08-2012, 12:53:33

#2

DomainAkademi

İlginç olmuş.

25-08-2012, 13:00:50

#3

WTF

sedoparking yeseydi daha ilginç olurdu

26-08-2012, 14:37:29

#4

lutfucan

parking de mi yedi acaba? parktaki domainler farklı bir siteye yönlendiriliyor...

26-08-2012, 14:52:25

#5

NetAlp

parktakilerden birkaçtane denedim sorun yok.

26-08-2012, 15:01:15

#6

WTF

sedo.com sedo.co.uk sedo.fr sedo.nl etkilendi, sedoparking.con etkilenmedi, etklense bir düşünün eğlenceyi o zaman dedim. çok ucuz yırttılar bence.

26-08-2012, 15:10:22

#7

~~ExpLasioN~~

Üyeliği durduruldu

Virüse bak sen

26-08-2012, 16:15:45

#8

eNCeLaDuSs

Kimlik doğrulama veya yönetimden onay bekliyor.

Vay be, olaya bak. Bu biraz itibar kaybına sebep olabilir.

29-08-2012, 09:51:26

#9

lutfucan

arkadaşlar benim parktaki domainlerim hep yönlendiriliyor. satış için teklif sayfası da doğal olarak görünmüyor. ne yapacağım?
wigan.org
balotelli.net
vs...