Verilerin çalınıyor Olabilir Dikkat. ODE4

Merhaba arkadaşlar dün bilgisiayarda birden bire terminal kontrolüm dışında açıldı açılan terminalden şüphelenip internet bağlantısını kopardım ve tesadüfen ODE4.EXE Adında bir dosya ile bağlantısı olduğunu gördüm be neki falan bakayım derken tıkladım. Luajit diye bir sistem üzerinden çalışan bir uygulama olduğunu falan farkettim.
Dosyaya tıklayınca
LuaJIT 2.1.0-beta3 -- Copyright (C) 2005-2022 Mike Pall. https://luajit.org/ JIT: ON SSE3 SSE4.1 BMI2 fold cse dce fwd dse narrow loop abc sink fuse >

şeklinde çıktı veriyordu. Luajit ne ki diye bakayım dedim. Bash scriptine benzer bir terminal gibi bişeymiş. Ne alaka dedim acaba indirdiğim yapay zeka uygulamaları orjinal terminal yerine bu terminalleri mi kullanıyor diye baktım hayır öyle birşey yok. Bu işte bir iş olmalı yoksa neden kendi terminalini kullansın ki diye şüphelendim. ve herseyiara programı ile dosya adını arattığımda dosyayı buldum ve dizindeki diğer dosyalara baktım dosyanın birinde şifrelenmiş kodlar gördüm onu görünce tamam dedim bu şüpheli bir dosya. Dosya ODE4 .exe dosyası tam 800 mb 800 mb ne olabilir diye hala merak ediyorum. şifreli dosya adobe.lua yazıyor ama adobenin ode4.exe gibi bir dosyası olmadığı bilgisine ulaştım adobe.lua dosyasında aşağıdaki gibi şifrelenmiş dosyalar var

\076\057\067\079\108\101\107\061";"\043\110\113\070\043\068\076\078\118\114\055\061","\065\075\061\061";"\108\048\110\103";"\098\111\071\056\110\057\061\061","\047\109\112\120\078\113\084\117\052\112\051\056\112\074\052\071\089\056\078\066\065\107\103\120\085\065\120\077\101\079\082\068\114\056\100\069\087\048\070\108\120\075\061\061";"\078\099\043\103\090\118\088\107\097\081\061\061";"\106\121\102\121\104\081\061\061","\083\070\047\085\073\051\121\077\054\087\053\069\053\065\065\085\066\074\108\061","\050\074\115\122\073\109\121\051\099\108\098\103\055\116\053\089\066\085\102\061","\114\077\076\051\048\099\061\061","\083\085\089\120\055\085\107\061","\085\071\048\067\097\067\113\117\083\088\115\051\105\056\119\054\048\108\056\118\107\108\082\115\100\055\089\106\109\119\077\078\052\078\074\118\121\074\116\072\115\049\082\052\120\068\053\122\119\089\057\113\113\109\108\080\053\117\120\083\109\118\082\086\068\090\050\113\053\080\070\116\120\101\081\049\056\115\118\105\077\071\067\072","\055\114\065\115\118\116\053\121","\081\071\116\105";"\106\122\099\121\083\086\120\089\052\103\057\053\078\080\099\086\118\088\084\061";"\083\087\055\061";"\107\081\102\103\051\075\061\061";"\065\078\083\075\122\116\073\057";"\121\070\070\115\078\081\061\061","\077\054\056\084\089\099\061\061";"\076\084\122\083\073\101\116\089\080\099\114\075\055\113\057\061","\083\106\076\082","\100\114\080\097";"\111\077\080\114\053\097\073\111","\075\097\055\097";"\083\051\090\110\068\105\052\070\114\057\117\118\118\081\061\061","\086\105\106\098\105\081\061\061","\100\105\070\065","\083\109\114\122\113\110\120\104\057\065\055\071\082\108\075\061";"\053\110\113\114\050\073\089\121";"\099\071\078\114\099\098\097\049\102\114\113\108\086\103\122\118\057\114\090\073\071\102\084\097\121\048\108\061";"\104\050\109\081\098\048\049\110\105\120\057\120\087\074\056\080\068\089\108\061";"\051\081\102\066\079\099\061\061";"\118\116\066\061";"\111\075\053\057\103\122\050\073\043\115\112\048\078\105\065\120\105\080\103\049\119\057\061\061";"\107\103\098\070\052\065\053\074\073\087\108\085\083\106\121\114\066\081\061\061";"\089\097\047\112\109\099\061\061","\055\103\100\104","\119\080\122\119\099\073\075\061","\085\117\057\051\108\071\099\101\078\056\043\115\047\109\057\119\073\120\070\108\102\076\070\101\086\081\061\061","\055\107\047\049\071\116\098\054\073\073\078\067\051\110\113\077\053\047\107\061","\086\049\065\073\088\081\061\061","\098\057\112\120\085\076\109\078\056\071\098\104\107\050\071\120\103\118\056\089\067\089\053\117\051\072\065\122","\073\101\066\108\080\121\067\065\054\085\112\118\051\111\108\106\117\110\100\065\120\079\116\049\081\116\105\065","\098\051\105\077\073\051\076\089\107\108\113\115\099\085\121\103\073\075\061\061";"\051\121\051\048";"\116\085\107\099\106\057\083\080\070\104\053\053\053\074\099\087\107\113\119\081\083\112\067\067\102\056\082\065\057\073\047\085\114\085\112\068\068\052\100\078\047\112\102\061","\050\047\121\069\071\107\053\071\098\121\053\098\073\107\043\111\052\075\061\061","\104\117\051\087\118\057\061\061","\120\081\061\061";"\108\121\104\087\073\081\061\061","\098\098\077\117\054\104\088\084","\112\084\118\066\075\048\121\097\106\104\120\080\057\105\083\043\050\069\052\116\100\082\084\061";"\121\084\118\074\048\078\048\057";"\050\048\057\070\043\071\048\100\090\067\057\072\087\121\087\076\053\100\078\087\073\119\082\053\066\072\121\099\054\101\088\111\083\050\114\112\047\055\107\085\106\071\082\121\086\087\080\084\083\111\089\112\047\107\055\073\0

Daha detaylı araştırdığımda ise github üzerinden bulaşan birşey olduğunu gördüm özellikle indirilen scriptler üzerinden otomatik yükleniyor. Bu dosya her gün günde 1 kere tetiklenip ne veri topluyorsa bu verileri rus cloud sunucularına gönderiyormuş
Detaylı araştırma için:

https://www.securityblue.team/blog/p...re-in-the-wild

Ayrıca bu betikler sanırım virüsler tarafından tespit edilemiyor. Zaten windows defender banamısın demiyor ama şifreli dosyayı virustotal ile de kontrol ettiğimde sonuç temiz çıktı

C:UsersguzelAppDataLocalODE4
C:UsersguzelAppDataLocalODE3


Bende bu dizinde bulunuyordu kullanıcı adınıza göre sizde kontrol edebilirisniz. Ayrıca


Başlat → Görev Zamanlayıcı yaz → aç → sol menüde “Görev Zamanlayıcı Kitaplığı”na tıkla:

• SecurityHealthService_ODE4 şeklinde varsa görevler veya şüpheli birşey buradan görebilirsiniz.

İnceleyeceğim teşekkür ederim

.lua adobe kaynaklı sistemde meşru göründüğünden, zararlı yazılım kendini bu şekilde gizleyip backdoor oluşturuyor, malware olarak davranıyor olabilir. Baya ciddi bi tehdit. Güzel paylaşım.

Sonra da neden Linux kullanayım ki diye soruyor millet bana "bknz." Verilmelik bir konu olmuş. Teşekkürler paylaşım için. Geçmiş olsun bu arada. Umarım önemli veri sızıntısı olmamıştır.

Rica ederim

Evet ciddi bir tehdit. ilgili dosyaların tarihine göre kurulum yaptığım uygulama tarihlerne baktım ama o gün uygulama hiç kurulmamış. o yüzden hangisinden bulaştı tespit edemedim.
Linux muhtemelen eskiye nazaran çok daha iyi bir seviyeye gelmiştir dual boot olarak en azından kullanılabilir ama ne yalan söyliyim alışkanlıklar kolay değişmiyor.

Virüs ilk etapta ( makaleye göre ) github üzerinden sahte repolarla yayınlanmış, son zamanlarda githubda çok fazla cursor, trae reset repoları yayınlanıyordu, muhtemelen ordanda yayılmıştır.

Evet aklıma da ilk o geldi. kullanmıştım çünkü.

Makalede teknik olarak nasıl temizlendiğide anlatılıyor, size önerim o temizleme yerine garanti için komple format yapın.

Sildim hocam takip edeceğim arada malesef hocam format tüm düzenimi bozuyor o yüzden format düşünüyorum. Öneriniz için teşekkürler