Bilişim ve Hukuk!

25 Tem 2013

Facebook "günlerdir uğraşıyorum" virüsü için İfşa Vakti [1]

Merhabalar...

Biliyorsunuz ki son zamanlarda facebook'ta yeni bir -halk diliyle virüs diye tabir ettiğimiz- adware geziyor. Siz bu tuzağa düşmeseniz bile arkadaşlarınızdan gelen mesajlardan, paylaşımlardan, videolardan bu virüsü tanımışsınızdır. Biliyoruz hepiniz bunlardan bıktınız. Ben de bana gelen son mesajdan sonra bir bakayım neymiş neyin nesiymiş diye yola çıktım ve küçük bir inceleme yaptım bu virüsümüz üzerinde.

Virüsümüz aşağıdaki gibi değişik türevlere bürünebiliyor:
"Bu videoyu hazırlamak için günlerdir uğraşıyorum"
"Lütfen videomu izleyin kendim yaptım"
"Oha videoya bak be"
"Yok artık bu ne!"
"Yuh artık ebesinin şeysi"
şekillerinde olabildiği gibi direk dropbox linki şeklinde de olabiliyor.

Virüsün kaynak kodları, kendilerine "hacker sitesi" adını veren forumuslarda yayınlandığı içindir ki bu virüsü kullanma yaşı oldukça düşmüş durumda. Bunu kanıtlayacağız birazdan :)



Virüsümüz şu işlere yarıyor:

  • Twitter'da takipçi arttırma,
  • Facebook sayfa beğendirme, abone arttırma,
  • Ask.Fm soru beğendirme, takipçi arttırma,
  • Otomatik yayılma, vs...


Tamam kişisel çıkarlarınıza oldukça katkı sağlayan bir yazılım olabilir. Siz de bu virüsten yararlanmaya niyetliyseniz aşağıyı bir okuyun derim.

Dikkat!: Bu makalemizde bu virüsü piyasaya sürenlerden sadece bir tanesi ifşa edilmiştir, ancak bu sayı gittikçe artacaktır, bu virüsten kâr sağlamaya çalışan herkesin ifşa edilmesi hedefimizdir. İfşa edince ne mi olacak? Şöyle olacak, bu virüsten yararlanan şahıslar tespit edilip, delillerle kanıtlandıktan sonra hepisine ortak bir dava açılacaktır :)

Neyse analizimiz raporumuza başlayalım. Öncelikle gelen istek sonucu bir gruptaki paylaşıma göz atayım dedim. Ve aşağıdaki paylaşımla karşılaştım.


Görüldüğü gibi "erkek adamın malı meydanda olur" felsefesiyle hareket eden hacker(!)'ımız hiçbir şeyi gizleme ihtiyacı duymamış ve apaçık linki koymuş ortaya. E biz de salağız napalım tıklıyoruz tabi linke.

Ve birden şu göze hoş görünen dosya bilgisayarımıza iniyor. Ama açılmıyor! Hala kurtulmak için bir şansımız var yani, dosyayı silebiliriz. Yok merak ettim bakıcam neymiş.

Açmadım tabi ki :) Ne mi yaptım? Burada yazılanları yaptım --> Kişisel Güvenlik Eğitim Seti (viral reklam içerir.)

Hemen anubis dedemize sorduk kimlerdendir bu player.exe diyerekten. Ve şu cevabı aldık:

Neymiş efenim, wgetpop.com'dan bazı şeyler indiriyormuş bilgisayarımıza eğer player.exe'yi açarsak.
Neyse lafı fazla uzatmayalım, player.exe'nin indirmeye çalıştığı dosyaları inceledim. O dosyalar şunlar oluyor:

http://wgetpop.com/pref.txt
http://wgetpop.com/king.txt
http://wgetpop.com/crx/
http://wgetpop.com/crx/background.js
vs..

İşin aslı neymiş biliyor musunuz? Bu namussuz player.exe bir chrome eklentisi yükletiyomuş bize zorla. Oysa güzel bişey gibi görünüyordu. Şerefsiz işte. Önemli olan iç güzelliğiymiş.

Dahası da var. Yüklettiği chrome eklentisi ne haltlar yiyor bir bilseniz. Facebook'ta sayfa mı beğendirtmiyor, twitterda adam mı takip ettirmiyor, ask.fm'de soru mu beğendirtmiyor. Aklınıza ne gelirse.

Neyse ben sizi o dosyalarda dikkatimi çeken bazı kodlarla baş başa bırakayım.

Bunun ne olduğu belli. İndirilecek dosya listesi. Adam bir de utanmadan liste yapmış bi tane de indirtmiyor.

Chrome Plugin dosyaları.

Chrome Plugin ayarları.

İnsanların hesaplarından başka insanlara gönderilen mesajlar.


Bu da ilk başta tıkladığımı DropBox linkinin anavatanı. Denizde kum bunlarda link.

İşte asıl bomba burda. Adam pornoya karşı. Ama başkasının sitesiyse karşı. Diğer porno sitelerini kendi porno sitesine yönlendirmiş :) Yani porno izleyecekseniz yabancıya gitmeyin bize gelin diyor. Aynı şekilde bazı online virus scanner sitelerini de kısıtlıyor ve google'a yönlendiriyor.

Kodlardan da anlaşılacağı gibi ask.fm ve twitter scriptlerine de yönlendirip yazılıma renk katmış :)

Şimdi geliyoruz en sevdiğim kısıma.

Bütün bunları yapan kim mi?
(tabi ki de bu yapmadı sadece bazı kısımları kendine göre değiştirip piyasaya sürdü.)


işte bu yakışıklı.

Görür görmez tutuldunuz demi. Hadi benden size bir kıyak daha, belki takip makip etmek istersiniz, arkadaş olarak eklemek istersiniz felan.


Haa yok bunlar bizi tatmin etmez diyorsanız Afyon - Yakasenek kasabasına da davet ediyor sizi yakışıklımız.

Ben tek gitmeyeceğim arkadaşlarım da olacak diyorsanız, buyrun onun da beraber çalıştığı arkadaşları var:


Hepsi birbirinden yakışıklı mübarek. Şimdi napmalı bunları?
Neyse şimdilik bir şey yapmıyoruz hepsi biriksin ondan sonra.

Hadi kalın sağlıcakla.
Enes ARSLAN - ensrsln

Hiç yorum yok:

Yorum Gönder