Sahte TTNET eFatura Bilgilendirme Maili | SCW - Seat Club World - Seat, Seat Forum Türkiye
  • Merhaba Ziyaretçi hoşgeldin !
    Forumdan daha fazla yararlanmak için buradan kayıt olunuz
    Hello Welcome to Guest!
    Register here to benefit more from the forum

Sahte TTNET eFatura Bilgilendirme Maili

PATRON

Administrator
Katılım
26 Ağu 2009
Mesajlar
10,934
Beğeniler
2,639
#1
Bugün şirket mailime bir mail geldi açıp bi bakarım 965,66 TL fatura geldiğini gördüm ve çıldırdım. Gönderen ise efatura@ttnet-bilgilendime.com adresinden geliyor. Mail içeriğine baktığımda sürekli TTNET e-faturasından gelen maille birebir aynı kodlamaya sahip olduğunu gördüm.

Daha sonrasında fatura detaylarımı görmek için resimdeki gibi E-Faturamı Görüntüle ' ye tıkladım ve bilgisayarıma dosya indirmeye başladı. Allah'tan lisanslı güncel Norton 360 kullanıyoruzda anında yakaladı ve sildi. Daha sonra içeriğini kontrol ettiğimde e-fatura.pdf.exe benzeri uzantıda dosya iniyor dosya resim görüntüsünüde pdf logosu var ve hiç anlamıyorsunuz.

Ben bile internet dünyasıyla haşır neşir olan kişi olmama rağmen az kalsın yiyordum bunu. İlk defa bu kadar gerçeğe yakın bir virüs saldırısı gördüm. Bana 2 saat önce geldi muhtemelen aranızda başkalarınada gelmiş olabilir yada gelebilecek olan arkadaşlar varsa uyarmak istedim sakın aldanmayın.

İnternetten araştırma yaptım bu virüs hakkında ve aşağıya bilgisini yazıyorum.

KISA BİR ANALİZ ( Tıklamış olanlar için ) – Tüm Analiz Dosyası ->

İlgili exe aşağıdaki klasörleri oluşturuyor :

  • C:\Documents and Settings\All Users\Application Data\Sun
  • C:\Documents and Settings\All Users\Application Data\yrekymok
Aşağıdaki klasölere erişim değişiklik/yeni dosya kopyalıyor.

  • C:\Documents and Settings\All Users\Application Data\Sun\omydynagojis
  • C:\Documents and Settings\All Users\Application Data\Sun\otaxobabkxes
  • C:\Documents and Settings\All Users\Application Data\yrekymok\omydynagojis
  • C:\Documents and Settings\All Users\Application Data\yrekymok\otaxobabkxes
  • Ip
  • PIPE\lsarpc
  • \Device\Ip
  • \Device\Tcp
ve daha sonra bu dizinlere erişip kendisini çalışıtırıyor. Aşağıdaki dizinde yer alan dosyanın içeriğini değiştriyor.

  • C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA
  • \S-1-5-21-842925246-1425521274-308236825-500\a18ca4003deb042bbee7a40f15e1970b_4604e8cc-5b9c-4ffb-a374-a62e6d0494fc
  • Aynı zamanda kendisini saklamak için attrib komunutunu çalıştırıyor.
  • En son olarak AVG ve Sophos bu dosyayı Zbot.ASC Trjan (truva atı) olarak tanımladı.


 

bora55

Kayıtlı Üye
Katılım
19 Eyl 2012
Mesajlar
1,930
Beğeniler
989
Yaş
36
#2
Uyarı için sağolun. İşte insanın boş anına gelince kandırılması kaçınılmaz oluyor.
 

platinne

Kayıtlı Üye
Katılım
20 Ağu 2011
Mesajlar
658
Beğeniler
349
Yaş
30
#4
Mac'te Allah'tan .exe sorunu yok ama diğer kullanıcılar, özellikle dikkat etmeyenler için büyük sıkıntı. Teşekkürler abi.
 

egeyıldızı

Kayıtlı Üye
Katılım
18 Tem 2013
Mesajlar
80
Beğeniler
28
Yaş
33
#6
uyarı için teşekkürler, çok dikkat etmek lazım ... fatura yüksek tutarlı olduğu için de belki biraz daha fazla dikkat ediliyodur bu duruma ama fatura örneğin 15 20 lira gibi gelse rahat rahat açılmasını bekleyebilir insan hatta bu açılırken kendime bi kahve alıym :) falan pc başından ayrılabilirde işte o zaman anlamadığın bi anda hesapların boşaltılmıştır... v.s v.s allah korusun...
 

#ismail

Kayıtlı Üye
Katılım
17 Ara 2011
Mesajlar
6,375
Beğeniler
2,529
Yaş
38
#7
Allah korusun..
Hep böyle şeylerden korkmuşumdur. Insanlık ne hale geldi. Sahtekarlığın artık sınırı yok. Teknoloji çok büyük dert.dikkatli olmak lazım
 
Üst Alt