PATRON
Administrator
- Katılım
- 26 Ağu 2009
- Mesajlar
- 11,152
Bugün şirket mailime bir mail geldi açıp bi bakarım 965,66 TL fatura geldiğini gördüm ve çıldırdım. Gönderen ise [email protected] adresinden geliyor. Mail içeriğine baktığımda sürekli TTNET e-faturasından gelen maille birebir aynı kodlamaya sahip olduğunu gördüm.
Daha sonrasında fatura detaylarımı görmek için resimdeki gibi E-Faturamı Görüntüle ' ye tıkladım ve bilgisayarıma dosya indirmeye başladı. Allah'tan lisanslı güncel Norton 360 kullanıyoruzda anında yakaladı ve sildi. Daha sonra içeriğini kontrol ettiğimde e-fatura.pdf.exe benzeri uzantıda dosya iniyor dosya resim görüntüsünüde pdf logosu var ve hiç anlamıyorsunuz.
Ben bile internet dünyasıyla haşır neşir olan kişi olmama rağmen az kalsın yiyordum bunu. İlk defa bu kadar gerçeğe yakın bir virüs saldırısı gördüm. Bana 2 saat önce geldi muhtemelen aranızda başkalarınada gelmiş olabilir yada gelebilecek olan arkadaşlar varsa uyarmak istedim sakın aldanmayın.
İnternetten araştırma yaptım bu virüs hakkında ve aşağıya bilgisini yazıyorum.
KISA BİR ANALİZ ( Tıklamış olanlar için ) – Tüm Analiz Dosyası ->
İlgili exe aşağıdaki klasörleri oluşturuyor :
Daha sonrasında fatura detaylarımı görmek için resimdeki gibi E-Faturamı Görüntüle ' ye tıkladım ve bilgisayarıma dosya indirmeye başladı. Allah'tan lisanslı güncel Norton 360 kullanıyoruzda anında yakaladı ve sildi. Daha sonra içeriğini kontrol ettiğimde e-fatura.pdf.exe benzeri uzantıda dosya iniyor dosya resim görüntüsünüde pdf logosu var ve hiç anlamıyorsunuz.
Ben bile internet dünyasıyla haşır neşir olan kişi olmama rağmen az kalsın yiyordum bunu. İlk defa bu kadar gerçeğe yakın bir virüs saldırısı gördüm. Bana 2 saat önce geldi muhtemelen aranızda başkalarınada gelmiş olabilir yada gelebilecek olan arkadaşlar varsa uyarmak istedim sakın aldanmayın.
İnternetten araştırma yaptım bu virüs hakkında ve aşağıya bilgisini yazıyorum.
KISA BİR ANALİZ ( Tıklamış olanlar için ) – Tüm Analiz Dosyası ->
İlgili exe aşağıdaki klasörleri oluşturuyor :
- C:\Documents and Settings\All Users\Application Data\Sun
- C:\Documents and Settings\All Users\Application Data\yrekymok
- C:\Documents and Settings\All Users\Application Data\Sun\omydynagojis
- C:\Documents and Settings\All Users\Application Data\Sun\otaxobabkxes
- C:\Documents and Settings\All Users\Application Data\yrekymok\omydynagojis
- C:\Documents and Settings\All Users\Application Data\yrekymok\otaxobabkxes
- Ip
- PIPE\lsarpc
- \Device\Ip
- \Device\Tcp
- C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA
- \S-1-5-21-842925246-1425521274-308236825-500\a18ca4003deb042bbee7a40f15e1970b_4604e8cc-5b9c-4ffb-a374-a62e6d0494fc
- Aynı zamanda kendisini saklamak için attrib komunutunu çalıştırıyor.
- En son olarak AVG ve Sophos bu dosyayı Zbot.ASC Trjan (truva atı) olarak tanımladı.
