[fblim]

Inndir.com TROJAN saçıyor!
Az önce korkunç bir olay yaşadım !

Burada güvenlik adına fazla bir merakım yoktu. Ama artık yavaştan bazı şeylerin ciddiyetini anladım. ! Vakti zamanında TanSu'nun yazdığı "Bilgisayarınızdaki en büyük açık sizsiniz" makaleyi okuduktan sonra beyninin bir köşesine atanlara ibretlik bir ders olsun.

Konumuza gelelim:

Kendilerini Türkiye'nin en büyük, en güncel ve en güvenilir lider program arşivi (!) olarak tanıtan Inndir.com ' un bugün resmen trojan yedirdiğine şahit oldum. Öyle böyle değil hem de. Mutlaka okuyunuz:

- - - - - - - - - - - - - - - - - - - - -

Her zamanki gibi iyi-kötü bir prog. indirme sitesi olan inndir.com'da dolaşıyordum. Nedense o siteye güvenim tamdı. (Ama sorarım kendime bu güven neden tamdı? Halen cevaplayamıyorum. İçimdeki saf kişiliğe selam ederim.) Her neyse piyasadaki diğer Browser'lara bakıyordum. Öyleki benim bildiğim IE, Firefox, Opera, Maxthon, Safari'den başka hangi tür tarayıcılar var diye gezintiye çıktım. Gereksizdi, ama gelecek hakkında ipuçları verebilirdi küçük, önemsiz de olsa.. Inndir.com'da arama yaptım. Karşıma çıkan sonuçlarda:

Milliyet Emlak Browser

diye ilgimi çeken bir program çıktı. Inndir.com'un program tanıtım sayfası çıktı:

Dedimki Milliyet sıradan bir gazete değil, acaba tarayıcısı nasıl (IE'den wrapper bile yapsa en azından arayüzü nasıl yapmışlar, verdikleri ad olan Emlak ile uyumlu tarafları var mı?) düşüncesiyle tanıtımı hızla okuyup inndirdim (!) Açtım ve açmamla kapamam bir oldu. Sadece İleri Geri tuşları olan içinde IE gömülü aptal bir programdı.

Ama sistemde garip birşeyler farkettim. ! Comodo her işleme uyarı vermeye başladı. Ne ayak diye daldım ve gördüklerime inanamadım. Keyhook.dll, Mousehook.dll ve de csrss.exe dosyaları
Program Files\Internet Explorer\PC\ dizininde feyk atıyorlar. Bir gittim gözlerime inanamadım. Errors.txt klasöründe şifresiz bir halde son 20 dk içinde yazdığım herşeycikler orada duruyordu. Msndeki yaptığım hacı naber geyikleri, bir foruma üye oluşum, Google'da aradıklarım, hep kullandığım rar şifresi... apaçık duruyordu. 20 değil de 20 gün olsaydı, belki kullandığım visa card şifremi görebilirdim.

Üstelik sistemde Nod32 v2.70 yüklüydü. Ona çok inanarak yola çıkıyordum. Ama o gıkını çıkarmadı. Zaten yollarımızı ayırdık kendileriyle.

Hemen taramalarda bulundum. Keşke daha önceden yapsaymışım Virus total sonuçları:

emlakbrowser.exe : http://www.virustotal.com/analisis/5...c2fec3947da093
oluşturduğu exesi: http://www.virustotal.com/analisis/e...2d4f6a89f1fb7c
diğer dll dosyalarını da virustotal ' a yolladım ama yayınlama gereği duymadım.

OLAY APAÇIK ORTADA.

- - - - - - - - - - - - - - - - - - - - -


BİR DE ÇOĞUNUZ İÇİN SIRADAN GELECEK TESPİTLERİM VAR:

1 - PROGRAM TANITIMI: Ciddiyetsizlikle yazıldığı bir profesyonel anlayabilir. Mantıklı bir açıklama gayretleri gözden kaçmıyor. Hiç bilmeyen ya da inndir.com'a canı gönülden inanan saflar serisi gözü kapalı inanır.

Alıntı:
Emlak Browser; Emlak ilanlarınızı daha kolay yayınlamanıza ve incelemenize yardımcı olmak amacıyla Milliyet ve Milliyet Emlak üyeleri için ücretsiz olarak yayınlanmaktadır.

Bu web sayfa gösterici sayesinde İnternet Explorer, Opera, Firefox gibi web tarayıcılar ile inceleme yaparken resimlerin gösterimindeki yavaşlıklar da ortadan kalkmaktadır.

Aradığınız emlak içeriğine daha kolay ve hızlı olarak erişebilmenizi amaçlayan bir tarayıcı web sayfalarındaki birçok özellikten arındırılarak hazırlandığı ve bilgiyi direkt Milliyet Emlak Web Sunucularından aldığı için önemli bir miktar hız sağlamaktadır.

Milliyet Emlak Browser Programı ile ilgili her türlü sorun ve yardım talepleriniz için milliyet@emlakbrowser.com adresine e-posta gönderebilirsiniz.

Programın Kullanımı :
Programı kullanmak için bilgisayarınıza hiçbir kurulum yapmanıza gerek yoktur. Sadece innDireceğiniz dosyayı çift tıklayarak açılması için 3-5 saniye kadar beklemeniz yeterlidir. Sonra Milliyet Emlak Sistemini istediğiniz gibi kullanabilirsiniz. İşiniz bittiğinde sadece sağ üst köşedeki X işaretine basarak kapatmanız yeterlidir. Tabi üye iseniz ve üye girişi yaptıysanız üye çıkışı yaptıktan sonra X işaretine basmanız gerektiğini de hatırlatalım.
2 - TANITIMDA GEÇEN AŞAĞILIK NOTLAR: Niyetlerini gizlemek adına yazılmış ezik notlar.. Değil profesyonel istese çocuk bile anlar.. Her satırı tek tek okuyun. Gerçekten korku-trajikomik:
Alıntı:
Editörün Notu :
Programı indirme ve kullanma aşamalarında güvenlik duvarı (firewall) özellikli koruma programı olan ziyaretçilerimizin, “güvenlik riski olabileceği” şeklinde bir uyarı alabileceklerini belirtmek istedim.
Bu uyarıdan dolayı korkulacak bir durum olmayıp, Emlak Browser programının normal internet tarayıcılarının iletişim yollarından farklı yöntemlerle sunucularından veri aldığından kaynaklanan bir hatırlatma uyarısıdır.
innDir.com Editörlerinin ziyaretçilerinin istifadesine sunduğu programları yayınlamadan önce çeşitli güvenlik, performans, kalite gibi testlerden geçirdiğini de hatırlatmak isteriz.
3 - ÜRETİCİ FİRMA ve LİNKİ: Üretici Firma: Milliyet Gazetesi Emlak Servisi linki de milliyet.emlakbrowser.com
Aldatıcı olması için kendileriyle ilgili kısmı çerçeveye gömüp, diğer kısımları emlak.milliyet.com'dan almışlar. Zaten adres kendini ele veriyor. Yaptıkları logoya dilim varmıyor.

4 - TANITIMI, NOTU, PROGRAMI KOYAN EDİTÖR : Üst Editör diye ortalıklarda gezinen * bir editör: acne
INNDIR SAYFASINDAKİ ÜYE PROFİLİ : Burada dikkat edin kullandığı antivirüse vurgu yapmış.

- - - - - - - - - - - - - - - - - - - - -

Ben yaşadıklarıma halen inanamıyorum. Herşey saat gibi ayarlanmış, tıkır tıkır işliyor. Hatta öyleki ondan daha alt siteler marifetmiş gibi yaptıkları copy-paste olayından dolayı nette daha da yayılmış halde bu sahteler ötesi program..

Kod:
Teori : Şu da olmuş olabilir, bütün bu olaylar sık sık hacklenen inndir.com'un tamamen hackerların elinde tehlike bir silaha dönüştürüldüğne dair bir gösterge olabilir...
Ama bu şimdi önemli değil. Bizler elimizden geleni ortaya koymalıyız. Burası bir güvenlik forumu ise el birliği ile birçok insanımızın inandığı, güvendiği bu siteye bir çözüm bulalım.

Buradan doctus.org yetkililerine çağrı;
Bir test pc'sinde konuyla ilgili araştırma yapsınlar, çözümü buraya koyarlarsa şu ana kadar indirmiş en az 300 kişiye yardımcı olabilirler.

Aynı zamanda Milliyet.com'a mail ile başvurursak Milliyet ilgili siteye hukuki yollarla siteye engelleme getirirse(hatta mümkünse inndir.com'a) yerinde olacaktır.

Hatta stopbadware.org'a rapor edilmesini öneriyorum. Hiç değilse Google sonuçlarında bu durum gözükmeli.

Bundan sonra inndir.com'u sıkı gözetim altına alıyorum, eğerki teori doğruysa bunların ardı arkası kesilmeyecek.

Saygılarımla doctus.org'a bildiririm.

Eğerki sayfalar silinirse;
Konuyla ilgili ekran görüntüleri: (emlakbrowser.exe dosyasını isteyen bünyelere yollayabilirim)

Tanıtım sayfası:




Sözde üretici sayfası:




Üst üyenin profili:



ALINTIDIR.
Kaynak: http://doctus.org/inndir-com-trojan-...0.html?t=30250

[fblim]

http://doctus.org/inndir-com-hangi-d...yor-t1832.html

Arkadaslar bende İNNDİR.COM'u cok kullanan biriyim.

Bu haberlere çok saşırdım

[PESSIMIST03]

daha önce de bu konuyu tartışmıştık burada.

[hknmnd]

arkadaşım ne bu kin, ne bu öfkee resmen savaş açmışsın sen iindir.com'a valla bnde çok sık kullananlardan biriyim ama bugüne kdr herangi bi virüse rastlamadım inş. bundan sonrada rastlamam...