Bende yaklaşık 5 gündür düzenli olarak fiyatlara bakıyorum. Siteye üye değilim ve hiçbir alışveriş yapmadım. En son depolama birimimi yeniledim. Aldığım andan itibaren Comodo İnternet Security uygulaması yüklü (Baktığım süreçte hiç devre dışı bırakmadım.) ve THE_MILLER ın paylaştığı İdeal Güvenlik ayarları ile yapılandırmıştım. Sitede gezdiğim sürede de hiç hata almadım. Güncel tanımlarla tam taramadan bir şey çıkmadı. Korkmam gereken bir durum var mı ?
Teknobiyotik'de trojan
- Konuyu başlatan Chucky47
- Başlangıç Tarihi
- Mesaj 136
- Görüntüleme 13.337
- Katılım
- 5 Temmuz 2019
- Mesajlar
- 4.603
- Makaleler
- 27
- Çözümler
- 160
Murat5038 sitenin içinde zararlı hareket tespit ettiği için tedirgin oldum biraz. Bilgisayarda da sorun gözükmüyor. Haklısınız galiba.
Son düzenleme:
Ben direkt zararlı diye gösterilen adresleri ve sitenin kendisini inceledim. False positive
Kaspersky kullananlar yanlış alarm olduğunu belirterek Kaspersky laboratuvarına bildirebilirler. Düzeltilecektir.
Bunu neye göre dayanarak "false-positive" diyebiliyorsun? Şuanki uyarının sebebi goog-analytics kullanarak yerleştirilen zararlı kodun google-analytics'e kullanıcılarının kart bilgilerini göndermesi ile oluyor. Yani uyarı veren o firebasestorage websitesi zaten scriptin kendisi değil, o site Google tarafından geliştirilere web site/mobil uygulama için geliştirdikleri bir platform. Sitedeki script bu platformu kullanarak bilgileri oraya aktarıyor. O yüzden firebasestorage virüs olamaz diye yorum yapılmamalı, çünkü onunla alakası yok.
Web skimming with Google Analytics
Web skimming is a common class of attacks generally aimed at online shoppers. The principle is quite simple: malicious code is injected into the compromised site, which collects and sends user-entered data to a cybercriminal resource. If the attack is
securelist.com
- Katılım
- 2 Temmuz 2014
- Mesajlar
- 11.253
- Makaleler
- 33
- Çözümler
- 224
Dediğiniz şey bir zararlı yazılım kategorisinde değil ama zararlı hareketi var. Bir nevi sniffer.Bunu neye göre dayanarak "false-positive" diyebiliyorsun? Şuanki uyarının sebebi goog-analytics kullanarak yerleştirilen zararlı kodun google-analytics'e kullanıcılarının kart bilgilerini göndermesi ile oluyor. Yani uyarı veren o firebasestorage websitesi zaten scriptin kendisi değil, o site Google tarafından geliştirilere web site/mobil uygulama için geliştirdikleri bir platform. Sitedeki script bu platformu kullanarak bilgileri oraya aktarıyor. O yüzden firebasestorage virüs olamaz diye yorum yapılmamalı, çünkü onunla alakası yok.
Web skimming with Google Analytics
Web skimming is a common class of attacks generally aimed at online shoppers. The principle is quite simple: malicious code is injected into the compromised site, which collects and sends user-entered data to a cybercriminal resource. If the attack is
Başta düştüğümüz hata dosyaya safi zararlı yazılım analizi yapmamızdı. Tutup dosyayı normal şekilde incelediğimizde sistem üzerinde olumsuz bir aktivitesi yoktu. Bu konu hakkında ikinci bir konu açıldı ve o konuda bu durumu daha detaylı inceleyeceğimizi söyledik.
Kaspersky Teknobiyotik sitesinde truva atı saptadı ve engelledi
Merhaba arkadaşlar, bugün AMD Wraith Prism işlemci soğutucusu için Teknobiyotik'in sitesine girdim (sıralamada önce o var diye) Kaspersky truva atı saptadı ve indirmeyi engelledi. Bilgilendirmek istedim.
Durumu daha detaylıca incelerken sitede "google-analytics" değil "google-analytic" şekilde dosyanın yazıldığını gördük. Zaten Kaspersky analitik dosyası olunca yazıyordu bunu tespit edince. Ek olarak zaten Firebase'nin ne olduğunu biliyorum.
İlgili JS dosyasını indirinip TXT formatında açınca bizleri obfuscate edilmiş şekilde kodlar karşıladı.
Kodları deobfuscate ettik ve incelemeye başladık.
Çıkan kodları @Murat5038 ile incelediğimizde dosyanın siteye girilen cookie ve birtakım verilerini çektiğini gördük.
Evet sisteme bulaştırdığı zararlı yoktu fakat birtakım olumsuz hareketler vardı. Bizler de meseleyi attığın makaleden yaklaşık önce 21 Haziran'da tespit ettik. O gün @Murat5038 hocama kodları attığıma ve istişare ettiğimize dair bir ekran görüntüsü.
Aynı şekilde @SideWinder hocamızla da sonra kodları inceledik. Sıkıntılı olduğu kanısına vardık.
Fakat bunlar hakkında açıklama yapmamızın site bu kaynakları kendisinden kaldırana kadar doğru olmayacağını düşündük. Bu sebeple konuya dün halen durumun devam edip etmediğine dair soru sordum. Çoğu kişi de aynı uyarıyı tekrar almadığını yazdığına göre bunları açıklayıp yazıyorum.
Bu bahsettiğimiz kodlar şu anda diğer arkadaşlar uyarı almadığına göre site üzerinde bulunmuyor. Yani sorun düzeltilmişe benziyor. Kodları, obfuscate ve deobfuscate hallerini buraya eklemiyorum Kaspersky konuya girenlere uyarı verebilir diye.
Uzun lafın kısası biz attığınız makaleden daha önce bunu zaten tespit etmiştik ve uygun zamanı bekliyorduk.
Teşekkürler : @Murat5038 @SideWinder.
Son düzenleme:
Dediğiniz şey bir zararlı yazılım kategorisinde değil ama zararlı hareketi var. Bir nevi sniffer.
Başta düştüğümüz hata dosyaya safi zararlı yazılım analizi yapmamızdı. Tutup dosyayı normal şekilde incelediğimizde sistem üzerinde olumsuz bir aktivitesi yoktu. Bu konu hakkında ikinci bir konu açıldı ve o konuda bu durumu daha detaylı inceleyeceğimizi söyledik.
Kaspersky Teknobiyotik sitesinde truva atı saptadı ve engelledi
Merhaba arkadaşlar, bugün AMD Wraith Prism işlemci soğutucusu için Teknobiyotik'in sitesine girdim (sıralamada önce o var diye) Kaspersky truva atı saptadı ve indirmeyi engelledi. Bilgilendirmek istedim.www.technopat.net
Durumu daha detaylıca incelerken sitede "google-analytics" değil "google-analytic" şekilde dosyanın yazıldığını gördük. Zaten Kaspersky analitik dosyası olunca yazıyordu bunu tespit edince. Ek olarak zaten Firebase'nin ne olduğunu biliyorum.
İlgili JS dosyasını indirinip TXT formatında açınca bizleri obfuscate edilmiş şekilde kodlar karşıladı.
Kodları deobfuscate ettik ve incelemeye başladık.
Çıkan kodları @Murat5038 ile incelediğimizde dosyanın siteye girilen cookie ve birtakım verilerini çektiğini gördük.
Evet sisteme bulaştırdığı zararlı yoktu fakat birtakım olumsuz hareketler vardı. Bizler de meseleyi attığın makaleden yaklaşık önce 21 Haziran'da tespit ettik. O gün @Murat5038 hocama kodları attığıma ve istişare ettiğimize dair bir ekran görüntüsü.
Eki Görüntüle 600299
Aynı şekilde @SideWinder hocamızla da sonra kodları inceledik. Sıkıntılı olduğu kanısına vardık.
Fakat bunlar hakkında açıklama yapmamızın site bu kaynakları kendisinden kaldırana kadar doğru olmayacağını düşündük. Bu sebeple konuya dün halen durumun devam edip etmediğine dair soru sordum. Çoğu kişi de aynı uyarıyı tekrar almadığını yazdığına göre bunları açıklayıp yazıyorum.
Bu bahsettiğimiz kodlar şu anda diğer arkadaşlar uyarı almadığına göre site üzerinde bulunmuyor. Yani sorun düzeltilmişe benziyor. Kodları, obfuscate ve deobfuscate hallerini buraya eklemiyorum Kaspersky konuya girenlere uyarı verebilir diye.
Uzun lafın kısası biz attığınız makaleden daha önce bunu zaten tespit etmiştik ve uygun zamanı bekliyorduk.
Teşekkürler : @Murat5038 @SideWinder.
Elinize sağlık. Kaynak kodu herkesin inceleyebilmesi için github gist veya Paste ofCode 'da paylaşabilir misiniz?
- Katılım
- 2 Temmuz 2014
- Mesajlar
- 11.253
- Makaleler
- 33
- Çözümler
- 224
Henüz şimdilik değil. Çünkü daha olay yeni ve art niyetli kişiler kolayca ulaşamasın. Ulaşırsa da bizden olmasın. Çoğu AV yazılımları tespit edecek hale gelince ileride detaylı şekilde de süreç yazılabilir.
- Katılım
- 29 Mayıs 2018
- Mesajlar
- 4.993
- Makaleler
- 1
- Çözümler
- 22
Alışveriş yapmak güvenli mi yani şimdi? Bir konu açmıştım ama trojanı sormama rağmen kimse trojana değinmedi.
- Katılım
- 2 Temmuz 2014
- Mesajlar
- 11.253
- Makaleler
- 33
- Çözümler
- 224
İki mesaj üstünü okuyun.
Hersti
Hectopat
Yani alalım mı?
