Archmacro adlı macro programını kullanan kullanıcıların hesapları ele geçirilmiştir. Bu programı yapan zihniyet öyle güzel programı pazarlamıştır ve rehavetine kapılmıştır ki hiç aklına bir ters mühendisin çıkıpta programı inceleyeceği aklına gelmemiştir sanırsam. (Ters Mühendislik yapan bu arada ben oluyorum.)
Macroyu çalıştırdığınız an yanındaki 3rd party program dediğimiz program parçacığı olan AutoItX3 86.exe isimli programı da otomatik olarak başlatıyor. O program arka planda gizli dosya açarak ekran görüntüsü almaya başlıyor ve txt jpeg ve ko ile ilgili dosyaları gmail smtp portunu kullanarak kendisine mail atmaya başlıyor ama!! burası çok önemli ! kesinlikle 1 mail adresi kullanılmıyor. Gönderen 1 mail adresi olabilir ama giden kısım wordpress sitesi oluşturulmuş ve arka planına gömülmüş headerların birleştirilerek textboxa geçilmesiyle birçok mail adresi ile eş zamanlı çalışılması sayesinde oluyor. Diyeceksiniz ki Knight Online (bildiğim kadarıyla diyorum çünkü oynamadım, bir arkadaşım soyulduğunu söyleyince olaya el atma gereği duydum) giriş için telefonunuza kod gelmesi gerekiyormuş. Peki bu adamlar sizi nasıl soymuş olabilirler ? Ufak bir kod araştırmasından sonra karşılaştığım olay beni benden aldı desem yeridir. Bir oyun sitesinden arka plana teamviewer.exe , tv_w32.dll tv_w32.exe TeamViewer_StaticRes.dll, TeamViewer_Resource_th.dll, TeamViewer_Desktop.exe, TeamViewer.ini, tv_x64.dll, tv_x64.exe dosyalarını çekiyor ve arkaplanda çalıştırıyor ve bu ayarlar adamın teamviewerına stabil olacak şekilde geliyor Boş zamanınızda veya siz uyurken adam girip sizden kendi karakterine her şeyi aktarıyor. İşi bittikten sonra programın arkada iz bırakmamak için teamviewer log filelarını silmesi vs. cabası. Kredi kartı bilgilerine kadar ulaştıkları bazı bilgisayar kullanıcıları olmuştur.
Bahsi geçen oyun sitesi ve örnekler :
http://oyunova.com/wp-content/uploads/general/a/TeamViewer_StaticRes.dll
http://oyunova.com/wp-content/uploads/general/a/TeamViewer_Desktop.exe
mail gönderen adres : [email protected]
gönderilen hesaplar : guccilibey@gmail , beyguccili@gmail, eygt268@gmail , ygtmusti@gmail, vakumlayici@gmail ve daha birçok hesap
ele geçirilen mail adresleri : beyguccili@gmail, guccilibey@gmail, [email protected] , [email protected]
reklam wordpress sitesi : archmacro.wordpress.com (bu da ele geçirilmiştir)
guccilibey gmail adresi içindeki gönderilen mailler : http://www.imgim.com/1758incix7414041.jpg
mail adresinin değiştiği wordpress : guccilibey.wordpress.com/cnt
http://imgim.com/cnt.jpg
h2 h3 h4 h5 ... yazan yerlerde hep mail adresi ve şifresi yazıyordu. Programda görünmeyen bir webbrowser vardı ve buradan onları çekip textboxa yazıyor ve sonra mail atması sağlanıyordu.
Archmacro kullanıcılarına geçmiş olsun dileklerimi iletiyorum
GÜNCELLEME !! YENİ SÜRÜMÜNDE autoitx3x86 adlı exe C:\Users\kullanıcıadı\AppData\Roaming adlı yere çıkartılıyor ve otomatik başlatılıyor
eğerki macroyu başlattıysanız Ctrl + Alt + Del tulşarı ile görev yöneticisini açabilir ve işlemlerde Autoitx3x86 isimli exeyi görebilirsiniz. Sağ tıklayıp dosya konumunu aç derseniz nereye çıkardığını göreceksiniz.
An itibari ile macronun reklam formu : http://www.imgim.com/9397incis209672.jpg
Yeni sürümün autoit adlı 3rd party exesini de reverse olarak ele almış bulunuyorum.
Güncelleme 2 !!
Yeni sürümde teamviewer dosyalarını çekmek için Anadolu Üniversitesi'nin açık öğretim fakültesi ftpsini kullanıyor.
Macroyu çalıştırdığınız an yanındaki 3rd party program dediğimiz program parçacığı olan AutoItX3 86.exe isimli programı da otomatik olarak başlatıyor. O program arka planda gizli dosya açarak ekran görüntüsü almaya başlıyor ve txt jpeg ve ko ile ilgili dosyaları gmail smtp portunu kullanarak kendisine mail atmaya başlıyor ama!! burası çok önemli ! kesinlikle 1 mail adresi kullanılmıyor. Gönderen 1 mail adresi olabilir ama giden kısım wordpress sitesi oluşturulmuş ve arka planına gömülmüş headerların birleştirilerek textboxa geçilmesiyle birçok mail adresi ile eş zamanlı çalışılması sayesinde oluyor. Diyeceksiniz ki Knight Online (bildiğim kadarıyla diyorum çünkü oynamadım, bir arkadaşım soyulduğunu söyleyince olaya el atma gereği duydum) giriş için telefonunuza kod gelmesi gerekiyormuş. Peki bu adamlar sizi nasıl soymuş olabilirler ? Ufak bir kod araştırmasından sonra karşılaştığım olay beni benden aldı desem yeridir. Bir oyun sitesinden arka plana teamviewer.exe , tv_w32.dll tv_w32.exe TeamViewer_StaticRes.dll, TeamViewer_Resource_th.dll, TeamViewer_Desktop.exe, TeamViewer.ini, tv_x64.dll, tv_x64.exe dosyalarını çekiyor ve arkaplanda çalıştırıyor ve bu ayarlar adamın teamviewerına stabil olacak şekilde geliyor Boş zamanınızda veya siz uyurken adam girip sizden kendi karakterine her şeyi aktarıyor. İşi bittikten sonra programın arkada iz bırakmamak için teamviewer log filelarını silmesi vs. cabası. Kredi kartı bilgilerine kadar ulaştıkları bazı bilgisayar kullanıcıları olmuştur.
Bahsi geçen oyun sitesi ve örnekler :
http://oyunova.com/wp-content/uploads/general/a/TeamViewer_StaticRes.dll
http://oyunova.com/wp-content/uploads/general/a/TeamViewer_Desktop.exe
mail gönderen adres : [email protected]
gönderilen hesaplar : guccilibey@gmail , beyguccili@gmail, eygt268@gmail , ygtmusti@gmail, vakumlayici@gmail ve daha birçok hesap
ele geçirilen mail adresleri : beyguccili@gmail, guccilibey@gmail, [email protected] , [email protected]
reklam wordpress sitesi : archmacro.wordpress.com (bu da ele geçirilmiştir)
guccilibey gmail adresi içindeki gönderilen mailler : http://www.imgim.com/1758incix7414041.jpg
mail adresinin değiştiği wordpress : guccilibey.wordpress.com/cnt
http://imgim.com/cnt.jpg
h2 h3 h4 h5 ... yazan yerlerde hep mail adresi ve şifresi yazıyordu. Programda görünmeyen bir webbrowser vardı ve buradan onları çekip textboxa yazıyor ve sonra mail atması sağlanıyordu.
Archmacro kullanıcılarına geçmiş olsun dileklerimi iletiyorum
GÜNCELLEME !! YENİ SÜRÜMÜNDE autoitx3x86 adlı exe C:\Users\kullanıcıadı\AppData\Roaming adlı yere çıkartılıyor ve otomatik başlatılıyor
eğerki macroyu başlattıysanız Ctrl + Alt + Del tulşarı ile görev yöneticisini açabilir ve işlemlerde Autoitx3x86 isimli exeyi görebilirsiniz. Sağ tıklayıp dosya konumunu aç derseniz nereye çıkardığını göreceksiniz.
An itibari ile macronun reklam formu : http://www.imgim.com/9397incis209672.jpg
Yeni sürümün autoit adlı 3rd party exesini de reverse olarak ele almış bulunuyorum.
Güncelleme 2 !!
Yeni sürümde teamviewer dosyalarını çekmek için Anadolu Üniversitesi'nin açık öğretim fakültesi ftpsini kullanıyor.
Son düzenleme: