Şimdi Ara

Superonline - Türk Telekom casus yazılım mı indirtiyor?

Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
2 Misafir - 2 Masaüstü
5 sn
7
Cevap
0
Favori
920
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
0 oy
Öne Çıkar
Sayfa: 1
Giriş
Mesaj
  • Ben mevzuyu yanlış anlıyorda olabilirim, o yüzden uzman arkadaşlar yorumlarsa sevinirim;

    Bir haber okumuştum. Haber farklı kaynaklarda da vardı; indirmelerin zararlı / modlanmış yazılımlara yönlendirildiği ile ilgili.

    https://www.mobilkulup.com/threads/turk-telekom-icin-casus-yazilim-yukledi-iddiasi.4681/

    https://www.teknolojice.com/turk-telekom-casus-yazilimlar-yukluyor/

    Format atıp ilk olarak kurduğum şeylerden biri firefox. Yaptığım ilk aramam sonucu https ile başlayan bir siteye gidiyor ve ordan indiriyorum. Şüpheli hiç bir durum yok. Mozilla sayfası...

    Haberi hatırlayınca; dün işyerimde ki PC'den yine firefox indirdim ve indirme bağlantısını kopyalayıp kendime e-posta olarak attım.

    Eve gelip o indirme bağlantısına tıklayarak tekrar indirdim ve özelliklerine baktım. Eski indirme dosyasıda duruyor. İkisini yanyana koyup karşılaştırdığımda dosya özellikleri birebir aynı görünür iken;

    Superonline - Türk Telekom casus yazılım mı indirtiyor?


    Sağ taraftaki benim evimde ilk indirdiğim, sol tarafta ise yeniden indirdiğim. İndirme bağlantıları farklı çıkıyor zaten. Ancak sağda gördüğünüz üzere "bilinmeyen hesap" yazıyor 2 tane!? Kim bu kullanıcılar?


    Her iki dosyayı virus total'e ayrı ayrı yükledim; İşyerinden gelen bağlantı ile indirdiğim bu şekilde görünüyor;


    SHA-256File name 84abba8ef2f5caa66af8664878c24e9d2a9e8f2c7b4b9bc6a36ed711e0ab6634

    Firefox Installer.exe


    İlk indirdiğim ise;

    SHA-256File name 0d3e73ecdbc67a57ab040dd4c9ef198c8db4e25553a4e9c633bcd6ec64d4f5a

    17zS.sfx

    Şeklinde tanımlanıyor. Her iki dosyayının boyutları aynı

    Superonline - Türk Telekom casus yazılım mı indirtiyor?


    Taramalarda herhangi bir virüs, malware vs çıkmıyor. Ancak PC'nin performansı gün içinde tuhaflaşıyor... Birileri PC'ye uzaktan mı bağlanıyor?

    İndirdiğiniz tüm dosyaların özelliklerine bakın, virustotal'de aratın. İndirme bağlantılarını kontrol edin.



    < Bu mesaj bu kişi tarafından değiştirildi cybernoid -- 4 Nisan 2018; 16:54:49 >







  • Verdiğiniz linkte ki haberde anlattıkları olay HTTPS bağlantılı bir siteye girseniz bile, indirdiğiniz dosyanın linki HTTP üzerinden veriliyor. Girdiğiniz site HTTPS bağlantılı bir site olsa bile, asıl dikkat etmeniz gereken olay, o site üzerinden indirdiğiniz dosyanın bağlantının HTTPS olması. HTTPS bağlantı üzerinden indirme gerçekleşiyorsa sorun olacağını sanmıyorum.

    Önlem olarak bir kaç şey önerebilirim.

    Tarayıcılarınıza HTTPS Everywhere eklentisini kurabilirsiniz.

    Routerınızın şifresini ve Wireless şifrenizi değiştirebilirsiniz. Ek olarak Wireless şifrelemenizin WPA2 ve AES/CCMP olduğundan emin olunuz.

    Diğer sorunuza gelirsek, gördüğüm kadarıyla Windows 10 kullanıyorsunuz. Windows Defender ve Windows Firewall kullandığınızı varsayıyorum. Önlem olarak şu ayarları bir kontrol etmenizde fayda var.

    Güvenlik Duvarınızı varsayılan ayarlarına sıfırlayabilirsiniz. Özel ağ olarak görnüyorsa Ortak ağı seçmenizi öneririm.

    Superonline - Türk Telekom casus yazılım mı indirtiyor?

    -
    Superonline - Türk Telekom casus yazılım mı indirtiyor?

    -
    Superonline - Türk Telekom casus yazılım mı indirtiyor?

    -
    Superonline - Türk Telekom casus yazılım mı indirtiyor?

    IPv6 kapalı olarak ayarlı ve IPv4 üzerinden DNS'lerde her hangi bir anormal durum var mı diye kontrol edebilirsiniz. Cloudflare veya Quad9 ücretsiz DNS hizmetlerini önerebilirim.

    Bunları yapmak 5dk bile almıyor. Malware konusunda şunu söyleyebilirim. Tabii ki şüphelendiğiniz dosyaları VirusTotal'de taratın, dosya tanımlarına bakın. Ama, Hacker kodu kendisi yeni yazdıysa Lamer değilse ve VirusTotal gibi sitelere yüklemediyse, antivirüs tespit edemez. Bunu Davranış tabanlı tespitler yapan AI yani yapay zekası gelişmiş güvenlik yazılımları/çözümleri belki tespit edebilir.




  • Ek olarak şu adresleri kullanabilirsiniz. Güncel olarak Offline kurulum paketlerini indirebilirsiniz.

    https://www.mozilla.org/tr/firefox/all/

    https://ftp.opera.com/ftp/pub/opera/desktop/

    Buradan güçlü parolalar oluşturabilirsiniz.
    https://www.lastpass.com/password-generator




  • Sondan gideyim; ortak ağ olarak seçili.

    AVG ve Comodo firewall kurulu. Windows kurduktan sonra ilk bunu yaptım.

    VirusTotal'e yüklerken, benim ilk indirdiğimi ilk kez hash yaptı. Birazda kıllandığım durum buydu. Virustotal'de herhangi bir yazılım negatif olarak işaretlemedi.

    Bağlantım kablolu.

    Söylediğiniz DNS'lere bir bakayım, teşekkürler.


    Peki bu dosyanın böyle olması anormal mi değil mi?



    < Bu mesaj bu kişi tarafından değiştirildi cybernoid -- 4 Nisan 2018; 21:18:11 >
  • cybernoid kullanıcısına yanıt
    Ben bir sorun olduğunu sanmıyorum. Önlemlerinizi aldıktan sonra kafanıza takmayın. HTTPS Everywhere eklentisini kullanmıyorsanız mutlaka tarayıcınıza eklemenizi öneririm.
    AVG gereksiz. Comodo Firewall'ı şu ayarlarla kullanmanızı tavsiye ederim.
    https://www.youtube.com/watch?v=FoIu3Z2ImO8
  • Kullanıcılar ekranında görünen hesaplar o dosyaya ait kullanıcılar değil, o bilgisayarda tanımlanmış kullanıcıları gösterir. Çalıştır komutunda tırnaksız "control userpasswords2" komutunu girin, çıkan pencerede o bilgisayarda tanımlı kullanıcı hesapları görüntülenecektir. Eğer söz konusu kullanıcı hespaları ev bilgisayarınızdaysa bu pencereden bilmediğiniz o hesapları kaldırabilirsiniz. Ama iş yerinizdeki bilgisayardaysa o zaman sorumlusuna haber verin derim, bazen sunucu bazlı sistemlerde bu tür hesaplar IT'ler tarafından açılabiliyor. Ev bilgisayarımda bu tür hesaplar daha çok .net framework kurulumunda açılırdı otomatik olarak, hepsini kaldırırdım.
  • Netframe ile kullanıcı gelmesini daha önce görmüştüm. Zaten sorun başka kullanıcı olmaması. Admin hesabı + şifre ile kullanıyorum, tanımlı başka kullanıcı yok

    Yine de dediğin komutla kontrol ettim, başka kullanıcı yok.

    Kurulmuş bir dosya olsa kullanıcı çıkmasını anlarım ama, henüz kurulmamış dosyada 2 tane kullanıcı görünmesi tuhaf.

    Firefox dışında indirdiğim hiç bir exe dosyasında böyle bir durum yok, hepsini tek tek kontrol ettim.

    Virustotal'in birini firefox installer diye tanımlarken, diğerini 17zS.sfx tanımlası garip değil mi?



    < Bu mesaj bu kişi tarafından değiştirildi cybernoid -- 5 Nisan 2018; 11:59:4 >
  • 
Sayfa: 1
- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.