Ahlaksızlığın Yeni Adı HaberlerYeni.com

Evet, son birkaç gündür karşımıza çıkan Haberleryeni.com reklamlarından bahsediyorum. Virüs / Zararlı Yazılım veya benzeri bir kötü amaçlı kod ile sisteme bulaşarak tarayıcınızda herhangi bir bağlantıyı tıkladığınız zaman HaberlerYeni.com İnternet sayfası açılıyor.

Aynı zamanda mobil tarafta da bir reklam gibi Haberleryeni.com’u görüyoruz. Hem Android hem de iOS mobil cihazlarda Haberleryeni.com’u bir reklam virüsü olarak görüyoruz!

Farklı bilgisayar üzerinde farklı modemler ve farklı İnternet bağlantıları ile test ederek, sorunun ne olduğunu anlamaya çalışıyorum. Bu ahlaksız kişi / kişiler  zararlı kod ya da bir açık kullanarak bilgisayarlarda yeni sekme ile Haberleryeni.com İnternet sayfasını açtırıyor.

Tarayıcınızda, herhangi bir bağlantıyı tıkladığınız zaman 186247e03ca0579e97182bc24d793dd3.com alan adı üzerinde birçok sayfaya yönlendiriliyorsunuz.

186247e03ca0579e97182bc24d793dd3.com

Bu alan adına girdiğiniz zaman Google’a yönleniyorsunuz. Sanki Google’mış gibi gizlenilmeye çalışılmış. Halbuki alt sayfalarda durum çok farklı! Alan adı Whois bilgileri gizli, aynı  zamanda CloudFlare arkasına alınarak gizlenmeye çalışılmış.

Bu nedir? 

Benden habersiz bilgisayarımda / farklı bir şekilde bir zararlı kod ile, saçma sapan bir alan adı üzerinden, Haberleryeni.com’u isteğim dışında açtırıyor ve ziyaretçi kazanıyorlar! Haberleryeni.com’un kaynak kodlarını açıp, incelediğimizde aşağıdaki adres meta etiketleri arasında karşımıza çıkıyor.

view-source:186247e03ca0579e97182bc24d793dd3.com/bets.php

Kaynak kodlardan gördüğüm kadarı ile Title’da Gezinti ismini kullanmış. Aslında bu Gezinti’nin TTNet’in Gezinti servisi ile hiçbir alakası yok! Sadece sizleri Gezinti Servisi gibi bir hizmet olduğuna ikna etmeye çalışıyor.

İçeride bulunan bir form sayesinde bit.ly/1rGMX6s URL kısaltma servisine yönleniyor. Bu servis üzerinden de Haberleryeni.com‘u açtırıyor.  bitly.com/1rGMX6s+ sayfasına bakarsanız, Haberleryeni.com’un bu virüs / zararlı sayesinde 3 gün içerisinde 884.154 kez yönlendirildiğini göreceksiniz!

Yani Haberleryeni.com bu sayede 3 gün içinde 1 milyona yakın ziyaretçi kazanmış!

haberleryeni

 

haberleryeni_ziyaret

view-source:186247e03ca0579e97182bc24d793dd3.com/popup.php

…adresini görüyoruz. Bu adres üzerinde Popup pencere ile reklam açtırdığını görmekteyiz. Açılan Popup pencere ile işletim sistemimize göre farklı sayfaları refer ederek bizlere reklam, servis üyeliği gibi sayfalara yönlendiriyorlar. Android, IOS ve Windows için farklı sayfalar tanımlanarak size bir Cookie atanıyor ve bu sayfalara yönlendiriliyorsunuz.

view-source:186247e03ca0579e97182bc24d793dd3.com/login.php

…yine kodlar içerisinde yukarıdaki gibi bir adres var. Bu adres üzerinde +18 İÇERİK adı altında mobil bir servis üyeliği bulunuyor. Sanırım cep telefonlarına bulaşarak, insanları bu servise üye yaptırıyorlar. Sonrasında aylık 10, 20 ve 50TL‘lik üyeliklerle para kazanıyorlar! Kullanıcılar da ay sonu faturalarında büyük bir sürpriz yaşamaktalar…

view-source:186247e03ca0579e97182bc24d793dd3.com/ads.php

view-source:186247e03ca0579e97182bc24d793dd3.com/ads2.php

Ayrıca, bu adresler üzerinden de yönlendirme yapılıyor. Ads.php kodları arasında sizi Android.php adresine yönlendirdiğini göreceksiniz. Bu sayfa üzerinden de karşınıza reklamları çıkartıyorlar.

view-source:186247e03ca0579e97182bc24d793dd3.com/ads3.php

Adresine baktığımız zaman ise, fare hareketlerimizi kontrol ederek, bir koordinat üzerinde tıklama yaptıklarını görüyoruz. Tahminimce Facebook Beğen yaptırarak sizleri habersiz bir sayfayı beğendiriyor olabilirler.

view-source:186247e03ca0579e97182bc24d793dd3.com/ads4.php

…sayfası üzerinden de gördüğüm kadarı ile yine HaberlerYeni.com’a yönlendiriliyoruz. İçerisindeki Bets.php sayesinde bu yönlendirme yukarıdaki gibi yapılıyor.

view-source:186247e03ca0579e97182bc24d793dd3.com/sec.php

Bu adres üzerinde ise www.yfilmizle.com isimli bir web sayfasına yönlendirildiğimizi görüyoruz. Yine ziyaretçi kazanmak için uygulanan yöntemlerden bir tanesi olarak karşımıza geliyor. Birçok kişiye de yfilmizle.com sayfası ziyaret ettirilmeye çalışıldığını görüyoruz.

view-source:186247e03ca0579e97182bc24d793dd3.com/android.html

view-source:186247e03ca0579e97182bc24d793dd3.com/iOS.html

Bu sayfalara baktığımızda ise, Android cihazları ve IOS cihazları bitly.com/1mWBr5y+ adresine yönlendirdiklerini görüyoruz. Bu adres üzerinde ise yine mobil operatörlerle yapılan servis üyeliği karşımıza çıkıyor. Görebildiğim kadarı ile 4 gün içerisinde 500.000 kişiyi bu sayfaya yönlendirmişler! Yazık…

domain_graph

Peki sisteme nasıl bulaşıyorlar?

Asıl merak ettiğim soru bu! Bir web sayfası üzerinden mi? Bir açıklık kullanarak mı? Henüz bulamadım… Bu işten anlayan uzman arkadaşlara ilettim. Sanırım kısa bir süre sonra bunu tespit edeceklerdir.

Norton Internet Security ve birkaç Malware aracı ile sistemdeki Cookie’leri silerek denemeye devam ettim. Bazı sayfalarda bu toollar kullanılarak silinebildiği söyleniliyor. Ancak öyle değil…

domain_graph2

Çakal o kadar düşünmüş ki, bu sayfayı günde 1 kez açtırıyor. Bilgisayarınızdan temizlediğinizi zannediyorsunuz. Ancak yine karşınıza ertesi gün çıkabiliyor.

Devamında yazıyı güncelleyeceğim. Umarım kısa sürede tespit edilir ve bu HaberlerYeni.com’dan kurtuluruz! Gelelim Haberleryeni.com yetkililerine?  Adamlara ulaşıp bu virüsü söylemek istedim. Ancak adamların künye sayfası boş, iletişim kurmak için bir form var  o kadar…

Ne e-posta adresi, ne de telefon? Yani durum belli…

GÜNCELLEME: Site el değiştirmiş yani satılmış. Yeni sahipleri bilgilerini girmiş durumda. Bu yazı 2014 yılına aittir.

“Ahlaksızlığın Yeni Adı HaberlerYeni.com” üzerine 32 yorum

  1. Milli eğitim bakanlığının internet hattında da aynı durum var. Modemi sıfırlayıp tekrar kurmama rağmen halen devam etmekte. Çözümü arıyoruz.

    Cevapla
  2. Sabahtan beri pc’yi aratmadığım malware,virüs programı kalmadı hiç bir şey bulamadı bu illeti son olarak modem ayarlarını değiştiricem.

    Cevapla
  3. Aynı sorunu ben de yaşadım. Bir gün birdenbire bilgisayarımda Explorer da ekranın ortasında bir popup açıldığını içinde reklamların geçtiğini gördüm. Popup ekranın tam ortasında duruyor ve yazıları okutmuyor. Popup penceresinin sağ ust köşesinde x işareti vardı. Tıklandığında arka arkaya bir kaç link açılıyor, bu linklerin birinde gezinti yazıyor, en son haberleryeni.com a bağlanıyorsunuz. Mozilla yi açtım, onda da durum aynı. Google haricinde hangi siteye girersem gireyim bu popup aciliyordu. Bilgisayara virüs bulaşmış diye düşündüm. Bir ara cep telefonundan bir siteye bağlanayim dedim onda da durum aynı. Hanımın kullandığı tablet baktım onda da durum aynı. Telefondan popup un kapatma butonuna Tıklandığında bir kaç link açıldıktan sonra beni bu sefer haberleryeni.com a değil de bir mobil oyun sitesine yönlendiriyor. Popup un içindeki reklama Tıklandığında ise sadece o reklamda geçen site açılıyor. Hem telefonun Hem bilgisayarın hemde tabletin ustelik hepsinin farkli farklı browser lârının hepsinde birden aynı popup un çıkması beni çok şaşırttı. Üstelik bilgisayar, telefon ve tablet hepsi ayrı işletim sistemleri kulllaniyor. Tek ortak noktaları hepsi aynı wireless modemden ttnet in aynı internetini kullanıyor. Aklıma modem virüs bulaşmış olacağı geldi. Telefonun wireless ini kapattım ve mobil internete bağlandı. Bu sefer aynı popup yine açılıyor ama içinden reklam geçmiyor. Bu boş pencereyi bir kere kapattım ve bir daha da açılmadı. Tekrar wireless e bağlandığımda ise popup hemen geri geliyor ve içinden reklamlar geçiyor. Bu kesinlikle ya modemle yada ttnet le alakali birsey dedim. Hemen modemi resetledim, bilgisayara format attım, telefon ve tableti de fabrika ayarlarına döndürdüm. Modemi ttnet şifresini de değiştirdim. Üç gün oldu, şimdilik popup falan gelmedi. İnşallah ebediyen kurtulmusumdur.

    Cevapla
  4. arkadaşlar , bu illetten muzdarip olanlara soruyorum

    * statik ip mi kullanıyorsunuz ?
    * Kullandığınız dsle uzaktan erişim aktif mi ?
    * Aktif ise kullanıcı adı ve parolası default olarak mı durmakta ?
    * msconfig başlangıç değerleri arasına yeni katılan birşey farkettiniz mi ?
    * pop up aktif olduğunda gorev yoneticisinde aktif farklı bir uygulama beliriyor mu ?

    Cevapla
  5. modemininizin
    giriş şifresi admin ttnet yada admin admin ise bir şekilde modeminizin açık portları üzerinden birşeyler kaydedip yönlendirme yapıyorlar, modemi resetledim ve giriş şifresini değiştirdim sorun çözüldü gibi

    Cevapla
  6. Bu kodu yazana epeyce saydıktan sonar modemi resetlemeye kararverdim. Önce herşey normal görünüyordu, fakat yine sapıttı. özellikle habe okumak imkansızlaştı. syfanın tam ortasına yerleşp kalıtyor. Anladığım kadarıyla her işletim sistemine gore faklı çerezler kullanıyor. Buraya yazmadan edemedim+. Bu çok can sıkıcı bir durum. 1_Modemi resetlemek çözüm değil.fakat bir aşama. Şunu yaptım. unlocker indirdim. ve youruninstalleri açtım. temizle komutundan sonar kalan dosyalara baktım. Şüpheli görülen js komutları içeren dosyaları ne yapsam silememiştim. unlockerle sildim.
    system şu anda kararlı görünüyor. Uzman arkadaşlar bu js komutlarının içeriğine göz atarlarsa çok sevinirim.
    Bu komut dosyaları sistemle entegre gibi çalışıyor. Muhtemeldir ki sıkıtıyı buradan yaşatıyorlar. Bir virus değil.

    Cevapla
  7. Bu sorunun çözümü tarayıcıyı sıfırlamaktan geçiyor arkadaşlar benimde başıma geldi denemediğim yöntem kalmadı modemi değişdirdim kaç kez yeniden kurdum sonra farkettimki tarayıcıdaki çerezleri temizlediğimde kurtuldum bu illetten umarım bir kaç kişiye faydam dokunmuştur hayde rastgele .

    Cevapla
  8. Kesinlikle bu bazı eski modemlerde görünen modem virüsü, modem üreticileri güncelleme yayınlamadığı için yıllar önceki açıktan faydalanıp modemin belleğine yerleşiyorlar.
    Modemi resetleyip arayüze ve internet şifresine bişeyler koyarak geçici bir çözüm bulabilirsiniz.
    Yada yeni bir modem alarak problemi kökten çözebilirsiniz.

    Cevapla
  9. Merhaba haberleryeni kodunu bulan var mı? Uzun bir rahatsızlıktan sonra çözüm local user üzerindeki temp dosyasının içinde normal şartlarda silinemeyen Js dosyalarını unlocker kullanarak silmek.
    Son durum şöyle; Modeme rakatlıkla giriyorum. Regedit’e hasar vermiyor, Antivirus programları bu kodu “zararlı” olarak algılamıyor.
    Epilog: Bu şekilde para kazanmaya çalışan koder suç işlemektedir.Yakalanmaması imkansızdır. Benzeri çok görüldü.
    Bu tehlikeli bir yol.

    Cevapla
  10. Selamlar..
    web den yaptığım araştırmaya göre bazı arkadaşlar bilgisayarını formatlamış ve sorun yine de düzelmemiş.
    az çok regedit i ve bazı ayarları kontrol ettiğim kadarı ile hiç bir iz bulamadım.

    1- bu malware kendini tarayıcıların arama yöneticisine kendini arama motoru olarak kaydediyor
    2- bilgisayarınızdan tüm cookie’leri ve temp klasörleri silin
    3- büyük ihtimalle bu virüs modeminizi de ele geçiriyor, ben şuan modemimin admin paneline giremiyorum.
    ya modem yazılımının bug’ı var önce modemi ele geçiriyor; onun üzerinden de tüm internetinize hakim oluyor
    – ya da bilgisayarınıza bulaştıktan sonra kayıtlı olan modem kullanıcı adı ve şifreniz üzerinden modeme erişip tüm internet aktivitelerinizi kayıt altına alıyor.

    tam temizlik için; pc yi virüsten temizledikten sonra modem reset şart.

    Cevapla
  11. Bu sorun tplink ve zyxel modemlerdeki dns acigindan kaynaklaniyor. Modeminizi disaridan erisime kapatin. Ayrica dns degistirin. Tarayicinizi sifirlayin.

    Cevapla
  12. Tarayıcınızı sıfırladığınız halde yine de anasayfa değişmiyorsa, hemen tarayıcı programının kısayolunun özelliklerine bakın, örneğin C:\Program Files\Internet Explorer\iexplore.exe 186247e03ca0579e97182bc24d793dd3.com gibi program adının sağ tarafına gidilmesi istenen bir internet adresi eklenmiş olabilir.

    Cevapla
  13. Bu yazıyı kaldırırsanız sevinirim. Çünkü domain sahibi değişti ve bu yazı kötü bir reklam olmakta

    Cevapla
    • Künye sayfanız çalışmıyor. İletişim kısmında ad, soyad, adres ve diğer bilgiler yok. Sadece bir Gmail adresi verilmiş. Kusura bakmayın… Bu yazıyı kaldıramam. Sitenin sahibinin değiştiğini nasıl anlayacağım?

      Cevapla

Yorum yapın

teakolik hamza şamlıoğlu blog logo

Wordpress altyapısını kullandığımız bu sistem, Sunucu Çözümleri firmasında yüksek performans sağlayan özel sunucularda barındırılmaktadır. Görüntülemek için en iyi Chrome tarayıcı, 1920x1080 çözünürlük ve Full HD Android telefonlarda çalışır. Ayrıca Sitedeki içeriği istediğiniz gibi çarpabilirsiniz. :)