Ahlaksızlığın Yeni Adı HaberlerYeni.com

Evet, son birkaç gündür karşımıza çıkan Haberleryeni.com reklamlarından bahsediyorum. Virüs / Zararlı Yazılım veya benzeri bir kötü amaçlı kod ile sisteme bulaşarak tarayıcınızda herhangi bir bağlantıyı tıkladığınız zaman HaberlerYeni.com İnternet sayfası açılıyor.

Aynı zamanda mobil tarafta da bir reklam gibi Haberleryeni.com’u görüyoruz. Hem Android hem de iOS mobil cihazlarda Haberleryeni.com’u bir reklam virüsü olarak görüyoruz!

Farklı bilgisayar üzerinde farklı modemler ve farklı İnternet bağlantıları ile test ederek, sorunun ne olduğunu anlamaya çalışıyorum. Bu ahlaksız kişi / kişiler  zararlı kod ya da bir açık kullanarak bilgisayarlarda yeni sekme ile Haberleryeni.com İnternet sayfasını açtırıyor.

Tarayıcınızda, herhangi bir bağlantıyı tıkladığınız zaman 186247e03ca0579e97182bc24d793dd3.com alan adı üzerinde birçok sayfaya yönlendiriliyorsunuz.

186247e03ca0579e97182bc24d793dd3.com

Bu alan adına girdiğiniz zaman Google’a yönleniyorsunuz. Sanki Google’mış gibi gizlenilmeye çalışılmış. Halbuki alt sayfalarda durum çok farklı! Alan adı Whois bilgileri gizli, aynı  zamanda CloudFlare arkasına alınarak gizlenmeye çalışılmış.

Bu nedir? 

Benden habersiz bilgisayarımda / farklı bir şekilde bir zararlı kod ile, saçma sapan bir alan adı üzerinden, Haberleryeni.com’u isteğim dışında açtırıyor ve ziyaretçi kazanıyorlar! Haberleryeni.com’un kaynak kodlarını açıp, incelediğimizde aşağıdaki adres meta etiketleri arasında karşımıza çıkıyor.

view-source:186247e03ca0579e97182bc24d793dd3.com/bets.php

Kaynak kodlardan gördüğüm kadarı ile Title’da Gezinti ismini kullanmış. Aslında bu Gezinti’nin TTNet’in Gezinti servisi ile hiçbir alakası yok! Sadece sizleri Gezinti Servisi gibi bir hizmet olduğuna ikna etmeye çalışıyor.

İçeride bulunan bir form sayesinde bit.ly/1rGMX6s URL kısaltma servisine yönleniyor. Bu servis üzerinden de Haberleryeni.com‘u açtırıyor.  bitly.com/1rGMX6s+ sayfasına bakarsanız, Haberleryeni.com’un bu virüs / zararlı sayesinde 3 gün içerisinde 884.154 kez yönlendirildiğini göreceksiniz!

Yani Haberleryeni.com bu sayede 3 gün içinde 1 milyona yakın ziyaretçi kazanmış!

haberleryeni

 

haberleryeni_ziyaret

view-source:186247e03ca0579e97182bc24d793dd3.com/popup.php

…adresini görüyoruz. Bu adres üzerinde Popup pencere ile reklam açtırdığını görmekteyiz. Açılan Popup pencere ile işletim sistemimize göre farklı sayfaları refer ederek bizlere reklam, servis üyeliği gibi sayfalara yönlendiriyorlar. Android, IOS ve Windows için farklı sayfalar tanımlanarak size bir Cookie atanıyor ve bu sayfalara yönlendiriliyorsunuz.

view-source:186247e03ca0579e97182bc24d793dd3.com/login.php

…yine kodlar içerisinde yukarıdaki gibi bir adres var. Bu adres üzerinde +18 İÇERİK adı altında mobil bir servis üyeliği bulunuyor. Sanırım cep telefonlarına bulaşarak, insanları bu servise üye yaptırıyorlar. Sonrasında aylık 10, 20 ve 50TL‘lik üyeliklerle para kazanıyorlar! Kullanıcılar da ay sonu faturalarında büyük bir sürpriz yaşamaktalar…

view-source:186247e03ca0579e97182bc24d793dd3.com/ads.php

view-source:186247e03ca0579e97182bc24d793dd3.com/ads2.php

Ayrıca, bu adresler üzerinden de yönlendirme yapılıyor. Ads.php kodları arasında sizi Android.php adresine yönlendirdiğini göreceksiniz. Bu sayfa üzerinden de karşınıza reklamları çıkartıyorlar.

view-source:186247e03ca0579e97182bc24d793dd3.com/ads3.php

Adresine baktığımız zaman ise, fare hareketlerimizi kontrol ederek, bir koordinat üzerinde tıklama yaptıklarını görüyoruz. Tahminimce Facebook Beğen yaptırarak sizleri habersiz bir sayfayı beğendiriyor olabilirler.

view-source:186247e03ca0579e97182bc24d793dd3.com/ads4.php

…sayfası üzerinden de gördüğüm kadarı ile yine HaberlerYeni.com’a yönlendiriliyoruz. İçerisindeki Bets.php sayesinde bu yönlendirme yukarıdaki gibi yapılıyor.

view-source:186247e03ca0579e97182bc24d793dd3.com/sec.php

Bu adres üzerinde ise www.yfilmizle.com isimli bir web sayfasına yönlendirildiğimizi görüyoruz. Yine ziyaretçi kazanmak için uygulanan yöntemlerden bir tanesi olarak karşımıza geliyor. Birçok kişiye de yfilmizle.com sayfası ziyaret ettirilmeye çalışıldığını görüyoruz.

view-source:186247e03ca0579e97182bc24d793dd3.com/android.html

view-source:186247e03ca0579e97182bc24d793dd3.com/iOS.html

Bu sayfalara baktığımızda ise, Android cihazları ve IOS cihazları bitly.com/1mWBr5y+ adresine yönlendirdiklerini görüyoruz. Bu adres üzerinde ise yine mobil operatörlerle yapılan servis üyeliği karşımıza çıkıyor. Görebildiğim kadarı ile 4 gün içerisinde 500.000 kişiyi bu sayfaya yönlendirmişler! Yazık…

domain_graph

Peki sisteme nasıl bulaşıyorlar?

Asıl merak ettiğim soru bu! Bir web sayfası üzerinden mi? Bir açıklık kullanarak mı? Henüz bulamadım… Bu işten anlayan uzman arkadaşlara ilettim. Sanırım kısa bir süre sonra bunu tespit edeceklerdir.

Norton Internet Security ve birkaç Malware aracı ile sistemdeki Cookie’leri silerek denemeye devam ettim. Bazı sayfalarda bu toollar kullanılarak silinebildiği söyleniliyor. Ancak öyle değil…

domain_graph2

Çakal o kadar düşünmüş ki, bu sayfayı günde 1 kez açtırıyor. Bilgisayarınızdan temizlediğinizi zannediyorsunuz. Ancak yine karşınıza ertesi gün çıkabiliyor.

Devamında yazıyı güncelleyeceğim. Umarım kısa sürede tespit edilir ve bu HaberlerYeni.com’dan kurtuluruz! Gelelim Haberleryeni.com yetkililerine?  Adamlara ulaşıp bu virüsü söylemek istedim. Ancak adamların künye sayfası boş, iletişim kurmak için bir form var  o kadar…

Ne e-posta adresi, ne de telefon? Yani durum belli…

GÜNCELLEME: Site el değiştirmiş yani satılmış. Yeni sahipleri bilgilerini girmiş durumda. Bu yazı 2014 yılına aittir.

“Ahlaksızlığın Yeni Adı HaberlerYeni.com” üzerine 32 yorum

  1. Az önce siteyi açtım. Bilgisayarda ESET kurulu olduğu için link için virüs hatası verdi ve açmadı. Millet artık nasıl para ve ziyaretçi kazanırız diye türlü türlü işlere girişmiş durumda. Umarız bu tür şeyler bir çok insanı mağdur etmeden biter. Bilgilendirme için teşekkür ederiz…

    Yanıtla
  2. mobilde banada onaylıyorum kutucuğu gelmişti bir sitede yanlışlıkla geçmek için onaylıyorum demişim 12 tl para kesmişler. Vodafone u aradım sorunu çözemediler bende hattı kapattım.

    Yanıtla
  3. Bu tür yöntemler çok artmaya başladı. Hayrına erişimin engellenmesi için başvuru da bulunayım. Bu anlatımın devamı geldiğinde sistemleri nasıl ele geçirdiklerini anlarsak onu da dilekçeye eklememiz işe yarar. Bu işten mağdur olmuş birini bulursak da dolandırıcılıktan şikayette bulunabiliriz. Çok fazla insanın canı yanmadan olay çözülür yoksa bu sayıları kat be kat artıracaklara benziyorlar.

    Yanıtla
  4. Internetin ayarlarindan DNS server olarak Googlenin IP adreslerini yazin. Sizin kullandiginiz provayderde var sorun.

    IP adresler:
    8.8.8.8
    8.8.4.4

    Yanıtla
  5. Ya iyi güzel bu gsm operatörleri nasıl bu şerefsizlere müsamaha gösterir hatta ortak olur? Bilmiyorlar mı bunları?

    Yanıtla
  6. Arkadaşlar kaç gündür geceli gündüzlü uğraştım. kaç defa format attım düzelmedi. Farklı antivirüs ve türevleriyle yarattım olmadı. Pc benim değil ama sorunu buldum sanırım. Modemden kaynaklanıyormuş sanırım. Bi kaç sitede gördüm. Ama anlamadığım konu şu o modeme bağlı her pc de olmuyor tek pc de oluyordu. modeme restart atmak mantıklı olabilir

    Yanıtla
  7. ayn ısorun bendede var çok titiz olmama rağmen nasıl nerden bulaştı bir anlam veremedim. sorunu çözen arkadaş bilgisini de verirse çok hayra geçer. format attım yine olmadı o derece … (win 7 ultimate )

    Yanıtla
  8. TTNet’in DNS sunucularini hack’lediklerinden supheleniyorum. TTNet uzerinden hic baglanmadigi halde bu sorunu yasayan var mi ?

    Yanıtla
  9. ben de modeme format attım, 2 gün normaldi bugun yine popup ve kapatıldığında haberleryeni açılmaya başladı. iPhone’dan da wifi ile bağlı olunca hangi linke tıklarsanız tıklayın supper oyun’a yonlendiriyor.

    Yanıtla
  10. işin garibi aynı durum telefondada olmaya başladı. zeynepin dediği gibi telefonda oyun sitesine yönlendiriyor direk. enteresan bir durum bu. virüs değil bu kesinlikle serverler ile alakalı bir durum. umarız el birliğiyle bir çözüm bulunur. cidden sinir bozuyor çünkü

    Yanıtla
  11. Kesin bir çözüm değil ancak en azından popup açmalarını gereksiz reklamar çıkmasın diye host dosyası güncellenebilir.

    Host dosyasını aşağıdaki gibi düzenledim. En azından reklam çıkmıyor şimdi. Popup açılmıyor.

    127.0.0.1 haberleryeni.com
    127.0.0.1 148d713ae42405bcea7cbf4628de73c0cfc70dee7ee6dd2b.com

    Yanıtla
  12. ÇÖZÜLDÜÜÜÜÜÜÜÜ notebooku 3 kez format attıktan sonra çözümü buldum, cep telefonlarından da farklı sitelere yönlenmesi bilgisayar virüsü olmadığını gösteriyordu, modemininizin giriş şifresi admin ttnet yada admin admin ise bir şekilde modeminizin açık portları üzerinden birşeyler kaydedip yönlendirme yapıyorlar, modemi resetledim ve giriş şifresini değiştirdim sorun çözüldü.

    geçmiş olsun….

    Yanıtla
  13. Milli eğitim bakanlığının internet hattında da aynı durum var. Modemi sıfırlayıp tekrar kurmama rağmen halen devam etmekte. Çözümü arıyoruz.

    Yanıtla
  14. Sabahtan beri pc’yi aratmadığım malware,virüs programı kalmadı hiç bir şey bulamadı bu illeti son olarak modem ayarlarını değiştiricem.

    Yanıtla
  15. Aynı sorunu ben de yaşadım. Bir gün birdenbire bilgisayarımda Explorer da ekranın ortasında bir popup açıldığını içinde reklamların geçtiğini gördüm. Popup ekranın tam ortasında duruyor ve yazıları okutmuyor. Popup penceresinin sağ ust köşesinde x işareti vardı. Tıklandığında arka arkaya bir kaç link açılıyor, bu linklerin birinde gezinti yazıyor, en son haberleryeni.com a bağlanıyorsunuz. Mozilla yi açtım, onda da durum aynı. Google haricinde hangi siteye girersem gireyim bu popup aciliyordu. Bilgisayara virüs bulaşmış diye düşündüm. Bir ara cep telefonundan bir siteye bağlanayim dedim onda da durum aynı. Hanımın kullandığı tablet baktım onda da durum aynı. Telefondan popup un kapatma butonuna Tıklandığında bir kaç link açıldıktan sonra beni bu sefer haberleryeni.com a değil de bir mobil oyun sitesine yönlendiriyor. Popup un içindeki reklama Tıklandığında ise sadece o reklamda geçen site açılıyor. Hem telefonun Hem bilgisayarın hemde tabletin ustelik hepsinin farkli farklı browser lârının hepsinde birden aynı popup un çıkması beni çok şaşırttı. Üstelik bilgisayar, telefon ve tablet hepsi ayrı işletim sistemleri kulllaniyor. Tek ortak noktaları hepsi aynı wireless modemden ttnet in aynı internetini kullanıyor. Aklıma modem virüs bulaşmış olacağı geldi. Telefonun wireless ini kapattım ve mobil internete bağlandı. Bu sefer aynı popup yine açılıyor ama içinden reklam geçmiyor. Bu boş pencereyi bir kere kapattım ve bir daha da açılmadı. Tekrar wireless e bağlandığımda ise popup hemen geri geliyor ve içinden reklamlar geçiyor. Bu kesinlikle ya modemle yada ttnet le alakali birsey dedim. Hemen modemi resetledim, bilgisayara format attım, telefon ve tableti de fabrika ayarlarına döndürdüm. Modemi ttnet şifresini de değiştirdim. Üç gün oldu, şimdilik popup falan gelmedi. İnşallah ebediyen kurtulmusumdur.

    Yanıtla
  16. arkadaşlar , bu illetten muzdarip olanlara soruyorum

    * statik ip mi kullanıyorsunuz ?
    * Kullandığınız dsle uzaktan erişim aktif mi ?
    * Aktif ise kullanıcı adı ve parolası default olarak mı durmakta ?
    * msconfig başlangıç değerleri arasına yeni katılan birşey farkettiniz mi ?
    * pop up aktif olduğunda gorev yoneticisinde aktif farklı bir uygulama beliriyor mu ?

    Yanıtla
  17. modemininizin
    giriş şifresi admin ttnet yada admin admin ise bir şekilde modeminizin açık portları üzerinden birşeyler kaydedip yönlendirme yapıyorlar, modemi resetledim ve giriş şifresini değiştirdim sorun çözüldü gibi

    Yanıtla
  18. Bu kodu yazana epeyce saydıktan sonar modemi resetlemeye kararverdim. Önce herşey normal görünüyordu, fakat yine sapıttı. özellikle habe okumak imkansızlaştı. syfanın tam ortasına yerleşp kalıtyor. Anladığım kadarıyla her işletim sistemine gore faklı çerezler kullanıyor. Buraya yazmadan edemedim+. Bu çok can sıkıcı bir durum. 1_Modemi resetlemek çözüm değil.fakat bir aşama. Şunu yaptım. unlocker indirdim. ve youruninstalleri açtım. temizle komutundan sonar kalan dosyalara baktım. Şüpheli görülen js komutları içeren dosyaları ne yapsam silememiştim. unlockerle sildim.
    system şu anda kararlı görünüyor. Uzman arkadaşlar bu js komutlarının içeriğine göz atarlarsa çok sevinirim.
    Bu komut dosyaları sistemle entegre gibi çalışıyor. Muhtemeldir ki sıkıtıyı buradan yaşatıyorlar. Bir virus değil.

    Yanıtla
  19. Bu sorunun çözümü tarayıcıyı sıfırlamaktan geçiyor arkadaşlar benimde başıma geldi denemediğim yöntem kalmadı modemi değişdirdim kaç kez yeniden kurdum sonra farkettimki tarayıcıdaki çerezleri temizlediğimde kurtuldum bu illetten umarım bir kaç kişiye faydam dokunmuştur hayde rastgele .

    Yanıtla
  20. Kesinlikle bu bazı eski modemlerde görünen modem virüsü, modem üreticileri güncelleme yayınlamadığı için yıllar önceki açıktan faydalanıp modemin belleğine yerleşiyorlar.
    Modemi resetleyip arayüze ve internet şifresine bişeyler koyarak geçici bir çözüm bulabilirsiniz.
    Yada yeni bir modem alarak problemi kökten çözebilirsiniz.

    Yanıtla
  21. Merhaba haberleryeni kodunu bulan var mı? Uzun bir rahatsızlıktan sonra çözüm local user üzerindeki temp dosyasının içinde normal şartlarda silinemeyen Js dosyalarını unlocker kullanarak silmek.
    Son durum şöyle; Modeme rakatlıkla giriyorum. Regedit’e hasar vermiyor, Antivirus programları bu kodu “zararlı” olarak algılamıyor.
    Epilog: Bu şekilde para kazanmaya çalışan koder suç işlemektedir.Yakalanmaması imkansızdır. Benzeri çok görüldü.
    Bu tehlikeli bir yol.

    Yanıtla
  22. Selamlar..
    web den yaptığım araştırmaya göre bazı arkadaşlar bilgisayarını formatlamış ve sorun yine de düzelmemiş.
    az çok regedit i ve bazı ayarları kontrol ettiğim kadarı ile hiç bir iz bulamadım.

    1- bu malware kendini tarayıcıların arama yöneticisine kendini arama motoru olarak kaydediyor
    2- bilgisayarınızdan tüm cookie’leri ve temp klasörleri silin
    3- büyük ihtimalle bu virüs modeminizi de ele geçiriyor, ben şuan modemimin admin paneline giremiyorum.
    ya modem yazılımının bug’ı var önce modemi ele geçiriyor; onun üzerinden de tüm internetinize hakim oluyor
    – ya da bilgisayarınıza bulaştıktan sonra kayıtlı olan modem kullanıcı adı ve şifreniz üzerinden modeme erişip tüm internet aktivitelerinizi kayıt altına alıyor.

    tam temizlik için; pc yi virüsten temizledikten sonra modem reset şart.

    Yanıtla
  23. Bu sorun tplink ve zyxel modemlerdeki dns acigindan kaynaklaniyor. Modeminizi disaridan erisime kapatin. Ayrica dns degistirin. Tarayicinizi sifirlayin.

    Yanıtla
  24. Tarayıcınızı sıfırladığınız halde yine de anasayfa değişmiyorsa, hemen tarayıcı programının kısayolunun özelliklerine bakın, örneğin C:\Program Files\Internet Explorer\iexplore.exe 186247e03ca0579e97182bc24d793dd3.com gibi program adının sağ tarafına gidilmesi istenen bir internet adresi eklenmiş olabilir.

    Yanıtla
  25. Bu yazıyı kaldırırsanız sevinirim. Çünkü domain sahibi değişti ve bu yazı kötü bir reklam olmakta

    Yanıtla
    • Künye sayfanız çalışmıyor. İletişim kısmında ad, soyad, adres ve diğer bilgiler yok. Sadece bir Gmail adresi verilmiş. Kusura bakmayın… Bu yazıyı kaldıramam. Sitenin sahibinin değiştiğini nasıl anlayacağım?

      Yanıtla
  26. Sitemizde Künye, İletişim Gibi Bir çok bilgi açık olarak gösterilmiştir.
    Alan adı sizin yazınızdan 3 sene sonra yeniden değişmiş. Whois den de kontrol edebilirsiniz.
    Genel bir tabir ve açık bir şekilde site adresi ile yapılmış eski de olsa şuan görünürde bir yazı olduğu için yeni aldığımız sitemize zarar vermektedir.

    Yanıtla

Yorum yapın