Ahlaksızlığın Yeni Adı HaberlerYeni.com

Evet, son birkaç gündür karşımıza çıkan Haberleryeni.com reklamlarından bahsediyorum. Virüs / Zararlı Yazılım veya benzeri bir kötü amaçlı kod ile sisteme bulaşarak tarayıcınızda herhangi bir bağlantıyı tıkladığınız zaman HaberlerYeni.com İnternet sayfası açılıyor.

Aynı zamanda mobil tarafta da bir reklam gibi Haberleryeni.com’u görüyoruz. Hem Android hem de iOS mobil cihazlarda Haberleryeni.com’u bir reklam virüsü olarak görüyoruz!

Farklı bilgisayar üzerinde farklı modemler ve farklı İnternet bağlantıları ile test ederek, sorunun ne olduğunu anlamaya çalışıyorum. Bu ahlaksız kişi / kişiler  zararlı kod ya da bir açık kullanarak bilgisayarlarda yeni sekme ile Haberleryeni.com İnternet sayfasını açtırıyor.

Tarayıcınızda, herhangi bir bağlantıyı tıkladığınız zaman 186247e03ca0579e97182bc24d793dd3.com alan adı üzerinde birçok sayfaya yönlendiriliyorsunuz.

186247e03ca0579e97182bc24d793dd3.com

Bu alan adına girdiğiniz zaman Google’a yönleniyorsunuz. Sanki Google’mış gibi gizlenilmeye çalışılmış. Halbuki alt sayfalarda durum çok farklı! Alan adı Whois bilgileri gizli, aynı  zamanda CloudFlare arkasına alınarak gizlenmeye çalışılmış.

Bu nedir? 

Benden habersiz bilgisayarımda / farklı bir şekilde bir zararlı kod ile, saçma sapan bir alan adı üzerinden, Haberleryeni.com’u isteğim dışında açtırıyor ve ziyaretçi kazanıyorlar! Haberleryeni.com’un kaynak kodlarını açıp, incelediğimizde aşağıdaki adres meta etiketleri arasında karşımıza çıkıyor.

view-source:186247e03ca0579e97182bc24d793dd3.com/bets.php

Kaynak kodlardan gördüğüm kadarı ile Title’da Gezinti ismini kullanmış. Aslında bu Gezinti’nin TTNet’in Gezinti servisi ile hiçbir alakası yok! Sadece sizleri Gezinti Servisi gibi bir hizmet olduğuna ikna etmeye çalışıyor.

İçeride bulunan bir form sayesinde bit.ly/1rGMX6s URL kısaltma servisine yönleniyor. Bu servis üzerinden de Haberleryeni.com‘u açtırıyor.  bitly.com/1rGMX6s+ sayfasına bakarsanız, Haberleryeni.com’un bu virüs / zararlı sayesinde 3 gün içerisinde 884.154 kez yönlendirildiğini göreceksiniz!

Yani Haberleryeni.com bu sayede 3 gün içinde 1 milyona yakın ziyaretçi kazanmış!

haberleryeni

 

haberleryeni_ziyaret

view-source:186247e03ca0579e97182bc24d793dd3.com/popup.php

…adresini görüyoruz. Bu adres üzerinde Popup pencere ile reklam açtırdığını görmekteyiz. Açılan Popup pencere ile işletim sistemimize göre farklı sayfaları refer ederek bizlere reklam, servis üyeliği gibi sayfalara yönlendiriyorlar. Android, IOS ve Windows için farklı sayfalar tanımlanarak size bir Cookie atanıyor ve bu sayfalara yönlendiriliyorsunuz.

view-source:186247e03ca0579e97182bc24d793dd3.com/login.php

…yine kodlar içerisinde yukarıdaki gibi bir adres var. Bu adres üzerinde +18 İÇERİK adı altında mobil bir servis üyeliği bulunuyor. Sanırım cep telefonlarına bulaşarak, insanları bu servise üye yaptırıyorlar. Sonrasında aylık 10, 20 ve 50TL‘lik üyeliklerle para kazanıyorlar! Kullanıcılar da ay sonu faturalarında büyük bir sürpriz yaşamaktalar…

view-source:186247e03ca0579e97182bc24d793dd3.com/ads.php

view-source:186247e03ca0579e97182bc24d793dd3.com/ads2.php

Ayrıca, bu adresler üzerinden de yönlendirme yapılıyor. Ads.php kodları arasında sizi Android.php adresine yönlendirdiğini göreceksiniz. Bu sayfa üzerinden de karşınıza reklamları çıkartıyorlar.

view-source:186247e03ca0579e97182bc24d793dd3.com/ads3.php

Adresine baktığımız zaman ise, fare hareketlerimizi kontrol ederek, bir koordinat üzerinde tıklama yaptıklarını görüyoruz. Tahminimce Facebook Beğen yaptırarak sizleri habersiz bir sayfayı beğendiriyor olabilirler.

view-source:186247e03ca0579e97182bc24d793dd3.com/ads4.php

…sayfası üzerinden de gördüğüm kadarı ile yine HaberlerYeni.com’a yönlendiriliyoruz. İçerisindeki Bets.php sayesinde bu yönlendirme yukarıdaki gibi yapılıyor.

view-source:186247e03ca0579e97182bc24d793dd3.com/sec.php

Bu adres üzerinde ise www.yfilmizle.com isimli bir web sayfasına yönlendirildiğimizi görüyoruz. Yine ziyaretçi kazanmak için uygulanan yöntemlerden bir tanesi olarak karşımıza geliyor. Birçok kişiye de yfilmizle.com sayfası ziyaret ettirilmeye çalışıldığını görüyoruz.

view-source:186247e03ca0579e97182bc24d793dd3.com/android.html

view-source:186247e03ca0579e97182bc24d793dd3.com/iOS.html

Bu sayfalara baktığımızda ise, Android cihazları ve IOS cihazları bitly.com/1mWBr5y+ adresine yönlendirdiklerini görüyoruz. Bu adres üzerinde ise yine mobil operatörlerle yapılan servis üyeliği karşımıza çıkıyor. Görebildiğim kadarı ile 4 gün içerisinde 500.000 kişiyi bu sayfaya yönlendirmişler! Yazık…

domain_graph

Peki sisteme nasıl bulaşıyorlar?

Asıl merak ettiğim soru bu! Bir web sayfası üzerinden mi? Bir açıklık kullanarak mı? Henüz bulamadım… Bu işten anlayan uzman arkadaşlara ilettim. Sanırım kısa bir süre sonra bunu tespit edeceklerdir.

Norton Internet Security ve birkaç Malware aracı ile sistemdeki Cookie’leri silerek denemeye devam ettim. Bazı sayfalarda bu toollar kullanılarak silinebildiği söyleniliyor. Ancak öyle değil…

domain_graph2

Çakal o kadar düşünmüş ki, bu sayfayı günde 1 kez açtırıyor. Bilgisayarınızdan temizlediğinizi zannediyorsunuz. Ancak yine karşınıza ertesi gün çıkabiliyor.

Devamında yazıyı güncelleyeceğim. Umarım kısa sürede tespit edilir ve bu HaberlerYeni.com’dan kurtuluruz! Gelelim Haberleryeni.com yetkililerine?  Adamlara ulaşıp bu virüsü söylemek istedim. Ancak adamların künye sayfası boş, iletişim kurmak için bir form var  o kadar…

Ne e-posta adresi, ne de telefon? Yani durum belli…

GÜNCELLEME: Site el değiştirmiş yani satılmış. Yeni sahipleri bilgilerini girmiş durumda. Bu yazı 2014 yılına aittir.

“Ahlaksızlığın Yeni Adı HaberlerYeni.com” üzerine 32 yorum

  1. Sitemizde Künye, İletişim Gibi Bir çok bilgi açık olarak gösterilmiştir.
    Alan adı sizin yazınızdan 3 sene sonra yeniden değişmiş. Whois den de kontrol edebilirsiniz.
    Genel bir tabir ve açık bir şekilde site adresi ile yapılmış eski de olsa şuan görünürde bir yazı olduğu için yeni aldığımız sitemize zarar vermektedir.

    Cevapla

Erdal B. için bir cevap yazın Cevabı iptal et

teakolik hamza şamlıoğlu blog logo

Wordpress altyapısını kullandığımız bu sistem, Sunucu Çözümleri firmasında yüksek performans sağlayan özel sunucularda barındırılmaktadır. Görüntülemek için en iyi Chrome tarayıcı, 1920x1080 çözünürlük ve Full HD Android telefonlarda çalışır. Ayrıca Sitedeki içeriği istediğiniz gibi çarpabilirsiniz. :)