Bir süredir bu siteyi takip etmekteyim.
Gerek paylaştığım programlarla gerekse indirdiğim programlarla aktif olmaya çalışıyorum.
Fakat bugün bu sitedeki "http://ajanlar.org/konu-tek-tikta-sql-acikli-siteyi-hackleme.zz" konudaki program BOTNET barındırmaktadır.
Bağlantı loglarını buradan paylaşıyorum.
logs:
"<Input Sample>"
(Access type: "SETVAL";
Path: "HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN";
Key: "UPDATE";
Value: "%APPDATA%\Google\Rebel Botnet.exe")
"<Input Sample>"
(Access type: "SETVAL";
Path: "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN";
Key: "UPDATE";
Value: "%APPDATA%\Google\Rebel Botnet.exe")
"<Input Sample>"
(Access type: "SETVAL";
Path: "HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON";
Key: "USERINIT";
Value: "%WINDIR%\system32\userinit.exe,%APPDATA%\Google\Rebel Botnet.exe,")
logs:
"rebelbotnet.dynu.com"
"88.228.33.49:4444"
Network Traffic
Buda dinlenilen verilerin sızdırıldığı remote domain adresidir.
Sizlerde vereceğim kodla kontrol ediniz sisteminize bulaşan birşeyler var mı diye...
Kontrol için:
Win+R ---> cmd açınız.
Komut satırına,
dir C:\*.* /b /s /A | find "Botnet.exe"
yapıştırıp Enter yapınız.
Eğer bulaşan varsa yolu çıkacaktır...
32bit için;
"C:\Windows\System32\Drivers\etc\host"
64bit için;
"C:\Windows\SysWOW64\Drivers\etc\host"
dosyasını notepad++ ta açınız. Yoksa Windows notepad programıyla açınız...
En sonuna,
127.0.0.1 rebelbotnet.dynu.com
120.0.0.1 88.228.33.49
ekleyip kaydediniz...
Sızdırılmalar sona erecektir...
[trsz_kwt]
