Author Topic: (Önemli) Sahte Turkish Cargo Bildirimleri Hk. (Cryptolocker Zararlısı)  (Read 2332 times)

Offline SARTEK

  • Moderator
  • Comodo Family Member
  • *****
  • Posts: 89
  • Security Operations Analyst
    • Comodo Turkey
Merhabalar,
Bu sabah itibariyle Turkish Cargo adına düzenlenmiş sahte kargo mailleri (Cryptolocker Zararlısı) alınmaya başlanmıştır. Bilgilerinize sunarım.



Aşağıdaki e-posta adreslerinden gelmektedir.

atilla[at]majorservice.net
bahar[at]majorservice.net
emir[at]giantservice.net
goker[at]majorservice.net
idris[at]majorservice.net
harun[at]giantservice.net



Type    Value
IP    78[.]108[.]82[.]66
IP    78[.]108[.]87[.]216
IP    78[.]108[.]86[.]238
IP    78[.]108[.]86[.]197
IP    78[.]108[.]82[.]195
IP    78[.]108[.]82[.]194
IP    78[.]108[.]86[.]80
IP    78[.]108[.]83[.]66
IP    78[.]108[.]86[.]34
URL    hxxp://kstil[.]ru/USknJYuNywop[.]php?
URL    hxxp://digivi[.]com/OZ5Jm1YzjUpHq8o7[.]php?
URL    hxxp://stilreshenie[.]ru/p5EItucBF[.]php?
URL    hxxp://tendercareguardianship[.]com/wnI4AUKHl[.]php?
URL    hxxp://pascaldesjardins[.]com/lRoSD3EgU5AnJ[.]php?
URL    hxxp://absolut-market[.]ru/WQC2vjeEa[.]php?
URL    hxxp://arciprof[.]com/hHFgfr[.]php?
URL    hxxp://entourage-manufactory[.]com/FhXndRUbBxjmsGl[.]php?
URL    hxxp://mohawktrailsguide[.]com/Y2iXMJ[.]php?
URL    hxxp://national-parking[.]com/hkNsESuePQJDF[.]php?
URL    hxxp://www[.]resner-sar[.]ru/GzNt1lKB9Vn[.]php?
URL    hxxp://wisankadata[.]com/MXZOq9ThGRbVIgz[.]php?
URL    hxxp://cortezconsultants[.]com/G9ZxgWYVXNvi[.]php?
URL    hxxp://allgreatproperties[.]com/L4nFeN[.]php?
URL    hxxp://skmetalsrecycle[.]com/VjE2CgFGMh[.]php?
URL    hxxp://www[.]palmergroup[.]co[.]uk/ldfuzOI3LC1Z[.]php?
URL    hxxp://triplerkeyservice[.]com/EsgJyD[.]php?
URL    hxxp://clg[.]fi/C2UqyKw7QMN3[.]php?
URL    hxxp://www[.]minaservices[.]com/c0OBayIHrjNn5igz[.]php?
URL    hxxp://capturebrazil[.]com/jZrRbLHPKAk[.]php?
URL    hxxp://onetravelhub[.]com/l2TnCKXraW[.]php?
URL    hxxp://awarduk[.]com/VZtJRyO[.]php?
URL    hxxp://zemwal[.]ru/4V0C7fhsH[.]php?
URL    hxxp://tdisl[.]com/tqy5a2Os[.]php?
URL    hxxp://martinenatasha[.]com/5FLhGYr[.]php?
URL    hxxp://eigener-onlineshop[.]com/HpWvs1MxPbX6Y[.]php?
URL    hxxp://www[.]kirikom[.]com/E7I8GKpf[.]php?
URL    hxxp://pacnwacupuncture[.]com/Pu2hKeN[.]php?
URL    hxxp://bos-amenagement[.]com/ejhRaros[.]php?
URL    hxxp://www[.]meteko71[.]ru/5LalIzdjcC[.]php?
URL    hxxp://invoice[.]seattlei[.]com/KcM3OsSl2FRWY[.]php?
URL    hxxp://normangclark[.]com/8vYQzmCy2[.]php?
URL    hxxp://p-reklama[.]ru/Z2uvNM7WJr[.]php?
URL    hxxp://lebanoncrc[.]org/s5WUMAT8Jtcq4[.]php?
URL    hxxp://www[.]kichinov[.]com/YkOLAiwFN2xZ[.]php?
URL    hxxp://debart[.]co[.]uk/B4DNvk50tq[.]php?
URL    hxxp://kikawada-tomomi[.]com/DbznfNWhvR7p[.]php?
URL    hxxp://ellenarealtor[.]com/RUMrXp4dmDQBlz[.]php?
URL    hxxp://contel[.]ru/GcAoPpzhqvtH4L[.]php?
URL    hxxp://onlnet[.]ru/4jlGz5yMAEH9S3[.]php?
URL    hxxp://www[.]chiseltec[.]com/vwEYge1St[.]php?
URL    hxxp://triplerkeyservice[.]com/EsgJyD[.]php?
URL    hxxp://vr-rus[.]com/EsVPm8Jvdw[.]php?
URL    hxxp://turcopalace[.]com/loin15Qvs[.]php?
URL    hxxp://ellegiya-de-liz[.]ru/UTue2dQgWMkJa[.]php?
URL    hxxp://www[.]avatel[.]ru/mIG8fBvgNU[.]php?
URL    hxxp://webertrans[.]ru/WIqpBdAtEmXeMUKS[.]php?
URL    hxxp://hilltoproad[.]org/F3zvQNX[.]php?
URL    hxxp://gsicrconsultores[.]com/9zWSRBap[.]php?
URL    hxxp://tdisl[.]com/tqy5a2Os[.]php?
URL    hxxp://geoscan[.]su/lNMZpU6QFVRq[.]php?
URL    hxxp://stilreshenie[.]ru/p5EItucBF[.]php?
URL    hxxp://rospromtorg[.]com/dCcxFP5tB6MH[.]php?
URL    hxxp://loveatlastsite[.]org/HuKbZXxCMn[.]php?
URL    hxxp://bilru[.]ru/0lHFB9Yya1R2dG6U[.]php?
URL    hxxp://normangclark[.]com/8vYQzmCy2[.]php?
URL    hxxp://resurs-company[.]ru/1rWoPFTUXm[.]php?
URL    hxxp://coastalrockandsand[.]com/lcbagQyFtPIT[.]php?
URL    hxxp://spb-penoplast[.]ru/64BQL1[.]php?
URL    hxxp://mtzioncunningham[.]org/NfAO2iI[.]php?
URL    hxxp://doanthehieu[.]com/vPILcKYkHj[.]php?
URL    hxxp://adpano[.]com/Crdc3ibna8X[.]php?
URL    hxxp://xn--80aesjmcnkj2h[.]com/W2jICRB[.]php?
URL    hxxp://spb-penoplast[.]ru/64BQL1[.]php?
URL    hxxp://hab[.]com[.]ua/4dfrgquQomy1[.]php?
URL    hxxp://clg[.]fi/C2UqyKw7QMN3[.]php?
URL    hxxp://old[.]resurs-company[.]ru/clKPCx5RhjMr[.]php?
URL    hxxp://ellegiya-de-liz[.]ru/UTue2dQgWMkJa[.]php?
URL    hxxp://celikkasan[.]com/LdIiNM65vye8GDE[.]php?
URL    hxxp://josproductions[.]com/nRdtEQepz71[.]php?
URL    hxxp://ckcoffee[.]net/aNHtK2jw[.]php?
URL    hxxp://careforothers[.]org/qGhjPuR4IU1DcoTv[.]php?
URL    hxxp://allgreatproperties[.]com/L4nFeN[.]php?
URL    hxxp://basenote[.]com/J9nfwpV60i4b7C[.]php?
URL    hxxp://newkiosk[.]ru/g1joqae8[.]php?
URL    hxxp://www[.]kirikom[.]com/E7I8GKpf[.]php?


Saygılarımla,

Sarpkan TEKALEV
Technical Support Specialist

Offline yigido

  • Malware Research Group
  • Comodo's Hero
  • *****
  • Posts: 5690
  • COMODO Rocks!
    • Free Comodo Products!
Mükemmel paylaşım teşekkür ederim  :-TU
URL adreslerinin geneli şimdilik hxxp://cargo-turk[.]com/XXXXXX şeklinde devam eden adreslere yönlendiriyor. İndirdiği dosya şimdilik her linkte aynı sonucu burada
https://www.virustotal.com/tr/file/e8d463059f08866c4a37f18e708dbfc7493b898da124fdc42914ab65cbd3363b/analysis/1440758308/

Dosyayı Comodo Lab'a ilettim.  :-TU
« Last Edit: August 28, 2015, 06:58:53 AM by yigido »
COMODO Cloud Antivirus
Firefox Quantum
Encrypt the web! Use HTTPS Everywhere..
Block spying ads and invisible trackers! Use Privacy Badger..

Offline yigido

  • Malware Research Group
  • Comodo's Hero
  • *****
  • Posts: 5690
  • COMODO Rocks!
    • Free Comodo Products!
Comodo Buluttan cevap geldi hemen  :-TU

COMODO Cloud Antivirus
Firefox Quantum
Encrypt the web! Use HTTPS Everywhere..
Block spying ads and invisible trackers! Use Privacy Badger..

Offline abrkackl

  • Comodo Family Member
  • ***
  • Posts: 96
  • Turkish
Mükemmel paylaşım teşekkür ederim  :-TU
URL adreslerinin geneli şimdilik hxxp://cargo-turk[.]com/XXXXXX şeklinde devam eden adreslere yönlendiriyor. İndirdiği dosya şimdilik her linkte aynı sonucu burada
https://www.virustotal.com/tr/file/e8d463059f08866c4a37f18e708dbfc7493b898da124fdc42914ab65cbd3363b/analysis/1440758308/

Dosyayı Comodo Lab'a ilettim.  :-TU
Neden dosya Comodo ya virüslü olarak eklenmemiş? (Comodo buluttan bahsetmiyorum. İnternet bağlantısı olmadan bulut tarama çalışmaz)

Offline yigido

  • Malware Research Group
  • Comodo's Hero
  • *****
  • Posts: 5690
  • COMODO Rocks!
    • Free Comodo Products!
Neden dosya Comodo ya virüslü olarak eklenmemiş? (Comodo buluttan bahsetmiyorum. İnternet bağlantısı olmadan bulut tarama çalışmaz)
Dosya bulut üzerinde olmasının sebebi olabildiğince hızlı tepki vermek zararlı yazılıma karşı. Kısa süre sonra veritabanına eklenecektir.
Zaten eklense de eklenmesede auto-sandbox zararlının icabına bakıyor, ben kendi sistemimde çalıştırdım (sakın siz denemeyin!) hemen ardından bulut tepki verdi ve tespit etti sandbox içinde çalışırken. Daha ne istiyoruzsunuz anlamadım?
COMODO Cloud Antivirus
Firefox Quantum
Encrypt the web! Use HTTPS Everywhere..
Block spying ads and invisible trackers! Use Privacy Badger..

Offline SARTEK

  • Moderator
  • Comodo Family Member
  • *****
  • Posts: 89
  • Security Operations Analyst
    • Comodo Turkey
Neden dosya Comodo ya virüslü olarak eklenmemiş? (Comodo buluttan bahsetmiyorum. İnternet bağlantısı olmadan bulut tarama çalışmaz)

Sayın Abrkackl,
İlgili zararlılar tespit edildiği anda ilgili birimlerimize aktarılmaktadır. Lütfen herhangi bir şüpheniz olmasın. Güvenli günler dileriz..

Saygılarımla,
Sarpkan TEKALEV
Technical Support Specialist

Offline SARTEK

  • Moderator
  • Comodo Family Member
  • *****
  • Posts: 89
  • Security Operations Analyst
    • Comodo Turkey
Dosya bulut üzerinde olmasının sebebi olabildiğince hızlı tepki vermek zararlı yazılıma karşı. Kısa süre sonra veritabanına eklenecektir.
Zaten eklense de eklenmesede auto-sandbox zararlının icabına bakıyor, ben kendi sistemimde çalıştırdım (sakın siz denemeyin!) hemen ardından bulut tepki verdi ve tespit etti sandbox içinde çalışırken. Daha ne istiyoruzsunuz anlamadım?

Merhaba Yigido,
İlgili açıklaman için teşekkür ederiz. Doğrudur.  :-TU

Saygılarımla,
Sarpkan TEKALEV
Technical Support Specialist



Offline abrkackl

  • Comodo Family Member
  • ***
  • Posts: 96
  • Turkish
Dosya bulut üzerinde olmasının sebebi olabildiğince hızlı tepki vermek zararlı yazılıma karşı. Kısa süre sonra veritabanına eklenecektir.
Zaten eklense de eklenmesede auto-sandbox zararlının icabına bakıyor, ben kendi sistemimde çalıştırdım (sakın siz denemeyin!) hemen ardından bulut tepki verdi ve tespit etti sandbox içinde çalışırken. Daha ne istiyoruzsunuz anlamadım?
Sorun benimle ilgili değil.Fakat Comodo hakkındaki kötü yorumların neredeyse hepsi "virüslü olduğundan emin olduğum dosyayı tarayınca virüs bulamadı, ..... Antivirüs algıladı"şeklinde oluyor. Avtest sonucunu da gören yeni kullanıcı hemen vazgeçiyor .Comodo'nun algılamak için değil korumak için olduğunu anlatmanın ne kadar zor olduğunu siz çok daha iyi biliyorsunuz. :-TU  Dediğiniz gibi hiç bir virüsü algılayamasa, sadece auto-sandbox olsa bile yeter
bana. Ama Comodo'yu yeni yükleyenlerin bazıları böyle düşünmeyebiliyor ve silebiliyor.Bu da Comodo'nun yaygınlaşmasını önlüyor.

Offline yigido

  • Malware Research Group
  • Comodo's Hero
  • *****
  • Posts: 5690
  • COMODO Rocks!
    • Free Comodo Products!
Sorun benimle ilgili değil.Fakat Comodo hakkındaki kötü yorumların neredeyse hepsi "virüslü olduğundan emin olduğum dosyayı tarayınca virüs bulamadı, ..... Antivirüs algıladı"şeklinde oluyor. Avtest sonucunu da gören yeni kullanıcı hemen vazgeçiyor .Comodo'nun algılamak için değil korumak için olduğunu anlatmanın ne kadar zor olduğunu siz çok daha iyi biliyorsunuz. :-TU  Dediğiniz gibi hiç bir virüsü algılayamasa, sadece auto-sandbox olsa bile yeter
bana. Ama Comodo'yu yeni yükleyenlerin bazıları böyle düşünmeyebiliyor ve silebiliyor.Bu da Comodo'nun yaygınlaşmasını önlüyor.
Haklısınız. Ancak son kullanıcıya zamanında yanlış öğretilmiş. Virüsü tespit etmek sistemi dosyaları korumak demek değildir.
Bunu anlayamadığı için o arkadaşlar hala para verdikleri çok tanınmış(!) antivirüsleri kullanırken bile virüs yiyorlar  88)

Bu yüzden artık çağın gereklerine uygun yazılımlar kullanmak gerekiyor benim en sevdiğim anti-executable tarzı yazılımlardır.  :-TU
Comodo aynı bu mantıkla çalışıyor ve lütfen dikkat edelim temiz bir sistemi koruma konusunda kimse eline su dökemez.  :-TU

Bahsettiğiniz tipdeki kullanıcı da şu mantıkta oturmuş virüs zaten her türlü giriyor. Virüse çözüm yok, ücretsiz antivirüs mü olur tarzında.
Gerekirse tek tek herkes artık bu işlerin nasıl yürüdüğünü ve virüsü tespit etmenin değil sistemi zararlılardan korumanın daha önemli olduğunu anlamalı!
Son kullanıcı kusura bakmasın burada virüse çözüm bulmuş bir yazılım varken hala macera arıyorlarsa kendi istekleriyle timsah dolu havuza atlamak gibi hiçbir farkı yok.
Para vererek aldıkları o antivirüsler onları virüslerden koruma garantisi veriyor mu? Hayır  :)
Ama Comodo veriyor buyursunlar hodri meydan.

Diğer yandan bakacak olursak evet Comodo biraz "old school" kalmış antiviüs kanadında zararlılar tek tek analiz ediliyor vs tek tek veritabanına ekleniyor bunun daha otomatik sistemlerle yapılması gerekiyor dye düşünüyorum.
Aynı şekilde whitelisting konusu da nacak bunlar uzayıp gidecek. Size katılıyorum Comodo'nun geliştirmesi gereken tarafla halen var.  :-TU
COMODO Cloud Antivirus
Firefox Quantum
Encrypt the web! Use HTTPS Everywhere..
Block spying ads and invisible trackers! Use Privacy Badger..

 

Free Endpoint Protection
Seo4Smf 2.0 © SmfMod.Com Smf Destek